A5/1
A5/1 és un xifrat de flux que s'utilitza per proporcionar privadesa de comunicacions a l'aire en l'estàndard de telefonia mòbil GSM. És una de les diverses implementacions del protocol de seguretat A5. Inicialment es va mantenir en secret, però es va fer de coneixement públic mitjançant filtracions i enginyeria inversa. S'han identificat una sèrie de debilitats greus en el xifrat.[1]
Història i ús
modificaA5/1 s'utilitza a Europa i als Estats Units. A5/2 va ser un debilitament deliberat de l'algorisme per a determinades regions d'exportació.[2] L'A5/1 es va desenvolupar l'any 1987, quan encara no es considerava l'ús de GSM fora d'Europa, i l'A5/2 es va desenvolupar el 1989. Tot i que inicialment tots dos es van mantenir en secret, el disseny general es va filtrar l'any 1994 i els algorismes van ser totalment d'enginyeria inversa el 1999 per Marc Briceno des d'un telèfon GSM. L'any 2000, uns 130 milions de clients GSM confiaven en A5/1 per protegir la confidencialitat de les seves comunicacions de veu.
L'investigador de seguretat Ross Anderson va informar el 1994 que "va haver-hi una gran disputa entre les agències d'intel·ligència de senyals de l'OTAN a mitjans de la dècada de 1980 sobre si el xifratge GSM havia de ser fort o no. Els alemanys van dir que hauria de ser, ja que compartien una llarga frontera amb els Pacte de Varsòvia; però els altres països no es van sentir així, i l'algoritme tal com es presenta ara és un disseny francès".[3]
Descripció
modificaUna transmissió GSM s'organitza com a seqüències de ràfegues. En un canal típic i en una direcció, s'envia una ràfega cada 4,615 mil·lisegons i conté 114 bits disponibles per a informació. A5/1 s'utilitza per produir per a cada ràfega una seqüència de 114 bits de seqüència de claus que és XOR amb els 114 bits abans de la modulació. A5/1 s'inicia mitjançant una clau de 64 bits juntament amb un número de fotograma de 22 bits conegut públicament. Les implementacions GSM de camp més antigues que utilitzaven Comp128v1 per a la generació de claus tenien 10 dels bits de clau fixats a zero, donant lloc a una longitud de clau efectiva de 54 bits. Aquesta debilitat es va rectificar amb la introducció de Comp128v3 que proporciona claus de 64 bits adequades. Quan es treballa en mode GPRS / EDGE, la modulació de ràdio d'ample de banda més gran permet trames de 348 bits més grans i A5/3 s'utilitza en un mode de xifratge de flux per mantenir la confidencialitat.
A5/1 es basa en una combinació de tres registres de desplaçament de retroalimentació lineal (LFSR) amb un rellotge irregular. Els tres registres de desplaçament s'especifiquen de la següent manera:
LFSR
</br> nombre |
Longitud en
</br> bits |
Feedback
</br> polinomi |
Rellotge
</br> bit |
Tocat
</br> bits |
---|---|---|---|---|
1 | 19 | 8 | 13, 16, 17, 18 | |
2 | 22 | 10 | 20, 21 | |
3 | 23 | 10 | 7, 20, 21, 22 |
Seguretat
modificaS'han publicat una sèrie d'atacs a A5/1 i l'Agència de Seguretat Nacional dels Estats Units és capaç de desxifrar de manera rutinària els missatges A5/1 d'acord amb els documents interns publicats.
Alguns atacs requereixen una costosa etapa de preprocessament després de la qual el xifrat es pot trencar en minuts o segons. Originalment, les debilitats eren atacs passius utilitzant la coneguda suposició de text pla. El 2003, es van identificar debilitats més greus que poden ser explotades en l'escenari només de text xifrat o per un atacant actiu. El 2006 Elad Barkan, Eli Biham i Nathan Keller van demostrar atacs contra A5/1, A5/3 o fins i tot GPRS que permeten als atacants tocar converses de telèfon mòbil GSM i desxifrar-les en temps real o en qualsevol moment posterior.[4]
Referències
modifica- ↑ «A5/1 stream cipher» (en anglès). [Consulta: 5 novembre 2023].
- ↑ Quirke, Jeremy. «Security in the GSM system» (en anglès). AusMobile, 01-05-2004. Arxivat de l'original el 12 July 2004. [Consulta: 8 setembre 2008].
- ↑ «A5 Encryption In GSM» (en anglès). [Consulta: 5 novembre 2023].
- ↑ «Two Trivial Attacks on A5/1: A GSM Stream Cipher» (en anglès). [Consulta: 5 novembre 2023].