Что представляет собой A5/3? Во-первых, по своему устройству он не имеет ничего общего со своими предшественниками, близко связанными друг с другом A5/1 и A5/2. Алгоритм A5/3 основан на схеме блочного шифра MISTY, разработанного японским криптографом Мицуро Мацуи во второй половине 1990-х годов. В соответствии с давно принятой в открытом криптографическом сообществе практикой, полная криптосхема MISTY была опубликована в 1997 году для всеобщего анализа. В статье, сопровождавшей публикацию, автор дал теоретические доказательства стойкости своей криптосистемы к известным атакам против блочных шифров. Как показали все прошедшие годы анализа, конструкция MISTY с ключом длиной 128 бит оказалась действительно очень прочной, так что по сию пору не нашлось ни одной сколь-нибудь эффективной атаки против полной 8-цикловой версии шифра.
Разработчики A5/3, однако, решили улучшить данный криптоалгоритм, сделав MISTY более быстрым и более дружественным к аппаратной, а не программной реализации. Осуществлено это было через упрощение процедуры разворачивания ключа и модификацией некоторых компонентов криптосхемы. Новый вариант шифра сохранил длину ключа 128 бит и получил название KASUMI.
Имея за плечами малоприятный для Ассоциации GSM опыт с засекречиванием шифров, теперь разработчики KASUMI не только опубликовали полные спецификации криптоалгоритма для защиты мобильной связи 3-го поколения, но и дали разъяснения по поводу всех внесённых в исходную схему изменений. В итоге же авторы модификаций выразили уверенность, что и их алгоритм A5/3 в своей полной 8-цикловой версии будет успешно противостоять всем известным атакам. На деле, однако, всё оказалось далеко не так.
Опубликованная ныне израильскими криптографами работа демонстрирует практичную атаку, для успеха которой требуется всего 4 так называемых «связанных» ключа (сгенерированных неслучайным, взаимосвязанным образом, что не редкость в реальных шифрах), 2^30 байтов памяти и 2^32 циклов работы компьютера. Поскольку все эти параметры по современным меркам чрезвычайно невелики, авторы вполне смогли проверить свою атаку экспериментально. Даже тривиальная, никак не оптимизированная реализация метода на обычном ПК восстановила основную часть ключа (96 бит) всего за несколько минут, а остальные 32 бита — менее чем за два часа.
Тщательно проанализировав свою новую технику вскрытия, разработанную специально для атаки против KASUMI, авторы пришли к выводу, что её никак невозможно применить против исходного криптоалгоритма MISTY. Ибо абсолютно все из выявленных слабостей появились в A5/3 по причине изменений компонентов и процедур, используемых в шифре Мицуро Мацуи.