Thema: Open-Source-Projekt geht GSM an den Kragen

[SiLæncer]

Nach der Ankündigung eines neuen Projekts zum Angriff auf den GSM-Verschlüsselungsstandard A5/1 könnte die Sicherheit in Mobilfunknetzen mittelfristig ins Wanken geraten. Neben normalen Telefongesprächen ließen sich auch SMS-Nachrichten mitlesen – und zwar nicht nur von staatlichen Einrichtungen mit Spezialausrüstung, wie es jetzt schon gang und gäbe ist, sondern von jedermann mit 1000-Euro-Equipment. Damit würde etwa den Banken die Grundlage für ihre Sicherheitsstruktur genommen, bei der sie GSM zur Übertragung von mobilen TANs zur Legitimierung von Online-Überweisungen benutzen.

Das vom Kryptospezialisten Karsten Nohl initiierte Projekt hat zum Ziel, die Öffentlichkeit auf die in Fachkreisen seit langem bekannten Schwächen in A5/1 zu stoßen. Dazu will er mit Hilfe der Community die geheimen Schlüssel vorausberechnen und in einem Codebook speichern. Da dies auf normalem Wege selbst beim nicht als besonders sicher geltenden A5/1-Standard mit einem PC 100.000 Jahre dauern und 128 Peta-Byte an Speicher kosten würde, greift die Software von Nohl auf einige Kniffe zurück.

So nutzt sie moderne Grafikkarten mit CUDA-Unterstützung für die Berechnungen, verteilt die Aufgaben auf mehrere Rechner übers Netz und komprimiert das Codebook respektive die Tabellen mit bestimmten Verfahren, sodass sie weniger Platz verbrauchen. Nohl fordert die Community auf, am Projekt teilzunehmen, um in möglichst kurzer Zeit die Tabellen fertig zu stellen. Knapp 200 PCs sollen ausreichen, um sie in wenigen Monaten fertig zu stellen.

Neu ist das Ansinnen von Nohl jedoch nicht. Bereits 2008 hatte die Hacker-Gruppe THC mit dem Vorberechnen von Schlüssel-Tabellen für A5/1 begonnen – sie soll diese mit Hilfe von FPGA-Unterstützung auch fertig gestellt haben. Aufgrund vermutlich rechtlicher Probleme wurden die Tabellen allerdings nie veröffentlicht.

Nohls Projekt fußt im Wesentlichen auf den Vorarbeiten von THC, erweitert sie aber um mehrere Verbesserungen. Einzelheiten zu dem THC-Projekt erklärt der Artikel "Unerwünschte Mithörer - Angriff auf die GSM-Verschlüsselung" auf heise online. Details zu Nohls Projekt sind in seinen Vortragsfolien (PDF-Datei) für die HAR 2009 zu finden.

Sollten die Bestrebungen erfolgreich sein und die Tabellen etwa per BitTorrent Verbreitung finden, müssten die Mobilfunkbetreiber vermutlich auf sicherere Verschlüsselungsstandards ausweichen. Dazu müssten allerdings auch alle Handys das Verfahren unterstützen, was in den meisten ein Firmware-Update nach sich zieht – und damit vermutlich für viele Benutzer ein größeres Problem darstellen dürfte.

Professionelle Anwender steigen dann vermutlich auf Handy-Modelle mit Verschlüsselungssoftware von Dritt-Herstellern um, während gewöhnliche Telefonierer bei vertraulichen Gesprächen wieder zum Festnetztelefon greifen – aber bitte eines mit Schnur, DECT ist nämlich ebenfalls unsicher. Banken dürften sich dann zudem von ihren mobil-TAN-Verfahren verabschieden.

Quelle : www.heise.de

[Jürgen]

DECT ist nämlich ebenfalls unsicher.

Deswegen habe ich mir für VoIP eine Fritz-Box ohne DECT geholt.
Ein verkabeltes analoges Telefon gibt's hier auch noch daran.
Und die DECT-Teile kann ich jederzeit gegen aktuellere austauschen, falls ich das für nötig halte. Ohne gleich die ganze Anlage neu anzuschaffen.

Zwar wäre es illusorisch anzunehmen, dass man Schnüffelversuche "unseres" Staates verhindern kann, aber neugierigen Nachbarn muss man es ja nicht zu leicht machen...
Aus demselben Grunde ist mein W-LAN default off.

[SiLæncer]

Ein Team aus israelischen Kryptologen hat einen Angriff gegen die hauptsächlich in UMTS-Netzen eingesetzte Handyverschlüsselung der zweiten Generation entwickelt. Mit der "Sandwich-Angriff" genannten Methode von Orr Dunkelman, Nathan Keller und Adi Shamir ist es möglich, den Algorithmus A5/3, der auch unter dem Namen Kazumi bekannt ist, unter gewissen Umständen in praktikabler Zeit zu knacken.

Laut den Wissenschaftlern lässt sich ein 128-Bit-Kasumi-Sitzungschlüssel aus einer Datenmenge der Größenordnung 226 mit Speicher der Größenordnung 230 in einer Zeit der Größenordnung 232 berechnen. Dank der kleinen Werte habe schon die Simulation des Angriffs auf einem regulären PC lediglich zwei Stunden gedauert. Allerdings benötigen die Forscher für einen erfolgreichen Angriff mit vier "zusammenhängenden" Schlüsseln (related keys) verschlüsselte Daten. Zusammenhängende Schlüssel dürfen sich nur in einigen bestimmten Bits unterscheiden.

Laut dem Krypto-Experten Christian Rechberger ist der Sandwich-Angriff deshalb jedoch nur schwierig in der Praxis umzusetzen. Eine ordentliche A5/3-Verwendung erlaube es einem Angreifer nicht einmal an zwei derartige Schlüssel zu gelangen. In älteren GSM-Systemen sei dies zwar möglich gewesen, so Rechberger, doch inzwischen habe sich dies bereits als Sicherheitsproblem herumgesprochen. Andererseits seien die Komplexitätsanforderungen der Attacke zwar für eine PC-Simulation erfüllbar, für einen praktikablen Angriff auf ein Handygespräch seien sie jedoch zu hoch.

Quelle : www.heise.de