PICSI

Le chiffrement à flot f8 est l'algorithme destiné à chiffrer les communications dans la norme UMTS. Il repose sur l'algorithme par bloc KASUMI, utilisé dans une variante mode COMPTEUR.

Contexte d'utilisation.   f8 est l'algorithme de chiffrement à clef secrète utilisé pour assurer la confidentialité des communications pour les téléphones mobiles de troisième génération notamment dans la norme européenne UMTS.

Il a été décrit en 1999 par le projet 3GPP (3rd Generation PartnerShip Project) dans la spécification technique TS 35.201 [1].
Définition.   f8 est un chiffrement à clef secrète à flot, consistant à additionner par ou exclusif bit à bit le texte clair à une suite produite par le générateur pseudo-aléatoire correspondant à l'algorithme par bloc KASUMI utilisé dans un mode opératoire à mi-chemin entre le mode OFB et le mode compteur.
Spécifications.  

• Longueur de clef : 128 bits
• Vecteur d'initialisation : 64 bits, composé d'un numéro de trame (32 bits), un numéro identifiant la fréquence porteuse (5 bits), un bit donnant la direction de transmission (émission ou réception) et le nombre de bits du message clair.
• KM : constante de 128 bits additionnée à la clef lors du premier appel à KASUMI, égale à 0x5555... 5555.

Par mesure de précaution, la longueur de suite générée à partir de la même initialisation sera toujours limitée à 20000 bits. Le générateur pseudo-aléatoire de f8 utilisant ces différents paramètres est décrit à la figure 1.




Figure 1:  Algorithme f8

KASUMI.   KASUMI est un algorithme de chiffrement par bloc, opérant sur des blocs de 64 bits avec une clef secrète de 128 bits. Il s'agit d'un chiffrement de Feistel à 8 tours, variante de l'algorithme MISTY1 proposé par Matsui en 1996 [6]. KASUMI est décrit dans la spécification technique TS 35.202 du projet 3GPP [2]. Le choix de KASUMI pour réaliser le chiffrement des communications pour les téléphones mobiles est principalement dû au fait qu'il peut être mis en uvre par un circuit de taille raisonnable, comportant moins de 10 000 portes logiques. Sécurité.   Aucune faiblesse particulière n'a été détectée sur le chiffrement à flot f8. La seule attaque connue sur la totalité des 8 tours de l'algorithme par bloc sous-jacent, KASUMI, a été récemment présentée par Biham, Dunkelman et Keller [4]. Elle nécessite la connaissance des chiffrés correspondant à 2^54,6 messages clairs, chiffrés avec 4 clefs secrètes liées, et sa complexité est équivalente à 2^76,1 opérations de chiffrement. Un tableau récapitulant toutes les attaques connues sur des versions partielles de KASUMI est disponible dans [4]. Il est important de noter que KASUMI intègre des modifications permettant de contrer les attaques connues sur des versions partielles de son ancêtre, MISTY1 [7,3,5].
Propriété intellectuelle.   f8 est à usage exclusif des communications et services pour les portables de troisième génération. Par ailleurs, l'algorithme par bloc sous-jacent, KASUMI, est couvert par différents brevets déposés par Mitsubishi Electric Corporation.

 

Références

[1]

3rd Generation PartnerShip Project. << 3GPP TS 35.201 - Specification of the 3GPP Confidentiality and Integrity algorithms - Document 1: f8 and f9 specification >>, 2001. http://www.3gpp.org/ftp/Specs/html-info/35201.htm.

[2]

3rd Generation PartnerShip Project. << 3GPP TS 35.202 - Specification of the 3GPP Confidentiality and Integrity algorithms - Document 2: KASUMI specification >>, 2001. http://www.3gpp.org/ftp/Specs/html-info/35202.htm.

[3]

S.  Babbage,name L.  Frisch. << On MISTY1 Higher Order Differential Cryptanalysis >>. ICISC 2000, 2015 Lecture Notes in Computer Science, 22-36. Springer-Verlag, 2000.

[4]

E.  Biham, O.  Dunkelman,,name N.  Keller. << A Related-Key Rectangle Attack on the Full KASUMI >>. CS-2005-14, Technion, Computer Science Department, Haifa, Israel, 2005.

[5]

A.  Canteaut,name M.  Videau. << Degree of composition of highly nonlinear functions and applications to higher order differential cryptanalysis >>. Advances in Cryptology - EUROCRYPT 2002, 2332 Lecture Notes in Computer Science, 518-533. Springer-Verlag, 2002.

[6]

M.  Matsui. << New Block Encryption Algorithm MISTY >>. Fast Software Encryption - FSE'96, 1267 Lecture Notes in Computer Science, 54-68. Springer-Verlag, 1997.

[7]

H.  Tanaka, K.  Hisamatsu,,name T.  Kaneko. << Strength of MISTY1 without FL function for Higher Order Differential Attack >>. Applied Algebra, Algebraic Algorithms and Error-Correcting Codes, 1719 Lecture Notes in Computer Science, 221-230. Springer-Verlag, 1999.