GSM の暗号の解読

no extension

今度の(現地時間)日曜日, ベルリンで行われる Chaos Communication Conference で, GSM (Global System for Mobile Communications)の暗号アルゴリズム A5/1 の解読に関するプレゼンテーションが行われるらしい。

日本は GSM 圏外なのでなじみが薄いかもしれないが, 世界全体の 80% で使われているサービスである(日本のケータイが「ガラパゴス」と呼ばれる所以もここにある)。 GSM については 『情報セキュリティ技術大全』 に解説がある。 少し引用しておこう。 (ただし, この本は原書が2001年, 邦訳版が2002年に出版されたもので, 現時点から見ると内容が少々古いのであしからず)

「第2世代の携帯電話では、 デジタル技術が使用されている。 2000年までに、 世界の大多数の電話機で GSM (Global System for Mobile Communications)が使われるようになった。 この規格は最初から、 海外旅行先での利用が容易になるように設計され、 1992年にサービスが開始された。 米国、日本、およびイスラエルでは、 別のデジタル規格が使われている(ただし、米国の一部にはこれに対抗する GSM サービスが存在する)。」 (p.347)

つまり, GSM ってのはかれこれ20年前の規格であり, そこで使われている暗号アルゴリズム A5/1 も同じだけ年をとっている。 ちなみに, 2002年に三菱電機の「KASUMI」(同社の MISTY をベースにしている)が GSM の標準 A5/3 として採用されている。

GSM 携帯電話の中で A5/1 と A5/3 の実装の割合がどのようになっているかは手元に資料がないので分からない(誰か教えて)。 でも GSM 側は今回のクラックについて影響は小さいようなことを言ってるみたいなので, 実際には A5/3 の実装はかなり進んでいるのかもしれない。 もうひとつオマケとして, 「KASUMI」は 3G ケータイの標準としても採用されている。 日本の暗号技術だって頑張ってるんだよ。

A5/2 ってないの? と思っているあなた。 実はあるんです。 A5/2 は A5/1 の暗号強度(厳密には鍵の強度)を更に弱めたバージョンらしい。 A5/1 の 64bit 鍵長だって十分に弱いのに更に弱くしてあるだなんて。 でも例えば 「オーストラリアでは、 A5/2 が使われていることが判明して政治的な騒動になった」(p.351) んだそうで, 意外に A5/2 は使われているのかもしれない。 他にも GSM の実装には意図的に強度を弱くしていると思われる個所もあるらしい。 (あとは陰謀論者の皆さん,頑張ってください(笑))

でも, これらのことはほとんどはリバース・エンジニアリングによって判明したこと。 で, ほとんどの国では(著作権法を盾に)リバース・エンジニアリングは禁止されているんだよね。 もちろん今回公開されるであろうツールを使って通信を盗聴することも(例外はあるが)違法。 ここがポイント。 だからこれがドイツで発表されるというのは実は深い意味がある。 今回のプレゼンを行う暗号エキスパートの Karsten Nohl さんが, 今回の研究を合法に行ったと主張されているが, アメリカや(多分)日本では絶対にできないことなのよ。 (あと, 今回のプレゼンが比較的安価な構成でできているってのもポイント)

GSM の暗号の問題点は

「暗号のセキュリティは鍵の選択に依存するべきであり、仕組みの秘密性に依存してはならない」 (p.355)

という暗号の基本中の基本を守らなかったことにある。 もし GSM で使われているセキュリティ・システムを(暗号アルゴリズムを含めて)公開して事前に一般からのレビューを受けていれば, ここまでひどいことにはならなかったかもしれない。

更に 『情報セキュリティ技術大全』 によると, GSM の穴を利用したツールまであるらしい。 「IMSI キャッチャ」というそのツールは基地局になりすましてトラフィックの傍受を可能にするものだが, なんと警察向けに販売されているそうだ。

GSM が利用者から見てセキュリティ上の問題が多いのは明らかだが, それをちゃんと「見せる」ことは大事なことだと思う。 そういう意味で, 今回行われるというプレゼンは意義あるものになるだろう。 最後に 『情報セキュリティ技術大全』 に記されている GSM の評価を挙げておく。

「電話会社の観点からいえば、 GSM は成功だった。 Vodafone などの GSM 通信事業者の株主は莫大な利益を得た。 その(ほんの)一部は、 GSM のチャレンジレスポンスメカニズムによってクローニングに歯止めがかかったおかげである。 暗号の弱点など大した問題ではなかった。 それらが悪用されたことはまったく(少なくとも、通信料収入を大きく損なうような形では)なかったからである。
(中略)
犯罪者の観点からも、 GSM は申し分なかった。 GSM は、電話サービスの盗聴に対する歯止めにはならなかった。 単に犯罪の手口が変わっただけで、 そのつけはクレジットカード会社や、 アイデンティティ窃盗や路上での強盗に遭った被害者個人に回された。
(中略)
顧客の観点から見れば、 GSM は本来完全に安全なものとして販売されていた。 これは正しかったのだろうか。 確かに基地局までの通信の暗号化によって、 アナログ電話でよく悩まされていた日常生活の盗聴はなくなった (有名人が被害を受け、 世間の注目を集めた事件がいくつかあった。 たとえば, チャールズ英皇太子が離婚前に愛人との会話を盗聴された英国での事件や、 ニュート・ギングリッジ元米下院議長が絡んだ米国での事件などである)。 しかし、 世界中のほぼすべての電話盗聴は巨大な諜報機関によって行われており、 彼等にとって暗号はほとんど問題にならない。」 (p.355-356)

(追記 2010/1/9)

色々記事が上がっているので以下に紹介する。

若い人には分かりにくいかもしれないが, 2000年以前は 64bit より大きい鍵長の暗号は輸出禁止だったことは覚えておいたほうがいいだろう。 つまり, 暗号は軍事上の機密であって, 民生品で強い暗号を使うことは世界的にご法度だったわけだ。 もちろん携帯電話も同様 (この状況の中でどうやって PGP のような強い暗号が登場しえたのか。 それは「最近の GnuPG」で挙げた文献を読むと分かる)。 この方針が大きく転換したのは, ここ10年ほどの話である。

ITmedia の記事を見ると

「一方で、 「業界はGSMネットワークのプライバシー保護強化に努めている」 とGSMAは強調し、 暗号強度を高めたアルゴリズムの「A5/3」を開発し、 段階的にA5/1に入れ替えていくと表明した。」

などと寝ぼけたことを言っているあたり, どうも A5/3 への置き換えは進んでいないように見える (もちろん ITmedia 記者の大いなる勘違いの可能性もあるわけだが)。

GSM は暗号以外にプロトコルレベルでもセキュリティ上の問題を色々抱えている (一部は上で紹介してるけど)。 ので, 本来は 3G への移行を進めるほうが more better なのかもしれない。 今回の暗号の解読は決して「新しい脆弱性の発見」ではないけれど, 色々変化を促すきっかけになればいいな, と個人的には思っている。

でも, まぁ, 日本人にはやっぱりピンと来ないよねぇ。