Criptoanálisis de las comunicaciones 3G

Debido a la vulnerabilidad de la comunicaciones GSM muchos expertos, usuarios y sobre todo las operadoras y organizaciones que andan detrás de todos estos protocolos y estándares, vieron un rayo de luz en la nueva tecnología de comunicaciones UTMS o 3G. Un sistema mucho más sofisticado y en principio más seguro que el GSM. Pero esa tranquilidad duró poco, pues a mediados del 2010 ya se estaban publicando algunos ataques efectivos contra los algoritmos empleado en esta tecnología 3G.

En un artículo anterior hemos estudiado las comunicaciones GSM y algunos de los ataques que ésta puede sufrir, en este artículo vamos a estudiar la tecnología 3G y sus ataques.

Debido a la vulnerabilidad de la comunicaciones GSM muchos expertos, usuarios y sobre todo las operadoras y organizaciones que andan detrás de todos estos protocolos y estándares, vieron un rayo de luz en la nueva tecnología de comunicaciones UTMS o 3G. Un sistema mucho más sofisticado y en principio más seguro que el GSM, al que le llovían innumerables ataques, inseguridades y desilusión desatadas a últimos del 2009 por la publicación de los ataques a este sistema. Poco tiempo después de la publicación de este ataque, los hacker y las empresas de seguridad fueron de ciudad en ciudad haciendo alarde de la forma de cazar datos y conversaciones ajenas ante una sala llena de usuarios de esa tecnología que quedaban aterrorizados antes la impotencia de ver como su privacidad y la de su empresa, banco, hospital, etc. se iba al garete y quedaba en manos de piratas y expertos en seguridad que podían ser contratados por la competencia para husmear en las empresas.

Esta tecnología 3G sería la panacea, la solución a todos los problemas de las operadores de telefonía móvil, y una esperanza para que los descontentos usuarios y organizaciones de seguridad y privacidad se sintieran seguros de nuevo y por fin las operadoras pudieran dormir tranquilas. Pero esa tranquilidad duró poco, pues a mediados del 2010 ya se estaban publicando algunos ataques efectivos contra los algoritmos empleado en esta tecnología 3G.

Pero empecemos por el principio.

Historia de la 3G

Evolucion 3G

La tercera generación llamada UMTS o 3G, proporciona acceso móvil a Internet, videoconferencia y un sin número de maravillas. El Sistema Universal de Telecomunicaciones Móviles, Universal Mobile Telecommunications System o UMTS, es una de las tecnologías usadas por los móviles de tercera generación, sucesora de GSM, debido a que la tecnología GSM propiamente dicha no podía seguir un camino evolutivo para llegar a brindar servicios considerados de tercera generación, debido a la baja velocidad de transmisión que soporta la GSM y que no era suficiente para transmitir video en tiempo real como prometía la 3G. Las tecnologías de 3G son la respuesta a la especificación IMT-2000 de la Unión Internacional de Telecomunicaciones. En Europa y Japón, se seleccionó el estándar UMTS basado en la tecnología W-CDMA. UMTS está gestionado por la organización 3GPP, también responsable de GSM, GPRS y EDGE.

En un principio, los algoritmos de la telefonía de tercera generación fueron mantenidos en secreto, como ya pasó con los del GSM. Pero en Septiembre de 2000, la ETSI realizó un comunicado en el que mostraban los algoritmos de confidencialidad, f8, e integridad, f9, que protegerán el tramo aéreo en las futuras comunicaciones 3G. Recordemos que este sistema de comunicación sólo se usa para el tramo que está entre el nodo de la operadora de telefonía y el móvil del usuario, para el resto de los tramos hasta llegar al receptor, la comunicación está a cargo de la operadora y no está cifrada. También se han hecho públicos los detalles de funcionamiento del conjunto de algoritmos para autenticación y generación de claves: f1, f1*, f2, f3, f4, f5 y f5*. En el caso de 3G, el conjunto de algoritmos de autenticación y generación de claves sugerido como ejemplo se denomina MILENAGE.

Este conjunto denomina MILENAGE está construido alrededor del cifrado Rijndael y que después se convirtió en el AES,Advanced Encryption Standard elegido por el NIST, Instituto Nacional de Estándares y Tecnología, de los EEUU como su sistema de cifrado universal. Existían buenos motivos para elegir Rijndael: tiene clave de 128 bits, ha sido bien estudiado, es de dominio público, es decir, carece de patentes que puedan limitar su uso, es eficiente tanto en funcionando en hardware como en software, y es el sucesor del cifrado DES. Esto último significa que Rijndael ya sido extensamente atacado por la comunicad criptográfica.

MILENAGE

Como contrapartida, la confidencialidad e integridad en el intervalo aéreo (entre el móvil y la estación base o nodo de la operadora) es tarea reservada al algoritmo KASUMI y no sobre el AES. KASUMI, también llamado A5/3, (el lector puede saber más sobre este nombre en el artículo criptoanálisis del GSM) es una unidad de cifrado por bloques utilizada en algoritmos de confidencialidad, f8, e integridad, f9, para Telefonía móvil 3GPP. KASUMI fue diseñado por el grupo SAGE (Security Algorithms Group of Experts en inglés), que forma parte del organismo de estándares europeos ETSI. Debido a las presiones por la seguridad del algoritmo y por la falta de tiempo, en lugar de inventar un cifrado desde cero, SAGE tomó un algoritmo existente llamado MISTY1, y para su implementación en hardware, se le realizaron algunas modificaciones. De allí que MISTY1 y KASUMI sean muy similares, de manera que los análisis disponibles sobre uno se adaptan fácilmente al otro y el tiempo empleado por el SAGE para comprobar la robustez de su algoritmose reduzca considerablemente. Por cierto, kasumi en japonés significa neblina y neblina en inglés es misty).

KASUMI tiene un tamaño de bloque de entrada y salida de 64 bits y un tamaño de clave de 128 bits. Es una unidad de cifrado por bloque de tipo Cifrado Feistel con ocho vueltas.

En UMTS, KASUMI se utiliza en la confidencialidad, f8, y la integridad de algoritmos, f9, con nombres UEA1 y UIA1, respectivamente. En GSM, KASUMI se utiliza en la A5/3 del generador de flujo de clave y en el GPRS en la tecla GEA3 generador de corriente.

MISTY1 o MISTY-1 es un cifrado de bloques diseñado en 1995 por Mitsuru Matsui y otros de Mitsubishi Electric. MISTY1 es uno de los algoritmos seleccionados en el Europeo NESSIE proyecto, y ha sido recomendado para su uso por el gobierno japonés CRYPTREC proyecto.

«Misty» puede significar «Mitsubishi mejorada tecnología de seguridad», y también son las iniciales de los investigadores que participan en su desarrollo: Mitsuru Matsui, Ichikawa Tetsuya, Sorimachi Toru, Tokita Toshio y Yamagishi Atsuhiro.

MISTY1 está protegido por patentes, aunque el algoritmo está disponible gratuitamente para uso académico no lucrativa en RFC 2994

No hay publicaciones sobre ataques a MISTY1, ni tampoco se han detectado graves vulnerabilidades, por tanto podemos decir que MISTY1 es un sistema criptográfico bueno, por desgracia no podemos decir lo mismo de su pariente KASUMI al que ya desde hace tiempo se le han encontrado debilidades. SAGE modificó MISTY1 para que la implementacion en harware fuera más sencilla y según afirman ellos, no pretendían bajar su seguridad, pero lo cierto es que sí que lo han echo. Y ya en 2001, Kühn presentó un ataque diferencial imposible en seis vueltas contra KASUMI. Este ataque sería el primero de una larga lista, a saber:

Ataques a KASUMI

En 2001, un ataque diferencial imposible en seis rondas de KASUMI fue presentado por Kuhn.

En 2003 Elad Barkan, Eli Biham y Nathan Keller demostraron que existe un ataque de hombre en medio contra el protocolo del GSM que evita el algoritmo A5/3 y con ello pueden romper el protocolo. Este método no ataca el A5/3, pero consiguen evitarlo. La versión completa de su trabajo fue publicado a finales de 2006.

En 2005, los investigadores israelíes Eli Biham , Orr Dunkelman y Nathan Keller publicaron un ataque tipo boomerang contra KASUMI que puede romper las 8 rondas más rápido que la búsqueda exhaustiva por fuerza bruta. El ataque requiere el análisis de muchos textos y necesita mucho tiempo computacional. Si bien ésto no es un ataque práctico, invalida algunas pruebas sobre la seguridad de los protocolos 3GPP que se había basado en la supuesta fuerza de KASUMI.

Pero sin duda el ataque que más repercusión ha tenido es el realizado por Shamir y sus compañeros. Recordemos que Shamir es la S del sistema de cifrado RSA y por tanto toda una autoridad en la materia.

Orr Dunkelman, Nathan Keller y Adi Shamir publicaron en 2010 un trabajo titulado A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony «Un ataque práctico en cuanto a tiempo sobre el criptosistema A5/3 empleado en telefonía 3G».

Los científicos han conseguido atacar el algoritmo con un PC convencional y romper el sistema de cifrado en unas dos horas. Eso no es tiempo real, pero dicen que se puede mejorar todavía considerablemente, dando lugar a la posibilidad de interceptar las comunicaciones completas de los teléfonos inteligentes y las transmisiones a través de Internet en las redes 3G.

Evolucion de la velocidad

El algoritmo propuesto para el ataque es una variación del ataque boomerang al que los autores han denominado ataque sandwich. El ataque boomerang está basado en estudiar como las modificaciones dentro del texto plano afectan al texto encriptado. La modificación realizada en el ataque sandwich ha sido el de introducir una nueva capa al algoritmo, basada en la construcción de Feister, con el fin de reducir los casos de estudio y con ello se aumenta la probabilidad de éxito. Esta nueva capa introducida se aprovecha de las construcciones de Feister, es decir, funciones simétricas para encriptar y desencriptar datos. Tal y como se menciona en el documento, gracias a este truco se consigue un fallo del algoritmo a favor del atacante. El punto negativo de este ataque, desde el punto de vista computacional, reside en la gran cantidad de paquetes que deben ser capturados para descubrir la clave.

En líneas generales el ataque consiste en enviar múltiples valores de entrada a través del proceso de cifrado con diferencias controladas de algunos bits entre ellas. A continuación se analizan pares de entradas y sus resultados para detectar similaridades entre las claves. Las similaridades permiten a los autores del estudio determinar en qué momento se utilizan claves de cifrado relacionadas, e identificar algunos de los bits de esas claves. Estas operaciones se van repitiendo y en cada paso se mejora el conocimiento que se dispone de la clave de cifrado.

Según la documentación del estudio, el algoritmo que utilizaron fue capaz de recuperar 96 de los bits de las claves en apenas unos minutos usando un PC normal, y los 128 bits al completo en menos de dos horas. Y todo ello a pesar de utilizar una versión de borrador del programa de descifrado, no optimizado, por lo que los tiempos podrían reducirse.

Este ataque es de una complejidad tan baja que demuestra que los cambios realizados para simplificar MISTY1 han debilitado muchísimo el sistema de cifrado.

Aún no está claro si este ataque es efectivo a nivel práctico, ya que es necesario disponer de claves relacionadas, lo que no siempre es posible.

Otro ataque es el que realizaron Investigadores de la Universidad de Birmingham junto a la Universidad Técnica de Berlín, ellos realizaron un estudio donde dieron a conocer graves fallas de seguridad en los códigos que conectan los teléfonos a las redes 3G, las que permitirían a cualquiera rastrear la ubicación del móvil de forma precisa y sin enterarnos.

El ataque se hace con un nodo de la operadora infestado o duplicado, una especie de hotspot para redes UMTS, y una segunda persona que ayude a identificar específicamente el dispositivo a hackear.

En primer lugar el atacante puede forzar a los dispositivos móviles a revelar su TMSI (Identificador Temporal del Abonado Móvil, Temporary Mobile Subscriber Identity), asumiendo que es conocido el número IMSI (Identidad Internacional del Abonado a un Móvil, International Mobile Subscriber Identity).

En segundo lugar, el atacante puede obtener el AKA (mecanismo de retro-respuesta en redes UMTS, Authentication and Key Agreement) de un teléfono específico, porque al enviar una solicitud a todos los teléfonos celulares en cierta distancia, todos responden con problemas de sincronización excepto el teléfono atacado, distinguiéndolo inmediatamente, lo que permitiría incluso rastrear los movimientos al interior de un edificio.

EvolucionTodos estos ataques nos dicen que el sistema de comunicación 3G es débil, más débil de lo que creen sus creadores, y aunque no hay una ruptura de este algoritmo en tiempo real como sucede con el GSM sí que es un toque de atención para que las operadoras cambien de tecnología y adopten algoritmos más fuertes. Y es que la experiencia nos dice que cuando se ha encontrado un hueco en un sistema criptográfico en poco tiempo se revienta. Bien, pues el huevo en el KASUMI ya se ha encontrado.

Ya hay operadoras que anuncian su nuevo sistema 4G, esperemos que los sistemas de seguridad que lleven implementados sean más robustos que sus predecesoras y nos den un respiro de tranquilidad por la protección de nuestra vida intima y los datos que manejamos.

A continuación os dejo algunos documentos que complementan este artículo:

Documentación relacionada con el artículo:

Deja una respuesta

Tu e-mail no será publicado. Los campos requeridos están marcados con *