來自歐洲多所大學的研究人員團隊,剛剛在一篇論文中指出了早期手機使用的 GPRS 加密算法的脆弱性並非偶然。隨後的事實證明,他們的猜測是對的。正如 Vice 強調的那樣,GEA-1 主要用於 1990 至 2000 年代的手機數據加密。該算法最初被認為提供了完整的 64-bit 加密安全性,但在他們的密碼分析中,研究團隊發現其安全性其實在設計時就被限定在了 40 位。
研究配圖 – 1:GEA-1 密碼流的結構(來自:Springer Link | PDF)
為進一步求證,研究團隊還從不願透露姓名的消息人士處獲得了有關 GEA-A 和 GEA-2 算法的更多細節,以便他們能夠開展全面分析並找出其中的弱點,結果證實了“不太可能發生”的偶然性。
TechSpot 指出,具有攔截手機數據流量能力的攻擊者,可領用該漏洞來解密會話中的所有消息。
研究配圖 – 2:GEA-1 隨機樣本的線性初始化
外媒 Vice 也與設計 GEA-1 加密算法的歐洲電信標準協會(ETSI)取得了聯繫,該組織一位發言人在電子郵件聲明中承認,該算法確實包含了一個弱點。
但它被引入的原因,是它被要求“必須存在”,因為 ETSI 需要遵守限制 GEA-1 強度的出口管制規定。
研究配圖 – 3:GEA-1 與 GEA-2 的密鑰生成概述
考慮到當時的國際形勢,這種出口管制規定確實相當普遍。此外據 The Register 報道稱,法國方面制定了一項禁止任何超過 40-bit 加密的類似規則。
參與這項新研究的 Håvard Raddum 吐槽道:“為迎合這方面的限制政策,其導致數以百萬計的用戶在很長一段時間裡,都無法獲得本該擁有的安全上網保護”。
研究圖表 – 4:GEA-X 的手機 / 基帶支持狀況概述
不過這項研究曝出的最大問題,就是當時在制定推出 GEA-1 標準時沒有明確提及任何的出口管制。
而且研究團隊發現,即使技術操作的難度有所提升,但 GEA-2 算法同樣很容易受到攻擊。
慶幸的是,這兩項標準都沒能得到廣泛的使用,且廠商更傾向於選擇更新后的安全加密算法 —— 儘管某些市場的網絡仍將之作為後備。