GSM se diseñó en un momento en que los productos de consumo, en particular los primeros teléfonos GSM y las tarjetas inteligentes, eran mucho menos potentes que en la actualidad (en ese momento, una computadora de escritorio estaba usando , en el mejor de los casos, una CPU de 16 MHz 68020 o algo similar). La criptografía asimétrica no se pudo lograr dentro de un marco de tiempo razonable en estas tarjetas.
El modelo de clave compartida es un problema, pero en realidad no es el único en el que puede pensar. Los objetivos del protocolo son:
- Para proteger la confidencialidad de la conversación contra los oyentes por aire.
- Para establecer alguna "prueba" de que la llamada realmente ocurrió, para propósitos de facturación.
La confidencialidad nunca fue para nada más que la transmisión de radio entre el teléfono y la estación base más cercana. No es, nunca ha sido, y nunca debió ser, un sistema de encriptación de extremo a extremo (es decir, de teléfono a teléfono). Los proveedores desean acceder a los datos sin procesar, aunque solo sea para poder (re) comprimir la alimentación de voz de manera más agresiva que lo que hace el teléfono (*). En ese modelo, el proveedor es, por definición, confiable. Un modelo "secreto compartido", con una clave conocida tanto para el teléfono como para el proveedor, está bien a este respecto .
Por supuesto, hay un amplio margen para cometer errores, por ejemplo, mediante el uso de una función de derivación de clave deficiente o una < a href="http://en.wikipedia.org/wiki/A5/1"> algoritmo de cifrado aún peor . El modelo secreto compartido, sin embargo, no es causa aquí.
Es por el segundo punto que el uso de un secreto compartido es subóptimo. Si tanto el dispositivo del usuario como el proveedor conocen el secreto, cualquier cosa que se calcule en relación con este secreto podría haber sido calculada por el usuario o el proveedor. Como tal, no debe utilizarse como prueba en una disputa entre el usuario y el proveedor. Por lo tanto, el mecanismo de facturación está en riesgo (aunque la experiencia demuestra que, en la práctica , a los proveedores no les resulta difícil obtener dinero de los consumidores). Un mejor modelo "académico" implicaría firmas asimétricas (por lo tanto, no DH, sino DSA) donde un teléfono firmaría su solicitud de abrir o mantener un canal de comunicación.
(*) Por supuesto, el acceso a los datos en bruto también ayuda a la interceptación por parte de las autoridades legales, pero que yo sepa, no es la razón principal. De hecho, el cifrado de extremo a extremo es difícil porque ambos extremos deben estar de acuerdo con el protocolo a utilizar. El cifrado punto a punto es mucho más sencillo.