GSM криптирането в 2G и 3G – разбито
April 6th, 2010 от singu
Една малко закъсняла новина, но ми беше интересно накъде ще се развият събитията…
Миналата година Karsten Nohl - експерт от американската компания H4RDW4RE и член на Chaos Computer Club (CCC), обяви амбициозен проект с отворен код за съставянето на rainbow таблици за А5/1, с използването на повече от 80 машини и nVidia CUDA. Проекта трябва да приключи с компресирането на 128 петабайтовата теоретична таблица до 2 или 3 терабайта, което ще позволи смислена от инженерна гледна точка употреба на rainbow таблицата при разбиване на А5/1 криптиране ( напомням, то се използва за GSM криптиране, не при 3G ). А5/1 по замисъл е 64 битов, но десет от тези бита са фиксирани към нула, така че ефективно е 54 бита. В момента А5/1 се използва от близо 80% от GSM мрежите по света. С използването на подобна таблица ще позволи разкриптирането на гласова комуникация в GSM и SMS-ите да става за часове, а не за месеци, като това е при сегашното състояние на софтуера/хардуера. Подобни системи са комерсиално достъпни за силовите агенции и министерства ( твърдят, че се продават само на тях ) и вървят по стотина хиляди долара на свободния пазар.
В края на декември, в последните дни на 2009-та, на конференцията 26C3 беше презентиран статуса на проекта – с помощта на доброволци са изчислени големи части от таблиците, постигнат е напредък в алгоритмите на разкриптиране, което ги прави по-ефективни и теоретично вече е възможно да се сглоби цялостна система с отворен код от достъпни компоненти с отворен код за не повече от $1500 ( като USRP2 и OpenBTS). В момента на писането на това, средно се постига скорост от около 350 кодови вериги на секунда, а до момента са компилирани 450 млн кодови вериги. Слайдовете и видеото от презентацията на 26C3 описват няколко типа атаки и дават добра идея за постиженията, а самите таблици са достъпни чрез торент на страницата на проекта.
В средата на януари беше обявена нова атака срещу 128-битовия А5/3, известен още като Kasumi, често използван за криптиране в 3G мрежите. Атаката изпозва related-key тактика и е наречена “сандвич атака” от създателите си – Orr Dunkelman, Nathan Keller и Adi Shamir ( да, същият Шамир ). За разлика от предишният проект, тази атака е напълно практична:
In this paper we describe a new type of attack called a sandwich attack, and use it to construct a simple distinguisher for 7 of the 8 rounds of KASUMI with an amazingly high probability of 2^14. By using this distinguisher and analyzing the single remaining round, we can derive the complete 128 bit key of the full KASUMI by using only 4 related keys, 2^26 data, 2^30 bytes of memory, and 2^32 time. These complexities are so small that we have actually simulated the attack in less than two hours on a single PC, and experimentally verified its correctness and complexity. Interestingly, neither our technique nor any other published attack can break MISTY in less than the 2^128 complexity of exhaustive search, which indicates that the changes made by the GSM Association in moving from MISTY to KASUMI resulted in a much weaker cryptosystem.
Според Брус Шнайер, атаката не е напълно приложима, защото получаването на ключ + комплиментата му е доста трудно по начало.
Публикацията е достъпна в PDF и BibTeX Citation.
