Cryptography Reference
In-Depth Information
■
f1, f2
: Diese beiden werden im Standard als »Authentifikationsfunktionen«
bezeichnet. Dabei handelt es sich jeweils um eine schlüsselabhängige Hash-
funktion mit 128 Bit Block- und Schlüssellänge. MILENAGE sieht für f1 und
f2 jeweils eine erweiterte CBC-MAC-Version des AES vor. Die Erweiterung
besteht aus einer zusätzlichen Datenrotation und der Addition zweier Kons-
tanten per Exklusiv-oder-Verknüpfung. Interessanterweise entschied sich das
UMTS-Standardisierungsgremium bereits vor Ende des AES-Wettbewerbs
dafür, den damaligen AES-Kandidaten Rijndael zu verwenden. Erst später
wurde dieses Verfahren zum Sieger des Wettbewerbs gekürt und in AES
umgetauft.
■
f3, f4, f5
: Diese werden im UMTS-Standard als »Schlüsselgenerierungsfunk-
tionen« bezeichnet. Sie haben jeweils die Aufgabe, mit einem geheimen
Schlüssel aus einer Zufallszahl eine 128-Bit-Zahl zu generieren, die als Schlüs-
sel verwendet werden kann. In der Praxis werden diese Anforderungen am
besten von einer schlüsselabhängigen Hashfunktion erfüllt. Wir können uns
daher auch f3, f4 und f5 als schlüsselabhängige Hashfunktion vorstellen. Der
in MILENAGE beschriebene Aufbau von f3, f4 und f5 entspricht dem von f1
und f2, wobei jedoch andere Rotationen und Konstanten zum Einsatz kom-
men.
Man kann die Sache auf einen einfachen Nenner bringen: f1 bis f5 sind schlüssel-
abhängige Hashfunktionen auf Basis des AES, die identisch aufgebaut sind und
sich lediglich durch Konstanten und die Art der zusätzlichen Rotation voneinan-
der unterscheiden. Im Gegensatz zu den Verfahren f1 bis f5 sind die beiden Algo-
rithmen f8 und f9 im UMTS-Standard fest vorgegeben:
■
f8
: Dies ist ein Verschlüsselungsverfahren. Es handelt sich dabei um das Ver-
fahren KASUMI, das in einer Mischung aus OFB- und CTR-Modus betrieben
wird.
■
f9
: Dies ist eine weitere schlüsselabhängige Hashfunktion. Sie ist als CBC-
MAC-Version von KASUMI realisiert und generiert einen 32-Bit-Hashwert.
Wie in Abschnitt 10.1.2 beschrieben, ist KASUMI eine Variante von MISTY.
MISTY wurde von den UMTS-Standardisierern ausgesucht, weil es sich um ein in
Hardware performantes Verfahren handelt, das bereits damals gut untersucht
war. Dem Gremium stand nur ein halbes Jahr zur Auswahl zur Verfügung, was
für die Neuentwicklung eines Verfahrens zu kurz war. Im Gegensatz zu GSM ent-
schied man sich bei der Standardisierung von UMTS, die verwendeten Krypto-
Verfahren von Anfang an offenzulegen.
