Криптонит: Протокол аутентификации ECIES+5G-AKA

Продукт
Разработчики: Криптонит ГК (УК Криптонит, ИК Криптонит, НПК Криптонит)
Дата последнего релиза: 2021/09/01
Технологии: ИБ - Аутентификация

Основные статьи:

2021: Получение одобрения в 3GPP

1 сентября 2021 года рабочая группа SA3 международной стандартизирующей организации 3GPP одобрила более безопасную версию протокола аутентификации ECIES+5G-AKA, разработанную сотрудниками российской технологической компании «Криптонит».

«
За всё время своего существования консорциум 3GPP, разрабатывающий стандарты мобильной связи, впервые принял российское техническое предложение. Всего за полгода мы не только влились в работу огромной стандартизирующей организации, но и смогли разработать существенно более безопасное решение, качественно превосходящее все варианты, несколько лет разрабатываемые компаниями-гигантами уровня Ericsson, Huawei и Nokia, — пояснила руководитель направления стандартизации лаборатории криптографии «Криптонита» Екатерина Грибоедова.
»

В начале 2021 года компания «Криптонит» начала заниматься разработкой связанных с [1] криптографических решений и взяла курс на их дальнейшую стандартизацию как в России, так и на международном уровне.

Последнее стало возможным благодаря тому, что «Криптонит» – участник Европейского института телекоммуникационных стандартов (ETSI). Через него компания оказалась представлена в 3GPP, в частности — в группе SA3, где обсуждаются вопросы криптографии в 5G.

Одной из проблем, над решением которой работает SA3, является наличие уязвимостей в протоколах ECIES и 5G-AKA, унаследованных от прежних поколений мобильной связи. Они позволяют выполнить различные атаки, нарушающие приватность абонентов.

Ранее экспертами разных стран был продемонстрирован ряд атак на 5G-AKA, нарушающих приватность абонентов. Их выполнение позволяет атакующему выяснить постоянный идентификатор абонента (SUPI — Subscription Permanent Identifier), отследить его местоположение и сетевую активность.

Уязвимости 5G-AKA и предложенные способы их устранения собрали в единый документ 3GPP TR 33.846, цель которого — выработка методов, позволяющих обеспечить приватность абонентов, и закрепление лучшего из них в качестве очередного стандарта во всех сетях мобильной связи.

Соответствующее техническое предложение от «Криптонита» поступило уже после того, как группа SA3 решила прекратить добавление в этот документ дополнительных вариантов решения проблем с приватностью в 5G и рассматривать только уже поступившие.

Однако наши специалисты показали, что все ранее включённые в TR 33.846 предложения других участников имеют принципиальные недочёты и защищают максимум от двух из пяти актуальных типов атак, в то время как разработка «Криптонита» защищает от четырёх из них (исключая DDoS-атаки).

В результате группа SA3 присвоила российскому варианту протокола аутентификации ECIES+5G-AKA статус «Approved» и включила его в основной документ TR 33.846 для дальнейшего рассмотрения. Это важный этап разработки безопасной протокольной части для сетей 5G и последующего внедрения в неё российских средств криптографии.



СМ. ТАКЖЕ (1)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (56)
  Инфосистемы Джет (50)
  ДиалогНаука (37)
  Softline (Софтлайн) (36)
  Информзащита (33)
  Другие (854)

  Card Security (Кард Сек) (4)
  Национальный аттестационный центр (НАЦ) (4)
  СэйфТек (SafeTech) (3)
  Инфосистемы Джет (3)
  Softline (Софтлайн) (3)
  Другие (52)

  Индид, Indeed (ранее Indeed ID) (8)
  Информзащита (2)
  Deiteriy (Дейтерий) (2)
  Softline (Софтлайн) (2)
  Национальный аттестационный центр (НАЦ) (2)
  Другие (33)

  Индид, Indeed (ранее Indeed ID) (9)
  Сканпорт АйДи (Scanport) (6)
  Инфосистемы Джет (5)
  Compliance Control (Комплаенс контрол) (3)
  Уральский центр систем безопасности (УЦСБ) (3)
  Другие (53)

  Уральский центр систем безопасности (УЦСБ) (6)
  Инфосистемы Джет (4)
  Индид, Indeed (ранее Indeed ID) (3)
  Сканпорт АйДи (Scanport) (2)
  СэйфТек (SafeTech) (2)
  Другие (48)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (5, 57)
  СэйфТек (SafeTech) (6, 38)
  FalconGaze (Фалконгейз) (1, 38)
  Аладдин Р.Д. (Aladdin R.D.) (20, 27)
  Visa International (2, 26)
  Другие (473, 231)

  СэйфТек (SafeTech) (1, 3)
  МегаФон (1, 2)
  Мультифактор (Multifactor) (1, 1)
  Samsung Electronics (1, 1)
  Аладдин Р.Д. (Aladdin R.D.) (1, 1)
  Другие (3, 3)

  Индид, Indeed (ранее Indeed ID) (3, 8)
  СэйфТек (SafeTech) (1, 1)
  Avanpost (Аванпост) (1, 1)
  Солар (ранее Ростелеком-Солар) (1, 1)
  Другие (0, 0)

  Индид, Indeed (ранее Indeed ID) (2, 9)
  Shenzhen Chainway Information Technology (1, 6)
  СэйфТек (SafeTech) (1, 4)
  Аладдин Р.Д. (Aladdin R.D.) (4, 3)
  Т-Банк (Тинькофф Банк) (1, 1)
  Другие (2, 2)

  Индид, Indeed (ранее Indeed ID) (2, 3)
  СэйфТек (SafeTech) (1, 3)
  Shenzhen Chainway Information Technology (1, 2)
  VK (ранее Mail.ru Group) (1, 1)
  Мобильные ТелеСистемы (МТС) (1, 1)
  Другие (9, 9)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Indeed Access Manager (Indeed AM) - 45 (45, 0)
  FalconGaze SecureTower - 38 (38, 0)
  3-D Secure (3D-Secure) - 26 (23, 3)
  PayControl - 26 (23, 3)
  Avanpost IDM Access System - 20 (20, 0)
  Другие 223

  PayControl - 3 (3, 0)
  МегаФон Мобильный ID - 2 (2, 0)
  Samsung Knox - 1 (1, 0)
  Multifactor Сервис многофакторной аутентификации - 1 (1, 0)
  Shenzhen Chainway C-серия RFID-считывателей - 1 (1, 0)
  Другие 2

  Indeed Access Manager (Indeed AM) - 6 (6, 0)
  Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2 (2, 0)
  Indeed PAM - Indeed Privileged Access Manager - 2 (2, 0)
  PayControl - 1 (1, 0)
  Solar webProxy Шлюз веб-безопасности - 1 (1, 0)
  Другие 0

  Indeed Access Manager (Indeed AM) - 7 (7, 0)
  Shenzhen Chainway C-серия RFID-считывателей - 6 (6, 0)
  PayControl - 4 (4, 0)
  Aladdin 2FA - 3 (3, 0)
  Indeed PAM - Indeed Privileged Access Manager - 3 (3, 0)
  Другие 4

  PayControl - 3 (3, 0)
  Indeed Access Manager (Indeed AM) - 2 (2, 0)
  Indeed PAM - Indeed Privileged Access Manager - 2 (2, 0)
  Shenzhen Chainway C-серия RFID-считывателей - 2 (2, 0)
  IT-Lite: IDM.Управление учетными данными - 1 (1, 0)
  Другие 9