La cryptanalyse des algorithmes de chiffrement GPRS GEA-1 aurait une faille intentionnellement cachée,

Selon l'IACR

L'International Association for Cryptologic Research (IACR) a publié le 15 juin un article intitulé Cryptanalyse des algorithmes de chiffrement GPRS GEA-1 et GEA-2. Cet article présente les premières attaques cryptographiques sur les algorithmes GEA-1 et GEA-2. L'attaque sur GEA-1 est basée sur une interaction exceptionnelle entre les LFSRs déployés et l'initialisation de la clé, ce qui est très peu probable de se produire par hasard. Ce schéma inhabituel indique que la faiblesse est cachée intentionnellement pour limiter le niveau de sécurité à 40 bits par conception.

L’article révèle qu’au lieu de fournir une sécurité complète de 64 bits, l'état initial de GEA-1 peut être récupéré à partir de 65 bits seulement de flux de clés connus (avec au moins 24 bits provenant d'une trame) en évaluant 240 fois GEA-1 et en utilisant 44,5 GiB de mémoire. En revanche, pour GEA-2, les chercheurs ont découvert la même faiblesse intentionnelle. Cependant, en utilisant une combinaison de techniques algébriques et d'algorithmes de fusion de listes, il est toujours possible de casser GEA-2 en 245.1 minutes.

Longtemps réservée aux usages diplomatiques et militaires, la cryptologie répond aujourd'hui aux besoins du marché et constitue un domaine scientifique en pleine activité. Elle intervient dans de multiples applications et représente l'élément essentiel de la sécurisation du commerce électronique et du réseau Internet. L'International Association for Cryptologic Research (IACR) est une organisation scientifique à but non lucratif dont l'objectif est de faire progresser la recherche en cryptologie et dans les domaines connexes.

En 2011, des chercheurs ont analysé la sécurité du trafic GPRS et ont montré que les signaux GPRS pouvaient facilement être écoutés. Ce point a été signalé comme une grave faiblesse, d'autant plus que certains fournisseurs n'activaient pas du tout le chiffrement. Cependant, selon les auteurs, la plupart des opérateurs utilisaient à l'époque les algorithmes de chiffrement propriétaires GEA-1 ou GEA-2 pour chiffrer le trafic GPRS. Dans le même exposé, ces chercheurs ont également rapporté la rétro-ingénierie de ces algorithmes de chiffrement. Sans présenter tous les détails de la spécification, les propriétés suivantes de la conception de GEA-1 ont été démontrées :

• une fonction non linéaire est employée pour l'initialisation ;
• l'état est conservé dans trois registres de 31, 32 et 33 bits ;
• la fonction qui génère le flux de sortie est de degré algébrique 4 ;
• la fonction de mise à jour de l'état est linéaire, c'est-à-dire que les registres sont des LFSR ;
• il s'agit d'un chiffrement par flux qui fonctionne sur un état interne de 96 bits et utilise une clé de 64 bits.

*La structure du chiffrement de flux GEA-1 avec son état de 96 bits connu. Le degré algébrique de la fonction de sortie est 4.

Description de GEA-1 et GEA-2

GEA-1

GEA-1 est construit à partir de trois registres à décalage à rétroaction linéaire sur F2, appelés A, B et C, ainsi que d'une fonction de filtrage non linéaire, appelée f. Les registres A, B, C ont des longueurs de 31, 32 et 33, respectivement, et f est une fonction booléenne sur sept variables de degré 4. Les registres fonctionnent en mode Galois. Cela signifie que si le bit qui est décalé hors d'un registre est 1, les bits dans un ensemble spécifié de positions dans le registre sont inversés. La spécification de f = f(x0, x1, . . . , x6) est donnée sous la forme algébrique normale suivante :

x0x2x5x6 + x0x3x5x6 + x0x1x5x6 + x1x2x5x6 + x0x2x3x6 + x1x3x4x6 + x1x3x5x6 + x0x2x4 + x0x2x3 + x0x1x3 + x0x2x6 + x0x1x4 + x0x1x6 + x1x2x6 + x2x5x6 + x0x3x5 + x1x4x6 + x1x2x5 + x0x3 + x0x5 + x1x3 + x1x5 + x1x6 + x0x2 + x1 + x2x3 + x2x5 + x2x6 + x4x5 + x5x6 + x2 + x3 + x5

Aperçu de la génération du flux de clés de GEA-1 et GEA-2. Le registre D
n'est présent que dans GEA-2

Initialisation : le chiffrement est initialisé par un registre à décalage à rétroaction non linéaire de longueur 64, désigné par S. Ce registre est rempli de 0-bits au début du processus d'initialisation IV. L'entrée pour l'initialisation de GEA-1 se compose d'un vecteur d'initialisation public de 32 bits, d'un bit public dir (indiquant la direction de la communication) et d'une clé secrète de 64 bits K. L'initialisation commence en synchronisant S 97 fois, en introduisant un bit d'entrée à chaque horloge. Les bits d'entrée sont introduits...