Примером является шифрование голоса GSM с использованием А5/1, использовавшийся в Европе и США на голосовом канале радиосвязи мобильных телефонов до 3G. В то время как с хорошим алгоритмом 80-битный размер ключа A5/1 был бы серьезным препятствием для расшифровки даже в наши дни, криптоанализ в реальном времени возможен и может использоваться для декодирования пассивных радиоперехватов.
- Это должен быть настоящий криптографический прорыв, основанный на математическом криптоанализе.
Это случай Александра Максимова, Томаса Йоханссона, Стива Бэббиджа. Улучшенная корреляционная атака на A5/1, в материалы ВАС 2004 г., улучшая более ранняя атака.
- Разрыв должен быть фактически выполнен в реальном мире
Это широко распространенный это так, в дополнение к активным атакам (которые включают более элементарный криптоанализ и могут раскрыть больше информации, чем голос). Я полагаю, что это должно иметь место из-за двух эксплуатационных преимуществ пассивных перехватов: они не могут быть обнаружены и могут позволить массовое прослушивание (что, с другой стороны, может быть проще в других точках сети).
- Алгоритм должен был широко использоваться, т.е. в Интернете, коммерческой или правительственной среде.
A5/1 широко использовался в Европе и США для голосовой связи GSM, прежде чем он (насколько мне известно) был вытеснен 3G.
Примечание: вопрос не требует, чтобы алгоритм был выбран как безопасный, в пределах внутренних ограничений его ключа и размера состояния, всеми сторонами, участвовавшими в принятии решения о его выборе. У меня нет обоснованного мнения о том, так ли это для A5/1, и мне бы хотелось получить информацию об этом. Я не сомневаюсь, что что-то действительно невзламываемое было бы отвергнуто¹, но мне интересно, был ли известен во время выбора и повлиял ли на него криптоанализ пассивных перехватов лучше, чем очевидно возможный, учитывая 80-битный ключ+состояние.
¹ В период 1970-2000 (примерно) во многих странах, на которые нацелена GSM, действовали законы и постановления, запрещавшие эффективную криптографию для устройств, предлагаемых для продажи широкой публике², и они до сих пор в определенной степени соблюдаются. Поэтому я твердо верю, что разработчики стандартов были внимательны, чтобы не предлагать стандарт, который администрация сочтет слишком сильным, из-за опасений, что ратификация стандарта или его развертывание будут замедлены. Я вижу в этом причину, по которой A5/1 имеет 80-битное состояние и максимальный размер ключа.
² во Франции, чтобы разрешить перехват властями, более 40-битная криптография была в принципе запрещена законом, с официальными исключениями AFAIK только для скрытой криптографии или очень закрытых приложений по усмотрению властей.Предел должен был быть выбран правительством, он не менялся годами, а в 1999 году резко изменился с 40 до 128 бит, фактически полностью изменив смысл закона.