A5/3, beter bekend als Kasumi, is de opvolger van het A5/1-algoritme dat op dit moment wordt toegepast voor de versleuteling van gsm-communicatieverkeer. Het is de bedoeling dat de 128-bits Kasumi-sleutel op termijn het merendeel van alle 3G-verkeer beveiligt. Nu zijn de meeste mobiele apparaten wel in staat om met Kasumi te werken, maar slechts een handjevol telecomaanbieders heeft de technologie geïmplementeerd. Voor A5/1 is een paar weken terug nog een praktisch toepasbare kraak verschenen.

Binnen twee uur

Ondanks dat het dus om cutting-edge technologie gaat, hebben drie onderzoekers van het commerciële Weizmann-instituut een aanval ontwikkeld die de sleutel in theorie binnen twee uur kan kraken.

Dat gebeurt bovendien op huis-tuin- en keukenapparatuur. Binnen hun onderzoeksomgeving slaagden ze daarin op een Dell Latitude met dualcore-processor waarop Linux draait. De paper met hun bevindingen is eerder deze week door de drie naar buiten gebracht. Een van de onderzoekers is Adi Shamir, de man van de 'S' in het veelgebruikte RSA-algoritme.

De door de onderzoekers opgezette aanval is een deductiemethode waarmee het aantal mogelijke sleutels in de gebruikte encryptie drastisch kan worden teruggebracht tot een niveau waarop een normaal systeem de data kan brute-forcen. “Het zou me voorheen een jaar hebben gekost om de sleutel te vinden als ik alle computerkracht in de wereld tot mijn beschikking had”, zegt onderzoeker Orr Dunkelmann tegenover Computerworld. “Dat kost nu slechts twee uur op een enkele computer. Dat is redelijk storend.”

Theoretische kraak

Om deze zogenaamde 'Sandwich-aanval' in te zetten zijn drie componenten nodig: twee dikke lagen en een dun laagje ertussen, vandaar de naam. De dikke lagen zijn 2 tot de 26e aan data en 2 tot de 30e aan bytes, met daar tussenin vier naburige sleutels. Daar zit ook direct de adempauze voor de mobiele operators, want het is een flinke klus om dat alles van tevoren in plaintext te verzamelen. Het aantal benodigde plaintexts loopt in de miljoenen.

De kraak blijft dus voorlopig theoretisch. Een typisch telefoongesprek verzendt ongeveer ieder seconde een plaintext, dus het moet een lang gesprek worden wil je de sleutel willen kraken, legt security-expert en telefoniekraker Karsten Nohl van de Universiteit van Virginia uit aan The Register.

Vervanging op termijn

Toch moeten de beveiligers zich volgens Nohl achter de oren krabben. “De aanval dient als herinnering dat ook het A5/3-algoritme op den duur moet worden vervangen.” Security-guru Bruce Schneier van BT beaamt dat tegenover Computerworld, met de toevoeging dat het hier gaat om de sleutel zelf, en niet om de implementatie.

Bron: Techworld.nl.