Открыть сервис

TUAK

TUAK — это криптографический алгоритм аутентификации и генерации ключей, разработанный для использования в системах мобильной связи стандарта UMTS (Universal Mobile Telecommunications System) и последующих поколениях (LTE, 5G). TUAK представляет собой набор функций, основанных на хеш-функции Keccak (SHA-3), и предназначен для замены устаревших алгоритмов семейства MILENAGE, которые базируются на AES. Алгоритм был стандартизирован международным консорциумом 3GPP (3rd Generation Partnership Project) в 2013 году в рамках спецификации 3GPP TS 35.231.

История и предпосылки создания

К середине 2000-х годов алгоритмы аутентификации семейства MILENAGE, используемые в сетях 3G и 4G, начали демонстрировать признаки уязвимости. MILENAGE, основанный на блочном шифре AES (Rijndael), был разработан в 2000 году и к 2010-м годам подвергся ряду криптоаналитических атак. В частности, исследователи выявили возможность восстановления ключей аутентификации при определённых условиях, а также обнаружили коллизии в некоторых вариантах реализации. Кроме того, использование единого алгоритма для всех операторов создавало риски, так как компрометация одного экземпляра MILENAGE могла поставить под угрозу безопасность всей сети.

В ответ на эти угрозы 3GPP в 2012 году инициировал разработку нового алгоритма, который должен был быть более устойчивым к криптоанализу, обеспечивать лучшую защиту от атак с использованием квантовых компьютеров (в перспективе) и поддерживать гибкость в настройке для разных операторов. В качестве основы была выбрана хеш-функция Keccak, которая в 2012 году была признана победителем конкурса SHA-3, организованного Национальным институтом стандартов и технологий США (NIST). Keccak отличается высокой производительностью и устойчивостью к известным типам атак.

Разработка TUAK велась рабочей группой 3GPP SA3 (Security). В 2013 году алгоритм был официально включён в спецификацию 3GPP TS 35.231. Первоначально TUAK был рекомендован для использования в сетях UMTS и LTE, а впоследствии адаптирован для систем 5G NR (New Radio). Внедрение TUAK в реальных сетях происходило постепенно, начиная с 2015-2016 годов, и к началу 2020-х годов он стал поддерживаться большинством новых моделей SIM-карт (UICC) и сетевым оборудованием.

Принцип работы

TUAK, как и MILENAGE, является набором функций, реализующих следующие операции:

  • **Аутентификация пользователя (f1, f1*):** Генерация кода аутентификации (MAC — Message Authentication Code) на основе ключа, случайного числа (RAND) и других параметров. Этот код используется для проверки подлинности абонента.
  • Генерация ключей шифрования (f2, f3, f4, f5): Вычисление ключей для шифрования трафика (CK — Cipher Key) и целостности (IK — Integrity Key), а также ключей для анонимизации (AK — Anonymity Key).
  • Генерация ключей для 5G (f6, f7): В версии для 5G добавлены функции для вычисления ключей, используемых в процедурах аутентификации и согласования ключей (AKA — Authentication and Key Agreement).

Основой всех этих функций является хеш-функция Keccak, работающая в режиме губки (sponge construction). TUAK использует Keccak с параметрами, обеспечивающими выходную длину хеша 256 или 512 бит. Входные данные (ключ, RAND, идентификатор сети и т.д.) подаются на вход «губки», которая последовательно впитывает и выжимает данные, формируя выходные значения.

Ключевая особенность TUAK — использование инстанциирования (instance). Каждый оператор мобильной связи может создать свой уникальный экземпляр алгоритма, задав собственный 256-битный ключ инстанциирования (K_instance). Этот ключ смешивается с основным секретным ключом абонента (K) при вычислении всех функций. Таким образом, даже если злоумышленник узнает алгоритм TUAK в общем виде, он не сможет вычислить ключи для конкретного оператора без знания K_instance. Это значительно повышает безопасность по сравнению с MILENAGE, где все операторы использовали одинаковую структуру.

Основные характеристики

  • Криптостойкость: TUAK базируется на SHA-3, который считается одним из самых надёжных хеш-алгоритмов. На момент 2024 года не опубликовано практических атак, способных сломать TUAK быстрее, чем полный перебор ключа.
  • Производительность: Алгоритм оптимизирован для работы на маломощных устройствах, таких как SIM-карты. Вычисления на Keccak выполняются быстро и не требуют больших объёмов памяти.
  • Гибкость: Возможность создания уникальных инстанций для каждого оператора (K_instance). Также поддерживается настройка длины выходных ключей (от 128 до 256 бит).
  • Совместимость: TUAK обратно совместим с существующими протоколами аутентификации 3GPP (UMTS AKA, EPS AKA, 5G AKA). Он может работать как на стороне сети (в HSS/HLR), так и на стороне абонента (в SIM-карте).
  • Устойчивость к квантовым атакам: Хотя Keccak не является постквантовым алгоритмом в полном смысле, его конструкция обеспечивает большую устойчивость к атакам с использованием квантовых компьютеров по сравнению с алгоритмами на основе дискретного логарифма или факторизации. TUAK не использует таких уязвимых операций.

Применение

TUAK применяется в следующих областях:

  • Мобильные сети 3G/4G/5G: Основное применение — аутентификация абонентов и генерация сессионных ключей в сетях UMTS, LTE и 5G NR. Алгоритм используется как в сетях общего пользования, так и в корпоративных и ведомственных системах связи (например, в сетях для государственных нужд).
  • Системы «Интернета вещей» (IoT): TUAK подходит для устройств с ограниченными вычислительными ресурсами, таких как датчики, счётчики, носимые устройства. Он обеспечивает надёжную аутентификацию без необходимости в сложных криптографических операциях.
  • Защита SIM-карт (UICC): TUAK реализован в современных SIM-картах, поддерживающих стандарты 3GPP Release 11 и выше. Он может использоваться как для аутентификации в сети, так и для защиты локальных данных на карте.
  • Квантово-устойчивые системы: В перспективе TUAK может быть адаптирован для использования в системах, требующих защиты от квантовых компьютеров, хотя для этого потребуется дополнительная модификация.

Сравнение с MILENAGE

ХарактеристикаMILENAGETUAK
Базовая криптографияAES (Rijndael)Keccak (SHA-3)
Год стандартизации20002013
Устойчивость к криптоанализуСредняя (известны атаки)Высокая (на момент 2024 г.)
Гибкость для операторовНизкая (единый алгоритм)Высокая (инстанциирование)
Производительность на SIM-картахХорошаяОтличная (меньше операций)
Поддержка 5GДа (с ограничениями)Да (изначально)
Устойчивость к квантовым атакамНизкаяСредняя (выше, чем у AES)

Критика и ограничения

Несмотря на преимущества, TUAK подвергается критике по нескольким причинам:

  • Сложность внедрения: Переход с MILENAGE на TUAK требует обновления как сетевого оборудования (HLR/HSS), так и абонентских устройств (SIM-карт). Это связано с затратами и организационными трудностями, особенно для операторов с большим парком старых SIM-карт.
  • Зависимость от одного алгоритма: Хотя TUAK использует Keccak, который является открытым стандартом, его реализация в виде инстанциированного алгоритма может создавать зависимость от конкретного производителя SIM-карт или сетевого оборудования.
  • Отсутствие массового внедрения: По состоянию на 2024 год TUAK не является обязательным для использования в сетях 3GPP. Многие операторы продолжают использовать MILENAGE, особенно в странах с низким уровнем развития инфраструктуры. Это снижает общий уровень безопасности мобильных сетей.
  • Потенциальные уязвимости в реализации: Как и любой сложный алгоритм, TUAK может содержать ошибки в конкретных реализациях (например, в программном обеспечении SIM-карт или сетевых контроллеров). В 2019 году были обнаружены уязвимости в некоторых реализациях TUAK, позволяющие проводить атаки типа «отказ в обслуживании» (DoS) на сеть.

Правовой статус и стандартизация

TUAK является открытым стандартом, опубликованным 3GPP. Он не имеет ограничений на использование в коммерческих и государственных системах. В России алгоритм TUAK может применяться в сетях мобильной связи, работающих по стандартам 3GPP, при условии соответствия требованиям Федерального закона «О связи» и подзаконных актов в области криптографической защиты информации. Однако для использования в государственных информационных системах может потребоваться сертификация алгоритма в соответствии с требованиями ФСБ России. На момент 2024 года TUAK не входит в перечень разрешённых криптоалгоритмов для государственных нужд, но может использоваться в коммерческих сетях.

Источники

  1. 3GPP TS 35.231: "Specification of the TUAK algorithm set; A second example algorithm set for the 3GPP authentication and key generation functions".
  2. 3GPP TS 33.102: "3G security; Security architecture".
  3. 3GPP TS 33.501: "Security architecture and procedures for 5G System".
  4. NIST FIPS PUB 202: "SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions".
  5. "Cryptanalysis of MILENAGE" — исследование, опубликованное в Journal of Cryptology (2012).
  6. "TUAK: A New Authentication Algorithm for 3GPP" — доклад на конференции IEEE Globecom (2014).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →