До чего дошел прогресс

[vitus_wagner]

В процессе отсматривания всяких разных каталогов сотовых телефонов наткнулся на следующее:
Используются в настоящее время сложнеишие и хорошо изученные шифровальные алгоритмы AES256 и Twofish. Ключ “Diffie-Hellman” (длина 4096 бит) аутентифицируется функцией hash SHA256. Единственный на рынке хорошо защищенный от прослушивания сотовый телефон, исходный код которого открыто объявляется для независимой оценки защищённости. Ключи кодирования обоснованы аутентичностью полученной информации. Эффективный одноразовый ключ-код длиной в 256 бит. Ключ-код уничтожается в конце каждого сеанса связи. Никакого "патентованного" или "особо секретного " кодирования, никакой передачи ключ-кода третьим лицам. Ключ-код не генерируется централизованно, непредоставляется оператором, не производится регистрация ключ-кода, никаких "экстрасекретных" SIM карточек - просто безопасный звонок!

Перевод явно какой-то стилусный, или сделан непрофессионалом. Но основные параметры действительно хорошей криптографии присутствуют:
- Используются стандартные опубликованные алгоритмы
- Исходный код предъявляется для оценки независимыми экспертами
- Никаких key escrow и тому подобных штук.

И это свободно продается. Правда, за $3000.

Upd: если кто в OpenMoko копался, расскажите, достаточно ли там потрохов GSM наружу торчит, чтобы реализовать подобный протокол в софте. В смысле задействовать несколько первых фремйов GSM-соединения после установления оного для обмена ключами, а далее гнать шифрованный траффик.

Comments

[city-rat.livejournal.com]

Смущает вот эта часть: "Желая убедиться в сложности шифровки телефонных разговоров, а также в том, что нет никакой возможности слушать Ваши телефонные разговоры даже с разрешения GSM оператора, Вы можете заказать оценку независимых экспертов. Мы предоставим Вам всю техническую информацию даже перед приобретением телефона".

Перевод, конечно, стилусный, но возникает подозрение, что фирмварь не совсем открытая, а выдается только покупателям (хотя бы потенциальным) под какое-нибудь NDA.

С учетом того, что железячка, кажись, очень стандартная - от НТС - вполне вероятно желание защитить свои 3000 :)

[angry-elf.livejournal.com]

С учетом того, что установив какой-нить voip-клиент с шифрованием на практически любой телефон, можно получить то же самое, только бесплатно, совсем ничего непонятно становится :-)

[city-rat.livejournal.com]

Ну, качество у криптованного voip пока говенненькое при нынешнем телефонном железе, а с учетом еще более говенного GPRS и EDGE в России - и вовсе несъедобное.

Что, в общем, не отменяет сказанного. Я и сам думал это упомянуть, но не стал по причине вышеприведенного соображения.

[angry-elf.livejournal.com]

Ну а тот телефон что делает? Неужто по голосовому каналу цифровое соединение поднимает?
Тот же самый voip, небось, плюс какой-нить аппаратный ускоритель для криптографии...

[city-rat.livejournal.com]

Вообще-то GSM - изначально цифровой стандарт. Так что никакого ip там не надо.

[beljakoff.livejournal.com]

Исходники (http://www.cryptophone.de/support/downloads/index.html) вроде всем раздают, только без права reuse.

[dinozavrik.livejournal.com]

Спецслужбы явно не в восторге будут от такой цацки. Разве в таком случае её можно легально купить?

[pzrk.livejournal.com]

Они и от ssh не в восторге - только их никто не спрашивает.

[beljakoff.livejournal.com]

У него есть неприятная особенность: для защиты от "человека в середине" перед началом разговора надо надиктовать друг другу три цифры отпечатка секретного ключа. А голос теоретически можно и подделать, в документации это честно отмечено. Нет, чтобы еще и цифровые подписи прикрутить.

[vitus_wagner]

Да, конечно. Полноценный TLS был бы лучше.

[vitus_wagner]

Э, при каждом разговоре или при первом разговоре с данным абонентом. Если при первом, то это частный случай pre-shared secret - встречаешься с этим человеком лично, звонишь ему, стоя рядом с ним, и убеждаешься, что циферки на экранах совпали. Вполне надежная система, аналогичная той, которая много лет используется в ssh.

[beljakoff.livejournal.com]

Из мануала:
Placing a Secure Call

In order to place a secure call, the following conditions need to be met:
• your partner has either a CryptoPhone GSM or a CryptoPhone for
Windows up and running
• there is sufficient GSM coverage
• the GSM operator supports ‘GSM data calls’ (technically called ‘CSD’)
Now enter the number of your partner and press the green Talk button
(lower left corner). You will hear a bit of comfort noise in the speaker,
followed by the normal ringing tone. It may take a bit longer than normal
before the other end picks up, so please let it ring. After your partner has
pressed the Talk button on his end, you will hear a ditt-dutt ditt-dutt sound
that signals to you that the ‘key setup’ procedure for the secure connection
is in progress. Key setup may take from 3 to 15, but typically 4 seconds,
depending on line quality. Once key setup is completed you hear a »Ping«
sound and can start talking to your partner. In order to verify the authenticity
of the key, Please take a look at the display and read the three letters
under »you say« to your partner and verify the three letters under »partner
says«. Then press the OK button. (Hash •16•) After you pressed OK, the
display will look like this: (Display •16•) The green SECURE indicator
(Secure •16•) is only visible when a secure call is established. During all
other times it is shown in grey with a open lock. (Unsecure •16•)
17 Key Verification • Call Quality during Secure Calls
Quality •17•

Key Verification

Reading the three letters and verifying what your partner says is meant
to protect you against so-called ‘man-in-the-middle attacks’ on the secret
session key. The letters are mathematically derived from the unique
secret key that is used during each call. By reading and verifying them
with your partner, you make sure that you are indeed communicating
using the same key. Please pay attention to the voice of your partner
when he reads his three letters. To be completely on the safe side against
very sophisticated voice impersonation during the key verification, you
can just read your letters unexpectedly in the middle of your call again
and ask him to verify.

Похоже, что при каждом вызове надо, постоянный shared secret он тоже не умеет.

[edo-rus.livejournal.com]

afaik в openmoko телефонная часть реализуется обычным gsm-модулем со своей операционкой внутри.
http://wiki.openmoko.org/wiki/Neo1973_Hardware#GSM.2FGPRS

[vitus_wagner]

Ну из этой странички можно сделать вывод, что digital baseband (т.е. доступ непосредственно к GSM-пакетам) всё же есть. Утверждается что GSM 07.10 поддерживается.

[delvin-devlin.livejournal.com]

ИМХО самое важное в нем - одноразовые ключи а не открытость исходного кода.

[vitus_wagner]

Важное - это использование стандартных алгоритмов. Из этого одноразовые ключи сразу и с очевидностью следуют. Но вот неустойчивость к mitm атаке - это крупный недостаткок.