KASUMI

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 27. tammikuuta 2015 tarkistetusta versiosta . tarkastukset vaativat 13 muokkausta .

KASUMI
Luoja	ETSI
Luotu	1999
julkaistu	1999
Avaimen koko	128 bittinen
Lohkon koko	64-bittinen
Kierrosten lukumäärä	kahdeksan
Tyyppi	Feistelin verkkomuutos

KASUMI (japanista 霞 (hiragana かすみ, romaji kasumi) - sumu, sumu) on lohkosalaus , jota käytetään matkapuhelinverkoissa. UMTS:ssä sitä käytetään salaustoiminnoissa f8 ja f9 , GSM:ssä A5/3 -algoritmissa ja GPRS:ssä GEA/3 -algoritmissa , kaksi jälkimmäistä käyttävät KASUMI-salausta avaimen pituudella. 64 bittiä.

KASUMIn on kehittänyt SAGE (Security Algorithms Group of Experts), joka on osa European Telecommunications Standards Institute ( ETSI ) [1] . Nykyinen MISTY1- algoritmi otettiin pohjaksi ja optimoitiin käytettäväksi matkapuhelinviestinnässä.

Kuten kryptanalyytikot osoittivat vuonna 2010, muutosprosessin aikana MISTY1-algoritmin luotettavuus heikkeni: KASUMIssa on haavoittuvuuksia tietyntyyppisille hyökkäyksille, kun taas MISTY1 on vastustuskykyinen niitä vastaan. [2]

Kuvaus

KASUMI käyttää 64-bittistä lohkokokoa ja 128-bittistä avainta 8-kierroksen Feistel-mallissa. Kukin kierros käyttää 128-bittistä pyöreää avainta, joka koostuu kahdeksasta 16-bittisestä aliavaimesta, jotka on saatu alkuperäisestä avaimesta kiinteällä aliavaimen luontimenettelyllä.

Salausjärjestelmä

Perusalgoritmi

KASUMI on jaettu joukoksi funktioita (FL, FO, FI), joita käytetään yhdessä niihin liittyvien näppäinten kanssa (KL, KO, KI)

Syöttötietolohko I on jaettu kahteen yhtä suureen osaan:

I=L_{0}||R_{0}

Sitten jokaiselle : $1\leq i\leq 8$

R_{i}=L_{i-1}

L_{i}=R_{i-1}\oplus f_{i}(L_{i-1},RK_{i})

missä on pyöreä funktio. - pyöreä 128-bittinen avain $f_{i}$ ${\displaystyle RK_{i))$

RK_{i}=KL_{i}||KO_{i}||KI_{i}

Uloskäynnissä $(L_{8}||R_{8})$

Pyöreä funktio

Lasketaan seuraavasti:

Kierrokset 1,3,5,7:

f_{i}(I,RK_{i})=FO(FL(I,KL_{i}),KO_{i},KI_{i})

Kierrokset 2, 4, 6, 8:

f_{i}(I,RK_{i})=FL(FO(I,KO_{i},KI_{i}),KL_{i})

FL-toiminto

Toimintotulona on 32-bittinen datalohko I ja 32-bittinen avain KL i , joka on jaettu kahteen 16-bittiseen aliavaimeen:

KL_{i}=KL_{i,1}||KL_{i,2}

Syöttömerkkijono I on jaettu kahteen 16 bitin osaan:

I=L||R

Määritellään:

R'=R\oplus ROL(L\cap KL_{i,1})

L'=L\oplus ROL(R'\vee KL_{i,2})

Missä on syklinen siirto vasemmalle 1 bitin verran. $ROL(x)$

Uloskäynnissä . $(L'||R')$

FO-toiminto

Toimintotulo on 32-bittinen datalohko ja kaksi 48-bittistä näppäintä: . $KO_{i},KI_{i}$

Syöttömerkkijono I on jaettu kahteen 16 bitin osaan: . $I=L_{0}||R_{0}$

48-bittiset avaimet on jaettu kolmeen osaan:

KO_{i}=KO_{i,1}||KO_{i,2}||KO_{i,3}

ja .

KI_{i}=KI_{i,1}||KI_{i,2}||KI_{i,3}

Sitten määrittelemme: $1\leq j\leq 3$

{\displaystyle R_{j}=FI(L_{j-1}\oplus KO_{i,j},KI_{i,j})\oplus R_{j-1))

L_{j}=R_{j-1}

Uloskäynnissä . $(L_{3}||R_{3})$

FI-toiminto

Toimintotulo on 16-bittinen datalohko I ja 16-bittinen avain KI i, j .

Tulo I on jaettu kahteen epätasaiseen komponenttiin: 9-bittinen vasen puoli L 0 ja 7-bittinen oikea puoli R 0 :

I=L_{0}||R_{0}

Vastaavasti avain KI i, j jaetaan 7-bittiseksi KI i, j,1 -komponentiksi ja 9-bittiseksi KI i, j,2 -komponentiksi :

KI_{i,j}=KI_{i,j,1}||KI_{i,j,2}

Toiminto käyttää kahta S-laatikkoa: S7, joka yhdistää 7-bittisen tulon 7-bittiseen ulostuloon, ja S9, joka kartoittaa 9-bittisen tulon 9-bittiseen lähtöön.

On myös kaksi muuta toimintoa:

ZE(x)

Muuntaa 7-bittisen x-arvon 9-bittiseksi lisäämällä kaksi nollaa merkittävimpiin bitteihin.

TR(x)

Muuntaa 9-bittisen x-arvon 7-bittisiksi poistamalla siitä kaksi tärkeintä bittiä.

Toiminto toteutetaan seuraavilla operaatioilla:

L_{1}=R_{0}~~~~~~~~~~~~~~~~~~~~~~~~R_{1}=S9[L_{0}]\ plus ZE(R_{0})

L_{2}=R_{1}\oplus KI_{i,j,2}~~~~~~~~~~~~~R_{2}=S7[L_{1}]\oplus TR (R_{1})\oplus KI_{i,j,1}

L_{3}=R_{2}~~~~~~~~~~~~~~~~~~~~~~~~R_{3}=S9[L_{2}]\ plus ZE(R_{2})

{\displaystyle L_{4}=S7[L_{3}]\oplus TR(R_{3})~~~~~~R_{4}=R_{3))

Funktio palauttaa arvon . $(L_{4}||R_{4})$

S-lohkot

S-laatikot muuttavat 7 tai 9 bitin tulolohkon 7 tai 9 bitin lähtölohkoksi hakutaulukoiden avulla

Esimerkki: S7[30] = 124

Desimaalikorvaustaulukko S7-lohkolle:

S7[0-15]	54	viisikymmentä	62	56	22	34	94	96	38	6	63	93	2	kahdeksantoista	123	33
S7[16-31]	55	113	39	114	21	67	65	12	47	73	46	27	25	111	124	81
S7[32-47]	53	9	121	79	52	60	58	48	101	127	40	120	104	70	71	43
S7[48-63]	kaksikymmentä	122	72	61	23	109	13	100	77	yksi	16	7	82	kymmenen	105	98
S7[64-79]	117	116	76	yksitoista	89	106	0	125	118	99	86	69	kolmekymmentä	57	126	87
S7[80-95]	112	51	17	5	95	neljätoista	90	84	91	kahdeksan	35	103	32	97	28	66
S7[96-111]	102	31	26	45	75	neljä	85	92	37	74	80	49	68	29	115	44
S7[112-127]	64	107	108	24	110	83	36	78	42	19	viisitoista	41	88	119	59	3

Lohkon S9 desimaalikorvaustaulukko:

S9[0-15]	167	239	161	379	391	334	9	338	38	226	48	358	452	385	90	397
S9[16-31]	183	253	147	331	415	340	51	362	306	500	262	82	216	159	356	177
S9[32-47]	175	241	489	37	206	17	0	333	44	254	378	58	143	220	81	400
S9[48-63]	95	3	315	245	54	235	218	405	472	264	172	494	371	290	399	76
S9[64-79]	165	197	395	121	257	480	423	212	240	28	462	176	406	507	288	223
S9[80-95]	501	407	249	265	89	186	221	428	164	74	440	196	458	421	350	163
S9[96-111]	232	158	134	354	13	250	491	142	191	69	193	425	152	227	366	135
S9[112-127]	344	300	276	242	437	320	113	278	yksitoista	243	87	317	36	93	496	27
S9[128-143]	487	446	482	41	68	156	457	131	326	403	339	kaksikymmentä	39	115	442	124
S9[144-159]	475	384	508	53	112	170	479	151	126	169	73	268	279	321	168	364
S9[160-175]	363	292	46	499	393	327	324	24	456	267	157	460	488	426	309	229
S9[176-191]	439	506	208	271	349	401	434	236	16	209	359	52	56	120	199	277
S9[192-207]	465	416	252	287	246	6	83	305	420	345	153	502	65	61	244	282
S9[208-223]	173	222	418	67	386	368	261	101	476	291	195	430	49	79	166	330
S9[224-239]	280	383	373	128	382	408	155	495	367	388	274	107	459	417	62	454
S9[240-255]	132	225	203	316	234	neljätoista	301	91	503	286	424	211	347	307	140	374
S9[256-271]	35	103	125	427	19	214	453	146	498	314	444	230	256	329	198	285
S9[272-287]	viisikymmentä	116	78	410	kymmenen	205	510	171	231	45	139	467	29	86	505	32
S9[288-303]	72	26	342	150	313	490	431	238	411	325	149	473	40	119	174	355
S9[304-319]	185	233	389	71	448	273	372	55	110	178	322	12	469	392	369	190
S9[320-335]	yksi	109	375	137	181	88	75	308	260	484	98	272	370	275	412	111
S9[336-351]	336	318	neljä	504	492	259	304	77	337	435	21	357	303	332	483	kahdeksantoista
S9[352-367]	47	85	25	497	474	289	100	269	296	478	270	106	31	104	433	84
S9[368-383]	414	486	394	96	99	154	511	148	413	361	409	255	162	215	302	201
S9[384-399]	266	351	343	144	441	365	108	298	251	34	182	509	138	210	335	133
S9[400-415]	311	352	328	141	396	346	123	319	450	281	429	228	443	481	92	404
S9[416-431]	485	422	248	297	23	213	130	466	22	217	283	70	294	360	419	127
S9[432-447]	312	377	7	468	194	2	117	295	463	258	224	447	247	187	80	398
S9[448-463]	284	353	105	390	299	471	470	184	57	200	348	63	204	188	33	451
S9[464-479]	97	kolmekymmentä	310	219	94	160	129	493	64	179	263	102	189	207	114	402
S9[480-495]	438	477	387	122	192	42	381	5	145	118	180	449	293	323	136	380
S9[496-511]	43	66	60	455	341	445	202	432	kahdeksan	237	viisitoista	376	436	464	59	461

Pyöreiden avainten hankkiminen

Jokaisella kierroksella KASUMI saa avaimet julkisesta avaimesta K seuraavasti:

128-bittinen avain K jaetaan kahdeksalla:

{\displaystyle K=K_{1}||K_{2}||K_{3}||\dots ||K_{8))

Toinen taulukko K j lasketaan :

{\displaystyle K_{j'}=K_{j}\oplus C_{j))

jossa C j määritetään taulukon mukaan:

C1	0x0123
C2	0x4567
C3	0x89AB
C4	0xCDEF
C5	0xFEDC
C6	0xBA98
C7	0x7654
C8	0x3210

Kunkin kierroksen avaimet lasketaan seuraavan taulukon mukaan:

Avain	yksi	2	3	neljä	5	6	7	kahdeksan
$KL_{i,1}$	K1<<<1	K2<<<1	K3<<<1	K4<<<1	K5<<<1	K6<<<1	K7<<<1	K8<<<1
$KL_{i,2}$	K3'	K4'	K5'	K6'	K7'	K8'	K1'	K2'
$KO_{i,1}$	K2<<<5	K3<<<5	K4<<<5	K5<<<5	K6<<<5	K7<<<5	K8<<<5	K1<<<5
$KO_{i,2}$	K6<<<8	K7<<<8	K8<<<8	K1<<<8	K2<<<8	K3<<<8	K4<<<8	K5<<<8
$KO_{i,3}$	K7<<<13	K8<<<13	K1<<<13	K2<<<13	K3<<<13	K4<<<13	K5<<<13	K6<<<13
$KI_{i,1}$	K5'	K6'	K7'	K8'	K1'	K2'	K3'	K4'
$KI_{i,2}$	K4'	K5'	K6'	K7'	K8'	K1'	K2'	K3'
$KI_{i,3}$	K8'	K1'	K2'	K3'	K4'	K5'	K6'	K7'

missä X<<<n on syklinen siirto vasemmalle n bitillä.

Cryptanalysis

Vuonna 2001 otettiin käyttöön mahdoton differentiaalihyökkäys. Kirjailija: Ulrich Köhn (2001). [3]

Vuonna 2003 Elad Barkan, Eli Biham ja Nathan Keller osoittivat mies-in-the-middle-hyökkäyksen GSM-protokollaa vastaan, joka ohittaa A5/3-salauksen ja rikkoo siten protokollan. Tämä lähestymistapa ei kuitenkaan riko A5/3-salausta suoraan. [4] Täysi versio julkaistiin myöhemmin vuonna 2006. [5]

Vuonna 2005 Eli Biham, Orr Dunkelman ja Nathan Keller julkaisivat bumerangihyökkäyksen KASUMIa vastaan, joka murtaa salauksen nopeammin kuin raaka voima . [3] Hyökkäys vaatii valittuja selkeitä tekstejä, joista jokainen on salattu jollakin neljästä liittyvästä avaimesta, ja sen aikamonimutkaisuus vastaa KASUMI-salauksia. Tämä hyökkäys osoittaa KASUMI-salauksen epävarmuuden 3G-verkoissa. $2^{54.6}$ $2^{76.1}$

Tammikuussa 2010 Orr Dunkelman, Nathan Keller ja Adi Shamir julkaisivat paperin, joka osoitti Kasumin haavoittuvuuden Related -key- hyökkäykselle . Hyökkääjä voi palauttaa täydellisen A5/3-avaimen pienellä määrällä laskentaresursseja (tekijät arvioivat ne 2 26 dataa, 2 30 muistia ja 2 32 ajassa ja pystyivät toteuttamaan sen kahdessa tunnissa nykyaikaisessa henkilökohtaisessa tietokone). Kirjoittajat totesivat myös, että hyökkäys ei välttämättä sovellu tapaan, jolla KASUMIa käytetään 3G-verkoissa. Heidän kehittämänsä hyökkäys ei myöskään koske alkuperäistä MISTY:tä, ja he kyseenalaistavat 3GPP:n väitteet, joiden mukaan algoritmin turvallisuus ei vaarantunut KASUMIa luotaessa. [2]

Muistiinpanot

↑ (eng) Universal Mobile Telecommunications System (UMTS); 3GPP:n luottamuksellisuus- ja eheysalgoritmien määrittely; Asiakirja 2: Kasumi-erittely . ETSI (2007). Arkistoitu alkuperäisestä 11. huhtikuuta 2012. (määrätön)
↑ 1 2
* Orr Dunkelman, Nathan Keller, Adi Shamir. Käytännön aikahyökkäys kolmannen sukupolven GSM-puhelimessa käytettyyn A5/3-salausjärjestelmään // International Association for Cryptologic Research Eprint-arkisto : lehti. - 2010 - 10. tammikuuta. Arkistoitu alkuperäisestä 3. helmikuuta 2013.
- Käytännön aikaan liittyvä näppäinhyökkäys GSM- ja 3G-puhelimessa käytettyyn KASUMI-salausjärjestelmään // CRYPTO 2010, Tietojenkäsittelytieteen luentomuistiinpanot, nide 6223, 2010, s. 393-410 doi:10.1007/ 942-764 21
↑ 1 2 Eli Biham , Orr Dunkelman, Nathan Keller. Aiheeseen liittyvä suorakulmiohyökkäys koko KASUMIin . ASIACRYPT 2005.pp. 443–461. Arkistoitu alkuperäisestä (ps) 2013-10-11 . Haettu 27.11.2009 . Arkistoitu 11. lokakuuta 2013 Wayback Machinessa
↑ Elad Barkan, Eli Biham , Nathan Keller. GSM-salatun viestinnän välitön salakirjoitus (PDF) . CRYPTO 2003.s. 600–616. Arkistoitu alkuperäisestä (PDF) 16.12.2005. Käytöstä poistettu parametri |deadlink=( ohje );Parametrit |deadurl=ja |deadlink=toistaa toisiaan ( help ); Virheellinen arvo |dead-url=404( ohje ) Arkistoitu 16. joulukuuta 2005 Wayback Machinessa
↑ Elad Barkan, Eli Biham , Nathan Keller. Barkanin ja Biham of Technionin GSM-salatun viestinnän välitön salakirjoitus-salausanalyysi (täysi versio) . Arkistoitu alkuperäisestä 11. huhtikuuta 2012. (määrätön)

Symmetriset salausjärjestelmät
Suoratoista salauksia	A3 A5 A8 Desim F-FCSR Vilja HC-256 KCipher-2 MIKKI MUGI HAUKI Phelix RC4 Kani TIIVISTE LUMI SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistelin verkko	GOST 28147-89 (Magma) blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra SOPIMUS DES DESX DFC E2 enRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 UusiDES NDS RC5 RC6 SIEMEN Simon Sinopoli jätkä SM4 Speck TEE XTEA XXTEA Raiden RTEA Kolminkertainen DES Kaksi kalaa
SP verkko	Heinäsirkka 3 tapaa ABC AARIA AES (Rijndael) Akelarre Anubis BaseKing Basso Omatic Vyö CRYPTON Timantti 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer esittää Sateenkaari TURVALLISTA HAI NELIÖ Käärme kolme kalaa
Muut	SAMMAKKO NUSH REDOC SC2000 SHACAL CS-Cipher