Un método de cifrado usado por los teléfonos 3G GSM podría ser vulnerable a pocas horas de una computadora personal, lo cual no alcanzaría a cumplir casi ningún estándar de seguridad.

El pasado diciembre vimos el anuncio respecto que la técnica de cifrado A5/1 usada por los teléfonos celulares GSM era vulnerable a un nuevo ataque, despertando las preguntas sobre como respondería la industria de telefonía celular. Se pensó que la transición al servicio 3G, que ya está en marcha, pudiera usado para limitar el riesgo de ataque, ya que las comunicaciones 3G usan un sistema de cifrado diferente. Para cualquiera planeando en una respuesta de ese tipo, sin embargo, las noticias de esta semana no son buenas: los investigadores han descripto un ataque sobre el sistema 3G de KASUMI que requiere solo unas pocas horas en una Pc común.

El sistema KASUMI está basado en una técnica de cifrado llamada MISTY, que pertenece a una clase general de técnicas llamada cifrado Feistel. Estas son bastante complejas, con múltiples claves que son combinadas, y un proceso de cifrado de múltiples rondas recursivo que alterna el orden de diferentes funciones. Para darse una idea de la complejidad uno puede mirar este diagrama en una página que lo describe.


Desafortunadamente, un cifrado MISTY completo es aparentemente muy caro computacionalmente, haciéndolo menos que ideal para una aplicación en la cual el tiempo y la potencia de procesamientos son escasos. El algoritmo KASUMI fue desarrollado específicamente para simplificar el sistema MISTY, y hacerlo "más veloz y amigable para el hardware", según las palabras de de los autores del nuevo estudio. Supuestamente, las simplificaciones no reducen la seguridad del protocolo, pero la nueva investigación sugiere lo contrario.

La matemática tras el ataque es bastante compleja pero, una vez comprendido, se basa en enviar múltiples entradas mediante el proceso de cifrado que difieran en valores conocidos, y buscar pares por pare que exhiban claves similares. Estas similitudes permiten a los autores determinar cuando se están usando claves de cifrado relacionadas, y luego identificar algunos de los bits de las claves. Según el trabajo, "nuestra implementación no optimizada en una simple PC recuperó cerca de 96 bits de la clave en pocos minutos, y la clave completa de 128 bits en menos de dos horas." Eso no debería alcanzar para cumplir casi ningún estándar de seguridad.

Fuente