GSMネットワークセキュリティ：データ暗号化

免責事項この記事は情報提供のみを目的として公開されており、この記事で公開されている資料を使用する場合、著者は責任を負いません。

また、この記事でGSMトラフィックを聞くためのステップバイステップガイドを見つけることを期待している場合、またはこの記事を読んで、友人、知人、 ペットの電話での会話にアクセスすることを望んでいる場合は、それを無視する方が良いこともすぐに警告したいと思います ここでは何も面白いものは見つかりません。 本当に、カットの下に行かないでください、退屈です。

パート1：GSMセキュリティのハイライト

GSMネットワークで使用される暗号化アルゴリズムの説明に進む前に、ユーザーの認証方法と暗号化キーの生成方法について考えてみましょう。 これを行うために、ウィキペディアから借用した写真を使用します（品質に謝罪しますが、これ以上良いものは見つかりませんでした）。





この図では、次の手順を模式的に示しています。

1. オペレーターの電話がネットワークに接続されています。
2. 真正性を確認するために、電話はTMSI（Temporary Mobile Subscriber Identity）と呼ばれる特別な識別コードを送信します。
3. 認証センター（CA）は128ビットの乱数RANDを生成し、それをモバイルステーション（MS）に送信します。
4. MSは、プライベートキーK _iと認証アルゴリズムA3を使用して、受信したRAND番号を暗号化します。
5. MCは、前の手順で取得したシーケンスから最初の32ビットを取得し（SRES（署名付き応答）と呼びましょう）、CAに送り返します。
6. CAは同じ操作を行い、32ビットのXRESシーケンス（予期される応答）を受け取ります。
7. 次に、CAはSRESとXRESを比較します。 両方の値が等しい場合、電話は認証されたと見なされます。
8. MSとCAは、秘密鍵K _iと鍵生成アルゴリズムA8 K _c = A8 _ki （RAND）を使用してセッション暗号化鍵を計算します

認証アルゴリズムA3とキー生成アルゴリズムA8について言えば、実際にはほとんどのモバイルオペレーターがCOMP128と呼ばれるこの目的のために1つのアルゴリズムを使用していることに注意する必要があります（COMP128-1、COMP128-2、COMP128-3に多くの変更があります）。

COMP128は通常のハッシュ関数で、入力で128ビットシーケンスを受け取り、出力で96ビットシーケンスを返します。

そのため、認証に異なるアルゴリズムを使用してセッションキーを生成する代わりに、次のスキームが使用されます。

SRES = COMP128からの最初の32ビット（K _i || RAND）

K _c = COMP128の最後の64ビット（K _i || RAND）。

暗号化の常として、開発者の時間を節約しようとする試みは完全な失敗であることが判明しました。 GSMネットワークのセキュリティは、当初は「未知によるセキュリティ」の原則に基づいていました。 そして、1998年にMarc Briceno、Ian Goldberg、David Wagnerから成る研究者グループによってアルゴリズムが発見されたとき、1つの興味深い機能が明らかになりました。秘密鍵K _iの最後の10ビット_は常にゼロでした。 この奇妙な特性と、「誕生日の攻撃」に対するCOMP128の脆弱性を利用して、Marc Briceno、Ian Goldberg、David Wagnerは、SIMカードから秘密鍵K _iを抽出できました。

この研究の結果、COMP128アルゴリズムが広く拒否され、その技術的な詳細は秘密にされた、より信頼性の高い修正COMP128-2およびCOMP128-3に置き換えられました。 うーん...これは何かを思い出させますか？

パート2：A5 / 1暗号化アルゴリズム

次に、より一般的なものからよりプライベートなものに移り、電話での会話のGSM暗号化がどのように実装されるかについて話しましょう。

GSMの暗号化アルゴリズムとして、A5ファミリーのアルゴリズムが使用されます。 現在、そのうちの3つのみです。

• A5 / 1-現在最も一般的なストリーム暗号。
• A5 / 2は 、以前の「貧弱な」アルゴリズムの変形です。 彼の「兄」に非常に似ていますが、最初はA5 / 1の非常に弱体化したバージョンについて考えました。 現在使用されていません
• A5 / 3ブロック暗号。 廃止されたA5 / 1を置き換えるために2002年に設計されました。 ただし、現在は3GPPネットワークでのみ使用されています。 アルゴリズムに多くの脆弱性が見つかりましたが、実際の攻撃についてはまだ話がありません。

アルゴリズムA5 / 1をさらに詳しく考えてみましょう。

したがって、前述のように、A5 / 1はストリーム暗号です。 また、ウィキペディアの写真は急いで助けになります。



A5 / 1暗号の内部状態は、フィードバックR1、R2、R3、それぞれ長さ19、22、および23ビット（合計64ビット）の3つの線形シフトレジスタで構成されています。

レジスタR1、R2、R3のシフトは、特定の条件が満たされた場合にのみ発生します。 各レジスタには「クロック制御ビット」が含まれています。 R1ではこれは8番目のビットですが、R2およびR3では10番目のビットです。 各ステップで、同期ビットの値が3つすべてのレジスタの同期ビットの値のほとんどに等しいレジスタのみがシフトされます。



アルゴリズムを実行する前に、レジスタの初期化が実行されます。 次のように発生します。

1. R1 = R2 = R3 = 0
2. i = 0〜63の場合
   
   R1 [0] = R1 [0]⊕Kc[i]
   
   R2 [0] = R2 [0]⊕Kc[i]
   
   R2 [0] = R2 [0]⊕Kc[i]
   
   同期ビットを無視して、すべてのレジスタを1ポジションだけシフトします。
3. i = 0〜22の場合
   
   R1 [0] = R1 [0]⊕FrameCount[[i]
   
   R2 [0] = R2 [0]⊕FrameCount[[i]
   
   R2 [0] = R2 [0]⊕FrameCount[[i]
   
   同期ビットを無視して、すべてのレジスタを1ポジションだけシフトします。
4. i = 0〜99の場合
   
   同期ビットを考慮して、レジスタを1ポジションシフトします。

現在のフレームの番号のFrameCount 32ビットレコード。



初期化後、228ビットの出力シーケンスが計算されます。 114ビットは、ネットワークから携帯電話に送信されるデータを暗号化するために使用され、残りの114ビットは、電話からネットワークに送信されるデータを暗号化するために使用されます。 暗号化自体は、A5 / 1アルゴリズムによって生成されたデータとキーストリーム間の通常のXORです。

データ転送後、フレーム番号が1つ増加し、レジスタが再度初期化されます。



上記の説明を使用して、C＃でA5 / 1暗号化を実装します。



キー{0x12、0x23、0x45、0x67、0x89、0xAB、0xCD、0xEF}およびフレーム番号0x134を使用してプログラムを実行することにより、コードが正しいことを確認できます。 生成される114ビットの2つのシーケンスは、それぞれ{0x53、0x4E、0xAA、0x58、0x2F、0xE8、0x15、0x1A、0xB6、0xE1、0x85、0x5A、0x72、0x8C、0x00}、0x24、0xFD、0x35、0xFD、0x35、0xFD、0x35、0xFD、0x35、0xFD、0x35、0xFD、0x35、0xFD 、0xA3、0x5D、0x5F、0xB6、0x52、0x6D、0x32、0xF9、0x06、0xDF、0x1A、0xC0}。

マークブリセノ、イアンゴールドバーグ、デビッドワグナーがCで書かれたアルゴリズムの最初の実装で使用したテストデータでした。



このクラスを使用した暗号化/復号化関数は次のようになります。

 private byte[] A5Encyptor(byte[] msg,byte[] key) { A5Enc a5 = new A5Enc(); int[] frame = new int[1]; bool[] resbits = new bool[msg.Count]; int framesCount = msg.Length / 228; if ((msgbits.Length % 228) != 0) framesCount++; for (int i = 0; i < framesCount; i++) { frame[0] = i; a5.KeySetup(key, frame); bool[] KeyStream = a5.A5(true); for (int j = 0; j < 228; j++) { resbits[i * 228 + j] = msgbits[i * 228 + j] ^ KeyStream[j]; } } return a5.FromBoolToByte(resbits, false); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

データの暗号化と復号化を可能にする関数ができたので、A5 / 1アルゴリズムの脆弱性について話しましょう。

今日、GSM暗号化に対する多数の成功した攻撃が知られており、それらはすべて既知の平文タイプの攻撃、すなわち キーを回復するには、暗号化されたフレームに加えて、攻撃者もこれらのフレームに対応する暗号化されていないデータを知っている必要があります。 一見したところ、このような要件は幻想に思えるかもしれませんが、音声トラフィックに加えて、さまざまなシステムメッセージが送信されるGSM標準の仕様により、理論的なカテゴリからの攻撃は実用的なカテゴリに分類されます。 GSMシステムメッセージには重複データが含まれており、攻撃者によって使用される可能性があります。 特に、2010年にKarsten Nohlが提案した方法は、暗号テキストでこの種のデータを検索し、既知のシステムメッセージの目的の暗号テキストを生成するキーが見つかるまで、レインボーテーブルに格納されたキーのさまざまなオプションを単純にソートすることに基づいています。

パート3：A5 / 1アルゴリズムの攻撃

ただし、レインボーテーブルを計算するために必要な膨大なリソースがないため、いわゆる関連する簡単な攻撃を実装します。 「相関攻撃。」

私たちが検討している攻撃は、2002年にPatrik EkdahlとThomas Johanssonの2人の研究者によって初めて説明されました。

初期化手順の定義から、レジスタの初期状態はセッションキーKとフレーム番号F _nの線形関数であると結論付けることができます。

また、ジェネレータの出力ビットが3つのレジスタすべてのXOR番目の出力ビットであることを知って、次の等式を書くことができます。



（ 1 ）



ここで、s _iは、キーKのビットのみをロードした後にレジスタによって生成され_たシーケンスです。それらのf _iは 、フレーム番号のビットとレジスタのx出力ビットのみをロードした後_のシーケンスです。



また、初期化の定義から、最初の100サイクルの間、アルゴリズムが「アイドル」に機能することがわかります。 出力ビットは生成されず、出力シーケンスの最初のビットは実際には101番目に生成されたビットです。 したがって、各ステップで各レジスタのシフトの確率が3/4であることを考慮すると、101ステップ後、各レジスタが正確に76回シフトしたと想定できます。 したがって、式（1）は次のように変換されます。



（ 2 ）



（2）の右側にマークを付ける 式を書き換えます：



（ 3 ）



なぜなら （3）の右側の式を知っていると、キーシーケンスS、つまり初期化後の各レジスタの76番目の位置の状態に関する情報が1ビット取得されます。 このように動作すると、位置102でR1も位置76に留まり、レジスターR2とR3が位置77に移動したため、レジスターの77番目の位置などに関する情報を取得できます。 合計で、64ビットを開いて初期状態を正常に復元する必要があります。



もちろん、状況（76.76.76）は非常に低い確率でステップ101で正確に発生します。このように行動することにした場合、101シフト後にそれぞれが正確に1つになるまで膨大な数のフレームを整理する必要があります。レジスタは76ポジションスクロールしました。 必要なフレーム数を減らすために、EkdahlとJohanssonは次の方法を提案しました。



レジスタが（cl ₁ 、cl ₂ 、cl ₃ ）回回転する特定の位置を推測する必要はありません。 高い確率で、各レジスタが各フレームの出力ビットの間隔I = [100,140]で76から102に変わることを知るだけで十分です。

したがって、各フレームについて、確率を計算できます。 どうやって



（ 4 ）



どこで







そして、t番目のビットがレジスタ（cl1、cl2、cl3）の位置によって生成された確率を示します。



利用可能なフレームごとに（4）を計算した後、対数を使用して取得した確率を平均します。



（5）。



（5）> 0の場合、s ₁ （cl1）⊕s2（cl2）⊕s3（cl3）= 0、それ以外の場合はs ₁ （cl1）⊕s2（cl2）⊕s3（cl3）= 1 。



攻撃を完全にアルゴリズムの形で説明します。

1. 間隔Cを選択します。たとえば、C = [79.86]
2. 変数cl ₁ 、cl ₂ 、cl ₃が、計算する各フレームについて、間隔Cからのすべての値を実行します（4）
3. 取得したすべての値について、（5）を計算します
4. Δの値に基づいて、値s ₁ （cl1）⊕s2（cl2）⊕s3（cl3）を選択します

このアルゴリズムの結果は、s ₁ （79）⊕s2（79）⊕s3（79）= 0の形式の512個の方程式になり、8つの未知数で構成されます。 この連立方程式を単純な列挙で解くと、各レジスタの初期値の8ビットが得られます。

間隔[87、94]および[95、102]でアルゴリズムをさらに2回繰り返すと、各レジスタの初期状態の24ビットが得られます。 これで十分です。 各レジスタを101回スクロールすると、2番目の初期化ステップ後のレジスタの状態が正確に取得されます。 キービットをレジスタにロードした後。 そして今、全体としてキーシーケンス全体を生成できます。







次のようにFindKeyBit関数を使用します。

 private bool[] attack() { bool[] keypart=new bool[512]; int count = 0; A5attack tryattack = new A5attack(); for(int i=79; i<87;i++) for(int j=79; j<87; j++) for (int k = 79; k < 87; k++) { bool temp=tryattack.FindKeyBit(i, j, k, keystream); int time = finish - start; keypart[count] = temp; count++; } return keypart; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

XORキービットが位置79から位置86に書き込まれている512値の配列を取得します。



各レジスタから24ビットすべてを受信し、それらをバイト配列に変換したら、ソリューションを確認します。

 Private void checkSolution() { A5attack LetsAttack = new A5attack(); int[] testframe = new int[1] { 0 }; bool[][] startState = LetsAttack.checkSol(first, second, third); A5Enc a5check = new A5Enc(startState); bool[] TempFrame = new bool[228]; a5check.KeySetup(testframe); TempFrame = a5check.A5(true); for (int l = 0; l < 228; l++) { find = true; if (keystream[l] != TempFrame[l]) { find = false; break; } } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

受信したフレームが既知のキーストリームの最初のフレームと一致する場合、攻撃は成功し、アルゴリズムA5 / 1のセッションキーを開きました。

パート4：最終

要約すると、説明した攻撃は最初のそのような攻撃の1つであることに注意してください。 最も高度なものでは、合計2000フレーム（9秒の会話）から90％の確率でセッションキーを開くことができます。 したがって、相関攻撃は理論上だけでなく、実際にも非常に深刻な脅威です。

文献と参考文献

• マルシン・オラフスキ。 「GSMネットワークのセキュリティ。」
• パトリック・エクダールとトーマス・ヨハンソン。 「A5 / 1に対する別の攻撃」
• カルステン・ノール 「電話プライバシーの攻撃。」
• マーク・ブリセノ、イアン・ゴールドバーグ、デビッド・ワグナー。 A5 / 1の教育的実装。

PS：作者は、EladのBarkanの作品を誰かが共有してくれたら感謝します。 エリ・ビハム（2005）。 「条件付き推定量：A5 / 1への効果的な攻撃」 最後の部分で述べた攻撃について説明します。

UPD：ユーザーwhitequarkのおかげで、すべての質問が削除されました 。