パスワードを忘れた? アカウント作成
187271 journal

90の日記: UMTS 3GとGSMの音声暗号、それぞれ解読される 19

日記 by 90

いささか旧聞ですが、本家記事Mobile: Second 3G GSM Cipher Crackedによれば

3G GSMにおいてトラフィックの安全性を保つ"Kasumi"暗号が新しく開発された解読法によって破られた。related-key attackというこの方法によって完全な復号鍵が得られるという。Kasumiが即時に危険な暗号となるようなことはないという。"Misty"と呼ばれる暗号の改良版であるこの暗号はA5/3とも呼ばれ、3G GSMにおける通信暗号の標準となっている。論文は"この論文ではsandwitch attackという新しい攻撃を提示し、それにより8つあるKASUMIのラウンドのうち7つを2^14という驚くべき高い確率で発見する単純な手順を組み、残り一つを解析することで、4つのrelated key、2^26のデータ、2^30バイトのメモリ、2^32の時間で128bitの完全なKASUMI復号鍵を発見できる。複雑さは非常に小さく、攻撃のシミュレーションは一台のPCを用いて2時間以内に完了し、実験的にその正しさと複雑性を確認した"と述べ、手法は一般のPC上で容易に実装できるとしている。

とのことである。また同じく本家記事IT: GSM Decryption Publishedによれば

NY Timesの記事によれば、ドイツの暗号専門家Karsten Nohl氏が今年で21歳になる、世界中のデジタル携帯電話で使われるGSMの暗号を解読し、公開したようだ。彼によればこれは43億の無線通信のうち35億を占めるシステムの脆弱性を示す試みであるという。GSMに使われるA5/1暗号化はすでに解読されているが、公開されたのはこれが初めてだ。Chaos Communication Congressに参加した約600人の前で氏は"これはGSMのセキュリティが不十分であることを示すものだ"と語り、"我々はキャリアにもっとセキュリティを改善するよう働きかけている"とした。ロンドンに本部を置き、アルゴリズムを採用したGSM AssociationはNohl氏の行為は違法であり、無線での電話に関する脅威を誇張しているという立場を取っている。スポークスマンのClaire Cranton女史は"これは理論上は可能だが現実的でない"とし、採用以来ほかに誰も破ったものはいないとした。CellCryptのCEO、Simon Bransfield-Garth氏は"彼のすることは英国と米国においては違法であり、プライバシーを念頭においてこういった行為をするというのは理解できない"と述べ、彼の行為が現在は政府と諜報機関にのみ広まっていた携帯電話の通信傍受技術を発展させ、大規模な犯罪組織もこれを備えられるることになるかもしれないという懸念を示し、"GSMの会話を破るのに要する時間は数週間から数時間に縮まるでしょう"とし、"最終的には分の単位まで縮むと思います"と言った。

ということで、いつのまにか電話をかけると「機密保持のため回線を切らせていただきます。ご協力ありがとうございます」といわれる日が来ていたようです。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Four Questions for Bruce Schneier on the GSM Cipher Crack [threatpost.com]を大まかに訳してみた。
    間違ってても知らない。後半のSSLの話あたりがいまいち意味不明だったので誰か適当に補完してくれ。

    数学は難しいし、暗号はさらに難しい。3G GSMの暗号が破られたというので、数学者で暗号学者でもあるブルース・シュナイアーにKASUMIへの攻撃とその影響を聞いてみた。以下がその内容。

    この攻撃はどんなもんよ?
    「なかなか良いね。実際のトラフィックを破れるかとか役に立つかどうかは分かんないけど。
    あくまで学術的な研究だけど、攻撃であることには変わらんし。
    でも複数の平文とrelated keyが必要だから、現実問題として実際やるのは難しいよ」

    これは先月のA5/1への解読と関係あんの?
    「全然。紛らわしいけど似てんのは名前だけ」

    暗号自体への攻撃よりも、暗号の実装への攻撃をよく見掛けるけど、暗号アルゴリズム自体への攻撃はやっぱ難しいの?
    「その二つは別物なんだよね。
    暗号屋としては実装への攻撃は考慮しないと言うかもしれないけど、セキュリティ屋としては逆に暗号自体への攻撃は考慮しないと言うかもしれない。NSAの連中なら、両方考慮に入れるだろうけどね。これは数学的な攻撃で、実装への攻撃じゃないんだ。実際には暗号実装上のミスの方がずっと多いんだけどね」

    もう3G携帯は海に捨てた方が良いの?
    「いや。実際携帯を捨てなくちゃいけないような攻撃なんてあり得ないよ。現実的な攻撃法があるSSLを見てみな」

    • >いや。実際携帯を捨てなくちゃいけないような攻撃なんてあり得ないよ。

      国会議員やキャリア官僚は、各国の諜報機関に傍受されてはいけないから携帯を使わないそうだけど、これは裏を返せば、公表はされてないけど即座に実行可能な攻撃手段が存在するって事だよね?

      アメリカだったら、要職にある人はGSMを直接使うんじゃなくて、わざわざGSM回線にプライベートな暗号を載っけた携帯システム [gdc4s.com]を使ってるそうだし。
      親コメント
      • オバマ大統領は確かhttp://www.gdc4s.com/content/detail.cfm?item=32640fd9-0213-4330-a742-5... [gdc4s.com]を宛がわれたはず。
        外務省や関係機関の内情は過去記事にありました。外務省はTorを使ってたくらいですから、いまだとスマートフォンやらにPhonecryptやら
        入れて使っているんではなかろうかと邪推。

        高度に政治的な案件では直接セキュリティの高いところ、例えば料亭なんかで話すでしょう。
        地元事務所にも普通の会議室と密談用があって、後者には平の私設秘書すら入れないそうです。
        物はヤマハのセフィーネⅡ 広さから多分AMC43でした。これを事務所のフロアに入れてましたね。
        最近は携帯電話に音声録音機能があるので、その部屋に入る際はロッカーに携帯電話を必ず
        入れてもらう程度の意識はあるようです。
        機密クラスの文書も手渡しで、読んだら目の前で焼いてもらうとか、有形のものには気を使ってます。

        PC関連はさすがに詳細はお口にチャックですが、有線がある範囲での無線LAN禁止、出先ではEnd-to-ENDのIPSecVPN上でVNCのような、
        ローカルにファイルを置けない仕掛けにしました。紛失したら即電話でRJ-45を抜けばOKという感じで。
        私向けの穴は一応掘ってありますが、電話をかけて折り返しでかけなおした後、サーバ側の人がVirtualI/Fを開けると、代議士を含む
        主要メンバーにメールが飛ぶ仕掛けになっていますのでこっそり悪いことはできません。しがらみやらで社会的に抹殺されるので。

        とまあ、この程度のことまでは国会議員クラスでもやってるし、多分ウチが一番堅牢でしょう。秘書さんにも元同業がいて
        とりあえず作りこんでおけば普段のオペレーションはその人がちゃちゃっと解決しちゃうレベルなので。

        ただ、「メタルのPSTNは安全ではない」という説明と、「電波は傍受される」という説明を納得してもらうのが大変でした。
        宮本議長電話傍受事件を持ち出したり、WEP解読デモをやって何とか納得してもらった覚えが。
        前者はVPN+Asteriskかなと考えていたのですが、代議士から「そもそも電話で洩れたら大変な話はしないよ」と助言を頂いたので
        0AB-J型の光IP電話、携帯を使う話のレベルは喫茶店で立ち聞きされても問題ない程度のレベルという周知で解決しました。

        ということで、やっぱり秘書さんの手帳や実際に会ってそれなりの設備のところで話すのが一番安全だ、という
        なんだかなーという結論に。名簿管理とかPIMなど、電子化した方が便利な部分は他の事務所より堅くなってるはずですが
        その中には機密性の高いものはそんなに入っていないと。

        私の聞き知るほかの事務所はバックアップなしのスタンドアロンなPCとか、もっとひどい例になると名簿管理システムの
        サーバ機で何でもかんでもやってるとか・・・orz ゼンリンが「当選箱」のクライアントパッケージを安くするなり、
        選挙期間だけ有効な入力のみのクライアントライセンスやソリューションを提供してくれれば他もましになるんですが。

        #いや、現状でも「持ち出し」状態なのは重々承知なんですがデスクトップ機のMS SQL Serverで40万レコードを超える
        #DBを手作業でいじるには現在のシステムは名簿管理人には厳しいのですよ。MDB決め打ちとか勘弁してくれと。Accessじゃないんだから。
        #特に選挙期間中は毎日のように数千件近いUPDATEをかけるので、結局選挙前にみっちり整備した名簿を紙に打ち出して
        #差分を短冊にして元の名簿に糊で貼り付けていくという人海戦術の方がましな状態だったり...
        #出力をExcelでひたすらコピペする作業はもう嫌です。なんとかならんですか>ゼンリン

        親コメント
      • by saitoh (10803) on 2010年01月28日 20時08分 (#1710152)
        諜報機関だったら難しい電波のところで盗聴しなくても基地局で有線信号になったのにアクセスできるのでは?
        親コメント
      • by Anonymous Coward
        IQコンスタレーション->コード変換->保存->逆拡散符号解析
        すれば、現実的な時間の後、内容を取得することができるシステムが構築可能で
        あることは間違いないでしょう。

        クラウドすれば端末はコード採取->復号鍵要求->復号鍵取得->復号鍵を使用して音声再生
        端末は携帯電話の処理速度レベルで出来るかも。
  • by TarZ (28055) on 2010年01月27日 22時27分 (#1709573) 日記

    日経BPで三菱電機の暗号の話が連載されている(要ログイン) [nikkeibp.co.jp]ときになんと言う皮肉。ちょうど、三菱電機の研究員がDES破ったどー [nikkeibp.co.jp]というところまで話が進んだのに。

    (まあ、この記事自体は、2002年に日経エレクトロニクスで掲載されたものがWebに再掲されているだけなので、記事そのものと今回の件のタイミングが合っているわけではないですが)

    • 日本ぽいネーミングだと思ったら三菱電機の開発なのか。
      霞んでるだけだから、良く目を凝らせば見えてくるということなのだろう。
      親コメント
    • by Anonymous Coward

      次はCamelliaあたりでしょうか。

      日本発の暗号が様々なプロダクトに採用されていくのはいいことかもしれませんが、
      AESより優先して使おうとするブラウザはちょっと怖い。

  • Kasumiと聞くと (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2010年01月28日 2時20分 (#1709674)

    かすみ、かっちゃった~」という未成年マージャンを思い出すジジイです。
    負けたセリフってなんだっけ?(´・ω・`)

    #SETAの社長とチャットしてPIシリーズテレカ(シリアル番号つき)もゲットしたAC

  • by Anonymous Coward on 2010年01月27日 21時39分 (#1709546)
    日本企業だけが使う戦法じゃなかったんだ……
    • by Anonymous Coward on 2010年01月28日 3時16分 (#1709683)

      そもそもノーガードでもないわけですが。

      親コメント
      • by Anonymous Coward
        そうじゃなくてキャリア側のコメントが。

        GSM Association側は「Nohl氏の行為は違法であり、

        CellCryptのCEO、Simon Bransfield-Garth氏は「彼のすることは英国と米国においては違法であり

  • by Anonymous Coward on 2010年01月27日 23時41分 (#1709618)
    Kasumiたんにアタックするなら、俺を倒してから行け!
    #仙人は霞を喰らうの方の霞だという指摘は受け付けておりません。
    • by Anonymous Coward

      >#仙人は霞を喰らう
      ジョルジュ長岡がアップを始めたようです。

  • by Anonymous Coward on 2010年01月28日 11時32分 (#1709805)
    日本で GSM って使えるんでしたっけ?
typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...