Группа известных израильских криптографов (Orr Dunkelman, Nathan Keller, Adi Shamir) опубликовала в Сети препринт [iacr.org] исследовательской статьи, демонстрирующей, что ими взломан шифр KASUMI. Этот важный криптоалгоритм также известен под названием A5/3, поскольку является официальным стандартом шифрования для сетей мобильной связи третьего поколения.
Согласно давно заведенной традиции, все криптоалгоритмы для шифрования коммуникаций в сетях сотовой связи GSM принято объединять единым «семейным» названием A5. Первые представители этого семейства были разработаны в конце 1980-х годов в условиях строгой секретности: более сильный алгоритм A5/1 для стран Западной Европы и шифр послабее A5/2 — как экспортный вариант для прочих рынков. Конструкция шифров сохранялась в тайне до 1999 года, когда энтузиастами была инициативно проведена их обратная инженерная разработка по имеющимся на рынке телефонам.
Как только восстановленные криптосхемы были опубликованы и проанализированы независимыми специалистами, стало очевидно, что алгоритм A5/2 реально не предоставляет практически никакой защиты, а A5/1 вполне поддается вскрытию разными методами и за приемлемое на практике время. Самая свежая (и, вероятно, самая дешёвая в своей реализации) атака против шифров GSM была продемонстрирована в декабре 2009 года, когда команда криптографов во главе с немцем Карстеном Нолем опубликовала в Интернете заранее вычисленную "просмотровую таблицу" огромного, объёмом 2 терабайта, размера для быстрого взлома A5/1. Эта таблица позволяет любому, кто понимает, что он делает, по сути моментально отыскивать сеансовый криптоключ перехваченного в GSM телефонного разговора, располагая при этом минимальными аппаратными возможностями. Типа бытового персонального компьютера, оснащённого программой для перехвата мобильной сотовой связи.
В ответ на растущую угрозу подобных атак, Ассоциация GSM объявила, что собирается ускорить всеобщий переход на новый криптоалгоритм защиты, именуемый A5/3. Конкретное обсуждение планов такого перехода намечено устроить на конференции членов Ассоциации в феврале 2010 года.
Алгоритм A5/3 был разработан для третьего поколения цифровой мобильной связи ещё в 2002 году, а его спецификации были опубликованы год спустя, в 2003. По этой причине ныне данный шифр уже реально встроен в чипы примерно 40 % из трёх миллиардов выпущенных на рынок телефонов. Однако очень мало кто (точнее, почти никто) из 800 операторов мобильной связи в более чем 200 странах, использующих сети GSM, переключился на формально давно одобренный новый стандарт. Поэтому теперь, если решение о массовом переходе к A5/3 всё же будет принято, этот шифр сразу станет одной из наиболее широко используемых в мире криптосистем. А стойкость этого шифра, соответственно, станет одним из наиболее актуальных вопросов практической криптографии.
Что представляет собой A5/3? Во-первых, по своему устройству он не имеет ничего общего со своими предшественниками, близко связанными друг с другом A5/1 и A5/2. Алгоритм A5/3 основан на схеме блочного шифра MISTY, разработанного японским криптографом Мицуро Мацуи во второй половине 1990-х годов. В соответствии с давно принятой в открытом криптографическом сообществе практикой, полная криптосхема MISTY была опубликована в 1997 году для всеобщего анализа. В статье, сопровождавшей публикацию, автор дал теоретические доказательства стойкости своей криптосистемы к известным атакам против блочных шифров. Как показали все прошедшие годы анализа, конструкция MISTY с ключом длиной 128 бит оказалась действительно очень прочной, так что по сию пору не нашлось ни одной сколь-нибудь эффективной атаки против полной 8-цикловой версии шифра.
Разработчики A5/3, однако, решили улучшить данный криптоалгоритм, сделав MISTY более быстрым и более дружественным к аппаратной, а не программной реализации. Осуществлено это было через упрощение процедуры разворачивания ключа и модификацией некоторых компонентов криптосхемы. Новый вариант шифра сохранил длину ключа 128 бит и получил название KASUMI.
Имея за плечами малоприятный для Ассоциации GSM опыт с засекречиванием шифров, теперь разработчики KASUMI не только опубликовали полные спецификации криптоалгоритма для защиты мобильной связи 3-го поколения, но и дали разъяснения по поводу всех внесённых в исходную схему изменений. В итоге же авторы модификаций выразили уверенность, что и их алгоритм A5/3 в своей полной 8-цикловой версии будет успешно противостоять всем известным атакам. На деле, однако, всё оказалось далеко не так.
Опубликованная ныне израильскими криптографами работа демонстрирует практичную атаку, для успеха которой требуется всего 4 так называемых «связанных» ключа (сгенерированных неслучайным, взаимосвязанным образом, что не редкость в реальных шифрах), 2^30 байтов памяти и 2^32 циклов работы компьютера. Поскольку все эти параметры по современным меркам чрезвычайно невелики, авторы вполне смогли проверить свою атаку экспериментально. Даже тривиальная, никак не оптимизированная реализация метода на обычном ПК восстановила основную часть ключа (96 бит) всего за несколько минут, а остальные 32 бита — менее чем за два часа.
Тщательно проанализировав свою новую технику вскрытия, разработанную специально для атаки против KASUMI, авторы пришли к выводу, что её никак невозможно применить против исходного криптоалгоритма MISTY. Ибо абсолютно все из выявленных слабостей появились в A5/3 по причине изменений компонентов и процедур, используемых в шифре Мицуро Мацуи.
Иначе говоря, ни новая атака израильтян, ни одна из других уже известных атак против MISTY, не может взломать этот шифр с затратами меньшими, чем 2^128 (требующихся при лобовом переборе всех ключей). А модификация этого шифра, выполненная Ассоциацией GSM для повсеместного использования в сотовых сетях 3G, привела к созданию не просто слабого, а намного более слабого криптоалгоритма A5/3.
По идее, если Ассоциацию реально волнует защита коммуникаций абонентов, то теперь, после публикации нынешней атаки, с внедрением KASUMI следует притормозить, отправив скомпрометированный шифр на капитальную доработку. Ну а если же — как в случае с A5/1 и A5/2 — тут куда важнее видимость безопасности, а не собственно защита информации, то руководство Ассоциации GSM в очередной раз притворится, что ничего серьёзного не произошло.
Как это уже было и много раз прежде.