پرش به محتوا

ای۵/۱

از ویکی‌پدیا، دانشنامهٔ آزاد

A۵/۱ یک رمز دنباله‌ای است که در جهت حفظ حریم خصوصی در تلفن‌های همراه استاندارد جی‌اس‌ام به کار رفته‌است. این سیستم رمزنگاری در ابتدا به شکل محرمانه ارائه شد، این رمز یکی از هفت رمزی است که مختص جی‌اس‌ام ساخته شد امّا بعداً به‌واسطهٔ مهندسی معکوس به شکل عمومی شناخته شد. ضعف‌های جدی و قابل توجّه‌ای در این سیستم رمزنگاری وجود دارد.

تاریخچه و موارد استفاده

[ویرایش]
ای۵/۱

A۵/۱ در اروپا و ایالات متّحدهٔ آمریکا مورد استفاده قرار می‌گرفت. سیستم رمز A۵/۲ یک نسخهٔ عمداً ضعیف‌شدهٔ این الگوریتم بود که برای صادرات به برخی از کشورها مورد استفاده قرار گرفت.[۱] A۵/۱ در سال ۱۹۸۷ و در زمانی که جی‌اس‌ام هنوز در خارج از اروپا مورد استفاده نبود طراحی شد، درصورتی‌که A۵/۲ در سال ۱۹۸۹ طراحی شد. گرچه هر دو الگوریتم پس از طراحی محرمانه باقی‌ماندند، امّا طراحی کلی آن‌ها در سال ۱۹۹۴ لو رفت. همچنین این الگوریتم‌ها در سال ۱۹۹۹ به صورت کامل، از طریق مهندسی معکوس توسط مارک بریکنو لو رفتند. در سال ۲۰۰۰ حدود ۱۳۰ میلیون مشتری از A۵/۱ برای حفظ محرمانگی مکالماتشان استفاده می‌کردند. این عدد در سال ۲۰۱۴ به ۷ میلیارد نفر رسید.

الگوریتم

[ویرایش]
هر رجیستر یک بیت دارد که شیفت خوردن آن در هر کلاک از روی آن معلوم می‌شود. اگر بیت متناظر با هر ثبات با بیتی که اکثریت را بین سه بیت زرد رنگ تشکیل می‌دهد برابر باشد، آنگاه آن ثبات شیفت می‌خورد.

در سیستم A۵/۱ در هر ۴٫۶۱۵ هزارم ثانیه، ۱۱۴ بیت ارسال می‌شود. این ۱۱۴ بیت با دنبالهٔ ۱۱۴ بیتی که از یک مولد خارج می‌شود، XOR شده و سپس مدوله شده و ارسال می‌شود. A۵/۱ برای فعال‌سازی به یک کلید ۶۴ بیتی و یک عدد ۲۲ بیتی عمومی به نام شمارهٔ فریم نیاز دارد. پیاده‌سازی‌های قدیمی‌تر جی‌اس‌ام، برای تولید کلید از Comp128v۱ استفاده می‌کردند که ده بیت کلید خروجی آن همواره برابر صفر بود و در واقع طول مؤثّر کلید در آن ۵۴ بیت بود. این ضعف با معرّفی Comp128v۲ بر طرف شد. هنگام کار کردن در مد GPRS/EDGE، پهنای باند بیشتر اجازهٔ استفاده از فریم‌های ۳۴۸ بیتی را نیز فراهم می‌کند. در این شرایط در رمز دنباله‌ای از A۵/۳ استفاده می‌شود. در A۵/۱ از سه ثبات تغییر بازخورد خطی با کلاک نامنظّم استفاده می‌شود که XOR خروجی آنها، به عنوان خروجی مولد مورد استفاده قرار می‌گیرد.

شماره
ثبات
تعداد
بیت‌ها
چندجمله‌ای
فیدبک
بیت
کلاک
بیت‌های
تپ شده
۱ ۱۹ ۸ ۱۳, ۱۶, ۱۷, ۱۸
۲ ۲۲ ۱۰ ۲۰, ۲۱
۳ ۲۳ ۱۰ ۷, ۲۰, ۲۱, ۲۲

اعمال کلاک به هر ثبات در هر کلاک توسط قاعدهٔ اکثریت تعیین می‌شود. هر رجیستر یک بیت دارد که شیفت خوردن آن در هر کلاک از روی آن معلوم می‌شود. (این بیت با رنگ زرد در شکل نمایش داده شده‌است.) اگر بیت متناظر با هر ثبات با بیتی که اکثریت را بین سه بیت مذکور تشکیل می‌دهد برابر باشد، آنگاه آن ثبات شیفت می‌خورد. بنابرین در هر سیکل، حداقل دو ثبات شیفت خورده و همچنین در هر کلاک هر ثبات به احتمال ۳/۴ شیفت می‌خورد. در ابتدا تمام ثبات‌ها با مقدار اولیّهٔ صفر مقداردهی می‌شوند، سپس طی ۶۴ کلاک، پیش از کلاک iام، کم‌ارزش‌ترین بیت هر رجیستر با بیت iام کلید XOR می‌شود.

به طریق مشابه ۲۲ بیت بعدی هم طی ۲۲ کلاک اضافه می‌شود. سپس ثبات‌ها برای ۱۰۰ کلاک کار می‌کنند. از آن به بعد خروجی آن‌ها برای رمز دنباله‌ای استفاده می‌شود.

امنیت

[ویرایش]
پیامی روی صفحهٔ تلفن همراه در رابطه با عدم وجود رمزنگاری

چند حمله به A۵/۱ منتشر شده و گفته می‌شود بر اساس آن ها آژانس امنیت ملی آمریکا می‌تواند A۵/۱ را رمزگشایی کند. برخی از حمله‌ها به پیش‌پردازش سنگینی نیاز داشتند که پس از آن، امکان رمزگشایی در چند دقیقه یا چند ثانیه فراهم می‌شد. اکثر این حملات، حمله متن آشکار بودند. در سال ۲۰۰۳، با توجه به یافتن نقاط ضعف جدید، حمله متن رمز شده نیز برای این سیستم یافت شد. در سال ۲۰۰۶، الاد بارکان، الی بایهام و ناتان کلر حملاتی در برابر A۵/۱ و A۵/۳ یافتند که به مهاجمان اجازهٔ شنود مکالمات و رمزگشایی بلادرنگ آن‌ها را می‌داد.

بر اساس گفته‌های پروفسور جان آرلید آدستد در پروسه‌ی استاندارد کردن که در سال ۱۹۸۲ شروع شده بود، در اصل پیشنهاد شده بود که A۵/۱ کلیدی به طول ۱۲۸ بیت داشته باشد که در آن زمان انتظار داشتند که مدت رمزگشایی اش ۱۵ سال باشد. البته الان این باور هست که ۱۲۸ بیت تا زمان رمزنگاری پساکوانتوم خواهد بود. آدستد، پیتر ون در آرند، توماس هاگ می‌گویند بریتانیایی‌ها بر رمزنگاری ضغیف تاکید داشتند، هاگ می‌گوید که نماینده‌ی بریتانیا به او گفت که این کار برای این است که سرویس امنیتی بریتانیا راحت تر استراق سمع کند. بریتانیایی ها پیشنهاد استفاده از کیلید ۴۸ بیتی را دادند، در حالی که آلمان غربی خواهان رمزنگاری قوی تری بود که از آن‌ها در برابر جاسوسی‌های آلمان شرقی محافظت کند، به همین خاطر طول کلید رمز ۵۴ بیت شد.

حملات متن آشکار

[ویرایش]

اولین حمله به A۵/۱ توسط راس اندرسون در سال ۱۹۹۴ انجام شد. ایدهٔ اصلی این حمله حدس زدن محتویات ثبات یک و دو و نیمی از محتویات ثبات سه بود. بدین ترتیب می‌توان زمان شیفت خوردن ثبات‌ها و در نتیجهٔ آن مقدار نیمهٔ دوم ثبات سوم را هم حدس زد.

در سال ۱۹۹۷ گالیچ حمله‌ای مبتنی بر حل دستگاه معادلات خطی ارائه کرد که با پیچیدگی ۲۴۰٫۱۶ قابل اجرا بود.

در سال ۲۰۰۰، الکس بیریوکف، آدی شمیر و دیوید وگنر با توجه به حملهٔ گالیچ[۲] نشان دادند که A۵/۱ را می‌توان به شکل بلادرنگ و با یک حملهٔ بده بستان زمان-حافظه شکست.[۳] یک بده بستان مهاجم را قادر می‌ساخت تا کلید را طی یک ثانیه از روی دو دقیقه متن آشکار بدست آورد. همچنین می‌توان کلید را طی چند دقیقه از روی دو ثانیه متن رمز شده بدست آورد. اما این حمله نیاز به پیش‌پردازشی با ۲۴۸ بیت روی حدود ۳۰۰GB داشت.

همان سال الی بایهام و ار دانکلمن حمله‌ای با پیچیدگی ۲۳۹٫۹۱ با ۲۲۰٫۸ بیت آشکار متن اصلی ارائه کردند. این حمله ۳۲GB حافظه و پیش‌پردازشی به مقدار ۲۳۸ نیاز داشت.[۴]

پاتریک اکدال و توماس جانسون حمله‌ای مرتبط با مرحلهٔ مقداردهی اوّلیه برای A۵/۱ یافتند که می‌توانست با استفاده از دو تا پنج دقیقه از مکالمهٔ آشکار، رمز را بشکند.[۵] این حمله به هیچ گونه پیش‌پردازش نیاز نداشت. پیش‌پردازش لازم نداشت. ماکسیمف این حمله را ارتقاء داد تا با چند ثانیه از مکالمهٔ آشکار، در کمتر از یک دقیقه رمز شکسته شود. در سال ۲۰۰۵ الاد بارکان و الی بایهام این حمله را باز هم ارتقاء دادند.[۶]

حمله به A۵/۱ در جی‌اس‌ام

[ویرایش]

در سال ۲۰۰۳ الاد بارکان، الی بایهام و ناتان کلر، چند حمله به رمزهای مورد استفاده در جی‌اس‌ام مطرح کردند.[۷]

سپس در سال ۲۰۰۶، با تکمیل مقاله‌ای که در سال ۲۰۰۳ ارائه شد، حملاتی به سیستم رمزنگاری A۵/۲ منتشر کردند. نویسندگان ادعا کردند:

«ما یک روش کاربردی برای زمزگشایی فقط متن‌رمز شده از ارتباطات رمز‌شده‌ی جی اس ام و چند حمله‌ی فعال بر روی پروتوکل جی اس ام، را ارائه می‌کنیم. این حمله ها حتی می‌تواند به شبکه جی اس ام که رمزنگاری غیر شکننده استفاده می‌کند رخنه کنند. ابتدا حمله‌ی فقط متن رمزی بر روی A5/2 که نیازمند چند ده میلی ثانیه مکالمه‌ی سلولار رمز شده و پیدا کردن کلید بر روی کامپیوتر شخصی در کمتر از یک ثانیه است. ما این حمله رو به یک فقط متن‌ رمزی پیچیده تر بروی A5/1 توصعه دادیم. بعد یک حمله‌ی فعال دیگر برروی پروتکل های شبکه که از A5/1 A5/3 یا GPRS استفاده می‌کنند، ساختیم. این حمله ها نقص های پروتکل های GSM رو آشکار می‌کنند و هر وقت که موبایلی از رمزگذاری ضعیفی مانند A5/2 استفادع مد، کار می‌کنند. ما تایید می‌کنیم که این حمله ها بر روی پروتکل هستند و مناسب زمانی هستتد که موبایل از رمز ضعیفی استفاده می‌کند، برای مثال آن ها مناسب حمله به شبکه A5/3 که از رمزگذاری A5/1 استفاده می‌کنند هستند. بر خلاف حمله های قبلی بر روی جی اس ام که نیازمند اطلاعات غیر واقعی اند مانند دانستن پریود متن، حمله های ما خیلی کاربردی و نیازمند به دانستن متن مکالمه نیستند. و نتیجه این شد که با حمله های ما حمله کننده هر موقع بخواهد می تواند متن رمز شده را بی درنگ یا پس از هر مدتی که بخواهد داشته باشد»

در سال ۲۰۰۷ دانشگاه‌های بوخوم و کیل یک پروژهٔ تحقیقاتی در رابطه با پیاده‌سازی یک حمله‌کننده موازی و مبتنی بر مدار مجتمع دیجیتال برنامه‌پذیر (FPGA) به نام COPACOBANA را اجرا کردند. این اولّین پیاده‌سازی عملی بود که از حملات بده بستان زمان حافظه برای حمله به A۵/۱ و A۵/۲ محبوب استفاده شده بود.[۸] همچنین اینکار امکان حمله جستجوی فراگیر در برابر جی اس ام که را با حذف کردن نیاز زیاد به پیش محاسبات و Lookup table، را ممکن می‌کند.

در سال ۲۰۰۸ گروه The Hackers Choice پروژه‌ای برای پیاده‌سازی یک حمله عملی به A۵/۱ اجرا کردند. این حمله یک Lookup table به اندازهٔ تقریباً ۳ ترابایت لازم داشت. با این روش این گروه قادر بود تا طی سه تا پنج دقیقه، کلید را بدست آورده و پس از آن مکالمات و پیامک‌ها را رمزگشایی کند. البته این Lookup tableها منتشر نشد.[۹]

در یک تلاش مشابه، پروژه A۵/۱ Cracking در کنفرانس امنیت Black Hat در سال ۲۰۰۹ توسط کارستن ناهل و ساشا کریتلر اعلام شد. در این پروژه Lookup tableها با استفاده از GPGPU ان‌ویدیا و توسط رایانش توزیع‌شده همتا به همتا ساخته شدند. از میانه های سپتامبر سال ۲۰۰۹ این پروژه بر روی ۱۲ کارت گرافیک انویدیا جی تی ایکس دویست و شست اجرا شد و بر اساس صحبت نویسنده ها این روش می‌تواند بر روی هر رمز گذاری ای که طول کلیدش کمتر از ۶۴ بیت است جواب دهد.

در دسامبر ۲۰۰۹، Lookup tableها برای حمله به A۵/۱ در پروژه A۵/۱ Cracking توسط کریس پگت و کارستن ناهل منتشر شد. این جدول‌ها از روش‌های فشرده‌سازی مانند جداول رنگین‌کمانی استفاده شده بود. این جداول حجم ۱.۷ ترابایت داشتند و طی چهار ماه و با استفاده از ۴۰ گره کودا (زبان برنامه‌نویسی) محاسبه شده بود و روی بیت‌تورنت و لینک مستقیم در گوگل درایو منتشر شد.[۹][۱۰][۱۱][۱۲][۱۳] اخیرا پروژه اعلام کرد که تغییر کرده به روش سریعتر کد ای تی آی اور گرین و همچنین ساحتار جدول ها تغییر کرده است و فرانک استیوسان شکستن A5/1 با استفاده از جدول‌های ساخته شده توسط

ای تی آی را اعلام کرد.

پرونده لو رفته توسط ادوارد اسنودن در سال ۲۰۱۳ نشان داد که NSA می تواند رمز های A5/1 را رمز گشایی کند.

از سال ۲۰۱۲ یک رایانه معمولی با یک پردازنده گرافیکی قوی و چند ترابایت حافظه فلش می‌توانست رمز A۵/۱ را طی چند ثانیه و با احتمال بیش از ۹۰٪ رمزگشائی کند.

منابع

[ویرایش]
  1. Quirke, Jeremy (2004-05-01). "Security in the GSM system" (PDF). AusMobile. Archived from the original (PDF) on 12 July 2004. Retrieved 18 June 2013.
  2. Golic, Jovan Dj. (1997). "Cryptanalysis of Alleged A5 Stream Cipher". EUROCRYPT 1997: 239–55. Archived from the original on 20 September 2008. Retrieved 18 June 2013.
  3. Biryukov, Alex. "Real Time Cryptanalysis of A5/1 on a PC". Fast Software Encryption—FSE 2000: 1–18. Archived from the original on 10 January 2014. Retrieved 18 June 2013. {{cite journal}}: Unknown parameter |coauthors= ignored (|author= suggested) (help)
  4. Biham, Eli (2000). "Cryptanalysis of the A5/1 GSM Stream Cipher". Indocrypt 2000: 43–51. {{cite journal}}: Unknown parameter |coauthors= ignored (|author= suggested) (help)
  5. Ekdahl, Patrik (2003). "Another attack on A5/1" (PDF). IEEE Transactions on Information Theory. 49 (1): 284–89. doi:10.1109/TIT.2002.806129. Archived from ( the original on 25 May 2005. Retrieved 18 June 2013. {{cite journal}}: Check |url= value (help); Unknown parameter |coauthors= ignored (|author= suggested) (help)
  6. Barkan, Elad (2005). "Conditional Estimators: An Effective Attack on A5/1". Selected Areas in Cryptography 2005: 1–19. {{cite journal}}: Unknown parameter |coauthors= ignored (|author= suggested) (help)
  7. Barkan, Elad (2003). "Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication" (PDF). Crypto 2003: 600–16. Archived from the original (PDF) on 16 December 2005. Retrieved 18 June 2013. {{cite journal}}: Unknown parameter |coauthors= ignored (|author= suggested) (help)
  8. Gueneysu, Tim (2008). "Cryptanalysis with COPACOBANA" (PDF). Transactions on Computers Nov. 2008. 57: 1498–1513. {{cite journal}}: Unknown parameter |coauthors= ignored (|author= suggested) (help)
  9. ۹٫۰ ۹٫۱ Nohl, Karsten (2009-12-27). GSM: SRSLY?. 26th Chaos Communication Congress (26C3):. Archived from the original on 6 January 2010. Retrieved 2009-12-30. {{cite conference}}: Unknown parameter |coauthors= ignored (|author= suggested) (help)نگهداری CS1: نقطه‌گذاری اضافه (link)
  10. https://har2009.org/program/attachments/119_GSM.A51.Cracking.Nohl.pdf بایگانی‌شده در ۲۶ ژوئیه ۲۰۱۱ توسط Wayback Machine Subverting the security base of GSM. Karsten Nohl and Sascha Krißler
  11. O'Brien, Kevin (2009-12-28). "Cellphone Encryption Code Is Divulged". New York Times. Archived from the original on 1 January 2010. Retrieved 2009-12-29.
  12. McMillan, Robert. "Hackers Show It's Easy to Snoop on a GSM Call". IDG News Service. Archived from the original on 20 January 2012. Retrieved 18 June 2013.

پیوند به بیرون

[ویرایش]