S

La Sécurité du GSM

Préparé parNOUAR Chokri

Sous la direction du Pr : A.ASIMI

Des journées Scientifiques « la sécurité des systèmes informatiques »

Le 27 Mars 2013

Master Mathématiques et Statistiques Option : Sécurité et Cryptographie

Informatique

Université Mohamed V Faculté des sciences Rabat - Agdal

Plan

Le Réseau Mobile

La Sécurité du GSM

Attaques

Proposition des Solutions

Le Réseau Mobile

Historique

1973 le première appel téléphonique a été réalisé: AMPS, TACS, ETACS.

1991 la naissance de 2G: GSM, GPRS, EDGE. 2000 la naissance de 3G: UMTS, HSDPA / HSUPA,

LTE

Le Réseau GSM

Au Maroc

Une enquête a été réalisée de Janvier à Mars 2012 par

l’ANRT (Agence nationalede réglementation des télécommunications) sur l'utilisation de 3G au Maroc

La Sécurité du GSM

L’Authentification Authentifier chaque abonné avant de lui autoriser

l’accès à un service,

La Confidentialité Chiffrement et déchiffrement des données de

chaque abonné, l’échange confidentielle des données

La Sécurité du GSM

L’Authentification

- IMSI, Ki 128bits- A3, A8

- IMSI, Ki- A3, A8

L’Opérateur (Serveur)

La carte SIM (Client)

A3

RAND 128bits

RANDKi

SRES-1 32bits

A3

RANDKi

SRES-1 32bits

SRES= ou ≠SRES-1

La Sécurité du GSM

La Confidentialité

- IMSI, Ki- A3, A8

- IMEI

Téléphone Portable (MS)

La carte SIM

A8

RANDKi A5Kc 64bits

Donnée chiffré ⊕

FrameKc 64bits

N° de Frame 22bits

La Sécurité du GSM

Famille de A5

A5/0 c’est l’identité « ne chiffre rien » A5/1 est un algorithme par flux « fort » A5/2 est un algorithme par flux « faible » A5/3 est un algorithme par bloc

La Sécurité du GSM

Description de A5/1 initialisation

1. Soit R1=R2=R3=0.

2. Pour i=0 à 63 R1[0] ← R1[0] ⊕ Kc [i];

R2[0] ← R2[0] ⊕ Kc [i]; R3[0] ← R3[0] ⊕ Kc [i];

Décalage des registres

3. Pour i=0 à 21 R1[0]←F[i]⊕A[i];

R2[0]←F[i]⊕A[i];R3[0]←F[i]⊕A[i];

La Sécurité du GSM

Description de A5/1 Génération des suites

4. Pour i=0 à 99 R1[i] ← f[i];

R2[i] ← f[i]; R3[i] ← f[i];

3. Pour i=0 à 227 Maj (8,10,10) R1[i]←A[i]; Si R1[8] = Maj;

R2[i]←A[i]; Si R2[10] = Maj;R3[i]←A[i]; Si R3[10] = Maj;

La Sécurité du GSM

Description de A5/3

KLi,1, KLi2, KOi,1, KOi,2, KOi,3, KIi,1, KIi,2, KIi,3

La Sécurité du GSM

La régénération des sous clés de A5/3

K = K1∥K2∥K3∥K4∥K5∥K6∥K7∥K8

C = 0123∥4567∥89AB∥CDEF∥FDEC∥BA98∥7654∥3210

K’i = Ki ⊕ Ci

La Sécurité du GSM

La fonction FL

KLi,1 = RotG(Ki,1);

KLi,2 = K’i;

La Sécurité du GSM

La fonction FO

KOi,1 = RotG(Ki+1,5);

KOi,2 = RotG(Ki+5,8);

KOi,3 = RotG(Ki+6,13);

KIi,1 = K’i+4;

KIi,2 = K’i+3;

KIi,3 = K’i+7;

La Sécurité du GSM

La fonction FI

Les boîtes de substitution (S-boxes) S7 et S9

KIi,j,1 = 7bits de Ki,j;

KIi,j,2 = 9bits de Ki,j;

Des Attaques

En 1997, La première attaque sur A5/1 de Golic

En 2000, Alex Biryukov, Adi Shamir et David Wagner montrent que A5/1 peut être cryptanalysé en temps réel

En 2000 Eli Biham et Orr Dunkelman avec l’obligation de posséder 220 bits de données en clair,

Des Attaques

En 2003, Ekdahl et Johannson présentent une attaque sur l'initialisation de A5/1 avec l’obligation de posséder 5min en clair

En 2004, Maximov et son équipe améliorent cette dernière avec 1 minute

En 2010 la technique de Krasten Nohl permettrait d'écouter facilement les conversations cryptées en A5/1

Changement Changement de l’algorithme A5/1 par A5/3

Modification L’amélioration de l’algorithme A5/1 par la modification

Conception Conception de nouveau algorithme implémenté sur les

Smartphone

Des Solutions

Des Solutions

Comparaison A5/1 VS A5/3

Chiffrement symétrique Chiffrement symètrique Chiffrement a flux chiffrement par bloc Clé de 86bits Clé de taille 128bits Basée sur LFSR Basée sur Feistel

Fin

Merci de votre attention