KASUMI ist eine Blockchiffre, die als Baustein für kryptographische Algorithmen dient, die in GSM- und UMTS-Mobilfunknetzen zur Anwendung kommen. KASUMI wird in den Stromchiffren A5/3 und A5/4 (GSM) sowie GEA3 und GEA4 (GPRS) verwendet, um die Kommunikation über eine Funkstrecke zu verschlüsseln und somit Vertraulichkeit zu garantieren. Im UMTS-Netz wird KASUMI für die Erzeugung aller Schlüssel zur Authentifizierung und Verschlüsselung verwendet. Beispielsweise dient der Algorithmus als Baustein eines Message Authentication Code, um die Integrität von Daten sicherzustellen.

KASUMI ist eine Modifikation von MISTY1, was auch der Name andeutet mit kasumi als japanisches Wort für „Nebel; Dunst“ und misty Englisch für „neblig; dunstig“. Die Entwickler von KASUMI haben MISTY1 schneller und hardwarefreundlicher gemacht. Dazu wurde die Schlüsselverwaltung vereinfacht und einige interne Parameter geändert. Dies führt dazu, dass Kasumi anfällig für „related-key attacks“ ist.[1]

Kryptoanalyse

Bearbeiten

2001 wurde eine „impossible differential“-Attacke gegen sechs Runden der KASUMI-Chiffre von Ulrich Kühn präsentiert.[2]

2003 präsentierten Elad Barkan, Eli Biham und Nathan Keller einen Man-in-the-middle-Angriff gegen GSM, der es ermöglicht, den A5/3-Verschlüsselungsalgorithmus zu umgehen. Dieser Angriff ist ein Angriff gegen das GSM-Protokoll und kein Angriff gegen KASUMI selbst.[3] Eine längere Version des Papers wurde im Jahr 2006 veröffentlicht.[4] Weitere Details stellt der Abschnitt Sicherheitsdefizite im Artikel GSM dar.

2005 wurden eine „related key boomerang“- und eine „related key rectangle“-Attacke gegen KASUMI präsentiert. Beide knacken schneller als die Brute-Force-Methode. Die „related key rectangle“-Attacke erfordert 254.6 ausgewählte Klartexte, wobei jeder von einem von vier „related keys“ verschlüsselt sein muss. Diese Attacke hat eine Zeitkomplexität von 276.1 KASUMI-Verschlüsselungen. Dies ist eine inpraktikable Zeitkomplexität und verhindert praktische Angriffe. Die „related key boomerang“-Attacke findet innerhalb der ersten sechs Runden von KASUMI statt. Im Ergebnis findet die Attacke 16 Bit des Schlüssels mit nur 768 ausgewählten Klar- und Geheimtexten. Das Paper zweifelt die Aussagen der 3GPP Experten hinsichtlich der Sicherheit von KASUMI an und empfiehlt eine Überprüfung der Sicherheit der 3GPP-Protokolle.[5]

2010 wurde eine wesentlich praktischere Attacke von Orr Dunkelman, Nathan Keller und Adi Shamir präsentiert. Die „sandwich“-Attacke ermöglicht es einem Angreifer, den kompletten 128 Bit-Schlüssel zu extrahieren. Zunächst nimmt sich ein „distinguisher“ der ersten sieben von acht Runden an. Anschließend wird die letzte Runde analysiert. Dazu sind vier verwandte Schlüssel („related keys“) und ein Aufwand von 226 Klartext-/Chiffrat-Datensätzen (= 1 GiB, bei 16 Bytes pro Datensatz) und 232 an Zeit nötig. Die simulierten Attacken konnten auf einem Intel Core Duo T7200 mit 2 GB RAM in 50 % der Tests in unter 112 Minuten durchgeführt werden. Gegen den Referenzalgorithmus MISTY ist im Gegensatz zu KASUMI kein schnellerer Angriff als die Brute-Force-Methode mit einer Komplexität von 2128 bekannt. Das Paper zeigt, dass KASUMI ein sehr viel schwächerer Algorithmus als MISTY ist. Allerdings kann über die Wirksamkeit der Angriffe gegen die Implementation von KASUMI in dem A5/3-Algorithmus für GSM-Netze keine Aussage getroffen werden.[1]

Siehe auch

Bearbeiten

Einzelnachweise

Bearbeiten
  1. a b Orr Dunkelman, Nathan Keller, Adi Shamir: A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony. (PDF; 243 kB) 10. Januar 2010, abgerufen am 5. Februar 2014 (englisch).
  2. Ulrich Kühn: Cryptanalysis of Reduced Round MISTY. In: Advances in Cryptology – EUROCRYPT 2001
  3. Elad Barkan, Eli Biham, Nathan Keller: Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication. (PDF; 240 kB) Journal of Cryptology, Volume 21 Issue 3, March 2008. Pages 392-429. 10. Januar 2003, abgerufen am 5. Februar 2014 (englisch).
  4. Elad Barkan, Eli Biham, Nathan Keller: Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication. (PDF; 351 kB) Juli 2006, abgerufen am 5. Februar 2014 (englisch).
  5. Eli Biham, Orr Dunkelman, Nathan Keller: A Related-Key Rectangle Attack on the Full KASUMI. (PS; 265 kB) Advances in Cryptology - ASIACRYPT 2005. Dezember 2005, archiviert vom Original am 27. Juli 2011; abgerufen am 10. März 2021 (englisch).