WikiDer > КАСУМИ - Википедия
Общий | |
---|---|
Дизайнеров | Mitsubishi Electric |
Происходит от | MISTY1 |
Деталь шифра | |
Ключевые размеры | 128 бит |
Размеры блоков | 64 бит |
Структура | Сеть Фейстеля |
Раундов | 8 |
КАСУМИ это блочный шифр используется в UMTS, GSM, и GPRS мобильная связь В UMTS KASUMI используется в конфиденциальность (f8) и честность алгоритмы (f9) с именами UEA1 и UIA1 соответственно.[1]В GSM KASUMI используется в A5 / 3 генератор ключевого потока и в GPRS в GEA3 генератор ключевого потока.
КАСУМИ был разработан для 3GPP для использования в системе безопасности UMTS Группа экспертов по алгоритмам безопасности(SAGE), часть Европейского органа по стандартизации ETSI.[2]Из-за нехватки времени в стандартизации 3GPP вместо разработки нового шифра SAGE согласовала с группой технических спецификаций 3GPP (TSG) системные аспекты безопасности 3G (SA3), чтобы основать разработку на существующем алгоритме, который уже прошел некоторую оценку.[2]Они выбрали алгоритм шифрования MISTY1 развитый[3]и запатентовано[4]к Mitsubishi Electric Corporation. Исходный алгоритм был немного изменен для упрощения аппаратной реализации и соответствия другим требованиям безопасности мобильной связи 3G.
КАСУМИ назван в честь оригинального алгоритма MISTY1 — 霞 み (хирагана か す み, ромадзи касуми) это Японский слово для «тумана».
В январе 2010 г. Орр Дункельман, Натан Келлер и Ади Шамир выпустили документ, показывающий, что они могут сломать Касуми с помощью атака по связанным ключам и очень скромные вычислительные ресурсы; эта атака неэффективна против MISTY1.[5]
Описание
Алгоритм KASUMI указан в технической спецификации 3GPP.[6]KASUMI - это блочный шифр со 128-битным ключом и 64-битным вводом и выводом. Ядро КАСУМИ - это восьмицилиндровый Сеть Фейстеля. Раундовые функции в основной сети Фейстеля представляют собой необратимые преобразования сети Фейстеля. В каждом раунде функция раунда использует раундовый ключ, который состоит из восьми 16-битных подключей, полученных из исходного 128-битного ключа с использованием фиксированного расписания ключей.
Ключевой график
128-битный ключ K разделен на восемь 16-битных подключей Kя:
Дополнительно модифицированный ключ K ', аналогично разделены на 16-битовые ключи K 'я, используется. Модифицированный ключ получается из исходного ключа с помощью XOR с 0x123456789ABCDEFFEDCBA9876543210 (выбранным как номер "ничего в рукаве").
Ключи раунда получаются либо из подключаемых ключей путем побитового вращения влево на заданное значение, либо из модифицированных подключаемых ключей (без изменений).
Круглые клавиши следующие:
Добавления индексов под-ключа являются циклическими, так что если я + j больше 8, чтобы получить фактический индекс подключа, нужно вычесть 8 из результата.
Алгоритм
Алгоритм KASUMI обрабатывает 64-битное слово в двух 32-битных половинах, слева () и вправо (Входное слово представляет собой объединение левой и правой половин первого раунда:
.
В каждом раунде правая половина подвергается операции XOR с выходом функции раунда, после чего половины меняются местами:
куда KLя, КОя, KIя круглые ключи яth круглый.
Функции раундов для четных и нечетных раундов немного отличаются. В каждом случае функция раунда представляет собой композицию двух функций. FLя и FOя.Для нечетного раунда
и для равного раунда
.
Результатом является конкатенация результатов последнего раунда.
.
Обе FL и FO функции делят 32-битные входные данные на две 16-битные половины. FL функция - это необратимая битовая манипуляция, в то время как FO функция - необратимая трехэтапная сеть типа Фейстеля.
Функция FL
32-битный ввод Икс из делится на две 16-битные половины .Сначала левая половина ввода побитовое AND с круглым ключом и повернут влево на один бит. Результатом этого является XOR'ed к правой половине ввода. чтобы получить правую половину вывода .
Тогда правая половина вывода побитовое ИЛИ с круглым ключом и повернут влево на один бит. Результатом этого является операция XOR с левой половиной ввода. чтобы получить левую половину вывода .
Результатом функции является объединение левой и правой половин. .
Функция FO
32-битный ввод Икс из делится на две 16-битные половины , и прошел через три раунда сети Фейстеля.
В каждом из трех раундов (индексируется j который принимает значения 1, 2 и 3) левая половина модифицируется для получения новой правой половины, а правая половина становится левой половиной следующего раунда.
Выход функции: .
Функция FI
Функция FI представляет собой нерегулярную сеть типа Фейстеля.
16-битный ввод функции делится на две половины из которых имеет ширину 9 бит и имеет ширину 7 бит.
Биты в левой половине сначала перетасовываются 9-битным коробка замены (S-коробка) S9 и результат подвергается операции XOR с расширенной нулем правой половиной получить новую 9-битную правую половину .
Биты правой половины перетасовываются 7-битным S-блоком S7 и результат подвергается операции XOR с семью младшими битами (LS7) новой правой половины чтобы получить новую 7-битную левую половину .
Промежуточное слово выполняется XOR с круглым ключом KI, чтобы получить из которых имеет ширину 7 бит и имеет ширину 9 бит.
Биты в правой половине затем перетасовываются 9-битным S-блоком S9 и результат подвергается операции XOR с расширенной нулем левой половиной чтобы получить новую 9-битную правую половину вывода .
Наконец, кусочки левой половины перетасовываются 7-битным S-блоком S7 и результат подвергается операции XOR с семью младшими битами (LS7) правой половины вывода чтобы получить 7-битную левую половину вывода.
Результат - объединение последней левой и правой половин. .
Ящики для замены
В коробки замены (S-блоки) S7 и S9 определяются как поразрядными выражениями И-XOR, так и таблицами поиска в спецификации. Побитовые выражения предназначены для аппаратной реализации, но в настоящее время принято использовать даже таблицы поиска. в исполнении HW.
S7 определяется следующим массивом:
int S7[128] = { 54, 50, 62, 56, 22, 34, 94, 96, 38, 6, 63, 93, 2, 18,123, 33, 55,113, 39,114, 21, 67, 65, 12, 47, 73, 46, 27, 25,111,124, 81, 53, 9,121, 79, 52, 60, 58, 48,101,127, 40,120,104, 70, 71, 43, 20,122, 72, 61, 23,109, 13,100, 77, 1, 16, 7, 82, 10,105, 98, 117,116, 76, 11, 89,106, 0,125,118, 99, 86, 69, 30, 57,126, 87, 112, 51, 17, 5, 95, 14, 90, 84, 91, 8, 35,103, 32, 97, 28, 66, 102, 31, 26, 45, 75, 4, 85, 92, 37, 74, 80, 49, 68, 29,115, 44, 64,107,108, 24,110, 83, 36, 78, 42, 19, 15, 41, 88,119, 59, 3};
S9 определяется следующим массивом:
int S9[512] = { 167,239,161,379,391,334, 9,338, 38,226, 48,358,452,385, 90,397, 183,253,147,331,415,340, 51,362,306,500,262, 82,216,159,356,177, 175,241,489, 37,206, 17, 0,333, 44,254,378, 58,143,220, 81,400, 95, 3,315,245, 54,235,218,405,472,264,172,494,371,290,399, 76, 165,197,395,121,257,480,423,212,240, 28,462,176,406,507,288,223, 501,407,249,265, 89,186,221,428,164, 74,440,196,458,421,350,163, 232,158,134,354, 13,250,491,142,191, 69,193,425,152,227,366,135, 344,300,276,242,437,320,113,278, 11,243, 87,317, 36, 93,496, 27, 487,446,482, 41, 68,156,457,131,326,403,339, 20, 39,115,442,124, 475,384,508, 53,112,170,479,151,126,169, 73,268,279,321,168,364, 363,292, 46,499,393,327,324, 24,456,267,157,460,488,426,309,229, 439,506,208,271,349,401,434,236, 16,209,359, 52, 56,120,199,277, 465,416,252,287,246, 6, 83,305,420,345,153,502, 65, 61,244,282, 173,222,418, 67,386,368,261,101,476,291,195,430, 49, 79,166,330, 280,383,373,128,382,408,155,495,367,388,274,107,459,417, 62,454, 132,225,203,316,234, 14,301, 91,503,286,424,211,347,307,140,374, 35,103,125,427, 19,214,453,146,498,314,444,230,256,329,198,285, 50,116, 78,410, 10,205,510,171,231, 45,139,467, 29, 86,505, 32, 72, 26,342,150,313,490,431,238,411,325,149,473, 40,119,174,355, 185,233,389, 71,448,273,372, 55,110,178,322, 12,469,392,369,190, 1,109,375,137,181, 88, 75,308,260,484, 98,272,370,275,412,111, 336,318, 4,504,492,259,304, 77,337,435, 21,357,303,332,483, 18, 47, 85, 25,497,474,289,100,269,296,478,270,106, 31,104,433, 84, 414,486,394, 96, 99,154,511,148,413,361,409,255,162,215,302,201, 266,351,343,144,441,365,108,298,251, 34,182,509,138,210,335,133, 311,352,328,141,396,346,123,319,450,281,429,228,443,481, 92,404, 485,422,248,297, 23,213,130,466, 22,217,283, 70,294,360,419,127, 312,377, 7,468,194, 2,117,295,463,258,224,447,247,187, 80,398, 284,353,105,390,299,471,470,184, 57,200,348, 63,204,188, 33,451, 97, 30,310,219, 94,160,129,493, 64,179,263,102,189,207,114,402, 438,477,387,122,192, 42,381, 5,145,118,180,449,293,323,136,380, 43, 66, 60,455,341,445,202,432, 8,237, 15,376,436,464, 59,461};
Криптоанализ
В 2001 г. невозможная дифференциальная атака на шести раундах КАСУМИ был представлен Кюн (2001).[7]
В 2003 году Элад Баркан, Эли Бихам и Натан Келлер продемонстрировали атаки человек-посередине против GSM протокол, который избегает шифра A5 / 3 и тем самым нарушает протокол. Однако этот подход не атакует шифр A5 / 3.[8] Полная версия их статьи была опубликована позже в 2006 году.[9]
В 2005 году израильские исследователи Эли Бихам, Орр Дункельман и Натан Келлер опубликовали связанный ключ прямоугольник (бумеранг) атака на КАСУМИ, который может разбить все 8 раундов быстрее, чем исчерпывающий поиск.[10]Атака требует 254.6 выбранные открытые тексты, каждый из которых был зашифрован одним из четырех связанных ключей и имеет временную сложность, эквивалентную 276.1 KASUMI шифрование. Хотя это, очевидно, не практическая атака, она сводит на нет некоторые доказательства безопасности протоколов 3GPP, которые полагались на предполагаемую силу KASUMI.
В 2010 году Дункельман, Келлер и Шамир опубликовали новую атаку, которая позволяет злоумышленнику восстановить полный ключ A5 / 3 путем атака по связанным ключам.[5] Временная и пространственная сложность атаки достаточно низка, поэтому авторы провели атаку за два часа на Intel Core 2 Duo настольный компьютер даже с использованием неоптимизированной эталонной реализации KASUMI. Авторы отмечают, что эта атака может быть неприменима к способу использования A5 / 3 в системах 3G; их главная цель заключалась в том, чтобы опровергнуть заверения 3GPP в том, что их изменения в MISTY не окажут существенного влияния на безопасность алгоритма.
Смотрите также
Рекомендации
- ^ «Проект отчета SA3 №38» (PDF). 3GPP. 2005 г.
- ^ а б «Общий отчет о разработке, спецификации и оценке стандартных алгоритмов конфиденциальности и целостности 3GPP» (PDF). 3GPP. 2009 г.
- ^ Мацуи, Мицуру; Токита, Тошио (декабрь 2000 г.). «Разработка алгоритмов MISTY, KASUMI и Camellia Cipher» (PDF). Mitsubishi Electric Advance. Mitsubishi Electric corp. 100: 2–8. ISSN 1345-3041. Архивировано из оригинал (PDF) на 2008-07-24. Получено 2010-01-06.
- ^ США 7096369, Мацуи, Мицуру и Тошио Токита, «Устройство преобразования данных и метод преобразования данных», опубликовано 19 сентября 2002 г., опубликовано 22 августа 2006 г.
- ^ а б Орр Дункельман; Натан Келлер; Ади Шамир (10.01.2010). «Практическая атака на криптосистему A5 / 3, используемую в телефонии GSM третьего поколения». Цитировать журнал требует
| журнал =
(помощь) - ^ «3GPP TS 35.202: Спецификация алгоритмов конфиденциальности и целостности 3GPP; Документ 2: Спецификация Kasumi». 3GPP. 2009 г.
- ^ Кюн, Ульрих. Криптоанализ уменьшенного раунда MISTY. ЕВРОКРИПТ 2001. CiteSeerX 10.1.1.59.7609.
- ^ Элад Баркан, Эли Бихам, Натан Келлер. Мгновенный криптоанализ зашифрованной связи GSM с использованием только зашифрованного текста (PDF). CRYPTO 2003. С. 600–616.CS1 maint: несколько имен: список авторов (связь)
- ^ Элад Баркан, Эли Бихам, Натан Келлер. «Мгновенный криптоанализ зашифрованной связи GSM с использованием только зашифрованного текста, сделанный Барканом и Бихамом из Техниона (полная версия)» (PDF).CS1 maint: несколько имен: список авторов (связь)
- ^ Эли Бихам, Орр Дункельман, Натан Келлер. Атака прямоугольником связанных клавиш на весь КАСУМИ. ASIACRYPT 2005. С. 443–461. Архивировано из оригинал (пс) на 2013-10-11.CS1 maint: несколько имен: список авторов (связь)