A51とは何? わかりやすく解説 Weblio辞書 (original) (raw)

A5/1ストリーム暗号の一種で、GSM携帯電話規格における通信プライバシー保護手段として採用されている。当初、秘密にされていたが、リークやリバースエンジニアリングによって徐々に明らかとなってきた。この暗号について、いくつかの深刻な弱点が指摘されている。

歴史と使用

A5/1 はヨーロッパアメリカ合衆国で使われている。これを若干弱めた派生アルゴリズムであるA5/2が他の地域で使われている[1]。A5/1は1987年に開発されたもので、当時GSMはヨーロッパ以外で使用することは考慮されていない。A5/2は1989年に開発された。当初どちらもその詳細は秘密にされた。しかし設計の概要は1994年にリークされ、アルゴリズム全体は1999年、Marc Briceno がGSM携帯電話を使ってリバースエンジニアリングで明らかにした。2000年当時、1億3000万のGSM利用者が音声通信の機密保護手段としてA5/1に依存していた。

セキュリティ研究家 Ross Anderson は1994年、「1980年代中ごろ、GSMの暗号強度をどうすべきかについてNATO各国の信号諜報機関の間で激しい議論があった。ドイツはワルシャワ条約機構と地理的に接していることから、強い暗号を主張した。しかし他国は強い暗号が必要とは考えなかった。現在実際に使われているアルゴリズムはフランスの設計によるものだ」と公表した[2]

技術的解説

A5/1ストリーム暗号は3つのLFSRを使用。 各レジスタにはクロックビット(オレンジ色)があり、これらの多数決の結果と自身のクロックビットが等しい場合のみステップが進行する。

GSM転送は一連のバースト (burst) で構成される。典型的な通信路の片方向では、1つのバーストは4.614ミリ秒ごとに送信され、その中に114ビットの有効な情報が格納されている。A5/1はその114ビットに対応した鍵ストリームを生成するもので、それを平文にXORで結合してから変調する。A5/1の初期化には64ビットのと公開されている22ビットのフレーム番号を用いる。GSMで実際に使用されている実装では、鍵のうち10ビットが0に固定されていて、実質的な鍵の長さは54ビットになっている。

A5/1は、3つの線形帰還シフトレジスタ (LFSR) を組み合わせ、不規則にクロック供給することで構成されている。3つのシフトレジスタの詳細は次の通り:

LFSR番号 ビット数 帰還多項式 クロック用ビット 入力ビット
1 19 x 18 + x 17 + x 16 + x 13 + 1 {\displaystyle x^{18}+x^{17}+x^{16}+x^{13}+1} 暗号化されていないという警告が携帯電話に表示されている様子 A5/1への攻撃方法のいくつかが公表されている。一部は前処理に秒単位から分単位の時間がかかる。当初、既知の平文から推定する攻撃しか知られていなかった。2003年、暗号文のみから解読できる重大な脆弱性が判明した。2006年、Elad Barkan、Eli Biham、Nathan Keller の3人は、A5/1、A5/3、GPRSに対する攻撃方法を公開し、GSM携帯電話の会話を実時間で解読したり、記録しておいて後で解読する方法があることを示した。 既知平文攻撃 1997年、Golic は時間計算量 240.16 の連立1次方程式の解法に基づく攻撃方法を発表した(時間は必要な連立1次方程式の解の数に比例する)。2000年、Alex Biryukov、Adi Shamir、David Wagner は、上述の Jovan Golic の成果に基づき[3]時間メモリトレードオフ攻撃を使うことでリアルタイムでA5/1を解読可能であることを示した[4]。例えば2分間ぶんの平文があれば1秒で鍵を再構築でき、2秒間ぶんの平文なら数分で鍵を再構築できるが、その前に300GBのデータについて248ステップを要する多大な前処理を完了しておく必要がある。前処理量、データ量、攻撃時間、メモリ使用量はトレードオフの関係にある。同年、Eli Biham と Orr Dunkelman もA5/1への攻撃方法を発表した。これは32GBのデータを使用した 238 ステップの前処理を必要とする[5]。EkdahlとJohannsonは、2分間から5分間の平文を使い、数分でA5/1を破る攻撃方法を発表した[6]。この攻撃法は前処理が不要である。2004年、Maximovらはその成果を改良し、数秒の平文から1分以内に暗号を解読する攻撃法を得た。2005年、その攻撃法をさらに Elad Barkan と Eli Biham が改良した[7]。 GSMで使われているA5/1への攻撃 2003年、BarkanらはGSMの暗号へのいくつかの攻撃法を発表した[8]。第一の攻撃法は基地局を装う能動的攻撃法である。おおまかに言えば、より弱いA5/2を使っているとGSM携帯に信じ込ませる。A5/2の解読は容易であり、秘密鍵にはA5/1と同じものを使っている。第二の攻撃法は、暗号文のみの時間メモリトレードオフ攻撃であり、多大な前処理を必要とする。2006年、Elad Barkan、Eli Biham、Nathan Keller は2003年の論文の全文を公開した。そこにはA5/X暗号全般に対する攻撃法が含まれている[9]。2007年、ボーフム大学とキール大学は、FPGAを大量に使った暗号解読アクセラレータ COPACOBANA を開発する研究プロジェクトを開始した。これは時間メモリトレードオフ攻撃を加速し、A5/1およびA5/2アルゴリズムやDESの解読を支援する[10]。また、総当り攻撃に使うこともでき、その場合は前処理が不要となる。2008年、The Hackers Choice という団体がA5/1の実用的解読法を開発するプロジェクトを立ち上げた[11]。攻撃には約3テラバイトの参照テーブルを構築する必要がある。このような巨大な参照テーブルを現実的な時間内に構築することは不可能だが、同団体は既に構築を開始しており、1年以内に完了するとしていた。2008年7月現在、完了したという発表はない。テーブルが完成し、並行して開発している検索機能が完成すれば、GSMの通信内容を盗聴し、そのデータから数分で暗号鍵を抽出し、会話の内容を知ることができるようになる。 関連項目 KASUMI - A5/3 の別名 脚注・出典 ^ Quirke, Jeremy (2004年5月1日). “Security in the GSM system”. AusMobile. 2004年7月12日時点のオリジナルよりアーカイブ。2009年7月2日閲覧。 ^ Ross Anderson (17 June 1994). "A5 (Was: HACKING DIGITAL PHONES)". Newsgroup: uk.telecom. Usenet: 2ts9a0$95r@lyra.csx.cam.ac.uk. 2009年7月2日閲覧。 ^ Golic, Jovan Dj. (1997). “Cryptanalysis of Alleged A5 Stream Cipher”. EUROCRYPT 1997: 239–55. http://jya.com/a5-hack.htm. ^ Biryukov, Alex; Adi Shamir; David Wagner. “Real Time Cryptanalysis of A5/1 on a PC”. Fast Software Encryption—FSE 2000: 1–18. http://cryptome.info/0001/a51-bsw/a51-bsw.htm. ^ Biham, Eli; Orr Dunkelman (2000). “Cryptanalysis of the A5/1 GSM Stream Cipher”. Indocrypt 2000: 43–51. ^ Ekdahl, Patrik; Thomas Johansson (2003). “Another attack on A5/1”. IEEE Transactions on Information Theory 49 (1): 284–89. doi:10.1109/TIT.2002.806129. http://ieeexplore.ieee.org/Xplore/login.jsp?url=http%3A%2F%2Fieeexplore.ieee.org%2Fiel5%2F18%2F25988%2F01159783.pdf%3Farnumber%3D1159783&authDecision=-203. ^ Barkan, Elad; Eli Biham (2005). “Conditional Estimators: An Effective Attack on A5/1”. Selected Areas in Cryptography 2005: 1–19. ^ Barkan, Elad; Eli Biham; Nathan Keller (2003). “Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication”. Crypto 2003: 600–16. http://cryptome.org/gsm-crack-bbk.pdf. ^ Barkan, Elad; Eli Biham; Nathan Keller. “Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication by Barkan and Biham of Technion (Full Version)”. 2009年7月2日閲覧。 ^ Gueneysu, Tim; Tim Gueneysu; Timo Kasper; Martin Novotniy; Christof Paar, Member, IEEE;Andy Ruppe (2008). “Cryptanalysis with COPACOBANA”. Transactions on Computers Nov. 2008: 1498–1513. http://www.copacobana.org/paper/TC_COPACOBANA.pdf. ^ The GSM Software Project The Hacker's Chice 参考文献 Rose, Greg (2003年9月10日). “A precis of the new attacks on GSM encryption”. QUALCOMM Australia. 2009年7月2日閲覧。 Maximov, Alexander; Thomas Johansson; Steve Babbage (2004). “An Improved Correlation Attack on A5/1”. Selected Areas in Cryptography 2004: 1–18. 外部リンク Briceno, Marc; Ian Goldberg; David Wagner (1999年10月23日). “A pedagogical implementation of the GSM A5/1 and A5/2 "voice privacy" encryption algorithms”. 2009年7月2日閲覧。 Horesh, Hadar (2003年9月3日). “Technion team cracks GSM cellular phone encryption”. Haaretz. http://www.cs.technion.ac.il/%7Ebarkan/GSM-Media/HaaretzInternetEnglish.pdf 2009年7月2日閲覧。 Barkan, Elad; Eli Biham; Nathan Keller (2006年7月). “Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication (Technical Report CS-2006-07)”. 2009年7月2日閲覧。 “Nathan Keller's Homepage”. 2009年7月2日閲覧。 ストリーム暗号アルゴリズム A5/1 KCipher-2 MUGI RC4 Salsa20暗号利用モード) 理論 シフトレジスタ 線形帰還シフトレジスタ 初期化ベクトル 攻撃 総当たり攻撃 線形解読法 差分解読法 関連鍵攻撃 相関攻撃 標準化 CRYPTREC カテゴリ暗号 暗号史 暗号解読 Cryptography portal en:Outline of cryptography 共通鍵暗号 ブロック暗号 ストリーム暗号 暗号利用モード 公開鍵暗号 暗号学的ハッシュ関数 メッセージ認証コード 認証付き暗号 乱数生成器 ステガノグラフィー ウィキペディア小見出し辞書 索引トップ 用語の索引 ランキング ウィキペディアウィキペディア A51(8425) 出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2019/08/24 10:13 UTC 版) 「ThinkCentre」の記事における「A51(8425)」の解説ThinkCentre A51は従来上位機種のみに搭載されていたセキュリティー・チップを、全モデル搭載し普及モデルとして位置づけられた。2004年10月20日発売構成違いの8モデル用意された。先代モデルThinkCentre A50の上機種という位置づけで、セキュリティー機能MPUメモリーHDDなどの基本性能強化初期導入OSは全モデルに、Windows XP Professional SP2インストールされた。先代A50設定されていたCeleronモデルはなく、HT対応Intel Pentium(R) 4 プロセッサ540 3.2GHz、530 3.0GHzを採用チップセットにはインテル 915G Express搭載し従来機種比較してグラフィックス機能をはじめとした基本性能向上している。IBMダイレクト価格は、136,500円から。 最上位モデルの8425-34Jを例に挙げる。 8425-34JプロセッサIntel Pentium4 540 3.2GHz (FSB800MHz) チップセットIntel 915G Express セキュリティチップIBM Embedded Security System 2.0 二次キャッシュ512KB (CPU内蔵) 主記憶(RAM)容量PC-3200 DDR SDRAM 512MB 最大主記憶(RAM)容量2GB 主記憶(RAM)スロット数(空き数)2(1) HDD3.5型 80GB (シリアルATAS.M.A.R.T.対応 7,200rpm) FDD3.5型 3モード(1.44MB/1.2MB/720KB) 光学式ドライブCD-ROM (最大48倍速) ビデオサブシステムチップセットに内蔵Intel(R) Graphic Media Accelerator 900ビデオメモリ最大128MB(メインメモリー共有Ethernet 10BASE-T/100BASE-TX/1000BASE-T (Wake on LAN対応) オンボード 初期導入オペレーティング・システム*Windows XP Professional SP2日本語稼動確認オペレーティング・システムWindows 2000 Professional SP3 日本語Windows XP Professional / Home Edition(SP1) 日本語版 本寸法(幅×奥行×高さ), 重量85×359×309, 重量:約8.3kg(最小構成)/約8.5Kg(最大構成消費電力(構成によって異なる)標準 約83W、最大 約205W以下、電源OFF時 約1.7W ※この「A51(8425)」の解説は、「ThinkCentre」の解説の一部です。「A51(8425)」を含む「ThinkCentre」の記事については、「ThinkCentre」の概要を参照ください。 ウィキペディア小見出し辞書の「A51」の項目はプログラムで機械的に意味や本文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。お問い合わせ英和和英テキスト翻訳>> Weblio翻訳 英語⇒日本語日本語⇒英語 「A51」に関係したコラム 株式の投資判断とされる自己資本比率とは 株式の投資判断とされる自己資本比率とは、資本の総資産の割合をパーセンテージで表したものです。自己資本比率は、株主資本比率、株主持分比率などとも呼びます。自己資本比率は、次の計算式で求めることができます... 株式の投資基準とされるPERとは 株式の投資基準とされるPERとは、株価収益率のことです。PERは、次の計算式で求めることができます。PER=株価÷EPSEPSは、1株当たりの利益額のことで、「当期純利益÷発行済み株式数」で計算されま... 株式の投資基準とされるROSとは 株式の投資基準とされるROS(Rate of Sales)とは、企業の売上高の経常利益の割合をパーセンテージで表したものです。ROSは、売上高経常利益率、売上高利益率などともいいます。ROSは、次の計... 株365の相場と金相場との関係 株365で取引可能な日経225証拠金取引、DAX証拠金取引、FTSE100証拠金取引、FTSE中国25証拠金取引の4銘柄と金相場とはどのような関係にあるでしょうか。下の図は、株365の4銘柄のもとにな... 株式の投資判断とされる配当利回り変化率とは 株式の投資判断とされる配当利回り変化率とは、現在の配当利回りが、過去の配当利回りと比べてどのくらい変化したかをパーセンテージで表したものです。配当利回りは、次の計算式で求めることができます。配当利回り... 株式の投資基準とされる経常利益伸び率とは 株式の投資基準とされる経常利益伸び率とは、企業の予想経常利益が最新の経常利益の何パーセント増加しているかを表したものです。予想経常利益が伸びればその分、株価も上昇するのが一般的とされています。経常利益... >> 「A51」を含む用語の索引 A51のページへのリンク 辞書ショートカット1 ウィキペディア2 ウィキペディア小見出し辞書 カテゴリ一覧 全てビジネス業界用語コンピュータ電車自動車・バイク工学建築・不動産学問文化生活ヘルスケア趣味スポーツ生物食品人名方言辞書・百科事典 すべての辞書の索引 記号 Weblioのサービス英会話コラムWeblio英会話英語の質問箱語彙力診断スピーキングテスト 「A51」の関連用語 1 ソナタ第51番ピティナ・ピアノ曲名 56% | 2 Sonata No.51 in G majorピティナ・ピアノ曲名 52% 3 Sonata No.51ピティナ・ピアノ曲名 52%