KASUMI

KASUMI (з японської 霞 (хірагана かすみ, romaji kasumi), що означає "туман") - блочний шифр, що використовується в мережах стільникового зв'язку 3GPP. Також позначається A5/3 при використанні в GSM і GEA3 в GPRS.

Алгоритм блокового шифрування
Назва:KASUMI
Розробник:SAGE
Створений:1999 р.
Опублікований:1999 р.
Розмір ключа:128 біт
Розмір блоку:64 біт
Число раундів:8
Тип:модифікована мережа Фейстеля

KASUMI розроблений групою SAGE (Security Algorithms Group of Experts), яка є частиною Європейського Інституту по Стандартизації в області Телекомунікацій (ETSI)[1]. За основу був узятий існуючий алгоритм MISTY1 і оптимізований для використання в стільниковому зв'язку.

Опис

KASUMI використовує 64-бітний розмір блоку і 128-бітний ключ у 8-раундовій схемі Фейстеля. У кожному раунді використовується 128-бітний раундовий ключ, що складається з восьми 16-бітових підключів, отриманих з вихідного ключа фіксованою процедурою генерації підключів.

Схема шифрування

Основний алгоритм

KASUMI розкладається в набір функцій (FL, FO, FI), які використовуються разом з пов'язаними з ними ключами (KL, KO, KI)

Вхідний блок даних I поділяється на дві рівні частини:

Потім для кожного :

де - раундова функція. - раундовий 128-бітний ключ

На виході

Функція раунду

Обчислюється таким чином:

Для раундів 1,3,5,7:

Для раундів 2,4,6,8:

Функція FL

На вхід функції подається 32-бітний блок даних I і 32-бітний ключ 'KL i ', який поділяється на два 16-бітових підключа:

.

Вхідна рядок I поділяється на дві частини по 16 біт:

.

Визначимо:

Де - циклічний зсув вліво на 1 біт.

На виході .

Функція FO

На вхід функції подається 32-бітний блок даних і два ключі по 48 біт: .

Вхідний рядок I розділяється на дві частини по 16 біт: .

48-бітові ключі поділяються на три частини кожен:

і .

Потім для визначимо:

На виході .

Функція FI

На вхід функції подається 16-бітний блок даних 'I і 16-бітний ключ 'KI i, j .

Вхід I поділяється на дві нерівні складові: 9-бітну ліву частину L 0 і 7-бітну праву R 0 :

.

Точно так же ключ KI i, j, поділяється на 7-бітну компоненту KI i, j, 1 і 9 - бітну компоненту KI i, j, 2 :

.

Функція використовує два S-блоку: S7 який відображає 7-бітний вхід в 7-бітний вихід, і S9 який відображає 9-бітний вхід в 9-бітний вихід.

Також використовуються ще дві функції:

Перетворює 7-бітове значення x в 9-бітове значення додаванням двох нулів в старші біти.
Перетворює 9-бітове значення x в 7-бітове викреслюванням з нього двох старших бітів.

Функція реалізується наступним набором операцій:

Функція повертає значення .

Отримання раундових ключів

Кожен раунд KASUMI отримує ключі із загального ключа K наступним чином:

  • 128-бітний ключ K поділяється на 8:
  • Обчислюється другий масив 'K j ':

де 'C j ' визначаються за таблицею:

C10x0123
С20x4567
С30x89AB
С40xCDEF
С50xFEDC
С60xBA98
С70x7654
С80x3210
  • Ключі для кожного раунду обчислюються за наступною таблицею:
Ключ12345678
K1<<<1K2<<<1K3<<<1K4<<<1K5<<<1K6<<<1K7<<<1K8<<<1
K3'K4'K5'K6'K7'K8'K1'K2'
K2<<<5K3<<<5K4<<<5K5<<<5K6<<<5K7<<<5K8<<<5K1<<<5
K6<<<8K7<<<8K8<<<8K1<<<8K2<<<8K3<<<8K4<<<8K5<<<8
K7<<<13K8<<<13K1<<<13K2<<<13K3<<<13K4<<<13K5<<<13K6<<<13
K5'K6'K7'K8'K1'K2'K3'K4'
K4'K5'K6'K7'K8'K1'K2'K3'
K8'K1'K2'K3'K4'K5'K6'K7'

де X <<< n - циклічний зсув на n біт вліво.

Криптоаналіз

У 2001 році була представлена атака методом неможливих диференціалів. Автор - Ульріх Кен (2001).[2]

У 2003 році Елад Баркан, Елі Біхамом і Натан Келлер продемонстрували атаку з посередником на протокол GSM, що дозволяє обійти шифр A5/3 і таким чином зламати протокол. Однак, цей підхід не зламує шифр A5/3 безпосередньо. [3] Повна версія була опублікована пізніше, в 2006. [4]

У 2005 році Елі Біхамом, Орр Дункельман і Натан Келлер опублікували атаку на KASUMI методом бумеранга, яка зламує шифр швидше, ніж повний перебір. Для атаки потрібно обраних відкритих текстів, кожен з яких був зашифрований одним з 4 пов'язаних ключів, і має складність за часом, еквівалентну шифрування KASUMI. Ця атака показує небезпечність шифрування KASUMI в 3G мережах.

Примітки

  1. Архівована копія. Архів оригіналу за 11 квітня 2012. Процитовано 24 червня 2012.
  2. Архівована копія. Архів оригіналу за 11 жовтня 2013. Процитовано 24 червня 2012.
  3. Архівована копія. Архів оригіналу за 16 грудня 2005. Процитовано 16 грудня 2005.
  4. http://www.cs.technion.ac.il/users/wwwb/cgi-bin/tr-get.cgi/2006/CS/CS-2006-07.pdf
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.