Si hace apenas unas semanas contábamos cómo había caído el algoritmo de cifrado de GSM en detalle, ahora es el algoritmo de cifrado utilizado por los móviles 3G el que ha sido reventado, conocido como KASUMI o A5/3.

Un grupo de investigadores en criptografía ha demostrado que KASUMI, que es el sistema de cifrado utilizado por las redes móviles 3G, es vulnerable a un ataque que permite descifrar las conversaciones en cuestión de horas en un PC estándar.

El sistema KASUMI está basado en una técnica de cifrado llamada MISTY, que a su vez pertenece a un tipo de técnicas denominadas Cifrado Feistel. Se trata de algoritmos complejos, con múltiples claves combinadas, junto con procesos de cifrado recursivos que alternan el orden de diferentes funciones. En concreto, KASUMI tiene un tamaño de clave de 128 bits, y es tan similar a MISTY que los ataques de uno se adaptan fácilmente al otro.

Un cifrado que utilice MISTY en toda su extensión es muy costoso en términos computacionales. Por este motivo se desarrolló KASUMI como una versión simplificada de MISTY1, más rápido y que exige menos potencia de cálculo. Teóricamente, esta simplificación no reducía la seguridad del protocolo, pero la investigación ha desmontado esta teoría...

La demostración matemática es algo complicada. En líneas generales, consiste en enviar múltiples valores de entrada a través del proceso de cifrado con diferencias controladas de algunos bits entre ellas. A continuación se analizan pares de entradas y sus resultados para detectar similaridades entre las claves. Las similaridades permiten a los autores del estudio determinar en qué momento se utilizan claves de cifrado relacionadas, e identificar algunos de los bits de esas claves. Estas operaciones se van repitiendo y en cada paso se mejora el conocimiento que se dispone de la clave de cifrado.

Según la documentación del estudio, el algoritmo que utilizaron fue capaz de recuperar 96 de los bits de las claves en apenas unos minutos usando un PC normal, y los 128 bits al completo en menos de dos horas. Y todo ello a pesar de utilizar una versión de borrador del programa de descifrado, no optimizado, por lo que los tiempos podrían reducirse.

Este nuevo tipo de ataque, al que los investigadores denominan "ataque sandwich", es de una complejidad tan baja que demuestra que los cambios realizados para simplificar MISTY han debilitado muchísimo el sistema de cifrado.

Aún no está claro si este ataque es efectivo a nivel práctico, ya que es necesario disponer de claves relacionadas, lo que no siempre es posible. Al igual que cuando hablábamos de la rotura del A5/1, no es necesario que nos desprendamos de nuestros móviles: esto tan sólo es una llamada de atención a la GSM Association para que actualice sus sistemas de cifrado.

Por cierto, el grupo de investigadores que está detrás de esto está formado por Orr Dunkelman, Nathan Keller y Adi Shamir. La S se Shamir es la que aparece en el medio del nombre del algoritmo de cifrado RSA, el primer algoritmo de clave pública, y el más utilizado.

No he encontrado ninguna declaración por parte de la GSM Association al respecto, aunque probablemente consistirá en echar balones fuera, si siguen la tónica general hasta el momento.

Vía | Ars Technica Más información | ThreatPost Sitio oficial | Cryptology ePrint Archive En Genbeta | A fondo: Entendiendo el problema de seguridad del algoritmo de cifrado de GSM

Karsten Nohl y Sascha Krißler, ingenieros de sotware expertos en criptografía, han destapado la caja de los vientos en el Chaos Communication Congress, un congreso organizado por Chaos Computer Club. En su presentación, han expuesto cómo han logrado reventar el código primario de cifrado utilizado por la red GSM, gracias a multitud de colaboradores que han ofrecido la potencia de cálculo de ordenadores y consolas de forma distribuida.

Comienzo con una pequeña aclaración. El algoritmo de cifrado ya se conocía, pese a ser secreto, gracias a la ingeniería inversa. Lo que se ha logrado es un mecanismo para obtener rápidamente la clave de cifrado, anulando la protección que ofrece dicho algoritmo.

¿Hasta qué punto esto representa un problema? ¿Se está exagerando la noticia? ¿Hace falta cambiar el sistema de cifrado de la red GSM? ¿Tiramos nuestros móviles?

Esto no es un problema nuevo. Muchos han estado denunciado las debilidades del sistema de cifrado de esta red, y que la GSM Association no ha tomado las medidas necesarias para paliarlas. Hay que tener en cuenta que los algoritmos utilizados tienen más de veinte años, una barbaridad. Tecnologías más nuevas, como UMTS, no utilizan el sistema de cifrado comprometido, por lo que las redes 3G no se ven afectadas por lo expuesto por el equipo de Nohl.

Algoritmos de cifrado de GSM: buena idea, pero anticuada

GSM utiliza varios algoritmos diferentes de cifrado, para la identificación del usuario, su autenticación, y la transmisión de datos y voz de forma cifrada. Estos algoritmos están distribuidos entre el operador de la red GSM, el teléfono móvil y la propia SIM. De algunos de estos algoritmos hay diferentes versiones.

El suscriptor se identifica únicamente un código único, llamado IMSI (International Mobile Subscriber Identity), guardado en la SIM. Junto a ella están la clave única de usuario (Ki), el algoritmo de generación de claves de cifrado (A8), el algoritmo de autenticación (A3) y el PIN. En el móvil GSM está el algoritmo de cifrado (A5). Lo primero es autenticar al usuario en la red. Se comprueba que el IMSI y el PIN de la SIM son correctos, y los algoritmos de cifrado tanto de la SIM como del móvil están en orden.

Una vez autenticado, pasamos a lo que nos interesa debido a la noticia: el algoritmo A5, que se utiliza para transmitir datos por la red. Por seguridad, la clave única del usuario, almacenada en la SIM, no se envía a través de la red. El operador guarda una copia de esta clave, y para que el usuario pueda transmitir de forma cifrada, le envía un paquete aleatorio. Con el algoritmo A8 se genera una clave de sesión (Kc). En el receptor, mediante el algoritmo A5, se genera una respuesta a partir de la clave de sesión Kc única del usuario y el paquete aleatorio enviado por el operador de red. El operador de red realiza el mismo cálculo por su parte y compara los resultados.

Si el cálculo del lado del usuario y el del lado del operador coinciden, es que está todo en orden. Entonces, la voz digitalizada y los datos se van dividiendo en paquetes, se cifran con la clave única, y se transmiten en ambos sentidos. Para poder descifrarlos, necesitaríamos conocer esa clave Kc única. Para descubrir esa clave única, sólo tenemos la secuencia aleatoria enviada por el operador de red y la respuesta que manda el usuario.

El problema es que la operación matemática que aplica A5 no tiene inversa. Es decir, conociendo el resultado, no hay ninguna operación matemática que pueda calcular cuál era la clave única de usuario que ha utilizado el algoritmo para obtener ese resultado.

Existen tres variantes del A5, denominados A5/1, A5/2 y A5/3. El A5/1, como el resto de especificaciones, era secreto pero se obtuvo por ingeniería inversa, y por el momento es el más utilizado. Oficialmente, utiliza claves de 64 bits, lo que a día de hoy es pobre. Pero para colmo, esas claves de 64 bits contienen siempre 10 ceros fijos, por lo que en realidad es de 54 bits (aunque las SIMS actuales ya vienen usando los 64 bits).

El A5/2 apenas se usa, ya que se trata de una versión más débil y barata del A5/1 y lo reventaron al poco tiempo.

El A5/3 es más reciente y robusto, de 128 bits, pero su uso es muy limitado. Ya que implica actualizar hardware, pocos operadores de red se han gastado lo necesario para actualizar sus equipos para que lo soporten.

El algoritmo A5/1 reventado: implicaciones

El grupo 'The Hackers Choice' creó un proyecto en 2008 para desarrollar un ataque práctico sobre A5/1 (en el sentido de que fuera posible ponerlo en práctica, y no sólo a nivel teórico). Para ello hacía falta construir una tabla de búsqueda de unos 3 terabytes, que permitiera que dada cualquier combinación de secuencia aleatoria y resultado del cálculo con A5/1, cuál es la clave de usuario que daría ese resultado a partir de esa secuencia.

Sumado a un proyecto de escaneo de redes GSM, sería posible grabar cualquier llamada o SMS de la red GSM, cifrados con A5/1, y en unos minutos disponer de la clave de cifrado y así poder conocer el contenido con un mínimo retraso. Esa tabla se generaría aplicando A5/1 sobre todas las secuencias aleatorias que puede enviar el operador con cada una de las posibles claves de sesión usuario, y calculando el resultado.

Una vez que tengamos la clave, escuchamos la conversación entre el usuario y el operador de red. El operador manda la secuencia aleatoria, y el usuario responde con una cadena generada a partir de su clave de sesión única. Cruzamos esos dos datos en la tabla y al momento tenemos cuál es la clave Kc única que daría ese resultado sobre esa secuencia aleatoria. Listo, ya conocemos la clave de cifrado de las comunicaciones de ese usuario.

La clave Kc varía cada cierto tiempo, pero al tener disponible la tabla, es fácil descubrir la nueva clave.

Pero... ¿cómo se construye una tabla así? Pues de la misma forma que SETI@Home: con una red distribuida. En apenas unos meses, desde septiembre, la potencia de 80 nodos CUDA aportados por colaboradores de todas partes han conseguido generar la tabla, que está disponible por torrents.

Desde la GSM Association se ha emitido un comunicado diciendo que esto no es tan sencillo como lo están pintando, y que el equipamiento necesario para utilizar esta técnica de forma efectiva no está al alcance de cualquiera. También indican que los operadores tan sólo tienen que modificar el algoritmo existente para evitar el problema. Claro, pueden pasarse a A5/3, o implementar otro algoritmo más seguro, pero bastante se han gastado ya en UMTS como para ahora actualizar los equipos de la red GSM.

Pero el propio Nohl durante su presentación dijo que tanto el hardware como el software están disponibles de forma libre, y con unos pocos miles de dólares puedes tener tu estación de escucha. Esto lo sitúa lejos del usuario medio, pero lo deja al alcance de aquellas organizaciones con recursos e intereses suficientes como para ignorar las consecuencias de infringir leyes sobre el secreto de las comunicaciones.

¿Debo dejar de usar mi móvil?

No, no hay que ser tan extremista. Tan sólo ten en cuenta que si te siguen la pista porque pretendes defraudar a hacienda, recalificar unos terrenitos con la ayuda de tu amigo de urbanismo, o poner música del eMule en tu boda, no tengas conversaciones delicadas por tu móvil. Pero no sólo porque ahora esté roto, sino porque un juez podía solicitar escuchas, así que poco cambia la cosa.

El objetivo de todo esto es dejar claro que la tecnología de cifrado usada por GSM está muy anticuada y no es lo suficientemente segura. Hace falta que los operadores den el paso y sellen los agujeros de seguridad que se conocen desde hace tiempo, pero que ahora ya pueden ser explotados.

Gracias a userooo1 por las correcciones al artículo.

Más información | Chaos Comunication Congress Más información | GSM Association Más información | Algoritmo A5/1, Algoritmo A5/2, Algoritmo A5/3 En XatakaMovil | Descifran y publican el código de encriptación primario utilizado en las redes GSM