A5/1 je proudová šifra používaná v sítích GSM k zabezpečení hlasové a datové komunikace přes rádiové rozhraní generováním šifrovacího klíčového proudu.

Popis

A5/1 je symetrická proudová šifra standardizovaná pro použití v sítích GSM k poskytnutí šifrování přes rádiové rozhraní. Funguje na rozhraní Um mezi mobilní stanicí (MS) a základnovou přenosovou stanicí (BTS), konkrétně šifruje uživatelská data a signalizační provoz v rámci 22,8 kbps plnorychlostního provozního kanálu (TCH/FS). Základní funkcí algoritmu je generovat pseudonáhodný klíčový proud, který je pomocí operace XOR kombinován s otevřeným textem za vzniku šifrovaného textu, čímž brání odposlechu rádiových přenosů. Je implementován jak v mobilním terminálu, tak v šifrovací jednotce sítě, typicky uvnitř BTS, což zajišťuje, že šifrování a dešifrování jsou prováděny lokálně na koncových bodech rádiového spoje.

Konstrukce algoritmu je založena na kombinaci tří lineárních posuvných registrů s zpětnou vazbou (LFSR) o délkách 19, 22 a 23 bitů, které jsou nepravidelně taktovány pomocí mechanismu většinového taktování. Toto nepravidelné taktování zavádí nelinearitu, která měla zvýšit bezpečnost tím, že ztíží kryptoanalýzu. Počáteční stav těchto registrů je odvozen od 64bitového relacíního klíče (Kc) a 22bitového čísla rámce (FN), které společně vytvářejí jedinečný klíčový proud pro každý TDMA rámec. Relační klíč Kc je generován během procesu autentizace a dohody o klíči (AKA), kdy si jej mobilní stanice a autentizační centrum (AuC) odvodí ze sdíleného tajného klíče Ki a náhodné výzvy (RAND). Číslo rámce zajišťuje, že se klíčový proud mění s každým rámcem, a brání tak útokům přehráním.

Během provozu generuje A5/1 114 bitů klíčového proudu pro uplink a dalších 114 bitů pro downlink na jeden TDMA rámec, což odpovídá dvěma 57bitovým blokům normálního výbuchu. Proces šifrování je aplikován po kanálovém kódování a prokládání, chrání tedy užitečné zatížení, nikoli však tréninkovou sekvenci nebo koncové bity ve struktuře výbuchu. Navzdory svému původnímu nasazení byla bezpečnost A5/1 zásadně narušena kvůli zranitelnostem v návrhu LFSR a krátké délce klíče, což vedlo k praktickým útokům využívajícím kompromisy mezi časem a pamětí nebo hardwarovou kryptoanalýzu. Následně byl proto nahrazen silnějšími algoritmy, jako je A5/3 (založený na blokové šifře Kasumi) a A5/4 (používající 128bitové klíče) v pozdějších vydáních 3GPP, přičemž zůstává součástí legacy specifikace GSM kvůli zpětné kompatibilitě.

K čemu slouží

A5/1 byl vyvinut, aby řešil potřebu základní důvěrnosti v sítích GSM, prvního široce nasazeného digitálního celulárního systému. Před GSM analogové systémy jako AMPS nenabízely žádné šifrování, což umožňovalo snadný odposlech komunikace pomocí jednoduchých rádiových skenerů. Zavedení digitální technologie umožnilo šifrování a A5/1 byl navržen jako odlehčený a efektivní algoritmus, který bylo možné implementovat v hardwarových omezeních raných mobilních terminálů a síťové infrastruktury. Jeho primárním účelem bylo chránit hlasové hovory a SMS zprávy před běžným odposlechem a splnit tak regulatorní a spotřebitelské požadavky na soukromí v 90. letech.

Algoritmus řešil problém zabezpečení zranitelného rádiového spoje, který je vystaven odposlechu přes vzdušné rozhraní. Šifrováním provozu mezi mobilním zařízením a základnovou stanicí bránil neoprávněným stranám v odposlechu konverzací nebo zachycení uživatelských dat. A5/1 však byl navržen s ohledem na exportní omezení a výpočetní limity, což vedlo k úmyslně oslabenému 64bitovému klíči (efektivně 54 bitů kvůli známým slabinám) a relativně jednoduché struktuře LFSR. Tyto konstrukční volby byly v té době přijatelné, ale staly se nedostatečnými s rostoucím výpočetním výkonem a pokrokem v kryptografickém výzkumu.

Motivací pro vytvoření A5/1 byla rovnováha mezi bezpečností, výkonem a náklady. Musel být dostatečně rychlý pro šifrování v reálném čase, aniž by způsoboval významné zpoždění nebo vysokou spotřebu energie v mobilních zařízeních. Zatímco se mu podařilo poskytnout základní úroveň soukromí pro miliony uživatelů, jeho kryptografické nedostatky byly v průběhu času odhaleny, což podnítilo vývoj robustnějších algoritmů v následných vydáních 3GPP. Jeho existence ilustruje vývoj mobilní bezpečnosti od základní ochrany k silnějším, standardy řízeným šifrovacím mechanismům.

Klíčové vlastnosti

• Proudová šifra založená na třech nepravidelně taktovaných lineárních posuvných registrech s zpětnou vazbou (LFSR)
• Používá 64bitový relacíní klíč (Kc) odvozený z GSM autentizace a dohody o klíči
• Generuje jedinečný klíčový proud na každý TDMA rámec pomocí 22bitového čísla rámce jako vstupu
• Šifruje 114 bitů na směr (uplink/downlink) na rámec pro plnorychlostní provozní kanály
• Poskytuje šifrování přes rádiové rozhraní pro hlas a data na rozhraní Um mezi MS a BTS
• Navržen pro hardwarově efektivní implementaci v raných mobilních a síťových zařízeních

Související pojmy

• KC – Ciphering Key

Definující specifikace

• TR 21.905 (Rel-19) — 3GPP Technical Terms and Definitions

📖 Anglický originál a plná specifikace: A5/1 na 3GPP Explorer