<<
>>

Первые утечки, первые тревоги

Как бы строго ни контролировались коммерческие секреты, понятно, что широкое распространение продукции рано или поздно приводит к утечкам информации. В GSM они стали появляться уже в начале 90х годов.
К 1994 году основные детали алгоритма А5 уже были известны. Вопервых, British Telecom передала всю техническую документацию Брэдфордскому университету, забыв заключить соглашение о неразглашении информации. Вовторых, описание А5 появилось в материалах одной из конференций в Китае. Короче говоря, детали о конструкции алгоритма понемногу стали просачиваться в печать, и в конце концов кембриджские ученые М. Роу и Р. Андерсон опубликовали восстановленную по этим деталям примерную криптосхему в Интернете. Представляет схема собой следующее. А5 реализует поточный шифр на основе трех линейных регистров сдвига с неравномерным движением. Такого рода схемы на языке специалистов именуются «криптографией военного уровня» и при верном выборе параметров способны обеспечивать очень высокую стойкость шифра. Однако, в А5 длины регистров выбраны очень короткими – 19, 22 и 23 бита. Начальное заполнение этих регистров в сумме и дает 64битный сеансовый ключ шифрования в GSM. Уже одни эти укороченные длины регистров дают теоретическую возможность для хорошо известной криптографам лобовой атаки, когда перебирают заполнение двух первых регистров, восстанавливая содержимое третьего регистра по выходной шифрующей последовательности. Регистры сдвига в схеме А5 имеют не только короткую длину, но и слабые прореженные полиномы обратной связи. Это дает шансы на успех еще одной атаке – корреляционному анализу, позволяющему вскрывать ключ по просачивающейся в выход информации о заполнении регистров. В июне 1994 года др Саймон Шеферд из Брэдфордского университета должен был представить на коллоквиуме IEEE в Лондоне свой корреляционный способ вскрытия А5. Однако, в последний момент его выступление было запрещено спецслужбой GCHQ, Штабквартирой правительственной связи.
Доклад был сделан лишь на закрытой секции и опубликован в засекреченном сборнике [SS94]. Прошла еще пара лет, и до анализа А5 дошли руки у сербского криптографа дра Иована Голича, наиболее, вероятно, авторитетного в академических кругах специалиста по поточным шифрам [JG97]. С чисто теоретических позиций он описал атаку, позволяющую легко вскрывать начальные заполнения регистров всего по 64 битам шифрпоследовательности. (Справедливости ради надо, правда, отметить, что в реальности данная атака оказалась значительно более трудоемкой. Проведенный в стенах Microsoft эксперимент [PL98] действительно привел к вскрытию ключа, но понадобилось для этого около двух недель работы 32узлового кластера машин РП300. Практичной такую атаку никак не назовешь. Правда, и репутация у криптоэкспертов Microsoft, мягко говоря, не блестящая.) Но в той же работе Голича был описан и еще один метод, известный в криптоанализе под общим названием «балансировка времяпамять», позволяющий существенно сокращать время вскрытия за счет интенсивных предвычислений и хранения предварительных данных в памяти. Так, к примеру, можно было сократить количество опробований вариантов ключа всего до смешных 222 (вскрытие просто «влет»), но для этого требовались 64 терабайта дисковой памяти (что, понятное дело, тоже трудно назвать приемлемыми цифрами для практичной атаки). Но сама идея четко продемонстрировала метод постепенного выхода на реальное соотношение параметров. А вскоре пошли и сигналы уже о действительном вскрытии защиты системы GSM.
<< | >>
Источник: Бёрд Киви. Гигабайты власти. 2005

Еще по теме Первые утечки, первые тревоги:

  1. 3. ПЕРВЫЕ СТЫЧКИ
  2. «Психозы тревоги» — эндогенная тревога варианты тревожных состояний
  3. Глава 5 ПЕРВЫЕ УЧЕНИКИ
  4. Первые контакты
  5. Глава 3 ПЕРВЫЕ ОБЩЕНАЦИОНАЛЬНЫЕ ВЫБОРЫ
  6. Первые попытки
  7. ПЕРВЫЕ КОНТАКТЫ
  8. ПЕРВЫЕ ПОБЕДЫ
  9. Первые декреты
  10. Первые цари
  11. Глава третья ПЕРВЫЕ ОПЫТЫ ПИСЬМА