A8 är en krypteringsnyckelgenereringsalgoritm , som sedan används för att säkerställa konfidentialitet för information som sänds över en radiokanal i GSM - mobilcellsstandarden . A8 är en av GSM -samtals integritetsalgoritmer tillsammans med A5 och A3 . Dess uppgift är att generera en sessionsnyckel Kc för strömmande kryptering av information i kommunikationskanalen mellan en mobiltelefon (MS - Mobile Station) och en basstation (BTS - Basic Transmitter Station) efter autentisering. Av säkerhetsskäl sker bildandet av Kc i simkortet .
Med "säkerhet" i GSM menar vi omöjligheten av obehörig användning av systemet och sekretessen för abonnenternas samtal. Den här artikeln diskuterar några av säkerhetsmekanismerna:
Autentiseringsmekanismer införs för att utesluta obehörig användning av kommunikationssystemresurser. Varje mobilabonnent har en standard abonnentidentitetsmodul ( SIM-kort ) som innehåller:
Användarens autentiseringsnyckel Ki är unik och otvetydigt associerad med IMSI, telekomoperatören "kan" bestämma Ki genom IMSI-värdet och beräknar det förväntade resultatet. SIM-kortet skyddas från obehörig användning genom att ange ett individuellt identifikationsnummer ( PIN-kod - Personal Identification Number), som tilldelas användaren tillsammans med själva kortet.
Tänk på proceduren för autentisering av abonnenter. Nätverket genererar en möjlighet - ett slumptal (RAND) och överför det till en mobil enhet. I SIM-kortet beräknas svarsvärdet (SRES - Signed Response) och sessionsnyckeln med hjälp av RAND, Ki och algoritmerna A3, A8. Den mobila enheten beräknar SRES och skickar den till nätverket, som kontrollerar den mot vad den själv beräknat. Om båda värdena matchar, är autentiseringen framgångsrik och den mobila enheten får ett kommando från nätverket att gå in i det krypterade driftläget. På grund av sekretessen sker alla beräkningar inuti SIM-kortet. Hemlig information (som Ki ) kommer inte utanför SIM-kortet. Nyckeln Kc sänds inte heller över luften. Mobilstationen (MS) och basstationen (BS) beräknar dem separat från varandra.
In- och utdataformatet för A8-algoritmen är strikt definierat av 3GPP- konsortiet . Men A8 är inte standardiserad, utan definieras av operatören. Algoritmerna A3 och A8 implementeras som en enda beräkning, vars utsignal (96 bitar) behandlas enligt följande: 32 bitar för bildandet av SRES och 64 bitar för bildandet av Kc . [1] Längden på den signifikanta delen av nyckeln Kc som produceras av A8-algoritmen kan vara mindre än 64 bitar. Sedan utfylls de signifikanta bitarna med nollor upp till antalet 64 som anges i algoritmspecifikationen. Följande standardimplementationer av A3/A8-algoritmen är för närvarande kända:
Även om det finns alternativ till COMP128, stöds detta protokoll fortfarande av de allra flesta GSM-nätverk [1] . Enligt SDA (Smarcard Developer Association) kontrollerar de flesta telekomoperatörer inte att det finns "identiska" abonnenter samtidigt, de är så säkra på att simkort inte kan klonas.
COMP128 är en nyckelhashfunktion som genererar SRES och Kc i en gång . A3, A5, A8 utvecklades i Storbritannien, och mobiltelefontillverkare som vill implementera denna krypteringsteknik i sina produkter måste gå med på att hemligheter inte röjs och skaffa särskilda licenser från den brittiska regeringen. Oenigheter mellan mobiltelefontillverkare och den brittiska regeringen om exporten av GSM-krypteringsteknik löstes 1993. Men 1998 publicerades en del beskrivande dokument på Internet. Trots den ofullständiga beskrivningen fastställdes vilka kryptografiska metoder som används i GSM. David Wagner och Ian Goldberg knäckte COMP128-algoritmen på bara en dag eftersom nyckeln var för kort. Den kryptografiska algoritmen COMP128 används fortfarande, men i en förbättrad form som kallas COMP 128-2. Kryptografiska algoritmer A3 och A8 är specificerade för nätverksoperatörer, även om vissa parametrar är standardiserade för att säkerställa interoperabilitet mellan nätverk.
Ingången till algoritmen är 128-bitars (16 byte ) RAND, mottagen från basstationen och 128-bitars Ki , firmware i SIM-kortet. Utsignalen är en 96-bitars (12 byte) sekvens. Specifikationen för standarden [2] anger att de första 4 byten är SRES som den mobila enheten skickar för autentisering, och byte 5 till 12 är sessionsnyckeln Kc . Observera att nyckelbitarna är 42 till 95 följt av 10 nollor. Det vill säga entropin för en 64-bitars nyckel Kc överstiger inte 54 bitar. Detta representerar en betydande försvagning av den kryptografiska styrkan hos A5- chifferet med mer än 1000 gånger.
En av anledningarna till att utvecklarna av GSM höll algoritmerna hemliga är förmodligen deras samarbete med kontrolltjänsterna.
"Den enda part som har ett intresse av att försvaga skyddet är de nationella tillsynstjänsterna,
- sa chefen för SDA (Smartcard Developer Association [3] ) Mark Briseno, -
köpare behöver förhandlingarnas integritet, och operatörer ådrar sig inga extra kostnader för att använda en nyckel i full storlek.”
.
I 3GPP-arkitekturen (som i GSM) behöver inte alla operatörer använda samma autentiserings- och nyckelgenereringsalgoritmer. Naturligtvis finns det rekommendationer och en algoritm ges som exempel. Men som praktiken visar är det han som blir allmänt använd. I 3GPP har MILENAGE blivit ett sådant exempel. MILENAGE är baserad på Rijndael- chifferet (vinnaren av AES- tävlingen för bästa amerikanska kryptostandard, som ersatte DES ). När det gäller A5-kryptering av förhandlingar och säkerställande av meddelandens integritet, måste det verkligen vara samma för alla operatörer så att de kan tillhandahålla roamingtjänster . Denna algoritm i 3GPP är baserad på KASUMI -blockchifferet .
| Symmetriska kryptosystem | |
|---|---|
| Streama chiffer | |
| Feistel nätverk | |
| SP nätverk | |
| Övrig | |