Рабочая группа SA3 международной стандартизирующей организации 3GPP одобрила новую версию протокола аутентификации ECIES+5G-AKA, разработанную сотрудниками российской технологической компании "Криптонит".
© ComNews
02.09.2021

"Это уникальный прецедент. За все время своего существования консорциум 3GPP, разрабатывающий стандарты мобильной связи, впервые принял российское техническое предложение. Всего за полгода мы не только влились в работу огромной стандартизирующей организации, но и смогли разработать новое, существенно более безопасное решение, качественно превосходящее все варианты, несколько лет разрабатываемые компаниями-гигантами уровня Ericsson, Huawei и Nokia", - рассказала руководитель направления стандартизации лаборатории криптографии "Криптонита" Екатерина Грибоедова.

В начале 2021 г. компания "Криптонит" начала заниматься разработкой связанных с 5G криптографических решений и взяла курс на их дальнейшую стандартизацию как в России, так и на международном уровне. "Криптонит" - участник Европейского института телекоммуникационных стандартов (ETSI). Через него компания оказалась представлена в 3GPP, в частности в группе SA3, где обсуждаются вопросы криптографии в 5G.

Одной из проблем, над решением которой работает SA3, является наличие уязвимостей в протоколах ECIES и 5G-AKA, унаследованных от прежних поколений мобильной связи. Они позволяют выполнить различные атаки, нарушающие приватность абонентов.

Ранее экспертами разных стран был продемонстрирован ряд атак на 5G-AKA, нарушающих приватность абонентов. Их выполнение позволяет атакующему выяснить постоянный идентификатор абонента (SUPI - Subscription Permanent Identifier), отследить его местоположение и сетевую активность.

Известные уязвимости 5G-AKA и предложенные способы их устранения собрали в единый документ 3GPP TR 33.846, цель которого - выработка методов, обеспечивающих приватность абонентов, и закрепление лучшего из них в качестве нового стандарта во всех сетях мобильной связи.

Техническое предложение от "Криптонита" поступило после того, как группа SA3 решила прекратить добавление в этот документ новых вариантов решения проблем с приватностью в 5G и рассматривать только уже поступившие.

Однако специалисты компании показали, что все ранее включенные в TR 33.846 предложения других участников имеют принципиальные недочеты и защищают максимум от двух из пяти актуальных типов атак, в то время как разработка "Криптонита" защищает от четырех из них (исключая DDoS-атаки). В результате группа SA3 присвоила российскому варианту протокола аутентификации ECIES+5G-AKA статус Approved и включила его в основной документ TR 33.846 для дальнейшего рассмотрения.

Генеральный директор ООО "Спектрум Менеджмент" Игорь Гурьянов отметил, что в России хорошо развита школа криптографии и алгоритмов по обеспечению информационной безопасности. "По этой причине неудивительно, что именно в этой области Россия смогла дать решение, превосходящее предложения крупнейших вендоров, - поясняет он. - Можно только поприветствовать активное участие российских компаний в 3GPP. Будем надеяться, что это станет началом создания российской интеллектуальной собственности в стандартах 3GPP, а также в будущем позволит разрешить противоречия по поводу использования отечественной криптографии в абонентских терминалах сотовой связи".

Руководитель ЦК НТИ на базе "Сколтеха" по технологиям беспроводной связи и интернета вещей Дмитрий Лаконцев поздравил коллег. "Первый российский вклад в рамках деятельности 3GPP - это здорово и действительно важно. Таким образом создан прецедент, который свидетельствует, что российские компании на глобальной телеком-арене могут добиться успеха. Пример "Криптонита" показывает, что отечественным разработчикам стоит более активно участвовать в деятельности международных организаций", - прокомментировал Дмитрий Лаконцев.

Заместитель директора Института международных политических и экономических стратегий "Русстрат" Юрий Баранчик согласен: это большой успех российской криптографической школы, что и доказала работа НПК "Криптонит". "Получается, что зарубежные крупнейшие компании, которые пытаются решать постоянно возникающие проблемы уязвимостей, не имеют достойных решений, тогда как российские специалисты предложили свой протокол, и международная организация его одобрила. В последующем это может означать очень серьезные перспективы на международном рынке как для самой компании, так и для других российских специалистов и организаций", - говорит он.

Новости из связанных рубрик