[Alexz]

Недавно мы сообщали об уязвимости к атакам используемой в мобильной связи стандарта GSM 20-летней системы шифрования А5/1, благодаря чему прослушивание звонков становится относительно доступным и более простым, чем это было ранее. Проживающий в Германии автор соответствующего исследования Карстен Нол (Karsten Nohl) отмечал, что операторы должны как можно скорее перейти на намного более стойкий алгоритм А5/3 (KASUMI) со 128-битным ключом. Этот стандарт утверждён для сетей третьего поколения, однако пока провайдеры не спешат его внедрять по причине дополнительных затрат. Не прошло и месяца, как появились известия о взломе А5/3 – во всяком случае, теоретическом.

KASUMI базируется на блочной криптосистеме MISTY (Mitsubishi Improved Security Technology, создана в 1995 году для Mitsubishi Electric), принадлежащей к большому классу техник шифрования Фейстеля (Feistel). Она является сложным, с комбинированием многих ключей, рекурсивным многораундовым процессом, меняющим порядок разных функций. MISTY требует немалых вычислительных ресурсов, а потому не годится для применения в задачах с ограниченным временем и относительно малой мощностью вычислений. Поэтому появился алгоритм KASUMI, упрощающий для аппаратного обеспечения эту криптографическую систему, но не нарушающий, как предполагалось, её стойкость.

Орр Данкелман (Orr Dunkelman), Натан Келлер (Nathan Keller) и Ади Шамир (Adi Shamir, буква «S» в аббревиатуре известного алгоритма RSA – это ссылка на его фамилию) с факультета математики и компьютерных наук израильского Института наук Вайсмана (Weizmann Institute of Science) показали, что KASUMI может быть скомпрометирован при помощи атаки на основе связанных ключей (related-key attack). Криптоаналитики назвали технику «сэндвич-атакой», построенной на модифицированной атаке методом бумеранга. Как утверждают эксперты, 128-битный ключ возможно получить использованием всего четырёх связанных ключей, 226 данных, 230 байт памяти и 232 единиц времени. Параметры настолько невелики, что им удалось смоделировать атаку менее чем за два часа на обычном компьютере и доказать корректность и завершённость техники. По словам учёных, до сих пор ни одна атака, включая разработанную ими, не способна раскрыть MISTY без полного перебора вариантов. Другими словами, ассоциация GSM Association ослабила-таки алгоритм при переходе к KASUMI.

Впрочем, в отличие от реализации разработанного Нолом метода, требующего применения оборудования стоимостью до $30 тыс. для взлома системы шифрования А5/1 менее чем за минуту, предложение израильских исследователей не так практично. Атакующий должен собрать несколько миллионов образцов незашифрованных данных, которые в течение обычного разговора передаются приблизительно каждую секунду. Но работа Шамира и его коллег всё же важна – она демонстрирует реальные ограничения А5/3. «Возможность атаки должна служить напоминанием о том, что А5/3, как и любой другой алгоритм, в конечном счёте должен быть заменён. Надеюсь, этот факт учтут при обновлении GSM», – отметил Нол.

Источник: The Register