A5/2 je záměrně oslabený proudový šifrovací algoritmus pro GSM navržený pro export, poskytující minimální zabezpečení hlasu a dat, který lze snadno prolomit.

Popis

A5/2 je synchronní proudový šifrovací algoritmus speciálně navržený pro sítě GSM, který funguje jako součást rodiny šifrovacích algoritmů A5. Algoritmus používá jako vstupy 64bitový tajný klíč (Kc) odvozený z autentizačního procesu a 22bitové číslo rámce (FN) ke generování 114bitového šifrovacího proudu pro každý směr komunikace (celkem 228 bitů na rámec). Tento šifrovací proud je následně XORován s otevřeným textem za účelem vytvoření šifrovaného textu pro přenos přes rozhraní vzdušného přenosu.

Architektura algoritmu se skládá ze tří lineárních posuvných registrů s zpětnou vazbou (LFSR) o délkách 19, 22 a 23 bitů, které jsou nepravidelně taktovány na základě většinové funkce specifických pozic odboček. Mechanismus nepravidelného taktování měl poskytovat kryptografickou sílu, ale návrh záměrně obsahoval slabiny. Registry jsou inicializovány sezení klíčem a číslem rámce, poté procházejí fází zahřívání před produkováním výstupního šifrovacího proudu. Výstup je generován kombinací obsahu specifických pozic registrů prostřednictvím nelineární kombinační funkce.

V bezpečnostní architektuře GSM funguje A5/2 na fyzické vrstvě mezi mobilní stanicí a základnovou přenosovou stanicí. Při vytvoření hovoru síť vybere šifrovací algoritmus z dostupných možností (A5/1, A5/2 nebo žádné šifrování) na základě schopností dohodnutých během autentizace. Mobilní stanice a síť musí podporovat stejný algoritmus, aby mohla probíhat šifrovaná komunikace. Algoritmus poskytuje utajení jak pro hlasový provoz (pomocí kodeků Full Rate, Half Rate nebo Enhanced Full Rate), tak pro služby přepojování okruhů pro data.

Kryptografické slabiny A5/2 jsou zásadní pro jeho návrh. Algoritmus používá relativně krátký klíč (efektivně 54 bitů kvůli konstrukčním omezením) a inicializační proces ponechává vnitřní stav zranitelný vůči kryptoanalýze. Nejvýznamněji, návrh obsahuje záměrné zadní vrátka a slabiny, které umožňují šifru prolomit s minimálními výpočetními prostředky – typicky vyžadující pouze několik sekund známého otevřeného textu a skromný výpočetní výkon. Tyto slabiny byly popsány v akademické literatuře již v roce 1999, což vedlo k jeho následnému zavržení.

K čemu slouží

A5/2 byl vytvořen spíše pro řešení politických a regulačních omezení než technických bezpečnostních požadavků. Během vývoje GSM na konci 80. a začátku 90. let 20. století mnoho zemí uvalilo přísné vývozní kontroly na silnou kryptografii, klasifikujíc ji jako vojenský materiál. Evropští telekomunikační výrobci potřebovali vyvážet zařízení GSM po celém světě, včetně zemí s restriktivními importními politikami na silné šifrovací technologie.

Algoritmus sloužil jako kompromisní řešení, které umožnilo sítím GSM technicky implementovat šifrování při zachování shody s vývozními předpisy. Poskytnutím záměrně slabého algoritmu mohli výrobci tvrdit, že jejich systémy podporují šifrování pro marketingové účely, a zároveň zajistit, že zpravodajské služby mohou v případě potřeby snadno odposlouchávat komunikaci. Tento přístup odrážel politickou realitu éry studené války a obavy bezpečnostních agentur ze ztráty schopností sledování.

Z technického hlediska poskytoval A5/2 minimální ochranu proti příležitostnému odposlechu, zatímco byl zcela nedostatečný proti odhodlaným útočníkům nebo protivníkům na úrovni státu. Jeho existence umožnila operátorům sítí nasadit jednotnou bezpečnostní architekturu v různých regulačních prostředích, přičemž silnější algoritmus A5/1 byl vyhrazen pro trhy s méně omezujícími vývozními kontrolami. Tento přístup s dvojím algoritmem představoval pragmatické, i když eticky sporné, řešení konfliktu mezi očekáváními uživatelů ohledně soukromí a požadavky vlád na sledování.

Klíčové vlastnosti

• Architektura proudové šifry využívající tři nepravidelně taktované LFSR registry
• Vstup 64bitového tajného klíče odvozeného z autentizačního procesu GSM
• Synchronizace pomocí 22bitového čísla rámce pro každý přenosový rámec
• Záměrně oslabený návrh se známými kryptografickými zranitelnostmi
• Podpora šifrování hlasu i přepojovaných okruhů pro data
• Kompatibilita s vývozními kontrolními předpisy z 90. let 20. století

Související pojmy

• A5/1 – Encryption Algorithm A5/1

Definující specifikace

• TR 21.905 (Rel-19) — 3GPP Technical Terms and Definitions

📖 Anglický originál a plná specifikace: A5/2 na 3GPP Explorer