В ответ на растущую угрозу подобных атак, Ассоциация GSM объявила, что собирается ускорить всеобщий переход на новый криптоалгоритм защиты, именуемый A5/3. Конкретное обсуждение планов такого перехода намечено устроить на конференции членов Ассоциации в феврале 2010 года.

Алгоритм A5/3 был разработан для третьего поколения цифровой мобильной связи ещё в 2002 году, а его спецификации были опубликованы год спустя, в 2003. По этой причине ныне данный шифр уже реально встроен в чипы примерно 40 % из трёх миллиардов выпущенных на рынок телефонов. Однако очень мало кто (точнее, почти никто) из 800 операторов мобильной связи в более чем 200 странах, использующих сети GSM, переключился на формально давно одобренный новый стандарт. Поэтому теперь, если решение о массовом переходе к A5/3 всё же будет принято, этот шифр сразу станет одной из наиболее широко используемых в мире криптосистем. А стойкость этого шифра, соответственно, станет одним из наиболее актуальных вопросов практической криптографии.

Что представляет собой A5/3? Во-первых, по своему устройству он не имеет ничего общего со своими предшественниками, близко связанными друг с другом A5/1 и A5/2. Алгоритм A5/3 основан на схеме блочного шифра MISTY, разработанного японским криптографом Мицуро Мацуи во второй половине 1990-х годов. В соответствии с давно принятой в открытом криптографическом сообществе практикой, полная криптосхема MISTY была опубликована в 1997 году для всеобщего анализа. В статье, сопровождавшей публикацию, автор дал теоретические доказательства стойкости своей криптосистемы к известным атакам против блочных шифров. Как показали все прошедшие годы анализа, конструкция MISTY с ключом длиной 128 бит оказалась действительно очень прочной, так что по сию пору не нашлось ни одной сколь-нибудь эффективной атаки против полной 8-цикловой версии шифра.

Разработчики A5/3, однако, решили улучшить данный криптоалгоритм, сделав MISTY более быстрым и более дружественным к аппаратной, а не программной реализации. Осуществлено это было через упрощение процедуры разворачивания ключа и модификацией некоторых компонентов криптосхемы. Новый вариант шифра сохранил длину ключа 128 бит и получил название KASUMI.

Имея за плечами малоприятный для Ассоциации GSM опыт с засекречиванием шифров, теперь разработчики KASUMI не только опубликовали полные спецификации криптоалгоритма для защиты мобильной связи 3-го поколения, но и дали разъяснения по поводу всех внесённых в исходную схему изменений. В итоге же авторы модификаций выразили уверенность, что и их алгоритм A5/3 в своей полной 8-цикловой версии будет успешно противостоять всем известным атакам. На деле, однако, всё оказалось далеко не так.

Опубликованная ныне израильскими криптографами работа демонстрирует практичную атаку, для успеха которой требуется всего 4 так называемых «связанных» ключа (сгенерированных неслучайным, взаимосвязанным образом, что не редкость в реальных шифрах), 2^30 байтов памяти и 2^32 циклов работы компьютера. Поскольку все эти параметры по современным меркам чрезвычайно невелики, авторы вполне смогли проверить свою атаку экспериментально. Даже тривиальная, никак не оптимизированная реализация метода на обычном ПК восстановила основную часть ключа (96 бит) всего за несколько минут, а остальные 32 бита — менее чем за два часа.

Тщательно проанализировав свою новую технику вскрытия, разработанную специально для атаки против KASUMI, авторы пришли к выводу, что её никак невозможно применить против исходного криптоалгоритма MISTY. Ибо абсолютно все из выявленных слабостей появились в A5/3 по причине изменений компонентов и процедур, используемых в шифре Мицуро Мацуи.

Иначе говоря, ни новая атака израильтян, ни одна из других уже известных атак против MISTY, не может взломать этот шифр с затратами меньшими, чем 2^128 (требующихся при лобовом переборе всех ключей). А модификация этого шифра, выполненная Ассоциацией GSM для повсеместного использования в сотовых сетях 3G, привела к созданию не просто слабого, а намного более слабого криптоалгоритма A5/3.

По идее, если Ассоциацию реально волнует защита коммуникаций абонентов, то теперь, после публикации нынешней атаки, с внедрением KASUMI следует притормозить, отправив скомпрометированный шифр на капитальную доработку. Ну а если же — как в случае с A5/1 и A5/2 — тут куда важнее видимость безопасности, а не собственно защита информации, то руководство Ассоциации GSM в очередной раз притворится, что ничего серьёзного не произошло.

Как это уже было и много раз прежде.

К оглавлению

С соображениями о том, что развертывание США системы противоракетной обороны на базе флотских систем Aegis вызовет необходимость для России создавать средства преодоления ПРО, читатели уже знакомы. А на этой неделе пришло подтверждение таких мыслей — Народно-Освободительная Армия Китая провела успешные испытания своей противоракетной системы.

Ничего удивительного в этом нет. В 1990-е Китайская Народная Республика была крупнейшим покупателем российского оружия. И покупками Поднебесная не ограничивалась. Китайцы, как писал Марк Твен, на редкость сообразительны, и если вы при слуге-китайце в гневе сломаете стул и кинете его в печь, то будьте уверены — впредь он будет топить только мебелью. Так что у проходных российских оборонных КБ в лихие девяностые околачивалось столько дальневосточных гостей с хорошей выправкой, что это давало злословам повод расшифровывать аббревиатурные литеры как "Китайское Бюро…"… В российских вузах обучались усердные студенты из КНР, которые по выходным не зависали в ночных клубах, а бродили по блошиным рынкам, скупая у обнищавших отечественных ИТР добротные учебники и справочники советских времён. Дальше началось копирование закупленных отечественных образцов — отличия у истребителя от швейцарских часов, которые можно купить на рынке за пару тысяч, конечно, есть, но это уже дело техники. Потом стали исчезать китайские студенты, а объём закупок оружия в России начал резко падать…

И вот, 11 января 2010 года Китай провел успешное испытание системы противоракетной обороны наземного базирования и средней дальности. Как всегда китайские СМИ весьма лаконичны, если не сказать — скрытны, а ни ЦРУ, ни ГРУ не спешат обнародовать данные технической разведки. Но большинство обозревателей сходится на том, что проведенное в КНР испытание есть результат копирования и/или самостоятельного развития отечественных систем противовоздушной обороны С-300ПМУ разработки НПО Алмаз, известных в англоязычном мире под псевдонимом SA-20. И в том, что Китай смог скопировать эти системы и, вероятно, модифицировать их под свои нужды, ничего удивительного нет. Образцы — налицо. Образцы, отлаженные на российских (советских тогда ещё…) полигонах, не только летающие, но и попадающие в цель, в том числе и идущую по баллистической траектории. Технология — тоже где-то куплена, местами наверняка украдена… Технологическая база у КНР имеется необъятная — это же нынешняя Мастерская Мира. И то, что крупнейшие высокотехнологические корпорации запускают свои новейшие изделия в производство сразу на территории КНР (лет 10 назад практиковались установочные партии, производимые в Первом мире или на Тайване…) говорит о том, что там доступны материалы, комплектующие, оборудование, о которых создатели советских ракет не могли и мечтать (отечественная оборонка была вынуждена создавать передовые системы оружия в крайне спартанских условиях — отошлём интересующихся к мемуарам Б.Е.Чертока.) Так что — ничего странного!