Завершая свое исследование, Вельте задается вопросом: «И чему же мы можем научиться из всей этой истории?» Ключевые умозаключения автора выглядят так:
– Производители оборудования GSM и операторы связи не продемонстрировали абсолютно никакого интереса к латанию зияющих дыр в безопасности их систем. – До того как стало известно о первых атаках против A5/2, они вообще никогда не думали о процедурах модификации всей системы новой системой шифрования (т.е. о проактивных планах реагирования на опасность). – Даже после катастрофы со взломом A5/2 они ни в малейшей степени ничему не научились. В точности та же самая проблема, что была с атаками через понижение A5/1 — A5/2, сегодня может быть эффективно использована для атак с понижением A5/3 — A5/1. Причём ясно это было даже до того, как большинство операторов начали приступать к использованию алгоритма A5/3 в своих рабочих сетях. – Рабочая группа по безопасности в составе 3GPP имела массу содержательных идей о реальных угрозах защите GSM еще 10 лет назад. Всё это можно увидеть, например, в их технических рекомендациях TR 33.801. Однако абсолютно никто не захотел к этим сигналам прислушаться. – Аналогичные проблемы имеются в GSM и с криптоалгоритмами аутентификации. Понадобилось 12 лет от первой практической атаки против COMP128v1 до того момента, когда в GSMA начали задумываться о том, чтобы изъять этот алгоритм из системы...
* * *
Если кто-то вдруг пропустил и не заметил в этой истории Харальда Вельте пассаж о «североамериканских GSM-операторах», упорно препятствовавших изъятию A5/2, то имеет смысл подчеркнуть данный момент особо. Потому что в США A5/2 номинально вообще никогда не требовался, однако именно оттуда (точнее, из АНБ США) все последние десятилетия исходят мощные импульсы на всяческое понижение стойкости криптографии — вплоть до её фактической ликвидации — в общедоступных ИТ-системах. Будь то телефония, электронная почта, защита видеодисков, проездные транспортные билеты или противоугонные иммобилайзеры.
Предъявить официальные документы, подтверждающие эту «смелую идею», конечно, вряд ли возможно. Скорее всего, таких документов и в природе-то не существует. Зато имеются многочисленные свидетельства от представителей не только в индустрии, но и в спецслужбах о том, насколько рьяно и буквально по всем фронтам Агентство национальной безопасности США борется за недопущение сильной криптографии в повседневном народном обиходе. Потому что именно в слабой криптографии и заключается их главная сила.
Одно из наиболее свежих тому свидетельств невольно предоставил Бернар Барбье (Bernard Barbier), технический директор спецслужбы DGSE, т.е. внешней разведки Франции. По давно сложившейся традиции во Франции нет самостоятельной радиоэлектронной разведки типа АНБ, поэтому задачами перехвата и дешифрования коммуникаций занимается специальное подразделение в составе DGSE. Именно эту службу и возглавляет сейчас Барбье. А поскольку под руководством президента Николя Саркози (или «Сарко- американца», как называют его сограждане) произошло небывалое военно-политическое сближение Франции и США, руководству французской разведки с некоторых пор по своим шпионским делам приходится регулярно общаться с американскими коллегами.
И вот на одной из таких встреч, по признанию Барбье (сделанному в неформальной обстановке на одной из недавних конференций профессионалов в области защиты информации), АНБ строго «отругало» французских коллег за известную инициативу их госвластей под названием HADOPI. Закон HADOPI, можно напомнить, не так давно был принят во Франции под давлением индустрии развлечений — для блокирования массового файлообмена с нелегальными копиями фильмов, аудиозаписей и тому подобного контента. По этому закону интернет-провайдеры должны отключать от Сети тех своих пользователей, что замечены в нелегальном файлообмене. Ну а пользователи соответственно для собственной защиты вынуждены массово переходить на тотальное шифрование своих коммуникаций ради сокрытия всех действий в интернете… Понятно, что для спецслужб, контролирующих системы связи, подобный поворот событий очень существенно усложняют задачи мониторинга.
Несложно заметить и то, что в США, к примеру, несмотря на мощнейшее давление на законодателей со стороны индустрии развлечений, законы типа французского HADOPI даже не обсуждаются. Отчитывая французских коллег, АНБ, впрочем, не стало приводить в пример собственные достижения, а отослало их к опыту соседей — в Великобританию. Там британской разведке вполне удалось отговорить правительство страны от ввода аналогичных правовых механизмов, усложняющих работу спецслужб и постоянное наблюдение за интернет-пользователями…
Иными словами, как это ни парадоксально, в подобных вопросах интересы спецслужб и индустрии развлечений оказываются конфликтующими до такой степени, что разведка вынуждена выступать против борьбы государства с «пиратством». Но делает это по-тихому. Как, впрочем, и все остальные свои дела.
Кафедра Ваннаха: Вызовы XXI века. Инженеры
Недавно в России произошло знаковое событие. Ракета «Протон», по надёжности уступающая разве что «семёрке» с её потомством, не смогла вывести на орбиту тройку спутников ГЛОНАСС. В произошедшем бойко обвинили математиков; возникает ощущение, что лихие пиарщики знакомы с творчеством древнего неоплатоника Секста Эмпирика вообще и трактатом Adversus Mathematicos — «Против математиков», содержащем главы «Против арифметиков» и «Против геометров», в частности… И хорошо, что их знакомство с предметом не достигает Александрии Египетской времён борьбы христианской
