A5 (kryptografia)

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacji, wyszukiwania
A5
Rodzaj algorytmu algorytmy kryptograficzne stosowane do zapewniania poufności transmisji głosu i danych w sieciach GSM
Data złamania 2003, 2009
Złamany przez Barkan, Biham i Keller,Karsten Nohl i Sascha Krißler
Skuteczne ataki 1999


A5 – rodzina algorytmów kryptograficznych stosowanych do zapewniania poufności transmisji głosu i danych w sieciach GSM.

Wersje[edytuj | edytuj kod]

Rodzina A5 obejmuje:

  • A5/0 — brak szyfrowania; określany niekiedy "trybem francuskim" (French mode) ze względu na ograniczenia w stosowaniu kryptografii obowiązujące we Francji do lat 90.,
  • A5/1 — najbardziej rozpowszechniony, powstały w 1987 roku szyfr strumieniowy,
  • A5/2szyfr strumieniowy celowo osłabiony w celu spełnienia wymagań amerykańskich ograniczeń na eksport kryptografii,
  • A5/3 — oparty o szyfr blokowy KASUMI, będący z kolei zmodyfikowaną wersją szyfru MISTY1 stworzonego przez Mitsubishi, przeznaczony do stosowania w sieciach 3G.

Specyfikacja algorytmów A5/1 i A5/2 utrzymywana była w tajemnicy[1], jednak dzięki inżynierii odwrotnej oraz wyciekom informacji jego znaczna część stała się ogólnie dostępna w 1999 roku.

Algorytm A5/3 został opublikowany w postaci jawnej specyfikacji w 2007 roku.

Bezpieczeństwo[edytuj | edytuj kod]

A5/1[edytuj | edytuj kod]

Na początku 2009 roku niemiecki zespół Karsten Nohl i Sascha Krißler opublikował szczegóły ataku typu time-memory tradeoff, przy pomocy którego można złamać klucze A5/1 w ciągu 3-5 minut. Atak wymaga obliczenia tablic o wielkości 2 TB[2]. W grudniu 2009 zespół poinformował o postępach prac i zapowiedział publikację gotowych tablic[3]. Tablice zostały wkrótce potem udostępnione, zaś w 2010 roku zespół opublikował program Kraken służący do odtwarzania kluczy kryptograficznych przy użyciu tych tablic[4][5].

Również w grudniu 2009 GSM Association wydała oświadczenie, w którym zaprzeczyła, by łamanie szyfrowania GSM było możliwe w praktyce ze względu na trudności w rejestrowaniu sygnału radiowego oraz ograniczenia praw własności intelektualnej[6].

W 2010 roku firma Meganet poinformowała o dostępności urządzenia służącego do przechwytywania połączeń zabezpieczonych A5/1 w czasie rzeczywistym[7]. Pod koniec 2010 roku zespół badaczy niemieckich opublikował udoskonaloną wersję ataku z 2009 roku[8].

A5/2[edytuj | edytuj kod]

Pierwsza kryptoanaliza A5/2 została opublikowana wkrótce po ujawnieniu specyfikacji w 1999 roku przez Goldberga i Wagnera. Jest to atak ze znanym tekstem jawnym (known plaintext) o złożoności 2^{11} nie pozwalający jednak na odtworzenie klucza początkowego[9].

Opublikowany w 2003 roku udoskonalony atak Barkana, Bihama i Kellera umożliwia natychmiastowe odtworzenie klucza szyfrującego A5/2 na podstawie analizy kilkudziesięciu milisekund zaszyfrowanego ruchu zarejestrowanego z podsłuchu radiowego[10].

W 2006 roku GSM Association zaleciła rezygnację ze stosowania algorytmu A5/2[potrzebne źródło].

A5/3[edytuj | edytuj kod]

Specyfikacja algorytmu A5/3 jest jawna[11][1]. W 2010 roku opublikowany został pierwszy praktyczny atak na szyfr A5/3[12][13].

Przypisy

  1. 1,0 1,1 GSM Security Algorithms.
  2. Karsten Nohl: Subverting the security base of GSM.
  3. Karsten Nohl, Sascha Krißler: GSM: SRSLY?. Chaos Communication Congress, 27 grudnia 2009.
  4. [A51 The call of Kraken]. Lista dyskusyjna A51, 16 lipca 2010.
  5. Nowe narzędzia do łamania GSM. Security Standard, 2010.
  6. GSMA Statement on Media Reports Relating to the Breaking of GSM Encryption. GSM Association, 30 grudnia 2010.
  7. Uwaga! Pojawił się gotowy zestaw do podsłuchiwania GSM. Webhosting.pl, 2010.
  8. $15 phone, 3 minutes all that's needed to eavesdrop on GSM call. Ars Technica, 2010.
  9. Ian Goldberg, David Wagner, Lucky Green, The (Real-Time) Cryptoanalysis of A5/2, 1999
  10. Elad Barkan, Eli Biham, Nathan Keller: Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication. 2003. [zarchiwizowane z tego adresu 2005-12-16].
  11. A5/3 and GEA3 Specifications. GSM World.
  12. Atak na szyfr komórek 3G. SecurityStandard.pl, 2010.
  13. Orr Dunkelman, Nathan Keller, Adi Shamir: A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony. IACR, 2010.