Система Orphus

Система Orphus

A5: Требования, характеристики и анализ защищенности

Известные уязвимости

Особенности стандарта, резко ослабляющие защиту, а именно:

  • отсутствие перекрестных связей между регистрами (кроме управления сдвигами),
  • излишняя избыточность шифруемой служебной информации, известной криптоаналитику,
  • свыше 40 % ключей приводит к минимальной длине периода генерируемой последовательности, а именно \frac{4}{3}\left( {2^{23}  - 1} \right)
  • вначале сеанса осуществляется обмен нулевыми сообщениями (по одному кадру),

На основе этих «дыр» в алгоритме построены схемы взлома.

Известные атаки

Ключом является сессионный ключ длиной 64 бита, номер кадра считается известным.

Таким образом, сложность атаки основанной на прямом переборе равна 2^{64}.

Первые обзоры шифра (работа Росса Андерсона) сразу выявили уязвимость алгоритма — из-за уменьшения эффективной длины ключа (зануление 10 бит) сложность упала до 245 (сразу на 6 порядков). Атака Андерсона основана на предположении о начальном заполнении коротких регистров и по выходным данным получения заполнения третьего.

В 1997 году Йован Голич опубликовал результаты анализа А5. Он предложил способ определения первоначального заполнения регистров по известному отрезку гаммы длиной всего 64 бита. Этот отрезок получают из нулевых сообщений. Атака имеет среднюю сложность 240.

В 1999 году Вагнеру и Голдбергу без труда удалось продемонстрировать, что для вскрытия системы, достаточно перебором определить начальное заполнение R4. Проверка осуществляется за счёт нулевых кадров. Сложность этой атаки равна 217, таким образом, на современном компьютере вскрытие шифра занимает несколько секунд.

В декабре 1999 года группа израильских учёных (Ади Шамир, Алекс Бирюков, а позже и американец Шаблон:Не переведено) опубликовали весьма нетривиальный, но теоретически очень эффективный метод вскрытия A5/1: Шаблон:Цитата

Ссылки

Статья в Википедии


Система Orphus

Комментарии