В декабре 1999 года Шамир и Алекс Бирюков описывают в своей статье нетривиальный и эффективный способ взлома алгоритма A5/1, публикуя "Real Time Cryptanalysis of the Alleged A5/1 on a PC". Как говорит Шамир, это была сложная идея, осуществляющая применение нескольких небольших преимуществ для общего выигрыша. Здесь он обращается к слабостям в структуре регистров сдвига (хотя каждый компонент защиты коммуникаций GSM ослаблен компроментацией разведслужб). В методе Шамира и Бирюкова есть 2 вида проверенных практически атак (вначале проводится несложная подготовка данных): первой необходим выход алгоритма в течение первых 2 минут разговора, и ключ вычисляется за примерно 1 секунду; второй, наоборот, необходима пара секунд разговора , а ключ вычисляется за несколько минут на обычном ПК.

На 28-й Международной конференции Crypto-2008 Ади Шамир продемонстрировал "кубические" атаки (cube attack), вскрывающие потоковые шифры. Этот новый вид атак полагается на представление функции потокового шифрования в виде "полиномиальных уравнений невысоких степеней". Как считает Брюс Шнайер (Bruce Schneier), "кубическая" атака может быть успешно применена к генераторам псевдо-случайных чисел, используемым в телефонах сетей системы GSM и устройствах Bluetooth. Уязвимы также сотовые телефоны и устройства RFID, использующие потоковые шифры. Ранее на конференции RSA в городе Сан-Хосе Шамир показал несостоятельность RFID-чипов, предлагавшихся для электронных паспортов, и по такой причине: используя направленную антенну и цифровой осциллограф, он обнаружил характерную картину показаний потребления электроэнергии чипами для правильных и неправильных битов пароля.

A5/1 is a stream cipher used to provide over-the-air communication privacy in the GSM cellular telephone standard. It was initially kept secret, but became public knowledge through leaks and reverse engineering. A number of serious weaknesses in the cipher have been identified.

(...)

In 2000, Alex Biryukov, Adi Shamir and David Wagner showed that A5/1 can be cryptanalysed in real time using a time-memory tradeoff attack, based on earlier work by Jovan Golic. One tradeoff allows an attacker to reconstruct the key in one second from two minutes of known plaintext or in several minutes from two seconds of known plain text, but he must first complete an expensive preprocessing stage which requires 248 steps to compute around 300 GB of data. Several tradeoffs between preprocessing, data requirements, attack time and memory complexity are possible.

The same year, Eli Biham and Orr Dunkelman also published an attack on A5/1 with a total work complexity of 2(index)39.91 A5/1 clockings given 2(index)20.8 bits of known plaintext. The attack requires 32 GB of data storage after a precomputation stage of 2(index)38.

Ekdahl and Johannson published an attack on the initialisation procedure which breaks A5/1 in a few minutes using two to five minutes of conversation plaintext. This attack does not require a preprocessing stage. In 2004, Maximov et al. improved this result to an attack requiring "less than one minute of computations, and a few seconds of known conversation". The attack was further improved by Elad Barkan and Eli Biham in 2005.

В 2001 году была представлена атака методом невозможных дифференциалов. Автор - Ульрих Кён (2001).[2]

В 2003 году Элад Баркан, Эли Бихам и Натан Келлер продемонстрировали атаку с посредником на протокол GSM, что позволяет обойти шифр A5/3 и таким образом сломать протокол. Однако, этот подход не взламывает шифр A5/3 напрямую. Полная версия была опубликована позже, в 2006.

В 2005 году Эли Бихам, Орр Дункельман и Натан Келлер опубликовали атаку на KASUMI методом бумеранга, которая взламывает шифр быстрее, чем полный перебор.[2] Для атаки требуется 2(index)54.6 выбранных открытых текстов, каждый из которых был зашифрован одним из 4 связанных ключей, и имеет сложность по времени, эквивалентную 2(index)76.1 шифрованиям KASUMI. Эта атака показывает небезопасность шифрования KASUMI в 3G сетях.

Ваше "нежное" отношение к моей персоне...

За содержание информации несёт ответственность её автор, а не читатель, решивший поделиться прочитанным с другими.

Представитель ассоциации GSM признал, что звонки по мобильному телефону не защищены на 100% от прослушки. Но большинству абонентов ничего не угрожает: прослушивающему устройству будет сложно вычленить конкретного клиента, радиус его действия очень небольшой и в ряде случаев от прослушки может защитить кодирование. Это подтверждает пресс-секретарь МТС Ирина Осадчая. К тому же специалисты МТС постоянно контролируют обновления защиты в сети, [интересно, что именно они там обновляют - протокол?] что сводит подобные атаки злоумышленников к нулю, говорит она. А пресс-секретарь «Вымпелкома» Анна Айбашева обещает, что компания предпримет «ответные действия с привлечением правоохранительных органов», [вот это уже по нашему: "маски-шоу" с изъятием всей компьютерной техники, подкрепленные меткими ударами милицейской дубинки по злоумышленникам гораздо эффективнее любой криптографической защиты] если изобретение Пейджета окажется действительно опасным для пользователей и будет нарушать законы.

Ведущий аналитик компании Mobile Research Group Эльдар Муртазин:

"Стандарт GSM до сих пор не взломан, он остается защищенным, и обычные люди, обыватели, мы с вами, те, кто говорит по телефону, могут не беспокоиться о том, что он будет взломан".