id: Гость   вход   регистрация
текущее время 00:32 29/03/2024
Автор темы: unknown, тема открыта 25/10/2005 21:58 Печать
https://www.pgpru.com/Форум/Криптография/ВзломанАлгоритмGSM-шифрованияA53-KASUMI
создать
просмотр
ссылки

Взломан алгоритм GSM-шифрования A5/3-KASUMI


Согласно техническим отчетам департамента компьютерных наук израильского института TECHNION известным исследовтелям Eli Biham, Orr Dunkelman и Nathan Keller в работе "A Related-Key Rectangle Attack on the Full KASUMI" удалось осуществить атаку на полную 8-раундовую версию алгоритма KASUMI. Этот шифр считался стойким и должен был обеспечивать защиту данных в сотовых GSM-сетях третьего поколения (3GPP). Атака имеет сложность 2^54.6 по открытым и шифртекстам, 2^76.1 по времени, что меньше значения перебора грубой силой .


http://www.cs.technion.ac.il/u.....i?2005/CS/CS-2005-14


Этот результат носит чисто академический характер и не может иметь никаких практических методов использования. Дело не только в недостижимых для противника ресурсах, но и специфических требованиях к наличию возможности манипулировать парами открытых и шифртекстов в определенных сочетаниях.


Тем не менее, в криптоаналитическом смысле алгоритм A5/3, считавшийся самым стойким из всех алгоритмов шифрования GSM больше не обладает заявленной криптостойкостью, возможно уязвим для более сильных атак, а его дизайн не представляется надежным.


Интересно, что те же самые исследователи смогли взломать и все предыдущие версии GSM-шифрования, достигнув еще более впечатляющих результатов.


 
Комментарии
— unknown (29/10/2005 13:18)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
P. S.

Я допустил некоторую неточность в изложении новости.
Я, надеюсь, правильно понял криптологические аспекты, но неверно употребил названия телекоммуникационных протоколов.
Слово "GSM" в этом контексте может надо изменить? Оно не совсем верно. Просто "мобильные сети".
Протокол мобильной связи 3GPP будет ВМЕСТО GSM и уже в нем будет Kasumi. Или Kasumi уже используется и для GSM шифрования? Может кто-то лучше в этом разбирается и сможет объяснить?
— SATtva (29/10/2005 14:59)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
GSM — это общий протокол мобильной связи. 3GPP — его обновлённая версия. A3/A5/A8 — подпротоколы GSM для аутентификации абонента, шифрования трафика и генерации сеансового ключа шифрования, соответственно. Kasumi — алгоритм, реализующий A3/A5 в 3GPP. (Кстати, интересно, какой алгоритм используют в 3GPP для A8? COMP-128 [читается как "комп-128] из текущей версии GSM взломан. Кто-нибудь изучал новые спецификации консорциума GSM?)

Единственная неточность была в этом фрагменте: "Тем не менее, в криптоаналитическом смысле алгоритм A5/3, считавшийся самым стойким из всех алгоритмов шифрования GSM больше не обладает заявленной криптостойкостью". Перепечатывая текст в раздел новостей, я заменил здесь A5/3 на Kasumi.

А в остальном всё хорошо. :)
— Гость (30/10/2005 00:59)   <#>
GSM-шифрование — интереснейший пример о котором много споров. До шифрования и криптографической аутентификации (еще в аналоговых и гибридных мобильных сетях) мобильные компании и их абоненты теряли огромные деньги из-за "клонирования" телефонов, и прочих видов мошенничества. С появлением GSM с его "слабеньким" шифрованием такого рода преступления были сведяны на нет. То есть шифрование достигло стопроцентного экономического эффекта, которого от него ждали.
Для прослушивания разговоров и текстовых сообщений значительно проще поставить жучек в базовую станцию (большинство — плохо охраняемые коробки в полне доступных местах), или подслушать микроволновый транк, по которому многие башни друг с другом общаются. Ломать шифр между станцией и мобильником можно, но не рационально.
Так что все не так плохо, как кажется.
Конечно возникает вопрос, почему они вообще стали изобретать велосипед вместо использования хорошо изученных стойких потоковых шифров и методов аутентификации? Мне кажется, что тут дело в не совсем рыночных условиях, в которых разрабатывали GSM. Когда много казенных денег, которые обязательно потратить, эффективность часто страдает.
Так что шифрование GSM конечно не безупречное, что из-за организации проэкта не удивительно, но (с учетом реальных угроз) удовлетворительное.
Те, кому нужна гарантия от подслушивания мобильной коммуникации, должны пользоваться устойчивым end-to-end (как это по-русски?) шифрованием, встроенным в телефон. Такие аппараты продаются, правда достаточно дорого.
— unknown (30/10/2005 12:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
подслушать микроволновый транк, по которому многие башни друг с другом общаются.

Это специфическая область. Там тоже уже есть защита, которую можно обойти только активным прослушиванием с навязыванием сиганала. С использованием дорогостоящей аппаратуры. С риском быть обнаруженным.

подслушать микроволновый транк, по которому многие башни друг с другом общаются.

Иногда очень важен аспект абсолютной незаметности прослушивания. Например массовый перехват разговоров спецслужбами одного государства на территории другого (например с помощью аппаратуры, спрятанной в посольствах). Тут могут быть очень тонкие политические аспекты.

Конечно возникает вопрос, почему они вообще стали изобретать велосипед вместо использования хорошо изученных стойких потоковых шифров и методов аутентификации? Мне кажется, что тут дело в не совсем рыночных условиях, в которых разрабатывали GSM.

А компании платного спутникового телевидения? Какие удивительные шифры они иногда изобретают и держат в секрете (пока их кто-то не расковыряет и не взломает).

Те, кому нужна гарантия от подслушивания мобильной коммуникации, должны пользоваться устойчивым end-to-end (как это по-русски?) шифрованием, встроенным в телефон. Такие аппараты продаются, правда достаточно дорого.

end-to-end иногда переводят как "оконечное шифрование" – но это чаще в очень официальных документах, звучит немного странно, сходу не поймешь, что имеется ввиду.

Про GSM ходит вообще много слухов. Например то, что есть туманные инструкции в спецификациях (на уровне стандарта, а даже не реализаций), где говорится о том, что существуют скрытые комманды, позволяющие сделать "тихий звонок" и незаметное включение микрофона. Ну вобщем, вы поняли.

Я сам лично видел много лет назад по российскому телевидению официальное интервью человека в погонах из управления по борьбе ... с чем-то там, который утверждал, что можно послать сигнал, который включит встроенный в телефон mp3-плэйер, запишет разговор в зоне где нет охвата (под землей что-ли?), а затем его отошлет куда-надо. Звучало, как полный бред. Тогда телефоны с mp3-плэйерами практически не встречались и были очень дорогой новинкой.
— SATtva (30/10/2005 13:53)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Конечно возникает вопрос, почему они вообще стали изобретать велосипед вместо использования хорошо изученных стойких потоковых шифров и методов аутентификации?

Я слышал версию, что на заведомо слабом шифровании настаивали некоторые круги в НАТО, опасаясь, что сильное шифрование GSM будет иметь негативный эффект на притоке разведданных из Центральной и Восточной Европы.

Те, кому нужна гарантия от подслушивания мобильной коммуникации, должны пользоваться устойчивым end-to-end (как это по-русски?)

Лучше — сквозное шифрование.

Такие аппараты продаются, правда достаточно дорого.

Немецкий GSMK с открытым исходным кодом последний раз, когда я интересовался, стоил чуть больше тысячи евро за аппарат. Есть ещё и программные решения для мобильной платформы Windows (называется, кажется, SecurGSM) за сотню с копейками долларов, но исходный код программы закрыт. А российский оператор Мегафон в рамках своей услуги конфиденциальной связи предоставляет аппарат от НТЦ Атлас (ведомственное предприятие ФСБ) за две тысячи долларов с ключами, получаемыми от "компетентных органов". Как видно, разнообразие вариантов на любой кошелёк, вкус и степень паранойи.
— unknown (30/10/2005 16:15)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Я слышал версию, что на заведомо слабом шифровании настаивали некоторые круги в НАТО, опасаясь, что сильное шифрование GSM будет иметь негативный эффект на притоке разведданных из Центральной и Восточной Европы.

Так это когда было? Сейчас уже вся Европа скоро будет там. Или исторические традиции продолжаются?
— SATtva (30/10/2005 18:18)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
История датируется концом 80-х годов, когда стандарт находился на этапе разработки. Теперь такое, конечно, уже не так актуально. Думаю, будь GSM разработан сегодня, многие дизайнерские решения были бы совсем иными. То же, правда, и Интернета касается...
— Гость (04/11/2005 07:23)   <#>
unknown:
подслушать микроволновый транк, по которому многие башни друг с другом общаются.

Это специфическая область. Там тоже уже есть защита, которую можно обойти только активным прослушиванием с навязыванием сиганала. С использованием дорогостоящей аппаратуры. С риском быть обнаруженным.


Правда я уже пять лет, как не занимался GSM, но тогда (5 лет назад) незащищенных транков было очень много. Луч там направленный, но не очень; можно подслушать не только между башнями, но по прямой после башни приема, "из не вызывающего подозрений, случайно припаркованного троллейбуса" ©.

Иногда очень важен аспект абсолютной незаметности прослушивания. Например массовый перехват разговоров спецслужбами одного государства на территории другого (например с помощью аппаратуры, спрятанной в посольствах). Тут могут быть очень тонкие политические аспекты.

Ну, это наверное происходит спошь и рядом. В Оттаве на американском посольстве такие антенны красуются, что одному директору ЦРУ ведомо, что там ими ловят. :-)

А компании платного спутникового телевидения? Какие удивительные шифры они иногда изобретают и держат в секрете (пока их кто-то не расковыряет и не взломает).

Да, это и для меня загадка. Хотя там проблема несколько иная, и по большому счету теоретически нерешима. Сохранить тайну (в данном случае ключ общего потокового шифра), которую знают многие, кто абсолютно не заинтересован в ее сохранности — нереально. Uphill battle, как здесь говорят.

end-to-end иногда переводят как "оконечное шифрование" – но это чаще в очень официальных документах, звучит немного странно, сходу не поймешь, что имеется ввиду.

Спасибо!

Про GSM ходит вообще много слухов. Например то, что есть туманные инструкции в спецификациях (на уровне стандарта, а даже не реализаций), где говорится о том, что существуют скрытые комманды, позволяющие сделать "тихий звонок" и незаметное включение микрофона. Ну вобщем, вы поняли.

8) Вообще, в стандарте GSM полно белых пятен и кодов с обозначением reserved. Большинство применяется для разного рода хитрого биллинга и для отлова "мошенников" разблокировавших SIM-lock.

Например, в ЮАР какой-то оператор разрешает передавать единици баланса с одного телефона на другой, чем практически превращается в емитета денег, вне банковского гос-контроля. Даже в Европе встречаются автоматы с напитками и бутербродами, продающими товар за SMS-сообщение, но такого peer-to-peer платежа, как в ЮАР еще нет. Для этого тоже используются всякие хитросплетения из не-совсем-публичных команд в сети GSM.

Я сам лично видел много лет назад по российскому телевидению официальное интервью человека в погонах из управления по борьбе ... с чем-то там, который утверждал, что можно послать сигнал, который включит встроенный в телефон mp3-плэйер, запишет разговор в зоне где нет охвата (под землей что-ли?), а затем его отошлет куда-надо. Звучало, как полный бред. Тогда телефоны с mp3-плэйерами практически не встречались и были очень дорогой новинкой.

Скорее всего полный бред и есть. Борцы с чем-то там часто блефуют. Типичный пример dog-sign security. Авось супостат испугается и откажется от злого замысла от страха: вот и управлению по борьбе ... с чем-то там меньше забот!
— Гость (17/11/2005 14:33)   <#>
Весьма интересное обсуждение.
А не знаете ли где можно почитать, про действующий стандарт gsm?
— SATtva (29/01/2007 14:59)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Даниэл Надь:
Например, в ЮАР какой-то оператор разрешает передавать единици баланса с одного телефона на другой, чем практически превращается в емитета денег, вне банковского гос-контроля.

В конце прошлого года российский Билайн ввёл похожую услугу, хоть и с массой ограничений: лимиты на размер перевода в день, число переводов в день, минимальная продолжительность договора (если подключился недавно, ничего переводить тебе не дадут) и т.д. Да, и переводить средства возможно только между физическими лицами, но не организациями.
— unknown (29/01/2007 17:00, исправлен 29/01/2007 17:12)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Весьма интересное обсуждение.
А не знаете ли где можно почитать, про действующий стандарт gsm?

Не совсем про действующий –

Документы консорциума 3GPP:

http://cryptome.org/uea2-uia2/uea2-uia2.htm
http://cryptome.org/a53-gea3/a53-gea3.htm
http://cryptome.org/3gpp-li/3gpp-li.htm
— Eridan (05/12/2012 13:03)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
unknown
Про GSM ходит вообще много слухов. Например то, что есть туманные инструкции в спецификациях (на уровне стандарта, а даже не реализаций), где говорится о том, что существуют скрытые комманды, позволяющие сделать "тихий звонок" и незаметное включение микрофона. Ну вобщем, вы поняли.


Вы писали о скрытой активации микрофона. Подробнее можно? Ссылки или на чем основаны выводы. Или это только слухи? Не считая стороннего ПО.
— Гость (05/12/2012 17:47)   <#>
Подробнее можно?

Ссылки не достаточно? Я несколько лет назад делал подборку, там ещё куча ссылок на википедию была и ссылок, на которые википедия ссылается. Сейчас повторно лень основательно гуглить тему, но почему бы вам не сделать это самому?

https://en.wikipedia.org/wiki/Telephone_tapping:
They possess technology to activate the microphones in cell phones remotely in order to listen to conversations that take place near to the person who holds the phone.[16][17]

Ну и прочитайте всё ж внимательно текст, пройдите по дальнейшим ссылкам.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3