A5 (kryptografia)
Data złamania | 2003, 2009 |
---|---|
Złamany przez | Barkan, Biham i Keller, Karsten Nohl i Sascha Krißler |
Skuteczne ataki | 1999 |
A5 – rodzina algorytmów kryptograficznych stosowanych do zapewniania poufności transmisji głosu i danych w sieciach GSM.
Wersje
Rodzina A5 obejmuje:
- A5/0 – brak szyfrowania; określany niekiedy „trybem francuskim” (French mode) ze względu na ograniczenia w stosowaniu kryptografii obowiązujące we Francji do lat 90.,
- A5/1 – najbardziej rozpowszechniony, powstały w 1987 roku szyfr strumieniowy,
- A5/2 – szyfr strumieniowy celowo osłabiony w celu spełnienia wymagań amerykańskich ograniczeń na eksport kryptografii,
- A5/3 – oparty na szyfrze blokowym KASUMI, będący z kolei zmodyfikowaną wersją szyfru MISTY1 stworzonego przez Mitsubishi, przeznaczony do stosowania w sieciach 3G.
Specyfikacja algorytmów A5/1 i A5/2 utrzymywana była w tajemnicy[1], jednak dzięki inżynierii odwrotnej oraz wyciekom informacji jego znaczna część stała się ogólnie dostępna w 1999 roku.
Algorytm A5/3 został opublikowany w postaci jawnej specyfikacji w 2007 roku.
Bezpieczeństwo
A5/1
Na początku 2009 roku niemiecki zespół Karsten Nohl i Sascha Krißler opublikował szczegóły ataku typu time-memory tradeoff, przy pomocy którego można złamać klucze A5/1 w ciągu 3–5 minut. Atak wymaga obliczenia tablic o wielkości 2 TB[2]. W grudniu 2009 zespół poinformował o postępach prac i zapowiedział publikację gotowych tablic[3]. Tablice zostały wkrótce potem udostępnione, zaś w 2010 roku zespół opublikował program Kraken służący do odtwarzania kluczy kryptograficznych przy użyciu tych tablic[4][5].
Również w grudniu 2009 GSM Association wydała oświadczenie, w którym zaprzeczyła, by łamanie szyfrowania GSM było możliwe w praktyce ze względu na trudności w rejestrowaniu sygnału radiowego oraz ograniczenia praw własności intelektualnej[6].
W 2010 roku firma Meganet poinformowała o dostępności urządzenia służącego do przechwytywania połączeń zabezpieczonych A5/1 w czasie rzeczywistym[7]. Pod koniec 2010 roku zespół badaczy niemieckich opublikował udoskonaloną wersję ataku z 2009 roku[8].
A5/2
Pierwsza kryptoanaliza A5/2 została opublikowana wkrótce po ujawnieniu specyfikacji w 1999 roku przez Goldberga i Wagnera. Jest to atak ze znanym tekstem jawnym (known plaintext) o złożoności nie pozwalający jednak na odtworzenie klucza początkowego[9].
Opublikowany w 2003 roku udoskonalony atak Barkana, Bihama i Kellera umożliwia natychmiastowe odtworzenie klucza szyfrującego A5/2 na podstawie analizy kilkudziesięciu milisekund zaszyfrowanego ruchu zarejestrowanego z podsłuchu radiowego[10].
A5/3
Specyfikacja algorytmu A5/3 jest jawna[11][1]. W 2010 roku opublikowany został pierwszy praktyczny atak na szyfr A5/3[12][13].
Przypisy
- ↑ a b GSM Security Algorithms.
- ↑ Karsten Nohl: Subverting the security base of GSM.
- ↑ Karsten Nohl, Sascha Krißler: GSM: SRSLY?. Chaos Communication Congress, 27 grudnia 2009.
- ↑ A51 The call of Kraken. Lista dyskusyjna A51, 16 lipca 2010. [dostęp 2010-07-23]. [zarchiwizowane z tego adresu (2010-07-24)].
- ↑ Nowe narzędzia do łamania GSM. computerworld.pl, 2010.
- ↑ GSMA Statement on Media Reports Relating to the Breaking of GSM Encryption. GSM Association, 30 grudnia 2010.
- ↑ Uwaga! Pojawił się gotowy zestaw do podsłuchiwania GSM. hcseclab.blogspot.com, 2010.
- ↑ $15 phone, 3 minutes all that’s needed to eavesdrop on GSM call. Ars Technica, 2010.
- ↑ Ian Goldberg, David Wagner, Lucky Green, The (Real-Time) Cryptoanalysis of A5/2, 1999.
- ↑ Elad Barkan, Eli Biham, Nathan Keller: Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication. 2003. [dostęp 2010-01-14]. [zarchiwizowane z tego adresu (2005-12-16)].
- ↑ A5/3 and GEA3 Specifications. GSM World.
- ↑ Atak na szyfr komórek 3G. computerworld.pl, 2010.
- ↑ Orr Dunkelman, Nathan Keller, Adi Shamir: A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony. IACR, 2010.