В своём исследовании, касающемся уязвимости к атакам используемой в мобильной связи стандарта GSM 20-летней системы шифрования А5/1, немец Карстен Нол (Karsten Nohl) отметил, что провайдерам следует в ближайшее время сменить устаревший стандарт на более устойчивый А5/3 (KASUMI) со 128-битным ключом, чтобы обезопасить звонящих от прослушивания их телефонов.
Данный алгоритм уже принят на вооружение для сетей 3G, впрочем, операторы не торопятся с его внедрением, поскольку это требует значительных затрат. Не прошло и месяца, когда появились сообщения о взломе А5/3, по крайней мере, теоретическом.
Базой для KASUMI выступает блочная криптосистема MISTY (Mitsubishi Improved Security Technology, которая была разработана в 1995 году для Mitsubishi Electric), принадлежащая к большому классу техник шифрования Фейстеля (Feistel). Это сложный, с комбинированием многих ключей, рекурсивный многораундовый процесс, меняющий порядок разных функций. MISTY не подходит для использования в задачах с ограниченным временем и сравнительно небольшой мощностью вычислений, так как для её работы необходимы внушительные вычислительные ресурсы. В связи с этим ограничением был разработан алгоритм KASUMI, способный, вопреки предположениям, сохранить стойкость криптографической системы, упростив её для аппаратного обеспечения.
Однако, Орр Дункельман (Orr Dunkelman), Натан Келлер (Nathan Keller) и Ади Шамир (Adi Shamir, буква “S” в аббревиатуре известного алгоритма RSA – это ссылка на его фамилию) с факультета математики и компьютерных наук израильского Института наук Вайсмана (Weizmann Institute of Science) доказали, что атака на основе связанных ключей (related-key attack) может пробить защиту в KASUMI. Окрещённая криптоаналитиками “сэндвич-атакой” техника построена на несколько изменённой атаке методом бумеранга. Специалисты заявляют, что 128-битный ключ можно получить с помощью всего четырёх связанных ключей, 226 данных, 230 байт памяти и 232 единиц времени. Для моделирования атаки им потребовалось меньше двух часов и обычный персональный компьютер. Этим самым была доказана корректность и завершённость техники. Утверждение экспертов, что ни одна атака всё ещё не способна пробить брешь в MISTY без полного перебора вариантов, позволяет сделать вывод, что GSM Association всё-таки ослабила алгоритм в KASUMI, отмечает mobile.optima.ua.
Тем не менее, предлагаемая израильскими специалистами техника взлома системы шифрования А5/3 оказалась не такой действенной в отношении А5/1. Взломщику необходимо собрать несколько миллионов образцов незашифрованных данных, которые во время обычного разговора передаются ежесекундно. Впрочем, работа Шамира и его коллег достаточно важна, поскольку показывает действительные ограничения А5/3. «Возможность атаки должна служить напоминанием о том, что А5/3, как и любой другой алгоритм, в конечном счёте должен быть заменён. Надеюсь, этот факт учтут при обновлении GSM», – подчеркнул Нол.
