Da "Micro & Personal Computer" - Rubrica "PC & Radio"- Maggio 1996
Telefoni e radio: e la riservatezza?
[nota: articolo incompleto!]
Dopo aver affrontato le problematiche della certificazione dell’accesso nel Packet, in cui il livello di sicurezza richiesto è tutto sommato modesto, entriamo stavolta nel mondo commerciale, in cui un "buco" nella sicurezza può voler dire truffe da milioni o miliardi, e in cui le problematiche di riservatezza costituiscono un argomento di politica nazionale ed internazionale.
di Mario Chisari IW0CDT
Nessuno si aspettava uno sviluppo così dirompente della telefonia cellulare; quante volte avete letto questa frase a proposito delle tecnologie più disparate? Nessuno si aspettava che un megabyte di memoria potesse diventare poco, nessuno si aspettava che i modem sarebbero divenuti così veloci, e che i fax sarebbero diventati tanti diffusi...
Ma in verità, anche qualche anno fa solo un miope - in senso mentale, e forse anche in senso ottico - non avrebbe immaginato quali limitazioni dei primi "cellulari" sarebbero presto divenute strette: la facilità di intercettazione e la bassa sicurezza in primo luogo.
La verità quindi è che si sapeva benissimo di queste limitazioni, solo che costava troppo porvi rimedio...
Con la nascita del GSM, molte limitazioni sono state rimosse, e disponiamo, grazie al costo ridotto delle tecnologie più avanzate, di caratteristiche di sicurezza e riservatezza "più che adeguate". Ma veramente adeguate? E per quanto tempo? Se continuate a leggere, scoprirete che le cose non sono pacifiche come molti dicono.
E-TACS è ormai stato abbondantemente vituperato; ma poverino, in fondo non è colpa sua se è nato qualche anno prima. E così, vagando per internet si trovano suggerimenti su come compiere le più efferate azioni nei confronti di cui questa rete è completamente indifesa, come riprogrammare un cellulare per ascoltare le telefonate altrui, o farne una copia per avere due telefoni da usare in alternativa; per non parlare di peggio, ovvero come "clonare" un telefono altrui, fenomeno che, a giudicare dalle cronache di qualche mese fa, ha assunto proporzioni non trascurabili...
Come si difende il GSM da questo tipo di attacchi? Immaginiamo un telefono mobile che cerchi di collegarsi alla rete fissa, come illustrato nella figura 1. Per prima cosa, occorre verificare che il telefono mobile sia quello che dice di essere; occorre anche che le informazioni scambiate via radio non possano servire ad altri per copiarne l’identità. Questo è esattamente il punto debole del sistema E-TACS, in cui i dati digitali sono scambiati in forma chiara; chiunque li riceva può spacciarsi per un altro. Come sicurezza non è certo un gran che...
Il GSM utilizza estensivamente tecniche crittografiche che hanno una robustezza decisamente superiori. Gran parte di queste funzioni sono svolte dalla SIM, la "carta intelligente" che certifica l’abbonamento alla rete, e che non contiene solo i dati identificativi, ma anche gli algoritmi di sicurezza più delicati.
In particolare, essa contiene due informazioni: l’IMSI (International Mobile Subscriber Identity), che identifica in modo univoco l’utente nel mondo; ed un codice segreto Ki.
Il telefono mobile, dicevamo, richiede l’accesso alla stazione base; essa "sfida" il telefono inviandogli un numero casuale di 128 bit, denominato RAND. In base al numero RAND ed a Ki, ed usando l’algoritmo A3, la SIM calcola la risposta SRES. La stazione base recupera negli archivi del gestore della rete il codice Ki relativo all’utente, ed in base a Kie RAND calcola la sua SRES; se essa coincide con quella inviata dal telefono, l’identificazione è positiva. Chiunque ascolti RAND ed SRES non può fare nulla queste informazioni; infatti, ogni volta la sfida RAND è diversa, e quindi anche la risposta SRES; inoltre è impossibile risalire a Kida SRES, poiché A3 è un algoritmo di "condensazione di messaggio" che funziona in una sola direzione (è equivalente all’MD2 di cui abbiamo parlato la scorsa volta).
Una volta certificato l’accesso, si passa alla comunicazione, che anch’essa avviene in forma crittata. La crittazione e decrittazione in tempo reale dei dati vocali avviene grazie ad un algoritmo "simmetrico"; si definisce tale un algoritmo che consente di crittare i dati e di decrittarli usando la stessa chiave, in contrapposizione con gli algoritmi "a chiave pubblica", in cui una chiave serve per crittare e l’altra per decrittare. Per poter usare un algoritmo simmetrico occorre preventivamente scambiarsi la chiave; se però tale chiave viene intercettata da un terzo, esso potrà estrarre tutte le comunicazioni tra i due. Per evitarlo, anche questa chiave viene ricavata da informazioni "segrete", per la precisione dal codice RAND e da Ki, usando un altro algoritmo noto col nome di A8; e visto che Ki è segreto, nessuno potrà conoscere la chiave della comunicazione, che chiameremo Kc. La stazione base può inoltre, iniando un nuovo RAND, cambiare Kc in ogni momento. Kc viene generata dentro la SIM e fornita al telefono portatile; da notare che Ki non solo non è mai trasmessa, ma non esce nemmeno mai dalla SIM; questo rende estremamente complesso il compito di chi voglia "clonare" il telefono.
La comunicazione telefonica sicura può a questo punto cominciare; per crittare e decrittare i dati vocali grazie a Kc si utilizza un terzo algoritmo, che prende il nome di A5 (figura 3). Questo algoritmo non risiede nella SIM, ma nel telefono stesso.
I PUNTI DEBOLI
A questo punto è interessante sapere quali sono i punti deboli di questi sistemi, che possono essere molti. Uno di essi è sicuramente nella possibilità per qualcuno di conoscere Ki; poiché fisicamente questo non può uscire dalla SIM, si potrebbe tentare di dedurlo dagli altri dati. Gli algoritmi A3, A5 ed A8 non sono pubblici, quindi non è facile valutare la loro robustezza; ad ogni modo, i sistemi di "condensazione dei messaggi" sono abbastanza noti, e su A3 ed A8 possiamo stare abbastanza tranquilli.
Diverso è il discorso per l’A5, la parte relativa alla crittazione del parlato; anzi, un vero e proprio "giallo" è in corso su di esso. Apprendiamo molti particolari in proposito da un messaggio impostato sul bollettino Internet sci.crypt.
All’indomani della guerra nel golfo l’Iraq iniziò l’installazione di una sua rete GSM; l’acquisto della apparecchiature fu però osteggiato dagli statunitensi poiché l’algoritmo di crittazione A5 era "troppo robusto", e i servizi segreti non gradivano che un paese nemico godesse di una tale tranquillità. Recentemente però, sono stati avanzati seri dubbi, tanto che c’è chi dice che l’algoritmo A5 sarebbe "troppo debole" per essere reso pubblico. In effetti, alcune informazioni sono trapelate riguardo all suo funzionamento; si sa ad esempio che è un algorimo a codifica di flusso, effettuato tramite poche porte XOR, che opera con tre registri di lunghezza 19, 22 e 23 bit. Le poche, e quasi per tutti incomprensibili, informazioni trapelate hanno fatto pensare che la robustezza non sia così elevata. In ogni caso, se le dimensioni dei registri sono quelle dette la lunghezza effettiva della chiave è di 40 bit, una lunghezza ridotta al punto da non essere soggetta a restrizioni sull’esportazione secondo la legge statunitense; è la stessa lunghezza usata dal cifratore di Netscape ed altri programmi, quando, tanto per dare un’idea, PGP è in grado di usare chiavi da 1024 bit. È vero che la durata di una conversazione telefonica è tale da essere poco soggetta ad un attacco; tuttavia, se certe ipotesi fatte sull’A5 si rivelassero vere, l’implementazione tramite porte XOR ne permetterebbe la forzatura tramite decine di componenti hardware realizzati appositamente, il che è sicuramente alla portata di tutti i servizi segreti e di chi volesse vendere le telefonate di Lady Diana al Sun...
Ma si è addirittura avanzato il sospetto che esista un attacco più rapido: ad un convegno scientifico nel giugno 1994 il dottor Simon Shepherd dell’Università di Bradford stava per presentare un suo studio in proposito basato sulla tecnica delle matrici sparse, quando la presentazione fu stralciata a causa della "segretezza" dell’algoritmo.
Su Internet si trovano anche altri studi che potrebbero evidenziare debolezze dell’algoritmo A5. In ogni caso, la sicurezza dell’A5 è uno dei temi caldi della politica internazionale; pare che negli anni ‘80 fosse in corso un dibattito riguardo all’opportunità che il GSM fosse ben protetto dall’intercettazione; i paesi come gli Stati Uniti sostenevano di no, mentre quelli vicini alla "cortina di ferro", come la Germania, premevano per la sicurezza, ad evitare le intercettazioni russe; l’algoritmo attualmente usato è stato implementato in Francia.