SIM卡-GSM加密算法A3_A5_A8

1、GSM的加密系統(tǒng)里面大致涉及三種算法,A3,A5,A8,這些并不特定指代什么算法,只是給出算法的輸入和輸出規(guī)范，以及對(duì)算法的要求，GSM對(duì)于每種算法各有一個(gè)范例實(shí)現(xiàn),理論上并沒有限制大家使用哪種算法。但是世界上的設(shè)備商和運(yùn)營(yíng)商都是很懶得溝通的,看到既然有了范例實(shí)現(xiàn),就都拿來用了,于是全世界的SIM卡被XX了都一樣拷法。說到這里就不能不簡(jiǎn)單介紹一下SIM卡,SIM卡是一種智能卡片,里面有個(gè)非常簡(jiǎn)單的CPU和一點(diǎn)NVRAM，可以存儲(chǔ)和讀出數(shù)據(jù)，還可以進(jìn)行一些運(yùn)算?？ɡ锩嬗泻芏鄡?nèi)容,不過我只介紹和加密相關(guān)的。每張SIM卡里面一般都存著一個(gè)全球唯一的標(biāo)志號(hào)，叫做IMSI，這個(gè)是用來唯一標(biāo)識(shí)你SIM卡的

2、，手機(jī)在開機(jī)時(shí)候會(huì)從卡里面讀出這個(gè)號(hào)發(fā)給移動(dòng)網(wǎng)絡(luò)，移動(dòng)那里有一個(gè)很大的數(shù)據(jù)庫，描述了IMSI和手機(jī)號(hào)的對(duì)應(yīng)關(guān)系，于是網(wǎng)絡(luò)就知道你的手機(jī)號(hào)是多少了（如果你手機(jī)卡/B丟了去補(bǔ)，新補(bǔ)來的卡IMSI和原有的不同，而移動(dòng)數(shù)據(jù)庫那里將你原來的手機(jī)號(hào)指向新的IMSI,舊的卡就再也不能用了）除了IMSI，還有16個(gè)字節(jié)的密鑰數(shù)據(jù)，這個(gè)數(shù)據(jù)是無法通過SIM卡的接口讀出的，通常稱為Ki，Ki在移動(dòng)網(wǎng)絡(luò)那邊也保存了一份。在手機(jī)登錄移動(dòng)網(wǎng)絡(luò)的時(shí)候，移動(dòng)網(wǎng)絡(luò)會(huì)產(chǎn)生一個(gè)16字節(jié)的隨機(jī)數(shù)據(jù)（通常稱為RAND）發(fā)給手機(jī)，手機(jī)將這個(gè)數(shù)據(jù)發(fā)給SIM卡，SIM卡用自己的密鑰Ki和RAND做運(yùn)算以后，生成一個(gè)4字節(jié)的應(yīng)答（SRES）

3、發(fā)回給手機(jī)，并轉(zhuǎn)發(fā)給移動(dòng)網(wǎng)絡(luò)，與此同時(shí)，移動(dòng)網(wǎng)絡(luò)也進(jìn)行了相同算法的運(yùn)算，移動(dòng)網(wǎng)絡(luò)會(huì)比較一下這兩個(gè)結(jié)果是否相同，相同就表明這個(gè)卡是我發(fā)出來的，允許其登錄。這個(gè)驗(yàn)證算法在GSM規(guī)范里面叫做A3，m=128bit,k=128bit,c=32bit,很顯然，這個(gè)算法要求已知m和k可以很簡(jiǎn)單的算出c，但是已知m和c卻很難算出k。A3算法是做在SIM卡里面的，因此如果運(yùn)營(yíng)商想更換加密算法，他只要發(fā)行自己的SIM卡，讓自己的基站和SIM卡都使用相同的算法就可以了，手機(jī)完全不用換。在移動(dòng)網(wǎng)絡(luò)發(fā)送RAND過來的時(shí)候，手機(jī)還會(huì)讓SIM卡對(duì)RAND和Ki計(jì)算出另一個(gè)密鑰以供全程通信加密使用，這個(gè)密鑰的長(zhǎng)度是64bi

4、ts,通常叫做Kc,生成Kc的算法是A8，因?yàn)锳3和A8接受的輸入完全相同，所以實(shí)現(xiàn)者偷了個(gè)懶，用一個(gè)算法同時(shí)生成SRES和Kc。用戶側(cè)Ki的卡raND逋過CCCH算法他SRESKi在通信過程中的加密就是用Kc了，這個(gè)算法叫做A5,因?yàn)锳5的加密量很巨大，而且SIM卡的速度很慢，因此所有通信過程中的加密都是在手機(jī)上面完成的，這樣一來，除非天下所有GSM手機(jī)都至少支持一種相同的A5算法，否則就沒法漫游了，這時(shí)候運(yùn)營(yíng)商和設(shè)備商的懶惰又體現(xiàn)出來了，全世界目前只有一種通用的A5算法，沒有其他的，這個(gè)算法就是和Kc的8字節(jié)序列進(jìn)行簡(jiǎn)單的循環(huán)XOR，再和報(bào)文序號(hào)做個(gè)減法。KiRANH通過IMSC/VLRB

5、IS7F啟卸織密指令模二加1CHDCCH解密數(shù)期（昭牧）未加密數(shù)據(jù)（MS發(fā)）上面只是簡(jiǎn)單的介紹GSM的加密通信過程，實(shí)際上GSM的操作比這個(gè)還要復(fù)雜一些，比如除了第一次登錄時(shí)候用真正的IMSI，之后都是用商定的臨時(shí)標(biāo)識(shí)TMSI，不過這個(gè)不是今天討論的重點(diǎn)。F面就來說說為啥手機(jī)卡/B可以被復(fù)制。從前面的介紹里面我們知道，要完成一次登錄過程，IMSI和Ki是必不可少的，A3算法也需要知道，這其中,IMSI是直接可讀的，但是A3算法和存在你的卡里面的數(shù)據(jù)，都是不知道的，手機(jī)只是簡(jiǎn)單的把RAND給SIM卡，SIM卡把算好的數(shù)據(jù)返回。實(shí)際設(shè)備中使用的A3算法被作為高級(jí)商業(yè)機(jī)密保護(hù)起來。但是世界上沒有不透

6、風(fēng)的墻，在1998還是1999年的時(shí)候，有人從哪里偷到了幾頁紙的相關(guān)文檔，然后把這文檔輸入了電腦。后來這個(gè)文檔落到了加州伯克力幾個(gè)教授手里面。這個(gè)文檔里面缺少一些東西，而且還有寫錯(cuò)的地方，這幾個(gè)牛教授們拿一個(gè)SIM卡比對(duì)了一陣子，把缺的補(bǔ)上了，錯(cuò)的也給修正了，于是這個(gè)算法就成為了世人皆知的秘密。這個(gè)算法又被叫做Compl28，他同時(shí)生成SRES和Kc，代碼在這個(gè)文件里面。 HYPERLINK /wordpress/wp%e2%80%94content/uploads/2006/06/a3a8_.txt /wordpress/wpcontent/uploads/2006/06/a3a8.txt光

7、有了算法還是不能夠得到在SIM卡里面保存的Ki,理論上面是可以把SIM卡拆了，然后把芯片接到特殊設(shè)備上面來讀出Ki，但是這個(gè)聽起來就像用小刀在硬盤上面刻操作系統(tǒng)一樣不靠譜。于是很多有志之士就開始了對(duì)Comp128算法的攻擊，在一開始大家想到的肯定是窮舉，不過這個(gè)GSM的設(shè)計(jì)者也想到了，SIM卡里面有個(gè)邏輯是一共只能查詢26次左右，之后卡會(huì)自殺，讓XX者啥都得不到。因此研究者們?cè)噲D在可以接受的次數(shù)之內(nèi)通過構(gòu)造特定明文和分析輸出秘文來分析出Ki的值，結(jié)果還真被大家發(fā)現(xiàn)出來了一些。在下面這個(gè)pdf里面有一些相關(guān)的內(nèi)容介紹，IBM的一個(gè)小組甚至用6次查詢就可以徹底解出Ki,當(dāng)然現(xiàn)在外面賣的那種拷卡器肯

8、定沒有這么牛，但是看表現(xiàn)似乎都可以在幾分鐘之內(nèi)XX。 HYPERLINK /wordpress/wp_._Brumley-compl28.pdf /wordpress/wp.Brumley-compl28.pdf隨著時(shí)間的推移，針對(duì)Comp128的XX算法越來越成熟，商用的卡復(fù)制設(shè)備也越來越多，運(yùn)營(yíng)商們終于坐不住了。很多運(yùn)營(yíng)商都開始發(fā)行Comp128v2加密算法的卡了。這其中就包括中國(guó)移動(dòng)，我看了一下論壇上面的帖子，大部分都是在反映05年的新卡基本都沒法用simscan之類軟件讀出Ki。Comp128v2算法是GSM協(xié)會(huì)在v1被攻破以后，迅速在v1上面修改得來的結(jié)果，據(jù)說比較好的解決了v1算法中的弱點(diǎn)，當(dāng)然，這個(gè)算法像v1一樣，還是不公布于眾。而且到現(xiàn)在也