В защищенных телефонах для спецслужб и госчиновников найдена «закладка» для массовой прослушки

22 янв 2016 18:01 #31954 от ICT
Бэкдор в протоколе защиты Старший научный сотрудник исследовательской группы в области информационной безопасности при Университетском колледже Лондона Стивен Мердок (Steven Murdoch) раскритиковал протокол защиты, разработанный организацией, контроль над которой принадлежит спецслужбам Великобритании.
Речь идет о протоколе MIKEY-SAKKE для шифрования голосовых звонков. Его автором является CESG — организация, входящая в состав Центра правительственной связи Великобритании (Government Communications Headquarters — GCHQ) и отвечающая за информационную безопасность. Обязательная сертификация Для того чтобы использовать зашифрованные коммуникации, необходимо получить разрешение у правительства, которое должно сертифицировать систему связи. В Великобритании этим органом является GCHQ. И он выдает разрешения только на те продукты, которые поддерживают протокол MIKEY-SAKKE. http://filearchive.cnews.ru/img/cnews/2016/01/22/enc500.jpg"> [b]Власти Великобритании нарочно продвигают протокол с плохой защитой[/b] «В результате протокол MIKEY-SAKKE используется практически во всех системах правительственной связи в Великобритании. Потому что производители, выпускающие телекоммуникационное оборудование с функцией шифрования звонков, должны получить соответствующее разрешение для выхода на рынок», — пояснил эксперт. [b]Принцип работы протокола[/b] Принцип работы MIKEY-SAKKE во многом похож на то, как происходит шифрование электронной почты. При установке соединения по защищенному каналу в первый раз инициатор беседы отправляет второму абоненту закрытый ключ шифрования. Получатель, зная уникальный идентификатор инициатора, получив публичный мастер-ключ от оператора связи и имея закрытый ключ от отправителя, может дешифровать звонок. Сформированные собеседниками ключи шифрования существуют в течение месяца. Поэтому оператор должен всегда располагать мастер-ключом, на основе которого формируются закрытые ключи. [b]Уязвимая конструкция[/b] Конструкцию MIKEY-SAKKE нельзя назвать надежной, утверждает Мердок. Во-первых, его авторам не следовало включать в протокол уникальный идентификатор абонента, который необходим второму абоненту для дешифровки, потому что существуют более надежные механизмы инициации защищенного соединения. Во-вторых, наличие мастер-ключа, который позволяет дешифровать все звонки в прошлом и будущем без обнаружения, представляет собой огромный риск для пользователей защищенной линии и заманчивую цель для хакеров, считает Мердок. [b]Выводы[/b] Сами разработчики протокола из CESG подают эти недостатки как его особенность. Наличие мастер-ключа может быть полезно, например, компаниям из финансовой индустрии, которым может потребоваться дешифровать звонки в случае выявления финансовых махинаций или фактов мошенничества. «Однако трудно представить, чтобы финансовые организации желали хранить записи телефонных звонков и записывали все подряд», — указывает эксперт. На самом деле разработчики MIKEY-SAKKE преследовали другую цель — сделать так, чтобы массовая прослушка телефонных линий была доступна по щелчку пальцев. «Правительство Великобритании продвигает данный протокол, утверждая, что он предлагает более надежную защиту в сравнении с другими доступными на рынке технологиями. В действительности же этот протокол специально спроектирован таким образом, чтобы защита была минимальна, но зато была возможность прослушивать звонки без ограничений и внешнего контроля».[img]http://filearchive.cnews.ru/img/cnews/2016/01/22/enc500.jpg">
Власти Великобритании нарочно продвигают протокол с плохой защитой «В результате протокол MIKEY-SAKKE используется практически во всех системах правительственной связи в Великобритании. Потому что производители, выпускающие телекоммуникационное оборудование с функцией шифрования звонков, должны получить соответствующее разрешение для выхода на рынок», — пояснил эксперт. Принцип работы протокола Принцип работы MIKEY-SAKKE во многом похож на то, как происходит шифрование электронной почты. При установке соединения по защищенному каналу в первый раз инициатор беседы отправляет второму абоненту закрытый ключ шифрования. Получатель, зная уникальный идентификатор инициатора, получив публичный мастер-ключ от оператора связи и имея закрытый ключ от отправителя, может дешифровать звонок. Сформированные собеседниками ключи шифрования существуют в течение месяца. Поэтому оператор должен всегда располагать мастер-ключом, на основе которого формируются закрытые ключи. Уязвимая конструкция Конструкцию MIKEY-SAKKE нельзя назвать надежной, утверждает Мердок. Во-первых, его авторам не следовало включать в протокол уникальный идентификатор абонента, который необходим второму абоненту для дешифровки, потому что существуют более надежные механизмы инициации защищенного соединения. Во-вторых, наличие мастер-ключа, который позволяет дешифровать все звонки в прошлом и будущем без обнаружения, представляет собой огромный риск для пользователей защищенной линии и заманчивую цель для хакеров, считает Мердок. Выводы Сами разработчики протокола из CESG подают эти недостатки как его особенность. Наличие мастер-ключа может быть полезно, например, компаниям из финансовой индустрии, которым может потребоваться дешифровать звонки в случае выявления финансовых махинаций или фактов мошенничества. «Однако трудно представить, чтобы финансовые организации желали хранить записи телефонных звонков и записывали все подряд», — указывает эксперт. На самом деле разработчики MIKEY-SAKKE преследовали другую цель — сделать так, чтобы массовая прослушка телефонных линий была доступна по щелчку пальцев. «Правительство Великобритании продвигает данный протокол, утверждая, что он предлагает более надежную защиту в сравнении с другими доступными на рынке технологиями. В действительности же этот протокол специально спроектирован таким образом, чтобы защита была минимальна, но зато была возможность прослушивать звонки без ограничений и внешнего контроля».


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Версия YotaPhone 2 для госчиновников и спецслужб будет собираться в России17.78Понедельник, 27 июля 2015
    Найдена ахиллесова пята американских спецслужб16.04Понедельник, 29 декабря 2014
    Главные мифы о мобильных телефонах9.25Среда, 11 марта 2020
    FDA не видит угрозы для здоровья в мобильных телефонах9.15Среда, 12 февраля 2020
    На телефонах Huawei и Honor перестанут работать приложения банков8.95Вторник, 18 августа 2020
    Продвинутая бизнес-аналитика станет массовой8.91Четверг, 02 ноября 2017
    5G незаслуженно обвинили в массовой гибели скворцов8.91Четверг, 22 ноября 2018
    «Яндекс» выяснил, чем отличается поиск в интернете на компьютерах, планшетах и телефонах8.86Среда, 25 мая 2016
    Мобильные агенты банка «Восточный» распознают паспорта клиентов на телефонах8.86Четверг, 25 мая 2017
    Cisco призналась в массовой атаке на свое оборудование8.81Четверг, 13 августа 2015

    Мы в соц. сетях