El algoritmo de cifrado de los móviles 3G también ha caído

Si hace apenas unas semanas contábamos cómo había caído el algoritmo de cifrado de GSM en detalle, ahora es el algoritmo de cifrado utilizado por los móviles 3G el que ha sido reventado, conocido como KASUMI o A5/3.

Un grupo de investigadores en criptografía ha demostrado que KASUMI, que es el sistema de cifrado utilizado por las redes móviles 3G, es vulnerable a un ataque que permite descifrar las conversaciones en cuestión de horas en un PC estándar.

El sistema KASUMI está basado en una técnica de cifrado llamada MISTY, que a su vez pertenece a un tipo de técnicas denominadas Cifrado Feistel. Se trata de algoritmos complejos, con múltiples claves combinadas, junto con procesos de cifrado recursivos que alternan el orden de diferentes funciones. En concreto, KASUMI tiene un tamaño de clave de 128 bits, y es tan similar a MISTY que los ataques de uno se adaptan fácilmente al otro.

Un cifrado que utilice MISTY en toda su extensión es muy costoso en términos computacionales. Por este motivo se desarrolló KASUMI como una versión simplificada de MISTY1, más rápido y que exige menos potencia de cálculo. Teóricamente, esta simplificación no reducía la seguridad del protocolo, pero la investigación ha desmontado esta teoría…

La demostración matemática es algo complicada. En líneas generales, consiste en enviar múltiples valores de entrada a través del proceso de cifrado con diferencias controladas de algunos bits entre ellas. A continuación se analizan pares de entradas y sus resultados para detectar similaridades entre las claves. Las similaridades permiten a los autores del estudio determinar en qué momento se utilizan claves de cifrado relacionadas, e identificar algunos de los bits de esas claves. Estas operaciones se van repitiendo y en cada paso se mejora el conocimiento que se dispone de la clave de cifrado.

Según la documentación del estudio, el algoritmo que utilizaron fue capaz de recuperar 96 de los bits de las claves en apenas unos minutos usando un PC normal, y los 128 bits al completo en menos de dos horas. Y todo ello a pesar de utilizar una versión de borrador del programa de descifrado, no optimizado, por lo que los tiempos podrían reducirse.

Este nuevo tipo de ataque, al que los investigadores denominan “ataque sandwich”, es de una complejidad tan baja que demuestra que los cambios realizados para simplificar MISTY han debilitado muchísimo el sistema de cifrado.

Aún no está claro si este ataque es efectivo a nivel práctico, ya que es necesario disponer de claves relacionadas, lo que no siempre es posible. Al igual que cuando hablábamos de la rotura del A5/1, no es necesario que nos desprendamos de nuestros móviles: esto tan sólo es una llamada de atención a la GSM Association para que actualice sus sistemas de cifrado.

Por cierto, el grupo de investigadores que está detrás de esto está formado por Orr Dunkelman, Nathan Keller y Adi Shamir. La S se Shamir es la que aparece en el medio del nombre del algoritmo de cifrado RSA, el primer algoritmo de clave pública, y el más utilizado.

No he encontrado ninguna declaración por parte de la GSM Association al respecto, aunque probablemente consistirá en echar balones fuera, si siguen la tónica general hasta el momento.

Vía | Ars Technica
Más información | ThreatPost
Sitio oficial | Cryptology ePrint Archive

Via GenBeta