Status för kryptot ZUC

På Kryptoblog skrev jag ett par gånger (första artikeln, andra artikeln) om det nya strömkryptot ZUC som är tänkt att plockas in i mobilstandarderna LTE och LTE Advanced. Nu har det gått några månader så jag bestämde mig för att se om det finns några nyheter – inte minst vad gäller säkerhetsanalyser.

En av de saker som skett är att det organiserats en konferens om ZUC. The First International Workshop on ZUC Algorithm hölls den 2-3 december 2010 i Peking. Att döma av konferensprogrammet (pdf) presenterades ett flertal analyser. (Jag hittar ingen sida med lista till alla presentationer. Men genom att Googla på titeln och ev författare går det att få fram presentationerna.)

En av de som presenterade en säkerhetsanalys av ZUC och de nya LTE-algoritmerna EEA3 och EIA3 som använder ZUC var Bart Preneel från COSIC och ETSI/SAGE. Hans slutsats sammanfattas av hans sista bild:
Preneel conclusions

Dvs, inga svagheter i ZUC men tveksamheter om ZUC skiljer tillräckligt mycket från Snow3G för att skapa diversitet. Och EIA3 är inte robust.

En annan presentation från konferensen värd att titta lite på är
Evolution of Stream Ciphers towards ZUC som beskriver hur utvecklingen gått till med fokus på krypton i mobilsystem.

I stort sett samtidigt som ZUC-konferensen, mer exakt 5-9 december 2010 (dvs ett par dagar senare) gick den större kryptokonferensen AsiaCrypt 2010. Det är svårt att tänka sig att inte flera deltagare på ZUC-konferensen även var på AsiaCrypt. Och på AsiaCrypts rump session presenterade Hongjun Wu några klart intressanta resultat.

Cryptanalysis of Stream Cipher ZUC in the 3GPP Confidentiality & Integrity Algorithms 128-EEA3 & 128-EIA3 visar att initieringsdelen av ZUC har ett par grova fel som innebär att samma nyckel med ett stort antal initialvektorer leder till samma initialtillstånd. Wu och hans kollegor konstaterar att ZUC har problem med attacker baserade på kontroll av initialvektorn. Och att i vissa fall minskar den effektiva nyckelstyrkan från 128 till 66(!) bitar.

Nu är detta resultat inte officiellt publicerat och därmed inte granskat och verifierat. Men det är anmärkningsvärt att den observation Wu och hans kollegor gjort kunnat gå SAGEs granskning förbi.

En annan analys som visar på mostavande svagheter som Preneel och SAGE påpekat vad gäller MAC-funktionaliteten i EIA3 har dykt upp på artikeldatabasen IACR. Artikeln A Forgery Attack on the Candidate LTE Integrity Algorithm 128-EIA3 visar enligt författarna:

In this note we show that the message authentication code 128-EIA3 considered for adoption as one of the integrity algorithms of the emerging mobile standard LTE is vulnerable to a simple existential forgery attack.

This attack allows, given any message and the associated MAC value under an unknown integrity key and an initial vector, to predict the MAC value of a related message under the same key and the same initial vector with a success probability 1/2.

Slutligen noterar jag att det även pågår ett arbete hos Thomas Johansson och Martin Hell på EIT/LTH om att analysera ZUC. Arbetet som utförs av Marwan Mostafa ska vara klart 2011-02-18. Då Thomas Johansson är en av skaparna av strömkryptot Snow borde han och Marwan kunna göra en bra analys. Det skall bli väldigt spännande att se vad dom kommer fram till.

Hur det går med ZUC vågar jag inte sia, men förhoppningsvis skyndar man långsamt och inte trycker igenom standardiseringen utan att ta in de analysresultat som nu börjar trilla in.

En reaktion på ”Status för kryptot ZUC

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *