A5/1 ist eine Strom-Ziffer, die verwendet ist, um Überluftnachrichtengemütlichkeit im GSM Autotelefon-Standard zur Verfügung zu stellen. Es wurde heimlich am Anfang behalten, aber ist öffentliche Kenntnisse durch Leckstellen und Rücktechnik geworden. Mehrere ernste Schwächen in der Ziffer sind identifiziert worden.

Geschichte und Gebrauch

A5/1 wird in Europa und den Vereinigten Staaten verwendet. A5/2 war eine absichtliche Schwächung des Algorithmus für bestimmte Exportgebiete. A5/1 wurde 1987 entwickelt, als GSM für den Gebrauch außerhalb Europas noch nicht betrachtet wurde, und A5/2 1989 entwickelt wurde. Obwohl sowohl heimlich am Anfang behalten wurden, wurde das allgemeine Design 1994 als auch die Algorithmen durchgelassen waren konstruiert 1999 von Marc Briceno von einem GSM-Telefon völlig Rück-. 2000 haben sich ungefähr 130 Millionen GSM Kunden auf A5/1 verlassen, um die Vertraulichkeit ihrer Sprechverbindungen zu schützen; vor 2011 waren es 4 Milliarden..

Sicherheitsforscher Ross Anderson hat 1994 berichtet, dass "es eine schreckliche Reihe zwischen den NATO-Signalgeheimdiensten zu Ende Mitte der 1980er Jahre gab, ob GSM Verschlüsselung stark sein sollte oder nicht. Die Deutschen haben gesagt, dass es sein sollte, als sie eine lange Grenze mit dem Warschauer Pakt geteilt haben; aber die anderen Länder haben diesen Weg nicht gefühlt, und der Algorithmus, ist wie jetzt aufs Feld geschickt, ein französisches Design."

Beschreibung

Eine GSM Übertragung wird als Folgen von Brüchen organisiert. In einem typischen Kanal und in einer Richtung werden einem Platzen alle 4.615 Millisekunden gesandt und enthalten für die Information verfügbare 114 Bit. A5/1 wird verwendet, um für jedes Platzen eine 114-Bit-Folge von keystream zu erzeugen, der XORed mit den 114 Bit vor der Modulation ist. A5/1 wird mit einem 64-Bit-Schlüssel zusammen mit einer öffentlich bekannten 22-Bit-Rahmenzahl initialisiert. Älter hat GSM Durchführungen mit Comp128v1 für die Schlüsselgeneration aufs Feld geschickt, hatte 10 der an der Null befestigten Schlüsselbit, auf eine wirksame Schlüssellänge von 54 Bit hinauslaufend. Diese Schwäche wurde mit der Einführung von Comp128v2 berichtigt, der richtige 64-Bit-Schlüssel nachgibt. Wenn sie in GPRS / RAND-Weise funktioniert, berücksichtigt höhere Bandbreite-Radiomodulation größere 348-Bit-Rahmen, und A5/3 wird dann in einer Strom-Ziffer-Weise verwendet, um Vertraulichkeit aufrechtzuerhalten.

A5/1 basiert um eine Kombination von drei geradlinigen Feed-Back-Verschiebungsregistern (LFSRs) mit dem unregelmäßigen Abstoppen. Die drei Verschiebungsregister werden wie folgt angegeben:

Die Bit werden mit dem am wenigsten bedeutenden Bit (LSB) als 0 mit einem Inhaltsverzeichnis versehen.

Die Register werden eine aufhören/gehen Mode eingestempelt, eine Mehrheitsregierung zu verwenden. Jedes Register hat ein verbundenes Abstoppen-Bit. An jedem Zyklus wird das Abstoppen-Bit aller drei Register untersucht, und die Mehrheit hat gebissen wird bestimmt. Ein Register wird abgestoppt, wenn das Abstoppen gebissen hat, stimmt mit dem Majoritätsbit überein. Folglich an jedem Schritt werden zwei oder drei Register, und jedes Register Schritte mit der Wahrscheinlichkeit 3/4 abgestoppt.

Am Anfang werden die Register auf die Null gesetzt. Dann für 64 Zyklen wird der heimliche 64-Bit-Schlüssel in gemäß dem folgenden Schema gemischt: im Zyklus

Jedes Register wird dann abgestoppt.

Ähnlich werden die 22 Bit der Rahmenzahl in 22 Zyklen hinzugefügt. Dann wird das komplette System mit der normalen Mehrheit abgestoppt, die Mechanismus für 100 Zyklen mit der verworfenen Produktion abstoppt. Nachdem das vollendet wird, ist die Ziffer bereit, zwei 114-Bit-Folgen der Produktion keystream, zuerst 114 für downlink, letzte 114 für uplink zu erzeugen.

Sicherheit

Mehrere Angriffe auf A5/1 sind veröffentlicht worden. Einige verlangen eine teure Aufbereitungsbühne, nach der die Ziffer in Minuten oder Sekunden angegriffen werden kann. Bis neulich sind die Schwächen passive Angriffe mit der bekannten plaintext Annahme gewesen. 2003 wurden ernstere Schwächen identifiziert, der im ciphertext-einzigen Drehbuch, oder von einem energischen Angreifer ausgenutzt werden kann. 2006 haben Elad Barkan, Eli Biham und Nathan Keller Angriffe gegen A5/1, A5/3 oder sogar GPRS demonstriert, die Angreifern erlauben, GSM Mobiltelefongespräche zu klopfen und sie entweder in Realtime, oder in jeder späteren Zeit zu entschlüsseln.

Bekannte-plaintext Angriffe

Der erste Angriff auf den A5/1 wurde von Ross Anderson 1994 vorgeschlagen. Die Grundidee von Anderson war, den ganzen Inhalt der Register R1 und R2 und ungefähr Hälfte des Registers R3 zu erraten. Auf diese Weise wird das Abstoppen aller drei Register bestimmt, und die zweite Hälfte von R3 kann geschätzt werden.

1997 hat Golic einen Angriff präsentiert, der auf dem Lösen von Sätzen von geradlinigen Gleichungen gestützt ist, der eine Zeitkompliziertheit 2 hat (die Einheiten sind in Bezug auf die Zahl von Lösungen eines Systems von geradlinigen Gleichungen, die erforderlich sind).

2000 haben Alex Biryukov, Adi Shamir und David Wagner gezeigt, dass A5/1 cryptanalysed in Realtime mit einem Zeitgedächtnis-Umtausch-Angriff sein kann, der auf der früheren Arbeit von Jovan Golic gestützt ist. Ein Umtausch erlaubt einem Angreifer, den Schlüssel in einer Sekunde von zwei Minuten bekannten plaintext oder in mehreren Minuten von zwei Sekunden des bekannten Klartextes wieder aufzubauen, aber er muss zuerst eine teure Aufbereitungsbühne vollenden, die 2 Schritte verlangt, ungefähr 300 GB von Daten zu schätzen. Mehrere Umtausche zwischen der Aufbereitung, den Datenvoraussetzungen, Angriffszeit und der Speicherkompliziertheit sind möglich.

Dasselbe Jahr, Eli Biham und Orr Dunkelman haben auch einen Angriff auf A5/1 mit einer Gesamtarbeitskompliziertheit von 2 A5/1 clockings gegeben 2 Bit bekannten plaintext veröffentlicht. Der Angriff verlangt 32 GB der Datenlagerung nach einer Vorberechnungsbühne 2.

Ekdahl und Johannson haben einen Angriff auf das initialisation Verfahren veröffentlicht, das A5/1 in ein paar Minuten mit zwei bis fünf Minuten des Gespräches plaintext bricht. Dieser Angriff verlangt keine Aufbereitungsbühne. 2004, Maximov u. a. verbessert dieses Ergebnis zu einem Angriff, der "weniger als eine Minute der Berechnung, und ein paar Sekunden des bekannten Gespräches" verlangt. Der Angriff wurde weiter von Elad Barkan und Eli Biham 2005 verbessert.

Angriffe auf A5/1, wie verwendet, in GSM

2003 hat Barkan. mehrere Angriffe auf die GSM Verschlüsselung veröffentlicht. Das erste ist ein aktiver Angriff. GSM Kopfhörer können überzeugt sein, die viel schwächere A5/2 Ziffer kurz zu verwenden. A5/2 kann leicht gebrochen werden, und das Telefon verwendet denselben Schlüssel bezüglich des stärkeren A5/1 Algorithmus. Ein zweiter Angriff auf A5/1, wird ein ciphertext-einziger Zeitgedächtnis-Umtausch-Angriff entworfen, der einen großen Betrag der Vorberechnung verlangt.

2006, Elad Barkan, Eli Biham, hat Nathan Keller die volle Version ihres 2003-Papiers mit Angriffen gegen A5/X Ziffern veröffentlicht. Der Autor-Anspruch:

2007 haben Universitäten von Bochum und Kiel angefangen ein Forschungsprojekt, einen massiv parallelen FPGA zu schaffen, hat Geheimgaspedal COPACOBANA gestützt. COPACOBANA war die erste gewerblich verfügbare Lösung mit schnellen Zeitgedächtnis-Umtausch-Techniken, die verwendet werden konnten, um den populären A5/1 und die A5/2 Algorithmen anzugreifen, die in der GSM Stimmenverschlüsselung, sowie Data Encryption Standard (DES) verwendet sind.

Es ermöglicht auch Angriffe der rohen Gewalt gegen GSM das Beseitigen des Bedürfnisses nach großen precomputated Nachschlagetabellen.

2008 hat die Gruppe Die Hacker-Wahl ein Projekt gestartet, einen praktischen Angriff auf A5/1 zu entwickeln. Der Angriff verlangt den Aufbau einer großen Nachschlagetabelle von etwa 3 terabytes. Zusammen mit den als ein Teil des Schwester-Projektes entwickelten Abtastungsfähigkeiten hat die Gruppe angenommen im Stande zu sein, jeden GSM-Anruf oder SMS encrypted mit A5/1 zu registrieren, und innerhalb von ungefähr 3-5 Minuten leiten den Verschlüsselungsschlüssel ab und hören folglich dem Anruf zu und lesen die SMS im klaren. Aber die Tische wurden nicht veröffentlicht.

Eine ähnliche Anstrengung, der A5/1, der Projekt Knackt, wurde in 2009 Schwarze Hut-Sicherheitskonferenz von Kryptographen und Sascha Krißler bekannt gegeben. Es hat die Nachschlagetabellen mit Nvidia GPGPUs über eine Gleicher-zu-Gleicher-verteilte Rechenarchitektur geschaffen. In der Mitte des Septembers 2009 anfangend, hat das Projekt die Entsprechung von 12 Nvidia GeForce GTX 260 geführt. Gemäß den Autoren kann die Annäherung auf jeder Ziffer mit der Schlüsselgröße bis zu 64 Bit verwendet werden.

Im Dezember 2009 wurden die A5/1, die Projektangriffstische für A5/1 Knacken, von Chris Paget und Karsten Nohl bekannt gegeben. Die Tische verwenden eine Kombination von Kompressionstechniken, einschließlich Regenbogen-Tische und bemerkenswerter Punkt-Ketten. Diese Tische haben nur Teile 2TB vollendeter Tisch eingesetzt, und waren während drei Monate mit 40 geschätzt worden hat CUDA Knoten, und dann veröffentlicht über BitTorrent verteilt. Mehr kürzlich hat das Projekt einen Schalter zu schneller Immergrünem ATI bekannt gegeben (GPU Familie) Code, zusammen mit einer Änderung im Format der Tische und Frank A. Stevensons hat Brechungen von A5/1 bekannt gegeben das Verwenden des ATI hat Tische erzeugt.

Vor dem Jahr 2011 ein Hauptströmungs-PC, der einen hohen Endgrafikverarbeiter und einen terabytes von hat

Blitz-Gedächtnis ist genügend, um die Verschlüsselung eines A5/1 GSM Sitzungen in ein paar Sekunden mit einer Wahrscheinlichkeit über 90 % zu brechen, außer in den (2011) seltenen Fällen, wo plaintext randomization angewandt wird.

Siehe auch

• A5/2
• KASUMI, auch bekannt als A5/3
• Zellnachrichtenverschlüsselungsalgorithmus

Referenzen

Links