В начале 1999 года в ассоциации SDA были полностью восстановлены и проверены на реальных тестовых векторах криптосхемы алгоритмов А5/1 и А5/2. Обратное восстановление А5/2 подтвердило уже имевшуюся информацию, что в этой схеме добавлен еще один короткий регистр длиной 17 бит, управляющий движением бит в остальных трех регистрах. Вагнеру и Голдбергу очень быстро удалось продемонстрировать, что в этих условиях для вскрытия системы достаточно лобовым перебором (сложность 216) отыскать заполнение управляющего регистра. Делается это всего по двум фреймам сеанса связи длиной по 114 бит (в системе GSM первые два фрейма шифрпоследовательности известны, поскольку шифруются одни нули). Другими словами, вскрытие такого шифра осуществляется буквально «на лету», за 15 миллисекунд работы рядового персонального компьютера [DW 99].
Подводя своего рода итог проделанному в Smartcard Developer Association исследованию, Лаки Грин следующим образом выразился о соотношении декларируемой и истинной безопасности проанализированной системы: «Мой опыт работы с GSM показывает, что разведывательные службы, стоящие как известно, за всеми криптоалгоритмами GSM, используют в своей работе весьма специфический подход. Разведслужбы компрометируют любой и каждый компонент криптосистемы, какой только можно скомпрометировать. Разведслужбы, имея такую возможность, ослабляют компонент просто потому, что могут это сделать, а не потому, что им это нужно. Это как бы извращенное воплощение в целом правильного принципа многократной избыточности» [ LG 99].
Это весьма сильное, прямо скажем, заявление Лаки Грин затем подтверждает на конкретных примерах выявленных в GSM слабостей, серьезным образом компрометирующих систему.
• Скомпрометирована эффективная длина сеансового ключа. В 64‑битном ключе, который А8 генерирует для А5, последние 10 бит принудительно обнулены. Это совершенно умышленное ослабление системы примерно в 1000 раз.
• Скомпрометирована система аутентификации и алгоритм генерации секретного ключа. Известно, что о слабостях в СОМР128, обнаруженных SDA в 1998 году, участники GSM MoU были официально уведомлены еще в 1989 году. То есть задолго до широкого распространения GSM. Имеющаяся в MoU «группа экспертов по алгоритмам безопасности» (SAGE), состоящая из никому неведомых людей, сохранила в тайне это открытие и не стала информировать о нем даже собственно членов MoU. В результате чего разведслужбы имеют возможность клонировать телефоны и вычислять секретные ключи абонентов непосредственно в ходе сеанса связи.
• Скомпрометирован сильный алгоритм шифрования А5/1. В этом шифре с 64‑битным ключом имеются многочисленные конструктивные дефекты, приводящие к стойкости, не превышающей стойкость шифра с 40‑битным ключом (другими словами, стойкость понижена на 6 порядков или в миллион раз). Непостижимо, каким образом столь очевидный дефект мог быть упущен французскими военными разработчиками.
• Скомпрометирован более слабый алгоритм шифрования А5/2. Хотя в MoU признают, что вскрываемость шифра и была целью разработки А5/2, тем не менее в официальных результатах анализа SAGE сказано, что им неизвестно ни о каких криптографических дефектах в А5/2.
Чтобы обеспечить перехват и дешифрование GSM‑трафика, отмечает Лаки Грин, было бы достаточно скомпрометировать эффективную длину ключа. Было бы достаточно скомпрометировать алгоритм генерации ключа. Было бы достаточно скомпрометировать алгоритм шифрования. Но спецслужбы сделали все три эти вещи. Такое можно назвать лишь «хорошо продуманной гарантированно избыточной компрометацией».
И, наконец, еще один очень существенный нюанс. Все шифрование разговоров в системе GSM осуществляется только на канале между мобильным телефоном и базовой станцией, то есть в «эфирной» части передачи. При наличии санкции суда на прослушивание звонков правоохранительные органы всегда имеют возможность подключиться непосредственно к базовым станциям, где уже нет никакого шифрования. Так что единственной причиной для тотального ослабления криптозащиты оказывается «нелегальный» доступ без каких бы то ни было ордеров и санкций.