ישי ורטהימר - ראש תחום טלקום - קומסק אבטחת מידע:
על פענוח קוד הצפנת ה- GSM "להאקרים שאינם מוסדות המשופעים במשאבים, עדיין יהיה קשה ליירט שיחות אלו מן האויר, ולפענחם בזמן אמת"
חוקרים ישראליים הציגו שיטה לפיענוח שיחות מוצפנות ברשת ה-GSM. רשת זו משמשת מאות מיליוני מנויי טלפון סלולרי ברחבי העולם.
אלגוריתם ההצפנה של רשת ה-GSM הוא פרוטוקול A5. אלגוריתם זה פותח על-ידי ארגון ETSI (European Telecommunications Standards Institute). האלגוריתם משמש להצפנה של השיחה בין הטלפון הנייד, ובין הרשת הסלולרית (מכאן והלאה, זו אחריותו של המפעיל הסלולרי לשמור על פרטיות השיחה). כאשר החלה קבוצת התקינה האירופית בהפצת רשת ה-GSM, היו מחלוקות לגבי מגבלות הייצוא של טכנולוגיות הצפנה - ישנן מדינות אשר אינן מתירות לייצא טכנולוגיות הצפנה באופן חופשי, הואיל ואלה נחשבות לטכנולוגיות ביטחוניות. בשנת 93 הושגה פשרה שאפשרה לייצא טכנולוגיית הצפנת GSM למספר מדינות, ובמסגרת פשרה זו סוכם על הפצת גרסת A5/2, שהיא חלשה יותר מהצפנת A5/1 המקורית, עבור מדינות אלו.
בשנת 1994 דלף חלק מאלגוריתם ההצפנה לרשת האינטרנט, ובשנת 1999 בוצע שחזור (reverse-engineering) של האלגוריתם מתוך ציוד GSM אמיתי.
A5 הוא אלגוריתם הצפנה לזרם של נתונים, בניגוד להצפנת "חבילות" נתונים, או קבצים סטטיים.
מקובל לחשוב כי חוזק ההצפנה של האלגוריתם "שווה" להצפנה בעלת מפתח של 40 ביט (בהשוואה להצפנות סימטריות אחרות).
בשנים האחרונות היה מקובל לחשוב כי ניתן אמנם "לפצח" את הצפנת ה-GSM, אולם לא ניתן לעשות זאת בזמן אמת, ויש להפעיל מחשב אשר יכול לפצח את ההצפנה במשך זמן מסוים (ימים או דקות, בהתאם לחוזק המחשב).
בשנת 1999 פורסם מאמר ע"י פרופ' עדי שמיר ואלכס ביריוקוב מהטכניון המתאר דרכים לפיצוח הצפנת האלגוריתם A5 תוך שניות ספורות ועל ידי מחשב סטנדרטי. השיטה שהציגו תוקפת את אלגוריתם ההצפנה. באותה שנה הציג צוות אמריקני התקפה פשוטה ומהירה נגד האלגוריתם החלש יותר A5/2.
בכנס קריפטו האחרון, הציגו פרופסור אלי ביהם, הדוקטורנט אלעד ברקן ונתן קלר, שיטה לפיענוח תקשורת GSM העושה שימוש בחולשות פרוטוקולי ה-GSM עצמם, ומאפשרת לפענח את השיחה המוצפנת עוד בטרם החלה. החוקרים אמרו כי יאפשרו לרשויות החוק לעשות שימוש בשיטה שפיתחו.
מעבר להתקפה על אלגוריתם ההצפנה עצמו, גילו המומחים חולשה במימוש של הצפנת התשדורת, באופן שמאפשר לגלות מידע על אופי ההצפנה מראש, וכך לפענחה ביתר קלות.
יחד עם הגילוי האחרון, צריך לזכור שגם טכנולוגיות הצפנה מיושנות אלו, חזקות יותר מהתקשורת האנלוגית בה משתמשים כולנו, אשר אינה מוצפנת כלל, ולעתים משודרת באלחוט. בנוסף, יש לזכור כי ההצפנה של התשדורת הסלולרית מצפינה את המידע עד למפעיל הסלולרי, ולרשויות החוק דרכים רבות נוספות ליירט את המידע המועבר, גם ללא קליטתו מהאוויר. להאקרים שאינם מוסדות המשופעים במשאבים, עדיין יהיה קשה ליירט שיחות אלו מהאוויר, ולפענחם בזמן אמת.
- מפתחות סודיים ואלגוריתמים סודיים
אלגוריתם ההצפנה של רשת ה-GSM, ה-A5, במקור אלגוריתם הצפנה סודי. בעת פיתוחו נשמר האלגוריתם בסוד, והחברות העושות בו שימוש, בייצור מכשירים סלולריים, צריכות לחתום על הסכמי סודיות, הנוגעים לאי-הפצה של הידע בנושא.
אמנם עושה רושם, ששימוש באלגוריתם סודי להצפנה מהווה קושי נוסף בפיצוח ההצפנה, אך הפרקטיקה המקובלת היום טוענת כי עדיף לחשוף את אלגוריתם ההצפנה בפני הקהילה המדעית, וכך לבחון את חוזקו, מאשר לשמור עליו בסוד. כאשר הוחלט להחליף את שיטת ההצפנה הסטנדרטית שהיתה מקובלת בארה"ב (DES- Digital Encryption Standard) בשיטה חדשה, בוצע מעין "מכרז", בו הציגו מומחים רבים את שיטות ההצפנה אותן הם מציעים, ושיטות אלו נבחנו בציבור.
אם כן, מה סודי בהצפנה זו, כאשר שיטת ההצפנה ידועה לכל? ובכן, הצפנה עושה שימוש באלגוריתם (שיטה) ובמפתח הצפנה. מפתח ההצפנה הוא זה האמור להיות סודי, וללא ידיעתו לא ניתן לפענח את המסר המוצפן. כמובן שניתן לנסות ולפצח את המסר המוצפן, אולם זה תלוי במשאבים המושקעים בפיצוח, ואם אלו יקרים מעלות המידע - הרי שלא כדאי לפצח את הצופן.
קומסק אבטחת מידע הינה החברה המובילה לאבטחת מידע בישראל המספקת שירותי ייעוץ אבטחת מידע מתקדמים לחברות מובילות בארץ ובעולם. קומסק נוסדה ב - 1986 ונסחרת בבורסת תל-אביב ממרץ 2000 תחת הסמל CMSC. קומסק מספקת פתרונות אבטחת מידע מקיפים לחברות מהמגזרים העסקיים השונים, תוך עמידה בסטנדרטים בינלאומיים ועל ידי גיבוש ויישום תוכניות אבטחת מידע מקיפות למגוון רחב של לקוחות. בין השירותים שהחברה מספקת: ביצוע סקרי סיכונים מקיפים, אבטחת אפליקציות ומאגרי מידע, ניהול סיכונים תפעוליים, בניית תוכניות אבטחת מידע מקיפות ומימושן, תכנון ויישום פתרונות אבטחה בסביבת e-commerce, ביצוע בדיקות חוסן למערכות הארגון (Penetration Tests), יעוץ בנושא מערכות ביטחון ובטיחות וכן שירותי הדרכה, הטמעה וליווי של מומחי אבטחה בכל רמות הארגון.
קומסק אבטחת מידע מספקת שירותים אלו בעולם באמצעות 4 חברות בנות ביפן, צרפת, הולנד ופולין.