Etikettarkiv: LTE

Algoritmerna 128-EEA3 och 128-EIA3 godkända av 3GPP

(Det här är egentligen ingen riktigt nyhet då den är flera månader gammal. Men eftersom det inte uppmärksammats tycker jag att det är värt att ta upp.)

3GPPs 53:e SA-möte i september 2011 beslutade 3GPP att anta algoritmerna 128-AAA3 och 128-EIA3 som säkerhetsstandarder för LTE. Länken pekar på agendan/mötesprotokollet från mötet. Den relevanta sektionen att titta på är sektion 11.16.

Vad är nu detta för algoritmer för något? Jo det är de nya konfidentiltets- och integritetsalgoritmerna som skyddar kommunikationen mellan mobilen och mobilstystemet. Dessa algoritmer är byggda runt strömkryptot ZUC. Beslutet som tagits innebär att även ZUC är en antagen standard. (Jag har tidigare skrivit ett par inlägg om ZUC tidigare och även på gamla Kryptoblog.). Strukturmässigt är ZUC ett strömkrypto med en LFSR-kedja sammankopplad med ett tillståndsmaskin – på många sätt likt Snow och Snow3G.

Strukturen hos ZUC.
Strukturen hos ZUC.

Algoritmen 128-EEA3 använder ZUC som en nyckelströmsgenerator. Algoritmen 128-EIA3 är en generator för äkthetskoder (message authentication code – MAC). Algoritmerna kan användas separat eller tillsammans.

I samband med beslutsmötet i september presenterade även ETSIs säkerhetsgrupp SAGE sin slutliga version av sin utvärderingsrapport för ZUC. Rapporten finns att ladda ner (zipfil) från 3GPP.

För den som vill få tag på specifikationerna för ZUC, 128-EEA3 och 128-EIA3 (version 1.6) finns dom att hämta GSMA. På den sidan finns även specifikationer för äldre algoritmer exempelvis Snow3G, Milenage, Kasumi samt deras kryptomoder så som dom används i GSM, 3G, LTE etc. Letar du efter en referensimplementation av ZUC finns den in specifikationen (i dokumentet). Det kan dock vara värt att notera att namnen som används i koden inte riktigt stämmer med de som används i algoritmbeskrivningen. Hos 3GPP själva är den senaste versionen av specifikationerna intressant nog spärrade/censurerade i avvaktan på beslut om exportkontroll. Företaget Galois, som utvecklar verktyget Cryptol har skapat en implementation av ZUC i Cryptol och använt den för att testa algoritmen.

Det ska bli intressant att se utvecklingen runt ZUC, 128-EEA3 och 128-EIA3 – kommer dom att visa sig starka när användningen av dom börjar öka och därmed intresset för att attackera dom ökar? Och kommer algoritmernas användning att få spridning på global nivå.

Ny version av strömkryptot ZUC

I början av året skrev jag om status för strömkryptot ZUC. Bland annat att det i december dykt upp både svagheter i initieringsdelen av ZUC samt i integritetsfunktionen 128-EIA för LTE som använder ZUC.

Sedan en tid har GSMA släppt nya versioner av specifikationen av ZUC samt de funktioner för LTE som använder ZUC.

Den tidplan som Steve Babbage presenterat är att de nya versionerna ska utvärderas fram till juni 2011 och att ZUC, 128-EEA3 och 128-EIA3 kan tas med i LTE i juli 2011.

Status för kryptot ZUC

På Kryptoblog skrev jag ett par gånger (första artikeln, andra artikeln) om det nya strömkryptot ZUC som är tänkt att plockas in i mobilstandarderna LTE och LTE Advanced. Nu har det gått några månader så jag bestämde mig för att se om det finns några nyheter – inte minst vad gäller säkerhetsanalyser.

En av de saker som skett är att det organiserats en konferens om ZUC. The First International Workshop on ZUC Algorithm hölls den 2-3 december 2010 i Peking. Att döma av konferensprogrammet (pdf) presenterades ett flertal analyser. (Jag hittar ingen sida med lista till alla presentationer. Men genom att Googla på titeln och ev författare går det att få fram presentationerna.)

En av de som presenterade en säkerhetsanalys av ZUC och de nya LTE-algoritmerna EEA3 och EIA3 som använder ZUC var Bart Preneel från COSIC och ETSI/SAGE. Hans slutsats sammanfattas av hans sista bild:
Preneel conclusions

Dvs, inga svagheter i ZUC men tveksamheter om ZUC skiljer tillräckligt mycket från Snow3G för att skapa diversitet. Och EIA3 är inte robust.

En annan presentation från konferensen värd att titta lite på är
Evolution of Stream Ciphers towards ZUC som beskriver hur utvecklingen gått till med fokus på krypton i mobilsystem.

I stort sett samtidigt som ZUC-konferensen, mer exakt 5-9 december 2010 (dvs ett par dagar senare) gick den större kryptokonferensen AsiaCrypt 2010. Det är svårt att tänka sig att inte flera deltagare på ZUC-konferensen även var på AsiaCrypt. Och på AsiaCrypts rump session presenterade Hongjun Wu några klart intressanta resultat.

Cryptanalysis of Stream Cipher ZUC in the 3GPP Confidentiality & Integrity Algorithms 128-EEA3 & 128-EIA3 visar att initieringsdelen av ZUC har ett par grova fel som innebär att samma nyckel med ett stort antal initialvektorer leder till samma initialtillstånd. Wu och hans kollegor konstaterar att ZUC har problem med attacker baserade på kontroll av initialvektorn. Och att i vissa fall minskar den effektiva nyckelstyrkan från 128 till 66(!) bitar.

Nu är detta resultat inte officiellt publicerat och därmed inte granskat och verifierat. Men det är anmärkningsvärt att den observation Wu och hans kollegor gjort kunnat gå SAGEs granskning förbi.

En annan analys som visar på mostavande svagheter som Preneel och SAGE påpekat vad gäller MAC-funktionaliteten i EIA3 har dykt upp på artikeldatabasen IACR. Artikeln A Forgery Attack on the Candidate LTE Integrity Algorithm 128-EIA3 visar enligt författarna:

In this note we show that the message authentication code 128-EIA3 considered for adoption as one of the integrity algorithms of the emerging mobile standard LTE is vulnerable to a simple existential forgery attack.

This attack allows, given any message and the associated MAC value under an unknown integrity key and an initial vector, to predict the MAC value of a related message under the same key and the same initial vector with a success probability 1/2.

Slutligen noterar jag att det även pågår ett arbete hos Thomas Johansson och Martin Hell på EIT/LTH om att analysera ZUC. Arbetet som utförs av Marwan Mostafa ska vara klart 2011-02-18. Då Thomas Johansson är en av skaparna av strömkryptot Snow borde han och Marwan kunna göra en bra analys. Det skall bli väldigt spännande att se vad dom kommer fram till.

Hur det går med ZUC vågar jag inte sia, men förhoppningsvis skyndar man långsamt och inte trycker igenom standardiseringen utan att ta in de analysresultat som nu börjar trilla in.