В защищенных телефонах для спецслужб найдена «закладка» для прослушки

В защищенных телефонах для спецслужб найдена «закладка» для прослушки

Старший научный сотрудник исследовательской группы в области информационной безопасности при Университетском колледже Лондона Стивен Мердок (Steven Murdoch) раскритиковал протокол защиты, разработанный организацией, контроль над которой принадлежит спецслужбам Великобритании. 

Речь идет о протоколе MIKEY-SAKKE для шифрования голосовых звонков. Его автором является CESG — организация, входящая в состав Центра правительственной связи Великобритании (Government Communications Headquarters — GCHQ) и отвечающая за информационную безопасность.

Обязательная сертификация

Для того чтобы использовать зашифрованные коммуникации, необходимо получить разрешение у правительства, которое должно сертифицировать систему связи. В Великобритании этим органом является GCHQ. И он выдает разрешения только на те продукты, которые поддерживают протокол MIKEY-SAKKE.

«В результате протокол MIKEY-SAKKE используется практически во всех системах правительственной связи в Великобритании. Потому что производители, выпускающие телекоммуникационное оборудование с функцией шифрования звонков, должны получить соответствующее разрешение для выхода на рынок», — пояснил эксперт.

Принцип работы протокола

Принцип работы MIKEY-SAKKE во многом похож на то, как происходит шифрование электронной почты. При установке соединения по защищенному каналу в первый раз инициатор беседы отправляет второму абоненту закрытый ключ шифрования. Получатель, зная уникальный идентификатор инициатора, получив публичный мастер-ключ от оператора связи и имея закрытый ключ от отправителя, может дешифровать звонок. Сформированные собеседниками ключи шифрования существуют в течение месяца. Поэтому оператор должен всегда располагать мастер-ключом, на основе которого формируются закрытые ключи, пишет cnews.ru

Уязвимая конструкция

Конструкцию MIKEY-SAKKE нельзя назвать надежной, утверждает Мердок. Во-первых, его авторам не следовало включать в протокол уникальный идентификатор абонента, который необходим второму абоненту для дешифровки, потому что существуют более надежные механизмы инициации защищенного соединения. Во-вторых, наличие мастер-ключа, который позволяет дешифровать все звонки в прошлом и будущем без обнаружения, представляет собой огромный риск для пользователей защищенной линии и заманчивую цель для хакеров, считает Мердок.

Выводы

Сами разработчики протокола из CESG подают эти недостатки как его особенность. Наличие мастер-ключа может быть полезно, например, компаниям из финансовой индустрии, которым может потребоваться дешифровать звонки в случае выявления финансовых махинаций или фактов мошенничества. «Однако трудно представить, чтобы финансовые организации желали хранить записи телефонных звонков и записывали все подряд», — указывает эксперт. 

На самом деле разработчики MIKEY-SAKKE преследовали другую цель — сделать так, чтобы массовая прослушка телефонных линий была доступна по щелчку пальцев. «Правительство Великобритании продвигает данный протокол, утверждая, что он предлагает более надежную защиту в сравнении с другими доступными на рынке технологиями. В действительности же этот протокол специально спроектирован таким образом, чтобы защита была минимальна, но зато была возможность прослушивать звонки без ограничений и внешнего контроля». 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

  • Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
  • В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru