Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Kasumi vaincu, la sécurité des GSM n’en finit plus de tomber

Depuis septembre le chiffrement des communications mobiles est mis à mal par une communauté de chercheurs en quête de renforcement d’une sécurité jugée trop faible.

L’année 2009 s’est achevée sur la chute de l’algorithme A5/1. 2010 démarre par celle de l’A5/3. La rubrique nécrologique du chiffrement n’en finit plus de s’allonger. En septembre, Karsten Nohl annonçait la création d’une table arc-en-ciel, censée accélérer le déchiffrement de l’A5/1. Pour s’éviter d’éventuelles pressions, mais également pour aller plus vite, l’ingénieux chercheur s’était servi de l’informatique distribuée pour diluer la charge de calcul. A ce moment, il annonçait six mois pour parvenir à ses fins. Quatre auront suffi. Karsten Nohl mettait à ce moment un terme à un règne de plus de vingt ans de l’algorithme.

Une attaque sandwich

L’A5/3 Kasumi s’est vu cassé par trois chercheurs israéliens, à partir d’une méthode baptisée sandwich attack. Entre les mains des chercheurs depuis un bon moment, Kasumi avait réussi jusqu’alors à résister. « Nous avions lancé un projet en 2000 qui n’avait pas touché à sa fin », raconte Jean-Louis Roch, directeur de recherche à l’Ensimag. A l’époque l’attaque utilisée, dite boomerang attack, consistait à émettre un jeu de clés hypothétique s’approchant au maximum du résultat escompté, et à obtenir via une méthode différentielle une diminution conséquente des différentes clés possible : passer, par exemple, de 264 à 230. La sandwich attack est un dérivé de boomerang visant à exploiter les dépendances obtenues à partir des différentielles.

Des protections réservées aux professionnels

Pour se protéger, il existe des solutions sur le marché mais qui sont payantes et réservées au monde de l’entreprise. CryptoSmart d’Ercom propose par exemple de chiffrer l’intégralité des contenus voix et données émises par les terminaux mobiles. Cela en plus du chiffrement hertzien imposé par la norme GSM. Pour les particuliers, il existerait des solutions pour protéger les flux de données (la voix restant désormais à l’air libre), sachant que de telles attaques ne sont, une fois de plus, pas à la portée de tout le monde, et qu’avant de pouvoir écouter les communications téléphoniques de son voisin, il faudra réviser son algorithmie.

L’éclairage de Rolan Gillard, mathématicien

Kasumi utilise des clefs de 128 bits avec des blocs de message de 64 bits. Le message à crypter doit donc être découpé en des blocs identiques : on complète à la fin, par exemple, avec des zéros. Il est constitué de sept rondes (cycles d’exécution) exécutées successivement. Chacune des rondes utilise une clé propre déduite de la clé du système par un procédé plus ou moins long à exécuter. Kasumi a été conçu par simplification à partir de Misty (qui l’a précédé), procédé utilisé pour une optimisation matérielle. Cette simplification l’affaiblit à tel point que des auteurs (Dunkelmen, Keller, Shamir) l’ont cassé !
Trouver la clé par recherche exhaustive demande 2128 calculs de Kasumi. L’idée des chercheurs est d’utiliser des clés en relation, par une méthode qu’ils baptisent sandwich. En effet, une partie est prise en sandwich entre deux autres. Mis à part cela, elle ressemble à la méthode dite du boomerang.

La méthode du boomerang

Elle décompose un système en deux morceaux et prend deux clefs K_a et K_b, en relation (xor fixé). Elle en trouve deux autres en fixant les xor entre les deux morceaux et en revenant au départ (c’est cela le boomerang) en décryptant le premier morceau.

La méthode du sandwich

Elle se décompose en trois morceaux : Kasumi ayant sept rondes, le morceau du milieu, pris en sandwich, est juste une ronde. Comme Kasumi utilise le diagramme de Feistel, chaque ronde est assez simple. En particulier, une moitié de l’entrée se retrouve inchangée dans la sortie. Ceci complique un peu le boomerang mais apparait bien adapté à un nombre impair de rondes.
Ainsi les auteurs utilisent quatre clés en relation à chaque fois (quatuors). Il leur en suffit 226, mais mobilisent 230 octets de mémoire (un gigaoctet) et 232 chiffrements ce qui ne prendrait qu’environ deux heures sur un ordinateur moderne.

Stéphane Bellec | 01net. | le 13/01/2010 à 18h45 |

Source :01net Pro