A8 (šifra)

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 9. ledna 2018; kontroly vyžadují 7 úprav .

A8 je algoritmus generování šifrovacího klíče , který se následně používá k zajištění důvěrnosti informací přenášených rádiovým kanálem v mobilním standardu GSM . A8 je spolu s A5 a A3 jedním z algoritmů ochrany soukromí hovorů GSM . Jeho úkolem je po autentizaci vygenerovat klíč relace Kc pro streamování šifrování informací v komunikačním kanálu mezi mobilním telefonem (MS - Mobile Station) a základnovou stanicí (BTS - Basic Transmitter Station). Z bezpečnostních důvodů probíhá tvorba Kč na SIM kartě .

Zabezpečení

„Bezpečností“ v GSM rozumíme nemožnost neoprávněného použití systému a utajení hovorů účastníků. Tento článek pojednává o některých bezpečnostních mechanismech:

autentizace
tajemství přenosu dat

Mechanismus autentizace

Jsou zavedeny autentizační mechanismy pro vyloučení neoprávněného použití prostředků komunikačního systému. Každý mobilní účastník má standardní modul identity účastníka ( SIM karta ), který obsahuje:

Mezinárodní identita mobilního předplatitele ( IMSI )
váš individuální 128bitový ověřovací klíč ( Ki )
ověřovací algoritmus (A3) a generování klíče relace (A8).

Uživatelský autentizační klíč Ki je jedinečný a jednoznačně spojený s IMSI, telekomunikační operátor „umí“ určit Ki podle hodnoty IMSI a vypočítá očekávaný výsledek. SIM je chráněna před neoprávněným použitím zadáním individuálního identifikačního čísla ( PIN kód - Personal Identification Number), které je uživateli přiděleno spolu se samotnou kartou.

Zvažte postup ověřování předplatitele. Síť vygeneruje příležitost – náhodné číslo (RAND) a přenese je do mobilního zařízení. Na SIM kartě se hodnota odpovědi (SRES - Signed Response) a klíč relace vypočítávají pomocí RAND, Ki a algoritmů A3, A8. Mobilní zařízení vypočítá SRES a odešle jej do sítě, která jej porovná s tím, co vypočítalo samo. Pokud se obě hodnoty shodují, pak je ověření úspěšné a mobilní zařízení obdrží ze sítě příkaz ke vstupu do šifrovaného režimu provozu. Kvůli utajení probíhají všechny výpočty uvnitř SIM karty. Tajné informace (jako Ki ) nepocházejí z vnějšku SIM. Klíč Kc se také nepřenáší vzduchem. Mobilní stanice (MS) a základnová stanice (BS) je vypočítávají odděleně od sebe.

Implementace algoritmu

Formát vstupních a výstupních dat pro algoritmus A8 je přesně definován konsorciem 3GPP . Ale A8 není standardizováno, ale je definováno operátorem. Algoritmy A3 a A8 jsou implementovány jako jediný výpočet, jehož výstup (96 bitů) je zpracován následovně: 32 bitů pro vytvoření SRES a 64 bitů pro vytvoření Kc . [1] Délka významné části klíče Kc vytvořeného algoritmem A8 může být menší než 64 bitů. Poté jsou významné bity doplněny nulami až do počtu 64 specifikovaného ve specifikaci algoritmu. V současné době jsou známy následující standardní implementace algoritmu A3/A8:

COMP128
COMP128-2
COMP128-3
MILÉRIUM

Přestože existují alternativy k COMP128, tento protokol stále podporuje velká většina sítí GSM [1] . Podle SDA (Smarcard Developer Association) většina telekomunikačních operátorů nekontroluje současné zahrnutí „identických“ předplatitelů, jsou si tak jisti, že SIM karty nelze naklonovat.

COMP128

Historie

COMP128 je klíčová hashovací funkce , která generuje SRES a Kc v jednom průchodu . A3, A5, A8 byly vyvinuty ve Spojeném království a výrobci mobilních telefonů, kteří chtějí implementovat tuto šifrovací technologii do svých produktů, musí souhlasit s neprozrazením tajemství a získat speciální licence od britské vlády. Neshody mezi výrobci mobilních telefonů a britskou vládou ohledně exportu šifrovací technologie GSM byly urovnány v roce 1993. Ale v roce 1998 byly na internetu zveřejněny některé popisné dokumenty. Přes neúplný popis bylo zjištěno, jaké kryptografické metody se v GSM používají. David Wagner a Ian Goldberg prolomili algoritmus COMP128 za pouhý den, protože jeho klíč byl příliš krátký. Kryptografický algoritmus COMP128 se stále používá, ale ve vylepšené podobě nazvané COMP 128-2. Pro síťové operátory jsou určeny kryptografické algoritmy A3 a A8, ačkoli některé parametry jsou standardizovány, aby byla zajištěna interoperabilita mezi sítěmi.

Obecná prohlášení

Vstupem do algoritmu je 128-bitový (16 bajtů ) RAND, přijatý ze základnové stanice a 128-bitový Ki , firmware na SIM kartě. Výstupem je 96bitová (12 bajtů) sekvence. Specifikace standardu [2] uvádí, že první 4 bajty jsou SRES, které mobilní zařízení posílá k ověření, a bajty 5 až 12 jsou klíč relace Kc . Všimněte si, že klíčové bity jsou 42 až 95 následované 10 nulami. To znamená, že entropie 64bitového klíče Kc nepřesahuje 54 bitů. To představuje výrazné oslabení kryptografické síly šifry A5 více než 1000krát.

Oslabení kryptografické síly

Jedním z důvodů, proč vývojáři GSM drželi algoritmy v tajnosti, je pravděpodobně spolupráce s řídicími službami.

„Jediná strana, která má zájem na oslabení ochrany, jsou národní dozorové služby,

- řekl ředitel SDA (Smartcard Developer Association [3] ) Mark Briseno, -

kupující potřebují soukromí při jednání a operátorům nevznikají další náklady z používání klíče v plné velikosti.

3GPP

V architektuře 3GPP (jako v GSM) nemusí všichni operátoři používat stejné algoritmy ověřování a generování klíčů. Samozřejmě existují doporučení a jeden algoritmus je uveden jako příklad. Jak však ukazuje praxe, je to on, kdo se stává široce používaným. V 3GPP se takovým příkladem stal MILENAGE. MILENAGE vychází z Rijndaelovy šifry (vítěz soutěže AES o nejlepší americký krypto standard, který nahradil DES ). Pokud jde o A5 - šifrování vyjednávání a zajištění integrity zpráv, musí být určitě stejné pro všechny operátory, aby mohli poskytovat roamingovou službu . Tento algoritmus v 3GPP je založen na blokové šifře KASUMI .

Bezpečnostní problémy

Aktivní útoky – útočník hraje roli síťového prvku (například roli BTS).
Nezabezpečený přenos klíčových informací: RAND, SRES jsou přenášeny explicitně v rámci sítí a mezi nimi.
Jednosměrná identifikace :
1. Poskytuje se pouze ověření uživatele pro síť.
2. Pro uživatele neexistuje žádný způsob identifikace sítě.
Slabé šifrovací algoritmy. Délka klíče je příliš krátká, zatímco rychlost výpočtu se zvyšuje
Nepružnost. Nedostatečná flexibilita, která ztěžuje upgrade a vylepšení funkcí zabezpečení v průběhu času.

Viz také

Poznámky

↑ 1 2 Zabezpečení GSM . Získáno 3. prosince 2009. Archivováno z originálu 14. ledna 2010. (Ruština)
↑ Implementace COMP128 (anglicky) (downlink) . Archivováno z originálu 2. prosince 1998.
↑ Smartcard Developer Association (downlink) . Datum přístupu: 3. prosince 2009. Archivováno z originálu 22. srpna 2009. (neurčitý)

Odkazy

Chytré karty. Jejich aplikace v systému GSM. GSM zabezpečení. (nedostupný odkaz)
Komunikační tajemství: Část 1 - otevřete SIM kartu.
Popis standardu GSM.
GSM zabezpečení: skutečné nebo virtuální?
Průvodce 3GPP. (nedostupný odkaz)

Symetrické kryptosystémy
Streamové šifry	A3 A5 A8 Decim F-FCSR Obilí HC-256 KCipher-2 MICKEY MUGI ŠTIKA Phelix RC4 Králičí TĚSNĚNÍ SNÍH SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Síť Feistel	GOST 28147-89 (Magma) nafukovací ryba Kamélie CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra OBCHOD DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Chufu LOKI97 MacGuffin MARS PLETIVO MISTY1 NewDES NDS RC5 RC6 SEMÍNKO Simone Sinople skipjack SM4 Smítko ČAJ XTEA XXTEA Raiden RTEA Trojitý DES Dvě ryby
Síť SP	Saranče 3 způsob ABC ÁRIE AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Pás KRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer současnost, dárek Duha BEZPEČNĚJŠÍ ŽRALOK NÁMĚSTÍ Had tři ryby
jiný	ŽÁBA NUSH REDOC SC2000 SHACAL CS-Cipher