Bu çalıma Boaziçi Üniversitesi aratırma fonu tarafından 03A205 numaralı proje kapsamında desteklenmitir
Hücresel letiim Sistemleri için Yeni Bir Akım ifreleme Modeli
A New Stream Cipher Model for the Cellular Communication Systems
mran Ergüler
1,2
, Emin Anarım
2
1
Elektronik ve Haberleme Mühendislii Bölümü, Dou Üniversitesi, stanbul
2
Elektrik-Elektronik Mühendislii Bölümü, Boaziçi Üniversitesi, stanbul
ierguler@dogus.edu.tr, anarim@boun.edu.tr
Özetçe
Bu çalımada, hücresel iletiim sistemlerinde hava ortamında
iletilen verileri ifrelemek için genelde tercih edilen akım
ifreleme sistemlerinin yeni bir modeli önerilmektedir. Bu
model, Kuzey Amerikan Hücresel Sistemi’nde (North
American Cellular System) kullanılan ORYX akım
ifreleyicisindeki ve GSM’de kullanılan A5/1
ifreleyicisindeki güvenlik açıklarını kapatacak ve donanımsal
olarak bu sistemlere benzer olacak ekilde tasarlanmıtır.
Önerilen sistem sayesinde hemen hemen aynı donanım
elemanları kullanılmasına ramen, A5/1 ve ORYX ifreleme
mekanizmalarında etkili olan saldırılara karı yüksek direnç
salanmaktadır.
Abstract
In this paper, a new model for the stream cipher which is
mostly preferred for cellular data transmission to encrypt
wireless digital data is presented. This model offers solutions
to the security vulnerabilities of ORYX stream cipher used in
North American Cellular System and A5/1 stream cipher used
in GSM. The proposed system provides high resistance to the
known effective attacks on ORYX and A5/1, although almost
same hardware equipment is used.
1. Giri
Günümüzde milyonlarca kullanıcı tarafından tercih edilen
iletiim olan hücresel iletiim sistemlerinde, hava ortamında
iletiim güvenliini salamak amacıyla genellikle akım
ifreleme mekanizmaları kullanılmaktadır. Örnein en güncel
hücresel iletiim sistemi olan GSM A5/1 ve A5/2 akım
ifreleyicilerini, Kuzey Amerika’da faaliyet gösteren North
American Cellular System ise ORYX akım ifreleyicisini
iletilen verileri ifrelemek için kullanmaktadır. Ancak her iki
sistemin de ifreleme mekanizmaları kripto analizciler
tarafından kırılmıtır [1-5]. ORYX ilk olarak D. Wagner v.s.
tarafından kripto analiz edilmitir [1]. Bir çeit böl-fethet
saldırısı olan bir yöntemle 25-27 byte bilinen veri (known
plaintext) ile 2
16
zaman karmaılıında ORYX ifreleme
sistemini çözümlemilerdir. A5/1 ise ilk olarak J.Golic
tarafından böl-fethet (divide and conquer) ve zaman-bellek
ödünleimi tipi saldırılarla 2
40
ve 2
45
zaman karmaıklıı
mertebelerinde kripto analiz edilmitir [2]. Daha sonra ise A.
Biryukov v.s. Golic’in zaman-bellek ödünleim yöntemini
biraz daha gelitirerek 150-300 Gbyte’lik bir bellekle ifreyi 2
dakikadan daha kısa bir süre içerisinde çözebileceklerini
çalımalarında göstermilerdir [3]. Ayrıca P. Ekdahl’in v.s.
[4]’de ve E. Biham’in v.s. [5]’de A5/1 ifreleme yordamına
karı sırasıyla ilinti saldırısı ve böl-fethet saldırısı çalımaları
bulunmaktadır.
Yukarıdaki saldırılardan da anlaılabilecei gibi gerek
ORYX gerekse A5/1 ifreleme sistemlerinin kripto güvenlii
yeterli deildir. Bundan dolayı bu çalımada her iki sistemin
de güvenlik açısından zayıf yönlerini kapatacak ve donanımsal
olarak ORYX’in kullandıı LFSR’ların (Linear Feedback
Shift Register) aynısına sahip olacak bir sistemi önermekteyiz.
2. A5/1 ve ORYX’in Kısa Tanıtımı
2.1. A5/1’in Tanıtımı
GSM’de veriler her 4.6 ms de bir, 228 bitlik çerçeveler
halinde iletilmektedir. Her çerçeve 114 biti A’dan B’ye, 114
biti B’den A’ya iletiim için olan 228 bitlik veri kapsar. Her
çerçeve için bu 228 bitlik veri A5/1 mekanizması ile ifrelenir.
ifreleme ilemi 228 bitlik orijinal veri ile A5/1 tarafından
oluturulan 228 bitlik anahtar akım dizisinin bit bit
XOR’lanmasıyla gerçekleir (key stream sequence).
A5/1 uzunlukları 19, 22 ve 23 bit olan ve sırasıyla R1, R2
ve R3 eklinde gösterilen 3 tane LFSR’in birlemesinden
olumutur. Her LFSR’in çıktısı, kendisinin son bit deeridir;
bu R1,R2 ve R3 için sırasıyla 18. 21. ve 22. bitlerdir. A5/1’in
3 LFSR’ı da ilkel geri besleme çokterimlisine (primitive
feedback polynomial) sahiptir ve her kayan saklaç (shift
register) bu çokterimliye göre kendini günceller. R1’in
kademe bitleri 13.,16.,17. ve 18. bit pozisyonlarındadır; R2’in
kademe bitleri ise 20. ve 21. bitlerdir; son olarak R3’ünküler
ise 7.,20.,21. ve 22. bit pozisyonlarıdır.
A5/1’in her saklacı, R1, R2 ve R3, ilkel geri besleme
çokterimlisi kullandıından periyotları en büyük uzunluktadır,
sırasıyla 2
19
-1, 2
22
– 1 ve 2
23
-1’dir. A5/1’in çıktısı ise ekil 1.
den de görülebilecei gibi her LFSR çıktısının
XOR’lanmasıdır. Kayan saklaçların saatlenmesi çounluk
kuralına göre belirlenir: Her saatlenmeden önce R1,R2 ve
R3’ün sırasıyla C1,C2 ve C3 bitlerinin çounluu bulunur,
çounluk sonucuyla aynı deere sahip olan saklaçlar bir defa
saatlenir, uymayan saatlenmez. Bu kurala göre her çevrimde
en az 2 en çok 3 LFSR saatlenmektedir, Çounluk kuralına
göre her bir LFSR’in bir çevrim içerisinde saatlenme olasılıı
3/4 tür.
Her 228 bitlik anahtar akım dizisi oluturulmadan önce,
LFSR’lar 64 bitlik kullanıcının gizli anahtarı Kc ve 22 bitlik
çerçeve numarası Fn ile yüklenirler. Daha sonra 100 defa çıktı
üretmeksizin saatlenirler ve bunu takiben 228 bitlik çıktıyı
çounluk kuralına uyarak üretirler.
0-7803-9238-8/05/$20.00 ©2005 IEEE