Aller au contenu

KASUMI

Un article de Wikipédia, l'encyclopédie libre.
KASUMI

Résumé
Concepteur(s) Security Algorithms Group of Experts
Première publication 1999
Dérivé de MISTY1
Caractéristiques
Taille(s) du bloc 64 bits
Longueur(s) de la clé 128 bits
Structure réseau de Feistel
Nombre de tours 8

Meilleure cryptanalyse

Attaque rectangle par Eli Biham et al.

KASUMI (aussi connu sous le nom de A5/3) est un algorithme de chiffrement par bloc utilisé dans le cadre des réseaux de téléphonie mobile conformes aux normes 3GPP, notamment 2G (GSM) et 3G (UMTS). KASUMI est employé pour la confidentialité (f8) et l'intégrité (f9) des terminaux et des réseaux mobiles 2G et 3G normalisés par le 3GPP.

L'algorithme a été conçu par le Security Algorithms Group of Experts (SAGE), qui fait partie du groupe de standards européens ETSI. Plutôt que de totalement inventer un nouvel algorithme, le SAGE a optimisé MISTY1 pour une implémentation matérielle. De ce fait, KASUMI et MISTY1 sont très similaires, « KASUMI » est d'ailleurs la traduction japonaise du mot « MISTY » (brumeux). Le standard a été publié en 1999.

KASUMI a une taille de bloc de 64 bits et une clé de 128 bits. C'est un réseau de Feistel avec 8 tours et tout comme MISTY1 et MISTY2, sa structure est récursive avec des sous-composants semblables à un schéma de Feistel.

Cryptanalyse

[modifier | modifier le code]

En 2001, une attaque différentielle impossible sur six tours de KASUMI a été publiée par Kühn. La cryptanalyse de MISTY1 se transpose facilement à KASUMI et vice-versa.

Une attaque de type rectangle sur les huit tours de KASUMI a été proposée en 2005 par Eli Biham, Orr Dunkelman et Nathan Keller. Elle nécessite 254.6 paires de clair/chiffré et a une complexité temporelle de 276.1 chiffrements KASUMI. Malgré sa complexité élevée qui la rend encore inaccessible avec les moyens actuels, cette attaque théorique montre que KASUMI est un chiffrement vulnérable qui met en péril à terme la sécurité des communications normalisées par le 3GPP.

Il est aussi possible de bypasser ce cipher en impersonnalisant l'UE victime. La méthode consiste à relayer le RAND du BTS commercial à l'aide de fausses UE et BTS en MiTM entre le node commercial et l'UE victime. Le node commercial donne à la fausse UE le RAND qui est passé à l'aide d'un SOCKET à la fausse BTS associée à l'UE victime qui lui donne le bon RAND qui peut donc relayer la bonne SRES au node commercial d'où un ciphering mode complète. Mais pas de location update accepted d'après les tests.

Références

[modifier | modifier le code]

Lien externe

[modifier | modifier le code]