KASUMI базируется на блочной криптосистеме MISTY (Mitsubishi Improved Security Technology, создана в 1995 году для Mitsubishi Electric), принадлежащей к большому классу техник шифрования Фейстеля (Feistel). Она является сложным, с комбинированием многих ключей, рекурсивным многораундовым процессом, меняющим порядок разных функций. MISTY требует немалых вычислительных ресурсов, а потому не годится для применения в задачах с ограниченным временем и относительно малой мощностью вычислений. Поэтому появился алгоритм KASUMI, упрощающий для аппаратного обеспечения эту криптографическую систему, но не нарушающий, как предполагалось, её стойкость.
Орр Данкелман (Orr Dunkelman), Натан Келлер (Nathan Keller) и Ади Шамир (Adi Shamir, буква "S" в аббревиатуре известного алгоритма RSA – это ссылка на его фамилию) с факультета математики и компьютерных наук израильского Института наук Вайсмана (Weizmann Institute of Science) показали, что KASUMI может быть скомпрометирован при помощи атаки на основе связанных ключей (related-key attack). Криптоаналитики назвали технику "сэндвич-атакой", построенной на модифицированной атаке методом бумеранга. Как утверждают эксперты, 128-битный ключ возможно получить использованием всего четырёх связанных ключей, 226 данных, 230 байт памяти и 232 единиц времени. Параметры настолько невелики, что им удалось смоделировать атаку менее чем за два часа на обычном компьютере и доказать корректность и завершённость техники. По словам учёных, до сих пор ни одна атака, включая разработанную ими, не способна раскрыть MISTY без полного перебора вариантов. Другими словами, ассоциация GSM Association ослабила-таки алгоритм при переходе к KASUMI.
Впрочем, в отличие от реализации разработанного Нолом метода, требующего применения оборудования стоимостью до $30 тыс. для взлома системы шифрования А5/1 менее чем за минуту, предложение израильских исследователей не так практично. Атакующий должен собрать несколько миллионов образцов незашифрованных данных, которые в течение обычного разговора передаются приблизительно каждую секунду. Но работа Шамира и его коллег всё же важна – она демонстрирует реальные ограничения А5/3. "Возможность атаки должна служить напоминанием о том, что А5/3, как и любой другой алгоритм, в конечном счёте должен быть заменён. Надеюсь, этот факт учтут при обновлении GSM", – отметил Нол.