国内研究人员发现 GMR-2 漏洞，可实时解密卫星电话通讯

近日，有报道称两名中国的安全研究人员发现 GMR-2 标准在具体实施中的漏洞，并且可以利用这些漏洞在几秒钟内对卫星电话通讯进行解密。
    GMR-2 是一种具有 64 位密钥长度的流密码，可用于一些国际海事卫星组织的卫星电话。

    事实上，我们可以通过仅使用一个已知的密钥流来破解 GMR-2 密码，但是这个过程是非常耗时的。对此，研究人员设计了一种技术，它允许使用一帧密钥流就可以进行实时的反转攻击。他们根据密码的关键时间表来引入一个叫做 " 有效密钥链 " 的新概念。

    这是首次提出仅使用一帧密钥流就可以进行实时的反转攻击。 这个攻击包含了三个阶段：

    （1）表的生成

    （2）动态表的查找

    （3）过滤和组合验证

    英国国际海事卫星组织的卫星电话就是使用的 GMR-2 标准。2012 年，德国研究人员通过一组逆向工程活动证明，GMR-2 密码都比其他密码如 AES 或者 PRESENT 弱。德国专家解释说 " 关于 GMR-2 的密码，在已知的明文设置中，攻击者知道的大约有 50-65 字节，这些可以以中等的复杂度来计算并用于恢复会话密钥，从而可以用来攻击目前正在执行的电脑 "。

    两名中国的安全研究人员对 GMR-2 进行了新的实时反演攻击，允许攻击者可以通过卫星通信来进行实时解密。这与之前的攻击方式不同，研究人员不会用明文攻击的方式来破解密码，而是采用反向设计的方式来进行加密，这个过程是从输出密钥流中来直接推断加密密钥。

    " 我们的分析表明，使用之前所提出的攻击，当一个帧（15 个字节）密钥流可用时，64 位加密密钥的穷举搜索空间可以减少到大约 213。 与以前已知的攻击相比，这种反转攻击得效率更高。" 最后，提出的攻击是在 3.3GHz 的平台上进行的，实验结果表明，64 位加密密钥平均可以在 0.02s 左右恢复。

    卫星通信的安全性至关重要，选择强大的算法对于避免窃听也同样至关重要。之前的分析也表明 " 鉴于保密性是卫星通信中非常重要的一个方面，卫星电话中的加密算法应该是足够强大，所以它可以承受各种窃听风险。"

    拿我们的密码分析结果与表 3 进行比较，我们可以从中看到，与猜测动态攻击和基于阅读冲突的攻击相比，本文提出的反转攻击具有明显的优势。 给定一帧（15 字节）的密钥流，可以在 3.3GHz 的平台上打破仅有 0.02s 的 GMR-2 密码。 这再次表明，GMR-2 密码存在严重的安全漏洞，服务供应商对加密模块 2 的系统进行升级是至关重要，同时也可以用来提供机密通信。

    当然，卫星电话的供应商必须先升级他们自己的系统后才能用来保护通信。