KASUMI

KASUMI^[1] הוא צופן בלוקים שפותח ב-1999 על ידי 3GPP כתקן לאבטחת שיחה סלולרית מהדור השלישי בטכנולוגיות UMTS, GSM ו-GPRS. ב-UMTS הצופן משמש בשני רבדים, באלגוריתם f8 להגנה על פרטיות שיחה סלולרית ובאלגוריתם f9 לאימות והבטחת שלמות השיחה. ב-GSM/GPRS הצופן מהווה חלק אינטגרלי מאלגוריתם A5/3 בתור מחולל זרם מפתח שנקרא KGCORE שהוא מצב הפעלה OFB.

צופן KASUMI פותח על ידי SAGE שהוא חלק מגוף התקינה האירופאי ETSI. בשל לוח זמנים לחוץ הוחלט בעצה אחת עם TGS (הצוות הטכני של 3GPP) להסתמך על אלגוריתם קיים במקום לפתח אלגוריתם חדש והצופן MISTY1 של מיצובישי נבחר כבסיס. כדי להתאימו לחומרה בוצעו מספר שינויים וניתן לו השם KASUMI שהוא תרגום mist (ערפל) ליפנית.

ביטחון

היתרון של KASUMI הוא שהוא מבוסס על צופן MISTY1 שפותח על בסיס תאורטי שלטענת המפתחים מספק ביטחון מוכח נגד קריפטואנליזה דיפרנציאלית וליניארית וכן שהוא ממוטב במיוחד לחומרה.

ב-2001 פורסמה התקפה תאורטית טובה מכוח גס שנקראת התקפת דיפרנציאלים בלתי אפשריים^[2] נגד גרסה מצומצמת של MISTY הישימה גם נגד KASUMI, בשישה סבבים בסיבוכיות זמן של $2^{100}$ ומקום בסדר גודל של $2^{55}$ .

התקפה יותר מעשית פורסמה על ידי Teruo Saito^[3] גם כן בשישה סבבים בזמן של $2^{65.4}$ ועם $2^{60}$ טקסטים. יש לזכור שב-KASUMI שמונה סבבים. ב-2005 פרסמו אור דונקלמן, אלי ביהם ונתן קלר מהטכניון התקפת מפתחות קשורים (related key) בשילוב עם התקפת בומרנג (סוג של התקפה דיפרנציאלית) נגד KASUMI שמסוגלת לשבור את הצופן בגרסה המלאה עם $2^{76.1}$ הצפנות ועם כמות של $2^{54.6}$ טקסטים נבחרים שהוצפנו עם 4 מפתחות קשורים. למרות שההתקפה תאורטית, היא סותרת את טענת המפתחים לגבי הוכחת ביטחון האלגוריתם. ב-2010 הציגו אותם חוקרים התקפה^[4] משופרת בהרבה שהייתה מספיק פרקטית עד שהצליחו להמחישה על מחשב ביתי בזמן של מספר שעות, אפילו עם גרסה לא ממוטבת של הצופן. למרות זאת החוקרים ציינו שההתקפה אינה מעשית נגד אלגוריתם A5/3 שבשימוש GSM בשל אופן מימושו. על כל פנים ההתקפה אינה אפשרית נגד MISTY, מה שמוכיח כי השינויים שביצעו מפתחי KASUMI השפיעו לרעה על ביטחון הצופן וזאת בניגוד לטענתם.

תיאור הצופן

KASUMI הוא צופן בלוקים בסגנון רשת פייסטל בשמונה סבבים. הקלט הוא בלוק דטה באורך 64 סיביות ומפתח הצפנה סודי באורך 128 סיביות והפלט הוא בלוק מוצפן באורך 64 סיביות. הצופן בנוי בצורה רקורסיבית.

הפונקציה

{\boldsymbol {O=\mathbf {KASUMI} (I)_{K}}}

מבצעת כדלהלן:

1. תחילה בלוק הקלט

{\boldsymbol {I}}

מחולק לשני חצאים

{\boldsymbol {L_{0},R_{0}}}

באורך 32 סיביות כל אחד.

2. מפעילים את פונקציית הסבב

{\boldsymbol {f_{i}}}

על חצי השמאלי ומחליפים מקומות עם החצי הימני שמונה פעמים. דהיינו עבור

{\boldsymbol {1\leq i\leq 8}}

מבצעים:

${\boldsymbol {R_{i}=L_{i-1}}}$
${\boldsymbol {L_{i}=R_{i-1}\oplus f_{i}(L_{i-1},RK_{i})}}$

3. הפלט הוא

{\boldsymbol {O=(L_{8}\ \|\ R_{8})}}

.

$RK_{i}$ הוא החלק המפתח המתאים לסבב $i$ (לפי הטבלה המופיעה להלן). הסמל $\|$ מייצג שרשור והסמל $\oplus$ מייצג XOR.

פונקציית הסבב

הפונקציה הראשית $f_{i}$ מקבלת קלט $I$ באורך 32 סיביות וקטע מתאים מהמפתח המורחב (להלן) שנקרא "מפתח הסבב" ומחזירה את הפלט $O$ . מפתח הסבב $RK_{i}$ מורכב משלושה תת-מפתחות $KL_{i},KO_{i},KI_{i}$ הראשון באורך 32 סיביות ושני האחרים באורך 48 סיביות כל אחד. והיא משתמשת בשתי תת-שגרות $FL$ ו- $FO$ . כשהמפתח $KL$ מועבר לפונקציה $FL$ והמפתחות $KO,KI$ מועברים לפונקציה $FO$ .

פונקציית הסבב הראשית מופיעה בשתי צורות בהתאם לסבב זוגי או אי זוגי. עבור סבב זוגי היא בנויה כך:

{\boldsymbol {f_{i}(I,RK_{i})}}=FL(FO(I,KL_{i}),KO_{i},KI_{i})

בסבב אי זוגי כך:

{\boldsymbol {f_{i}(I,RK_{i})}}=FO(FL(I,KL_{i}),KO_{i},KI_{i})

כלומר בסבב זוגי הפונקציה $FL$ מופעלת לאחר הפונקציה $FO$ (כלומר הפלט של $FO$ הופך לקלט של $FL$ ) ובסבב אי זוגי ההפך.

הפונקציה FL

בהינתן הקלט $I$ באורך 32 סיביות ותת-מפתח $KL_{i}$ גם הוא באורך 32 סיביות, הפונקציה מחלקת תחילה את תת-המפתח לשני חצאים באורך 16 סיביות כל אחד, כך שמתקיים $KL_{i}=KL_{i,1}\ \|\ KL_{i,2}$ ואת הקלט $I$ לשני חצאים כך שמתקיים $I=L\ \|\ R$ ומבצעת:

R'=R\oplus {\text{ROL}}(L\land KL_{i,1})

L'=L\oplus {\text{ROL}}(R'\lor KL_{i,2})

והפלט הוא $(L'\ \|\ R')$ . הפונקציה ${\text{ROL}}$ היא הזזה מעגלית לשמאל סיבית אחת. הסמל $\land$ מייצג AND והסמל $\lor$ מייצג OR.

הפונקציה FO

בהינתן קלט $I$ באורך 32 סיביות ושני תת-מפתחות $KO_{i},KI_{i}$ באורך 48 סיביות כל אחד, הפונקציה מחלקת תחילה את הקלט לשני חצאים $L_{0},R_{0}$ ואת שני תת-המפתחות לשישה חלקים באורך 16 סיביות כל אחד $KO_{i,1},KO_{i,2},KO_{i,3},KI_{i,1},KI_{i,2},KI_{i,3}$ בהתאמה ומבצעת שלוש פעמים, עבור $1\leq j\leq 3$ :

R_{j}=FI(L_{j-1}\oplus KO_{i,j},KI_{i,j})\oplus R_{j-1}

L_{j}=R_{j-1}

והפלט הוא $(L_{3}\ \|\ R_{3})$ .

הפונקציה FI

בהינתן הקלט $I$ באורך 16 סיביות ותת-מפתח $KI_{i,j}$ הפונקציה מחלקת תחילה את הקלט לשני חלקים לא שווים באורכם, $L_{0}$ באורך 9 סיביות ו- $R_{0}$ באורך 7 סיביות, באותו אופן מחלקת את תת-המפתח לשני חלקים $KI_{i,j,1}$ באורך 9 סיביות והחלק $KI_{i,j,2}$ באורך 7 סיביות ומבצעת:

L_{1}=R_{0},R_{1}=S9[L_{0}]\oplus ZE(R_{0})

L_{2}=R_{1}\oplus KI_{i,j,2},R_{2}=S7[L_{1}]\oplus TR(R_{1})\oplus KI_{i,j,1}

L_{3}=R_{2},R_{3}=S9[L_{2}]\oplus ZE(R_{2})

L_{4}=S7[L_{3}]\oplus TR(R_{3}),R_{4}=R_{3}

והפלט הוא $(L_{4}\ \|\ R_{4})$ . כאשר הפונקציות $ZE$ ו- $TR$ קיצור של ZeroExtend ו-Truncate בהתאמה הן פונקציות שנועדו להמיר את הערך $x$ מ-7 סיביות ל-9 סיביות וההפך. ההרחבה מתבצעת על ידי הוספת אפסים משמאל (בצד המשמעותי של המספר) והחיתוך מתבצע על ידי הסרת שתי הסיביות המשמעותיות של המספר.

תיבות החלפה

לצופן נילוות שתי תיבות החלפה בסיביות שנקראות S7 ו-S9 והן עוצבו כך שניתן יהיה לממשן בשני אופנים. קומבינציה לוגית וטבלת אחזור (lookup table) בהתאם לסיטואציה. למשל בחומרה מוגבלת בזיכרון הגישה הראשונה עדיפה. טבלאות חיפוש מהירות יותר והן עדיפות כאשר הזיכרון זמין. בגישה הלוגית ההחלפה מתבצעת על ידי קומבינציה של השערים הלוגיים AND ו-XOR. להלן שתי תיבות ההחלפה בשני האופנים האמורים. הערך $x$ בייצוג בינארי הוא מחרוזת של 7 סיביות (או 9 בטבלה הבאה) המיוצגות על ידי $x_{0}\|x_{1}\|x_{2}\|x_{3}\|x_{4}\|x_{5}\|x_{6}$ (הביטוי $x_{0}x_{1}$ פירושו $x_{0}\land x_{1}$ ):

y_{0}=x_{1}x_{3}\oplus x_{4}\oplus x_{0}x_{1}x_{4}\oplus x_{5}\oplus x_{2}x_{5}\oplus x_{3}x_{4}x_{5}\oplus x_{6}\oplus x_{0}x_{6}\oplus x_{1}x_{6}\oplus x_{3}x_{6}\oplus x_{2}x_{4}x_{6}\oplus x_{1}x_{5}x_{6}\oplus x_{4}x_{5}x_{6}

y_{1}=x_{0}x_{1}\oplus x_{0}x_{4}\oplus x_{2}x_{4}\oplus x_{5}\oplus x_{1}x_{2}x_{5}\oplus x_{0}x_{3}x_{5}\oplus x_{6}\oplus x_{0}x_{2}x_{6}\oplus x_{3}x_{6}\oplus x_{4}x_{5}x_{6}\oplus 1

y_{2}=x_{0}\oplus x_{0}x_{3}\oplus x_{2}x_{3}\oplus x_{1}x_{2}x_{4}\oplus x_{0}x_{3}x_{4}\oplus x_{1}x_{5}\oplus x_{0}x_{2}x_{5}\oplus x_{0}x_{6}\oplus x_{0}x_{1}x_{6}\oplus x_{2}x_{6}\oplus x_{4}x_{6}\oplus 1

y_{3}=x_{1}\oplus x_{0}x_{1}x_{2}\oplus x_{1}x_{4}\oplus x_{3}x_{4}\oplus x_{0}x_{5}\oplus x_{0}x_{1}x_{5}\oplus x_{2}x_{3}x_{5}\oplus x_{1}x_{4}x_{5}\oplus x_{2}x_{6}\oplus x_{1}x_{3}x_{6}

y_{4}=x_{0}x_{2}\oplus x_{3}\oplus x_{1}x_{3}\oplus x_{1}x_{4}\oplus x_{0}x_{1}x_{4}\oplus x_{2}x_{3}x_{4}\oplus x_{0}x_{5}\oplus x_{1}x_{3}x_{5}\oplus x_{0}x_{4}x_{5}\oplus x_{1}x_{6}\oplus x_{3}x_{6}\oplus x_{0}x_{3}x_{6}\oplus x_{5}x_{6}\oplus 1

y_{5}=x_{2}\oplus x_{0}x_{2}\oplus x_{0}x_{3}\oplus x_{1}x_{2}x_{3}\oplus x_{0}x_{2}x_{4}\oplus x_{0}x_{5}\oplus x_{2}x_{5}\oplus x_{4}x_{5}\oplus x_{1}x_{6}\oplus x_{1}x_{2}x_{6}\oplus x_{0}x_{3}x_{6}\oplus x_{3}x_{4}x_{6}\oplus x_{2}x_{5}x_{6}\oplus 1

y_{6}=x_{1}x_{2}\oplus x_{0}x_{1}x_{3}\oplus x_{0}x_{4}\oplus x_{1}x_{5}\oplus x_{3}x_{5}\oplus x_{6}\oplus x_{0}x_{1}x_{6}\oplus x_{2}x_{3}x_{6}\oplus x_{1}x_{4}x_{6}\oplus x_{0}x_{5}x_{6}

טבלת החלפה S7 עם ערכים עשרוניים:

      0   1   2   3   4   5   6   7   8   9  10  11  12  13 14   15
0    54, 50, 62, 56, 22, 34, 94, 96, 38,  6, 63, 93,  2, 18,123, 33,
1    55,113, 39,114, 21, 67, 65, 12, 47, 73, 46, 27, 25,111,124, 81,
2    53,  9,121, 79, 52, 60, 58, 48,101,127, 40,120,104, 70, 71, 43,
3    20,122, 72, 61, 23,109, 13,100, 77,  1, 16,  7, 82, 10,105, 98, 
4    117,116, 76, 11, 89,106, 0,125,118, 99, 86, 69, 30, 57,126, 87,
5    112, 51, 17,  5, 95, 14, 90, 84, 91, 8, 35,103, 32, 97, 28, 66,
6    102, 31, 26, 45, 75, 4, 85, 92, 37, 74, 80, 49, 68, 29,115, 44,
7    64,107,108, 24,110, 83, 36, 78, 42, 19, 15, 41, 88,119, 59,  3

השערים הלוגיים של S9:

y_{0}=x_{0}x_{2}\oplus x_{3}\oplus x_{2}x_{5}\oplus x_{5}x_{6}\oplus x_{0}x_{7}\oplus x_{1}x_{7}\oplus x_{2}x_{7}\oplus x_{4}x_{8}\oplus x_{5}x_{8}\oplus x_{7}x_{8}\oplus 1

y_{1}=x_{1}\oplus x_{0}x_{1}\oplus x_{2}x_{3}\oplus x_{0}x_{4}\oplus x_{1}x_{4}\oplus x_{0}x_{5}\oplus x_{3}x_{5}\oplus x_{6}\oplus x_{1}x_{7}\oplus x_{2}x_{7}\oplus x_{5}x_{8}\oplus 1

y_{2}=x_{1}\oplus x_{0}x_{3}\oplus x_{3}x_{4}\oplus x_{0}x_{5}\oplus x_{2}x_{6}\oplus x_{3}x_{6}\oplus x_{5}x_{6}\oplus x_{4}x_{7}\oplus x_{5}x_{7}\oplus x_{6}x_{7}\oplus x_{8}\oplus x_{0}x_{8}\oplus 1

y_{3}=x_{0}\oplus x_{1}x_{2}\oplus x_{0}x_{3}\oplus x_{2}x_{4}\oplus x_{5}\oplus x_{0}x_{6}\oplus x_{1}x_{6}\oplus x_{4}x_{7}\oplus x_{0}x_{8}\oplus x_{1}x_{8}\oplus x_{7}x_{8}

y_{4}=x_{0}x_{1}\oplus x_{1}x_{3}\oplus x_{4}\oplus x_{0}x_{5}\oplus x_{3}x_{6}\oplus x_{0}x_{7}\oplus x_{6}x_{7}\oplus x_{1}x_{8}\oplus x_{2}x_{8}\oplus x_{3}x_{8}

y_{5}=x_{2}\oplus x_{1}x_{4}\oplus x_{4}x_{5}\oplus x_{0}x_{6}\oplus x_{1}x_{6}\oplus x_{3}x_{7}\oplus x_{4}x_{7}\oplus x_{6}x_{7}\oplus x_{5}x_{8}\oplus x_{6}x_{8}\oplus x_{7}x_{8}\oplus 1

y_{6}=x_{0}\oplus x_{2}x_{3}\oplus x_{1}x_{5}\oplus x_{2}x_{5}\oplus x_{4}x_{5}\oplus x_{3}x_{6}\oplus x_{4}x_{6}\oplus x_{5}x_{6}\oplus x_{7}\oplus x_{1}x_{8}\oplus x_{3}x_{8}\oplus x_{5}x_{8}\oplus x_{7}x_{8}

y_{7}=x_{0}x_{1}\oplus x_{0}x_{2}\oplus x_{1}x_{2}\oplus x_{3}\oplus x_{0}x_{3}\oplus x_{2}x_{3}\oplus x_{4}x_{5}\oplus x_{2}x_{6}\oplus x_{3}x_{6}\oplus x_{2}x_{7}\oplus x_{5}x_{7}\oplus x_{8}\oplus 1

y_{8}=x_{0}x_{1}\oplus x_{2}\oplus x_{1}x_{2}\oplus x_{3}x_{4}\oplus x_{1}x_{5}\oplus x_{2}x_{5}\oplus x_{1}x_{6}\oplus x_{4}x_{6}\oplus x_{7}\oplus x_{2}x_{8}\oplus x_{3}x_{8}

טבלת ההחלפה S9 עם ערכים עשרוניים:

      0   1   2   3   4   5  6   7    8   9  10  11  12  13  14  15
00  167,239,161,379,391,334, 9,338,  38,226, 48,358,452,385, 90,397,
01  183,253,147,331,415,340, 51,362,306,500,262, 82,216,159,356,177,
02  175,241,489, 37,206, 17, 0,333,  44,254,378, 58,143,220, 81,400,
03   95,  3,315,245, 54,235,218,405,472,264,172,494,371,290,399, 76,
04  165,197,395,121,257,480,423,212,240, 28,462,176,406,507,288,223,
05  501,407,249,265, 89,186,221,428,164, 74,440,196,458,421,350,163,
06  232,158,134,354, 13,250,491,142,191, 69,193,425,152,227,366,135,
07  344,300,276,242,437,320,113,278, 11,243, 87,317, 36, 93,496, 27,
08  487,446,482, 41, 68,156,457,131,326,403,339, 20, 39,115,442,124,
09  475,384,508, 53,112,170,479,151,126,169, 73,268,279,321,168,364,
10  363,292, 46,499,393,327,324, 24,456,267,157,460,488,426,309,229,
11  439,506,208,271,349,401,434,236, 16,209,359, 52, 56,120,199,277,
12  465,416,252,287,246,  6, 83,305,420,345,153,502, 65, 61,244,282,
13  173,222,418, 67,386,368,261,101,476,291,195,430, 49, 79,166,330,
14  280,383,373,128,382,408,155,495,367,388,274,107,459,417, 62,454,
15  132,225,203,316,234, 14,301, 91,503,286,424,211,347,307,140,374,
16  35,103,125,427,  19,214,453,146,498,314,444,230,256,329,198,285,
17  50,116, 78,410,  10,205,510,171,231, 45,139,467, 29, 86,505, 32,
18  72,  26,342,150,313,490,431,238,411,325,149,473, 40,119,174,355,
19  185,233,389, 71,448,273,372, 55,110,178,322, 12,469,392,369,190,
20    1,109,375,137,181, 88, 75,308,260,484, 98,272,370,275,412,111,
21  336,318,  4,504,492,259,304, 77,337,435, 21,357,303,332,483, 18,
22  47,  85, 25,497,474,289,100,269,296,478,270,106, 31,104,433, 84,
23  414,486,394, 96, 99,154,511,148,413,361,409,255,162,215,302,201,
24  266,351,343,144,441,365,108,298,251, 34,182,509,138,210,335,133,
25  311,352,328,141,396,346,123,319,450,281,429,228,443,481, 92,404,
26  485,422,248,297, 23,213,130,466, 22,217,283, 70,294,360,419,127,
27  312,377,  7,468,194,  2,117,295,463,258,224,447,247,187, 80,398,
28  284,353,105,390,299,471,470,184, 57,200,348, 63,204,188, 33,451,
29   97, 30,310,219, 94,160,129,493, 64,179,263,102,189,207,114,402,
30  438,477,387,122,192, 42,381,  5,145,118,180,449,293,323,136,380,
31   43, 66, 60,455,341,445,202,432,  8,237, 15,376,436,464, 59,461

הרחבת מפתח

המפתח הסודי $K$ המסופק על ידי המשתמש מורחב ומחולק לשני מערכים בני שמונה כניסות באורך 16 סיביות כל אחת (בסך הכול 256 סיביות). תחילה מציבים בשמונה הכניסות של המערך הראשון את המפתח $K$ ומציבים במערך הנוסף $K'$ עבור $1\leq j\leq 8$ את: $K_{j}'=K_{j}\oplus C_{j}$ , כאשר $C_{j}$ הם קבועים המוגדרים בטבלה להלן. מתוך שני המערכים הללו גוזרים את מפתחות כל הסבבים לפי הטבלה הבאה:

$i$	1	2	3	4	5	6	7	8
$KL_{i,1}$	$K_{1}\lll 1$	$K_{2}\lll 1$	$K_{3}\lll 1$	$K_{4}\lll 1$	$K_{5}\lll 1$	$K_{6}\lll 1$	$K_{7}\lll 1$	$K_{8}\lll 1$
$KL_{i,2}$	$K_{3}^{'}$	$K_{4}^{'}$	$K_{5}^{'}$	$K_{6}^{'}$	$K_{7}^{'}$	$K_{8}^{'}$	$K_{1}^{'}$	$K_{2}^{'}$
$KO_{i,1}$	$K_{2}\lll 5$	$K_{3}\lll 5$	$K_{4}\lll 5$	$K_{5}\lll 5$	$K_{6}\lll 5$	$K_{7}\lll 5$	$K_{8}\lll 5$	$K_{1}\lll 5$
$KO_{i,2}$	$K_{6}\lll 8$	$K_{7}\lll 8$	$K_{8}\lll 8$	$K_{1}\lll 8$	$K_{2}\lll 8$	$K_{3}\lll 8$	$K_{4}\lll 8$	$K_{5}\lll 8$
$KO_{i,3}$	$K_{7}\lll 13$	$K_{8}\lll 13$	$K_{1}\lll 13$	$K_{2}\lll 13$	$K_{3}\lll 13$	$K_{4}\lll 13$	$K_{5}\lll 13$	$K_{6}\lll 13$
$KI_{i,1}$	$K_{5}^{'}$	$K_{6}^{'}$	$K_{7}^{'}$	$K_{8}^{'}$	$K_{1}^{'}$	$K_{2}^{'}$	$K_{3}^{'}$	$K_{4}^{'}$
$KI_{i,2}$	$K_{4}^{'}$	$K_{5}^{'}$	$K_{6}^{'}$	$K_{7}^{'}$	$K_{8}^{'}$	$K_{1}^{'}$	$K_{2}^{'}$	$K_{3}^{'}$
$KI_{i,3}$	$K_{8}^{'}$	$K_{1}^{'}$	$K_{2}^{'}$	$K_{3}^{'}$	$K_{4}^{'}$	$K_{5}^{'}$	$K_{6}^{'}$	$K_{7}^{'}$

הסימן $\lll$ הוא הזזה מעגלית של $K_{i}$ לשמאל (rotate left), במספר סיביות לפי הערך המצוין מימין. למשל בסבב השני המפתח $KO_{2,2}$ הוא הערך בכניסה $K_{7}$ לאחר הזזה מעגלית שמונה סיביות.

טבלת הקבועים בערכים הקסדצימליים. הערכים נקבעו שרירותית באופן שקל להיווכח שלא הייתה כוונה סודית בבחירתם:

קבוע	ערך
$C_{1}$	${\text{0x0123}}$
$C_{2}$	${\text{0x4567}}$
$C_{3}$	${\text{0x89AB}}$
$C_{4}$	${\text{0xCDEF}}$
$C_{5}$	${\text{0xFEDC}}$
$C_{6}$	${\text{0xBA98}}$
$C_{7}$	${\text{0x7654}}$
$C_{8}$	${\text{0x3210}}$