Алгоритм А5

Схема поточного шифра. Формирование выходной последовательности путем сложения потока исходного текста с генерируемой последовательностью. Регистр сдвига с линейной обратной связью. Система регистров в алгоритме А5. Перекрестные связи между регистрами.

Рубрика Коммуникации, связь, цифровые приборы и радиоэлектроника
Вид реферат
Язык русский
Дата добавления 22.04.2011
Размер файла 15,9 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Алгоритм A5

Предупреждение на экране сотового телефона об отсутствии шифрования на сети

А5 -- это поточный алгоритм шифрования, используемый для обеспечения конфиденциальности передаваемых данных между телефоном и базовой станцией в европейской системе мобильной цифровой связи GSM (Group Special Mobile).

Шифр основан на побитовом сложении по модулю два (булева операция XOR) генерируемой псевдослучайной последовательности и шифруемой информации. В A5 псевдослучайная последовательность реализуется на основе трёх линейных регистров сдвига с обратной связью. Регистры имеют длины 19, 22 и 23 бита соответственно. Сдвигами управляет специальная схема, организующая на каждом шаге смещение как минимум двух регистров, что приводит к их неравномерному движению. Последовательность формируется путём операции XOR над выходными битами регистров.Содержание [убрать]

1 История создания и развития

2 Появление в широком доступе

3 Структура А5

3.1 Потоковое шифрование

3.2 РСЛОС

3.2.1 Система РСЛОС в А5

3.3 Функционирование алгоритма А5

3.4 Отличия производных алгоритмов A5/x

4 Криптостойкость

4.1 Известные уязвимости

4.2 Известные атаки

5 Примечания

6 Ссылки

История создания и развития

Изначально французскими военными специалистами-криптографами был разработан поточный шифр для использования исключительно в военных целях. В конце 80х для стандарта GSM потребовалось создание новой, современной системы безопасности. В её основу легли три секретных алгоритма: аутентификации -- A3, шифрования потока -- A5, генерации сессионного ключа -- А8. В качестве алгоритма A5, была использована французская разработка. Этот шифр обеспечивал достаточно хорошую защищённость потока, что обеспечивало конфиденциальность разговора. Изначально экспорт стандарта из Европы не предполагался, но вскоре в этом появилась необходимость. Именно поэтому, А5 переименовали в А5/1 и стали распространять в Европе и США. Для остальных стран (в том числе и России) алгоритм модифицировали, значительно понизив криптостойкость шифра. А5/2 был специально разработан как экспортный вариант для стран, не входивших в Евросоюз. Криптостойкость А5/2 была понижена добавлением ещё одного регистра (17 бит), управляющего сдвигами остальных. В А5/0 шифрование отсутствует совсем. В настоящее время разработан также алгоритм А5/3, основанный на алгоритме Касуми и утверждённый для использования в сетях 3G.Эти модификации обозначают A5/x.

Появление в широком доступе

Официально данная криптосхема не публиковалась и её структура не придавалась гласности. Это связанно с тем, что разработчики полагались на безопасность за счёт неизвестности, то есть алгоритмы труднее взломать, если они не доступны публично. Данные предоставлялись операторам GSM только по необходимости. Тем не менее, к 1994 году детали алгоритма А5 были известны: британская телефонная компания (British Telecom) передала всю документацию, касающуюся стандарта, Брэдфордскому университету для анализа, не заключив соглашение о неразглашении информации. Кроме того, материалы о стандарте появились на одной конференции в Китае. В результате, его схема постепенно просочилась в широкие круги. В этом же году кембриджские учёные Ross Anderson и Michael Roe опубликовали восстановленную по этим данным криптосхему и дали оценку её криптостойкости [1]. Окончательно алгоритм был представлен в работе Йована Голича на конференции Eurocrypt'97.

Структура А5

Алгоритм A5 в настоящее время -- это целое семейство шифров. Для описания возьмем А5/1, как родоначальника этого семейства. Изменения в производных алгоритмах опишем отдельно.

Потоковое шифрование

Схема поточного шифра: сложение открытого текста и последовательности бит даёт шифротекст

В этом алгоритме каждому символу открытого текста соответствует символ шифротекста. Текст не делится на блоки (как в блочном шифровании) и не изменяется в размере. Для упрощения аппаратной реализации и, следовательно, увеличения быстродействия используются только простейшие операции: сложение по модулю 2 (XOR) и сдвиг реестра.

Формирование выходной последовательности происходит путём сложения потока исходного текста с генерируемой последовательностью (гаммой). Особенность операции XOR заключается в том, что применённая чётное число раз, она приводит к начальному значению. Отсюда, декодирование сообщения происходит путём сложения шифротекста с известной последовательностью.

Таким образом, Безопасность системы полностью зависит от свойств последовательности. В идеальном случае каждый бит гаммы -- это независимая случайная величина, и сама последовательность является случайной. Такая схема была изобретена Вернамом в 1917 году и названа в его честь. Как доказал Клод Шеннон в 1949 году, это обеспечивает абсолютную криптостойкость. Но использование случайной последовательности означает передачу по защищённому каналу сообщения равного по объёму открытому тексту, что значительно усложняет задачу и практически нигде не используется.

В реальных системах создаётся ключ заданного размера, который без труда передаётся по закрытому каналу. Последовательность генерируется на его основе и является псевдослучайной. Большой класс поточных шифров (в том числе A5) составляют шифры, генератор псевдослучайной последовательности которой основан на регистрах сдвига с линейной обратной связью.

РСЛОС

Регистр сдвига с линейной обратной связью, многочлен обратной связи х31+х28+х24+х4

Регистр сдвига с линейной обратной связью состоит из собственно регистра (последовательности бит заданной длины) и обратной связи. На каждом такте происходит следующие действия: крайний левый бит (старший бит) извлекается, последовательность сдвигается влево и в опустевшую правую ячейку (младший бит) записывается значение функции обратной связи. Эта функция является суммированием по модулю два определённых битов регистра и записывается в виде многочлена, где степень указывает номер бита. Извлечённые биты формируют выходную последовательность.

Для РСЛОС основным показателем является период псевдослучайной последовательности. Он будет максимален (и равен 2n?1), если многочлен функции обратной связи примитивен по модулю 2. Выходная последовательность в таком случае называется М-последовательностью.

Система РСЛОС в А5

Система регистров в алгоритме А5/1

Сам по себе РСЛОС легко поддаётся криптоанализу и не является достаточно надёжным, для использования в шифровании. Практическое применение имеют системы регистров переменного тактирования, с различными длинами и функциями обратной связи.

Структура алгоритма А5 выглядит следующим образом:

три регистра(R1, R2, R3) имеют длины 19, 22 и 23 бита,

многочлены обратных связей:

X19 + X18 + X17 + X14 + 1 для R1,

X22 + X21 + 1 для R2 и

X23 + X22 + X21 + X8 + 1 для R3,

управление тактированием осуществляется специальным механизмом:

в каждом регистре есть биты синхронизации: 8 (R1), 10 (R2), 10 (R3),

вычисляется функция F = x&y|x&z|y&z, где & -- булево AND, | - булево OR, а x, y и z -- биты синхронизации R1, R2 и R3 соответственно,

сдвигаются только те регистры, у которых бит синхронизации равен F,

фактически, сдвигаются регистры, синхробит которых принадлежит большинству,

выходной бит системы -- результат операции XOR над выходными битами регистров.

Функционирование алгоритма А5

Рассмотрим особенности функционирования алгоритма, на основе известной схемы. Передача данных осуществляется в структурированном виде -- с разбивкой на кадры (114 бит). При инициализации алгоритма, на его вход поступают сессионный ключ (K -- 64 бита), сформированный А8, и номер кадра (Fn -- 22 бита). Далее последовательно выполняются следующие действия:

инициализация:

64 такта без управления сдвигами регистров, при которых младшие биты складываются с соответствующим битом сессионного ключа,

аналогичные 22 такта, только суммирование производится с номером кадра,

100 тактов с управлением сдвигами регистров, но без генерации последовательности,

228 (114 + 114) тактов рабочие, происходит шифрование передаваемого кадра (первые 114 бит) и дешифрование (последние 114 бит) принимаемого,

далее инициализация производится заново, используется новый номер кадра.

Отличия производных алгоритмов A5/x

Система регистров в алгоритме А5/2

В алгоритм А5/2 добавлен ещё один регистр на 17 бит (R4), управляющий движением остальных. Изменения структуры следующие:

добавлен регистр R4 длиной 17 бит,

многочлен обратной связи для R4 X17 + X10 + 1,

управление тактированием осуществляет R4:

в R4 биты 3, 7, 10 есть биты синхронизации,

вычисляется мажоритарная функция F = x&y|x&z|y&z (равна большинству), где & -- булево AND, | - булево OR, а x, y и z -- биты синхронизации R4(3), R4(7) и R4(10) соответственно,

R1 сдвигается если R4(10) = F,

R2 сдвигается если R4(3) = F,

R3 сдвигается если R4(7) = F,

выходной бит системы -- результат операции XOR над старшими битами регистров и мажоритарных функций от определённых битов регистров:

R1 -- 12, 14, 15,

R2 -- 9, 13, 16,

R3 -- 13, 16, 18.

Изменения в функционировании не такие существенные и касаются только инициализации:

64+22 такта заполняется сессионным ключом и номером кадра также R4,

1 такт R4(3), R4(7) и R4(10) заполняются 1,

99 тактов с управлением сдвигами регистров, но без генерации последовательности.

Видно, что инициализация занимает такое же время (100 тактов без генерации разбиты на две части).

Алгоритм А5/3 разработан в 2001 году и должен сменить A5/1 в третьем поколении мобильных систем. Также он называется алгоритм Касуми. При его создании за основы взят шифр MISTY, корпорации Mitsubishi. В настоящее время считается, что A5/3 обеспечивает требуемую стойкость.

Алгоритм A5/0 не содержит шифрования.

Криптостойкость

Разработка стандарта GSM подразумевала мощный аппарат шифрования, не поддающийся взлому (особенно в реальном времени). Используемые разработки при надлежащей реализации обеспечивали качественное шифрование передаваемых данных. Именно такую информацию можно получить от компаний распространяющих этот стандарт. Но стоит отметить важный нюанс: прослушивание разговоров -- неотъемлемый атрибут, используемый спецслужбами. Они были заинтересованы в возможности прослушивания телефонных разговоров для своих целей. Таким образом, в алгоритм были внесены изменения, дающие возможность взлома за приемлемое время. Помимо этого, для экспорта A5 модифицировали в A5/2. В MoU (Memorandum of Understand Group Special Mobile standard) признают, что целью разработки A5/2 было понижение криптостойкости шифрования, однако в официальных результатах тестирования говорится, что неизвестно о каких-либо недостатках алгоритма[2].

поточный шифр алгоритм регистр

Известные уязвимости

С появлением данных о стандарте A5, начались попытки взлома алгоритма, а также поиска уязвимостей. Огромную роль оказали особенности стандарта, резко ослабляющие защиту, а именно:

10 бит ключа принудительно занулены,

отсутствие перекрестных связей между регистрами (кроме управления сдвигами),

излишняя избыточность шифруемой служебной информации, известной криптоаналитику,

свыше 40 % ключей приводит к минимальной длине периода генерируемой последовательности, а именно [3]

вначале сеанса осуществляется обмен нулевыми сообщениями (по одному кадру),

в A5/2 движение осуществляется отдельным регистром длиной 17 бит.

На основе этих «дыр» в алгоритме, построены схемы взлома.

Известные атаки

Ключом является сессионный ключ длиной 64 бита, номер кадра считается известным. Таким образом, сложность атаки основанной на прямом переборе равна 264.

Первые обзоры шифра (работа Росса Андерсона) сразу выявили уязвимость алгоритма -- из-за уменьшения эффективной длины ключа (зануление 10 бит) сложность упала до 245 (сразу на 6 порядков). Атака Андерсона основана на предположении о начальном заполнении коротких регистров и по выходным данным получения заполнения третьего.

В 1997 году Йован Голич опубликовал результаты анализа А5. Он предложил способ определения первоначального заполнения регистров по известному отрезку гаммы длиной всего 64 бита. Этот отрезок получают из нулевых сообщений. Атака имеет среднюю сложность 240.

В 1999 году Вагнеру и Голдбергу без труда удалось продемонстрировать, что для вскрытия системы, достаточно перебором определить начальное заполнение R4. Проверка осуществляется за счёт нулевых кадров. Сложность этой атаки равна 217, таким образом, на современном компьютере вскрытие шифра занимает несколько секунд.

В декабре 1999 года группа израильских учёных (Ади Шамир, Алекс Бирюков (англ.), а позже и американец Дэвид Вагнер (англ.)) опубликовали весьма нетривиальный, но теоретически очень эффективный метод вскрытия A5/1: Это весьма сложная идея, реализуя которую мы наступаем на многих фронтах, чтобы накопить несколько небольших преимуществ, но сложенные все вместе они дают большой выигрыш.

Размещено на Allbest.ru


Подобные документы

  • Основные признаки классификации регистров. Принципов построения регистров сдвига, способы преобразования параллельного кода в последовательный и обратно. Сборка схем регистров сдвига и экспериментальное исследование их работы в динамическом режиме.

    лабораторная работа [460,8 K], добавлен 12.10.2015

  • Структурная схема усилителя с одноканальной обратной связью. Выбор транзистора, расчет режима работы выходного каскада. Расчёт необходимого значения глубины обратной связи. Определение числа каскадов усилителя, выбор транзисторов предварительных каскадов.

    курсовая работа [696,7 K], добавлен 24.09.2015

  • Временные диаграммы работы статических и динамических регистров. Схема для исследования работы регистров. Принцип работы и диаграммы регистра сдвига вправо на D-триггерах. Реализация i-го разряда реверсивного сдвигового регистра, анализ функционирования.

    лабораторная работа [429,4 K], добавлен 01.12.2011

  • Структурная схема усилителя с одноканальной обратной связью. Выбор и расчет режима работы выходного каскада. Расчет необходимого значения глубины обратной связи. Определение числа каскадов усилителя. Выбор транзисторов предварительных каскадов.

    курсовая работа [531,0 K], добавлен 23.04.2015

  • Разработка четырехразрядного сумматора с записью результата алгебраического сложения 2-ух двоичных чисел в выходной регистр. Обратный код n-разрядного числа N. Проведение испытания с использованием симуляционного пакета программного обеспечения Analiser.

    курсовая работа [1,1 M], добавлен 10.04.2015

  • Изучение практического применения связи новых свойств взаимных многочленов циклического кода со структурой кодового полинома и его весом. Рассмотрение схемы построение генераторов М-последовательности на основе регистров сдвига с обратными связями.

    реферат [136,4 K], добавлен 09.02.2010

  • Обратная связь как связь, при которой на вход регулятора подается действительное значение выходной переменной, а также заданное значение регулируемой переменной. Изменение динамических характеристик, типовых звеньев САУ при охвате обратной связью.

    лабораторная работа [802,2 K], добавлен 13.03.2011

  • Структура замкнутой линейной непрерывной системы автоматического управления. Анализ передаточной функции системы с обратной связью. Исследование линейной импульсной, линейной непрерывной и нелинейной непрерывной систем автоматического управления.

    контрольная работа [1,6 M], добавлен 16.01.2011

  • Конструкция и принцип действия поплавкового датчика угловой скорости КХ79-060. Расчет потребляемой мощности, коэффициента демпфирования и момента инерции поплавкового гидроузла. Математическая модель ДУС с цифровой обратной связью. Анализ погрешностей.

    дипломная работа [1,6 M], добавлен 23.01.2012

  • АЛУ - параллельное восьмиразрядное устройство, обеспечивающее выполнение арифметических и логических операций, а также операции логического сдвига, обнуления, установки. Регистр аккумулятора и регистр временного хранения. Регистр состояния программы.

    контрольная работа [111,2 K], добавлен 23.08.2010

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.