A5/3 GSM算法中Kasumi的密碼分析——為什麼它在2G而不是3G中被破解？

我讀過Wikipedia文章，該文章指出 Dunkelman、Keller 和 Shamir 在 2010 年設法在相當長的時間內（2 小時）使用 Core 2 Duo 發起了相關密鑰攻擊。

為什麼 Kasumi 在 2G (A5/3) 中易碎，但在 3G 中卻不行？

KASUMI不是“破2G”。事實上，它甚至沒有在 2G 中*使用。*2G 系統使用與 KASUMI（即 A5/3）無關的算法 A5/1 和/或 A5/2。

2010 年的攻擊是一種“相關密鑰攻擊”：這是一種相當深奧的攻擊，攻擊者獲得使用不同密鑰加密的明文/密文對，但密鑰以特定且攻擊者已知的方式不同. 在這種設置中，Dunkelman、Keller 和 Shamir 可以在經過一些計算（兩個小時的計算時間）後重建密鑰。但是，這仍然依賴於已知數量不同的密鑰的確切情況；這種情況在3G網路中不會出現。事實上，相關密鑰攻擊在實踐中幾乎從不應用，而且通常我們不太關心它們（例如，它們不是 AES 選擇標準的一部分）；它們仍然算得上是值得注意的，至少在學術上是這樣，因為一個理想的密碼，定義為在塊值空間上的整個可能排列集合中統一選擇密碼，甚至不應該有相關密鑰攻擊。

引用自：https://crypto.stackexchange.com/questions/60284