A5 (kryptografia)

A5 – rodzina algorytmów kryptograficznych stosowanych do zapewniania poufności transmisji głosu i danych w sieciach GSM.

A5

Data złamania	2003, 2009
Złamany przez	Barkan, Biham i Keller, Karsten Nohl i Sascha Krißler
Skuteczne ataki	1999

Wersje

Rodzina A5 obejmuje:

• A5/0 – brak szyfrowania; określany niekiedy „trybem francuskim” (French mode) ze względu na ograniczenia w stosowaniu kryptografii obowiązujące we Francji do lat 90.,
• A5/1 – najbardziej rozpowszechniony, powstały w 1987 roku szyfr strumieniowy,
• A5/2 – szyfr strumieniowy celowo osłabiony w celu spełnienia wymagań amerykańskich ograniczeń na eksport kryptografii,
• A5/3 – oparty na szyfrze blokowym KASUMI, będący z kolei zmodyfikowaną wersją szyfru MISTY1 stworzonego przez Mitsubishi, przeznaczony do stosowania w sieciach 3G.

Specyfikacja algorytmów A5/1 i A5/2 utrzymywana była w tajemnicy^[1], jednak dzięki inżynierii odwrotnej oraz wyciekom informacji jego znaczna część stała się ogólnie dostępna w 1999 roku.

Algorytm A5/3 został opublikowany w postaci jawnej specyfikacji w 2007 roku.

Bezpieczeństwo

A5/1

Na początku 2009 roku niemiecki zespół Karsten Nohl i Sascha Krißler opublikował szczegóły ataku typu time-memory tradeoff, przy pomocy którego można złamać klucze A5/1 w ciągu 3–5 minut. Atak wymaga obliczenia tablic o wielkości 2 TB^[2]. W grudniu 2009 zespół poinformował o postępach prac i zapowiedział publikację gotowych tablic^[3]. Tablice zostały wkrótce potem udostępnione, zaś w 2010 roku zespół opublikował program Kraken służący do odtwarzania kluczy kryptograficznych przy użyciu tych tablic^[4][5].

Również w grudniu 2009 GSM Association wydała oświadczenie, w którym zaprzeczyła, by łamanie szyfrowania GSM było możliwe w praktyce ze względu na trudności w rejestrowaniu sygnału radiowego oraz ograniczenia praw własności intelektualnej^[6].

W 2010 roku firma Meganet poinformowała o dostępności urządzenia służącego do przechwytywania połączeń zabezpieczonych A5/1 w czasie rzeczywistym^[7]. Pod koniec 2010 roku zespół badaczy niemieckich opublikował udoskonaloną wersję ataku z 2009 roku^[8].

A5/2

Pierwsza kryptoanaliza A5/2 została opublikowana wkrótce po ujawnieniu specyfikacji w 1999 roku przez Goldberga i Wagnera. Jest to atak ze znanym tekstem jawnym (known plaintext) o złożoności ${\displaystyle 2^{11}}$  nie pozwalający jednak na odtworzenie klucza początkowego^[9].

Opublikowany w 2003 roku udoskonalony atak Barkana, Bihama i Kellera umożliwia natychmiastowe odtworzenie klucza szyfrującego A5/2 na podstawie analizy kilkudziesięciu milisekund zaszyfrowanego ruchu zarejestrowanego z podsłuchu radiowego^[10].

A5/3

Specyfikacja algorytmu A5/3 jest jawna^[11][1]. W 2010 roku opublikowany został pierwszy praktyczny atak na szyfr A5/3^[12][13].

Przypisy

1. GSM Security Algorithms.
2. Karsten Nohl: Subverting the security base of GSM.
3. Karsten Nohl, Sascha Krißler: GSM: SRSLY?. Chaos Communication Congress, 27 grudnia 2009.
4. A51 The call of Kraken. Lista dyskusyjna A51, 16 lipca 2010. [dostęp 2010-07-23]. [zarchiwizowane z tego adresu (2010-07-24)].
5. Nowe narzędzia do łamania GSM. computerworld.pl, 2010.
6. GSMA Statement on Media Reports Relating to the Breaking of GSM Encryption. GSM Association, 30 grudnia 2010.
7. Uwaga! Pojawił się gotowy zestaw do podsłuchiwania GSM. hcseclab.blogspot.com, 2010.
8. $15 phone, 3 minutes all that’s needed to eavesdrop on GSM call. Ars Technica, 2010.
9. Ian Goldberg, David Wagner, Lucky Green, The (Real-Time) Cryptoanalysis of A5/2, 1999.
10. Elad Barkan, Eli Biham, Nathan Keller: Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication. 2003. [dostęp 2010-01-14]. [zarchiwizowane z tego adresu (2005-12-16)].
11. A5/3 and GEA3 Specifications. GSM World.
12. Atak na szyfr komórek 3G. computerworld.pl, 2010.
13. Orr Dunkelman, Nathan Keller, Adi Shamir: A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony. IACR, 2010.