https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=COMP128COMP128 - Versionsgeschichte2026-05-26T22:39:34ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=COMP128&diff=528116&oldid=previmported>MarcoMA8: /* Weblinks */ Defekte Weblinks ersetzt2022-09-08T01:54:02Z<p><span class="autocomment">Weblinks: </span> Defekte Weblinks ersetzt</p>
<p><b>Neue Seite</b></p><div>'''COMP128''' ist eine Implementierung der für das [[Global System for Mobile Communications|GSM]]-Netz spezifizierten Algorithmen [[A3 (Algorithmus)|A3]] und [[A8 (Algorithmus)|A8]]. A3 wird zur Authentifikation der [[Mobilstation]] am Netz bzw. [[Authentisierungszentrale|AuC]] (Authentication Center) benötigt, während A8 dazu dient, einen [[Session Key]] für die verschlüsselte Übertragung zwischen Mobilstation/Handy und der [[Base Transceiver Station|BTS]] (bei Sprachverbindungen) resp. [[SGSN]] (bei [[GPRS]]) zu generieren.<br />
<br />
Technische Details der ursprünglich vertraulichen Implementierung gelangten 1998 durch [[Reverse Engineering]] an die Öffentlichkeit.<br />
<br />
COMP128 arbeitet mit 9 Runden, wobei der zentrale Kern des Algorithmus eine [[Hashfunktion]] ist. Diese Hash-Funktion liefert einen 128-Bit-Hashwert für 256 Bit Eingabe. Sie basiert auf einer ''Butterfly''-Struktur. Die Ausgabe des Algorithmus enthält die für die Authentisierung verwendete Antwort und den Session Key für die [[A5 (Algorithmus)|A5]]-Stromchiffrierung, welche zur Verschlüsselung des Sprachtransfers eingesetzt wird.<br />
<br />
Sei X[0..31] die 32 Byte große Eingabe der Hash-Funktion, mit K := X[0..15] dem Schlüssel der Ziel-SIM-Karte und X[16..31] die durch die Station gesendete Challenge. Seien weiterhin die Tabellen T0[0..511], T1[0..255], T2[0..127], T3[0..63] und T4[0..31] die geheimen Permutationstabellen. Dann durchläuft die Eingabe zunächst 8 Mal die folgende Kompression (nach [HP00], siehe Weblinks):<br />
<br />
For i=0 to 4 do:<br />
For j=0 to 2<sup>i</sup>-1 do:<br />
For k=0 to 2<sup>4-i</sup>-1 do:<br />
s = k + j*2<sup>5-i</sup><br />
t = s + 2<sup>4-i</sup><br />
x = (X[s] + 2X[t]) mod 2<sup>9-i</sup><br />
y = (2X[s] + X[t]) mod 2<sup>9-i</sup><br />
X[s] = Ti[x]<br />
X[t] = Ti[y]<br />
<br />
Nach jeder Permutation werden die 16 Bytes Ausgabe in X[16..31] und K erneut in X[0..15] gespeichert.<br />
<br />
COMP128 gilt als unsicher, da der Hash kleine Veränderungen in der Eingabe nicht hinreichend streut. Aufgrund des [[Geburtstagsparadoxon]]s lässt sich dies in einem [[Kollisionsangriff]] dergestalt ausnutzen, dass innerhalb von <math>\mathcal{O}(2^{17,5})</math> Abfragen der SIM-Karte der gesamte Schlüssel extrahiert werden kann.<br />
<br />
== Weblinks ==<br />
* [http://www-sec.uni-regensburg.de/media/security/92mobil.pdf ''Sicherheit Mobiler Systeme.''] (PDF; 884 kB) – Hannes Federrath – Lehrstuhl für Management der Informationssicherheit – Uni Regensburg<br />
* [http://www.isaac.cs.berkeley.edu/isaac/gsm-faq.html Angriff von Briceno, Goldberg und Wagner]<br />
* [http://www.gemplus.com/smart/rd/publications/pdf/HP00comp.pdf HP00] ''Reducing the Collision Probability of Alleged Comp128'' von H.Handschuh, P.Paillier, Springer-Verlag 2000 (PDF; 82 kB)<br />
* [https://www.cits.ruhr-uni-bochum.de/imperia/md/content/leander/ausarbeitungcomp128final.pdf Seminararbeit zum Kollisionsattacke]<br />
<br />
[[Kategorie:Symmetrisches Kryptosystem]]</div>imported>MarcoMA8