posledná aktualizácia 24.5. 2004
Stránka obsahuje
podklady pre cvičenie z predmetu Aplikovaná Kryptografia. Podklady pre túto stránku boli získané
z verejne dostupných zdrojov a boli umiestnené na katedrový server
z dôvodu ľahšej dostupnosti pre študentov predmetu Aplikovaná
Kryptografia. Cieľom cvičenia je poskytnúť ucelený prehľad základných zdrojov o
bezpečnosti šifrovania a autentifikácie v systéme GSM. Uvítam všetky
pripomienky a komentáre k uvedenej problematike.
Utajované informácie
o bezpečnostných mechanizmoch používaných v systéme GSM [22] začali
na verejnosť prenikať v druhej polovici 90-tych rokov [1,2,3]. Systém GSM využíva algoritmy A3A8
(najčastejšie vo forme algoritmu COM128) [4] a A5 [5,6] a ich využitie je opísané
napr. v [7,8]. Prelomenie
pôvodného algoritmu COMP128 (špeciálnej hašovacej funkcie) využívalo možné kolízie a narodeninový paradox [1] a umožnilo praktické klonovanie SIM kariet [2,9].
V súčasnosti existuje niekoľko
verzií funkcie COMP128. Pôvodná sa označuje ako COMP128-1, vylepšená verzia bez
kolízií sa označuje ako COMP128-2.
Verzie COMP128-1 a COMP128-2 generujú 54-bitový kľúč pre šifračný algoritmus
A5. Algoritmus COM128-3 generuje 64-bitový kľúč. V rámci projektu 3GPP
bola vyvíjaná verzia COMP128-4, ktorá využíva algoritmus MILENAGE na báze
algoritmu AES [9,21]. Výber
algoritmov A3 a A5 je v kompetencii operátora, je však možné
predpokladať, že mnohí operátori stále používajú staršie verzie algoritmu
COMP128 so všetkými z toho plynúcimi bezpečnostnými rizikami.
Podobne existuje niekoľko verzií šifračného algoritmu A5. Bezpečnejšia verzia A5/1 je používaná napr. v krajinách NATO, oslabená šifra A5/2 je exportovaná do „problematických“ krajín. Existuje aj možnosť vypnutia šifrovania, tzv. algoritmus A5/0. V roku 2002 bola uvedená verzia A5/3, ktorá využíva Kasumiho algoritmus [10,11].
Existuje niekoľko
útokov na systém GSM. Medzi staršie patrí napr. útok na A5/2 [12]. Značnú pozornosť vyvolala predovšetkým
kryptoanalýza algoritmu A5/1 [13,14,15,16]. Uvedená metóda umožnila nájsť aktuálne použitý
šifračný kľúč po zachytení 2 minút rozhovoru, pričom samotný výpočet vyžadoval
približne 1 sekundu na PC so 128 MB RAM a 2x 73 GB diskmi. Neskôr sa objavili ďalšie útoky, ako
napr. [17,18] založený na
korelačnom útoku. Tento útok využíva záznam (nemusí byť kontinuálny) prvých 40
bitov z približne 2^16 rámcov
(približne 5 minút
konverzácie). Posledný útok
publikovaný na konferencii CRYPTO 2003 [19,20] umožňuje útok na algoritmus A5/2
zo znalosti len 4 rámcov (len niekoľko ms!) zašifrovaných dát. Tento pasívny útok je možné
vzhľadom na vlastnosti protokolu GSM využiť na neskorší aktívny útok na
algoritmy A5/1 a A5/3. Tento
aktívny útok je možný vzhľadom na rýchlosť útoku proti algoritmu A5/2 a zdieľanie spoločného šifračného
kľúča pre všetky modifikácie algoritmu A5. V [19,20] je tiež opisovaný útok na algoritmus A5/1 len s využitím znalosti zašifrovaného
textu (5 minút záznamu,
nemusí byť kontinuálny), ktorý
je možný realizovať v reálnom čase s využitím jediného PC! V [19] sú
uvedené aj požiadavky na výpočtový výkon v prípade potreby realizovať
kryptoanalýzu algoritmu A5/1 v reálnom čase pri využití len 8 sekúnd zašifrovanej komunikácie.
[1] V. Klíma, T. Rosa, “Bezpečnost mobilních telefónu – GSM pod tlakem klonování“, CHIP 7/1998, s.134, 135, 136
[2] V. Klíma, T. Rosa, “Bezpečnost mobilních telefónu – Karta a její klíč“, CHIP 8/1998, s.114, 115, 116
[3] V. Klíma, T. Rosa, “Bezpečnost mobilních telefónu – Duvernost a šifra v GSM “, CHIP 9/1998, s.148, 149, 150, 151
[4] M. Briceno, I. Goldberg, D. Wagner, “An implementation of the GSM A3A8 algorithm. (Specifically, COMP128.)”, a3a8.c
[5] M. Briceno, I. Goldberg, D. Wagner, “A pedagogical implementation of the GSM A5/1 and A5/2 "voice privacy" encryption algorithms”, a5_1-2.c
[6] “The GSM Security Technical Whitepaper for 2002”, January 2002, [htm], a5.c
[7] C. Brookson, “GSM (and PCN) Security and Encryption”, 1994, http://www.brookson.com/gsm/contents.htm, pp.1-7, [pdf]
[8] M. Demeter, “Bezpečnosť systému GSM”, [htm]
[9] C. Brookson, “Can you clone a GSM Smart Card (SIM)?”, July 2002, http://www.brookson.com/gsm/contents.htm, pp.1-2, [pdf]
[10] Vybrané 3GPP normy,”A3 and A8”, “A5/3 and GEA3”
[11] “Comparison of Airlink Encryptions”, QUALCOMM white paper, pp.1-6, [pdf]
[12] S. Petrovič, A. Fúster-Sabater, “Cryptanalysis of the A5/2 Algorithm”, Cryptology ePrint Archive, Report 2000/052, http://eprint.iacr.org, 2000, [pdf]
[13] A. Biryukov, A. Shamir, D. Wagner, “Real Time Cryptoanalysis of A5/1 on a PC”, Advances in Cryptology, proceedings of Fast Software Encryption’00, Lecture Notes in Computer Science 1978, Springer-Verlag, pp.1-18, 2001, [pdf]
[14] V. Klíma, T. Rosa, “Bezpečnost mobilních telefónu – Šifra v GSM prolomena! (1)“, CHIP 2/2000, s.38-41
[15] V. Klíma, T. Rosa, “Bezpečnost mobilních telefónu – Šifra v GSM prolomena! (2)“, CHIP 3/2000, s.42-44
[16] L. Tarkkala, “Tik-110.551: Attacks against A5”, Tik-110.551 Seminar on Network Security, pp.1-15, [pdf]
[17] P. Ekdahl, T. Johansson, “Another Attack on A5/1”, Full paper, IEEE Transactions on Information Theory, Vol . 49, Jan, 2003, [pdf]
[18] P. Ekdahl, “On LSFR based Stream Ciphers, Analysis and Design”, Lund University, Ph.D. Thesis, November 21, 2003, pp.1-176, [pdf]
[19] E. Barkan, E. Bihan, N. Keller, “Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication”, CRYPTO 2003, pp.1-18, [pdf]
[20] G. Rose, “A precis of the new attacks on GSM encryption”, QUALCOMM Australia, September 2003, pp.1-3, [pdf]
[21] P. Kitsos, N. Sklavos, O. Koufopavlou, “An End-to-End Hardware Approach Security for the GPRS”, pp.1-4, [pdf]
[22] J.G. Sempere, “An Overview of the GSM System” [htm]