A51とは？ わかりやすく解説

ウィキペディア

A5/1

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2021/03/18 16:32 UTC 版)

A5/1はストリーム暗号の一種で、GSM携帯電話規格における通信プライバシー保護手段として採用されている。当初、秘密にされていたが、リークやリバースエンジニアリングによって徐々に明らかとなってきた。この暗号について、いくつかの深刻な弱点が指摘されている。

目次

• 1 歴史と使用
• 2 技術的解説
• 3 セキュリティ
  • 3.1 既知平文攻撃
  • 3.2 GSMで使われているA5/1への攻撃
• 4 関連項目
• 5 脚注・出典
• 6 参考文献
• 7 外部リンク

歴史と使用

A5/1 はヨーロッパとアメリカ合衆国で使われている。これを若干弱めた派生アルゴリズムであるA5/2が他の地域で使われている^[1]。A5/1は1987年に開発されたもので、当時GSMはヨーロッパ以外で使用することは考慮されていない。A5/2は1989年に開発された。当初どちらもその詳細は秘密にされた。しかし設計の概要は1994年にリークされ、アルゴリズム全体は1999年、Marc Briceno がGSM携帯電話を使ってリバースエンジニアリングで明らかにした。2000年当時、1億3000万のGSM利用者が音声通信の機密保護手段としてA5/1に依存していた。

セキュリティ研究家 Ross Anderson は1994年、「1980年代中ごろ、GSMの暗号強度をどうすべきかについてNATO各国の信号諜報機関の間で激しい議論があった。ドイツはワルシャワ条約機構と地理的に接していることから、強い暗号を主張した。しかし他国は強い暗号が必要とは考えなかった。現在実際に使われているアルゴリズムはフランスの設計によるものだ」と公表した^[2]。

技術的解説

A5/1ストリーム暗号は3つのLFSRを使用。 各レジスタにはクロックビット（オレンジ色）があり、これらの多数決の結果と自身のクロックビットが等しい場合のみステップが進行する。

GSM転送は一連のバースト (burst) で構成される。典型的な通信路の片方向では、1つのバーストは4.614ミリ秒ごとに送信され、その中に114ビットの有効な情報が格納されている。A5/1はその114ビットに対応した鍵ストリームを生成するもので、それを平文にXORで結合してから変調する。A5/1の初期化には64ビットの鍵と公開されている22ビットのフレーム番号を用いる。GSMで実際に使用されている実装では、鍵のうち10ビットが0に固定されていて、実質的な鍵の長さは54ビットになっている。

A5/1は、3つの線形帰還シフトレジスタ (LFSR) を組み合わせ、不規則にクロック供給することで構成されている。3つのシフトレジスタの詳細は次の通り:

LFSR番号	ビット数	帰還多項式	クロック用ビット	入力ビット
1	19	${\displaystyle x^{18}+x^{17}+x^{16}+x^{13}+1}$ 暗号化されていないという警告が携帯電話に表示されている様子 A5/1への攻撃方法のいくつかが公表されている。一部は前処理に秒単位から分単位の時間がかかる。当初、既知の平文から推定する攻撃しか知られていなかった。2003年、暗号文のみから解読できる重大な脆弱性が判明した。2006年、Elad Barkan、Eli Biham、Nathan Keller の3人は、A5/1、A5/3、GPRSに対する攻撃方法を公開し、GSM携帯電話の会話を実時間で解読したり、記録しておいて後で解読する方法があることを示した。 既知平文攻撃 1997年、Golic は時間計算量 240.16 の連立1次方程式の解法に基づく攻撃方法を発表した（時間は必要な連立1次方程式の解の数に比例する）。 2000年、Alex Biryukov、Adi Shamir、David Wagner は、上述の Jovan Golic の成果に基づき[3]、時間メモリトレードオフ攻撃を使うことでリアルタイムでA5/1を解読可能であることを示した[4]。例えば2分間ぶんの平文があれば1秒で鍵を再構築でき、2秒間ぶんの平文なら数分で鍵を再構築できるが、その前に300GBのデータについて248ステップを要する多大な前処理を完了しておく必要がある。前処理量、データ量、攻撃時間、メモリ使用量はトレードオフの関係にある。 同年、Eli Biham と Orr Dunkelman もA5/1への攻撃方法を発表した。これは32GBのデータを使用した 238 ステップの前処理を必要とする[5]。 EkdahlとJohannsonは、2分間から5分間の平文を使い、数分でA5/1を破る攻撃方法を発表した[6]。この攻撃法は前処理が不要である。2004年、Maximovらはその成果を改良し、数秒の平文から1分以内に暗号を解読する攻撃法を得た。2005年、その攻撃法をさらに Elad Barkan と Eli Biham が改良した[7]。 GSMで使われているA5/1への攻撃 2003年、BarkanらはGSMの暗号へのいくつかの攻撃法を発表した[8]。第一の攻撃法は基地局を装う能動的攻撃法である。おおまかに言えば、より弱いA5/2を使っているとGSM携帯に信じ込ませる。A5/2の解読は容易であり、秘密鍵にはA5/1と同じものを使っている。第二の攻撃法は、暗号文のみの時間メモリトレードオフ攻撃であり、多大な前処理を必要とする。 2006年、Elad Barkan、Eli Biham、Nathan Keller は2003年の論文の全文を公開した。そこにはA5/X暗号全般に対する攻撃法が含まれている[9]。 2007年、ボーフム大学とキール大学は、FPGAを大量に使った暗号解読アクセラレータ COPACOBANA を開発する研究プロジェクトを開始した。これは時間メモリトレードオフ攻撃を加速し、A5/1およびA5/2アルゴリズムやDESの解読を支援する[10]。また、総当り攻撃に使うこともでき、その場合は前処理が不要となる。 2008年、The Hackers Choice という団体がA5/1の実用的解読法を開発するプロジェクトを立ち上げた[11]。攻撃には約3テラバイトの参照テーブルを構築する必要がある。このような巨大な参照テーブルを現実的な時間内に構築することは不可能だが、同団体は既に構築を開始しており、1年以内に完了するとしていた。2008年7月現在、完了したという発表はない。テーブルが完成し、並行して開発している検索機能が完成すれば、GSMの通信内容を盗聴し、そのデータから数分で暗号鍵を抽出し、会話の内容を知ることができるようになる。 関連項目 KASUMI - A5/3 の別名 脚注・出典 ^ Quirke, Jeremy (2004年5月1日). “Security in the GSM system”. AusMobile. 2004年7月12日時点のオリジナルよりアーカイブ。2009年7月2日閲覧。 ^ Ross Anderson (17 June 1994). "A5 (Was: HACKING DIGITAL PHONES)". Newsgroup: uk.telecom. Usenet: 2ts9a0$95r@lyra.csx.cam.ac.uk. 2009年7月2日閲覧。 ^ Golic, Jovan Dj. (1997). “Cryptanalysis of Alleged A5 Stream Cipher”. EUROCRYPT 1997: 239–55. http://jya.com/a5-hack.htm.  ^ Biryukov, Alex; Adi Shamir; David Wagner. “Real Time Cryptanalysis of A5/1 on a PC”. Fast Software Encryption—FSE 2000: 1–18. http://cryptome.info/0001/a51-bsw/a51-bsw.htm.  ^ Biham, Eli; Orr Dunkelman (2000). “Cryptanalysis of the A5/1 GSM Stream Cipher”. Indocrypt 2000: 43–51.  ^ Ekdahl, Patrik; Thomas Johansson (2003). “Another attack on A5/1”. IEEE Transactions on Information Theory 49 (1): 284–89. doi:10.1109/TIT.2002.806129. http://ieeexplore.ieee.org/Xplore/login.jsp?url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F18%2F25988%2F01159783.pdf%3Farnumber%3D1159783&authDecision=-203.  ^ Barkan, Elad; Eli Biham (2005). “Conditional Estimators: An Effective Attack on A5/1”. Selected Areas in Cryptography 2005: 1–19.  ^ Barkan, Elad; Eli Biham; Nathan Keller (2003). “Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication”. Crypto 2003: 600–16. http://cryptome.org/gsm-crack-bbk.pdf.  ^ Barkan, Elad; Eli Biham; Nathan Keller. “Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication by Barkan and Biham of Technion (Full Version)”. 2009年7月2日閲覧。 ^ Gueneysu, Tim; Tim Gueneysu; Timo Kasper; Martin Novotniy; Christof Paar, Member, IEEE;Andy Ruppe (2008). “Cryptanalysis with COPACOBANA”. Transactions on Computers Nov. 2008: 1498–1513. http://www.copacobana.org/paper/TC_COPACOBANA.pdf.  ^ The GSM Software Project The Hacker's Chice 参考文献 Rose, Greg (2003年9月10日). “A precis of the new attacks on GSM encryption”. QUALCOMM Australia. 2009年7月2日閲覧。 Maximov, Alexander; Thomas Johansson; Steve Babbage (2004). “An Improved Correlation Attack on A5/1”. Selected Areas in Cryptography 2004: 1–18.  外部リンク Briceno, Marc; Ian Goldberg; David Wagner (1999年10月23日). “A pedagogical implementation of the GSM A5/1 and A5/2 "voice privacy" encryption algorithms”. 2009年7月2日閲覧。 Horesh, Hadar (2003年9月3日). “Technion team cracks GSM cellular phone encryption”. Haaretz. http://www.cs.technion.ac.il/%7Ebarkan/GSM-Media/HaaretzInternetEnglish.pdf 2009年7月2日閲覧。  Barkan, Elad; Eli Biham; Nathan Keller (2006年7月). “Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication (Technical Report CS-2006-07)”. 2009年7月2日閲覧。 “Nathan Keller's Homepage”. 2009年7月2日閲覧。

ウィキペディア小見出し辞書

A51(8425)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2019/08/24 10:13 UTC 版)

「ThinkCentre」の記事における「A51(8425)」の解説

ThinkCentre A51は従来上位機種のみに搭載されていたセキュリティー・チップを、全モデルに搭載し、普及モデルとして位置づけられた。2004年10月20日発売。構成違いの8モデルが用意された。先代モデルのThinkCentre A50の上位機種という位置づけで、セキュリティー機能とMPU、メモリー、HDDなどの基本性能を強化。初期導入OSは全モデルに、Windows XP Professional SP2がインストールされた。先代のA50に設定されていたCeleronモデルはなく、HT対応Intel Pentium(R) 4 プロセッサ540 3.2GHz、530 3.0GHzを採用。チップセットにはインテル 915G Expressを搭載し、従来機種と比較してグラフィックス機能をはじめとした基本性能が向上している。IBMダイレクト価格は、136,500円から。 最上位モデルの8425-34Jを例に挙げる。 8425-34JプロセッサIntel Pentium4 540 3.2GHz (FSB800MHz) チップセットIntel 915G Express セキュリティチップIBM Embedded Security System 2.0 二次キャッシュ512KB (CPUに内蔵) 主記憶(RAM)容量PC-3200 DDR SDRAM 512MB 最大主記憶(RAM)容量2GB 主記憶(RAM)スロット数(空き数)2(1) HDD3.5型 80GB (シリアルATA、S.M.A.R.T.対応 7,200rpm) FDD3.5型 3モード(1.44MB/1.2MB/720KB) 光学式ドライブCD-ROM (最大48倍速) ビデオサブシステムチップセットに内蔵（Intel(R) Graphic Media Accelerator 900） ビデオメモリ最大128MB（メインメモリーと共有） Ethernet 10BASE-T/100BASE-TX/1000BASE-T (Wake on LAN対応) オンボード 初期導入オペレーティング・システム*Windows XP Professional SP2日本語版 稼動確認オペレーティング・システムWindows 2000 Professional SP3 日本語版Windows XP Professional / Home Edition(SP1) 日本語版 本体寸法（幅×奥行×高さ）, 重量85×359×309, 重量:約8.3kg(最小構成)/約8.5Kg（最大構成） 消費電力(構成によって異なる)標準 約83W、最大 約205W以下、電源OFF時 約1.7W

※この「A51(8425)」の解説は、「ThinkCentre」の解説の一部です。
「A51(8425)」を含む「ThinkCentre」の記事については、「ThinkCentre」の概要を参照ください。