home *** CD-ROM | disk | FTP | other *** search

---

/ Chaos Computer Club 1997 February / cccd_beta_feb_97.iso / chaos / ds56 / ds56_11.txt

< prev

next >

Wrap

Text File  |  1997-02-28  |  3KB  |  160 lines

---

1. Endgerät mit der Aufforderung, die Authentifizierung durchzu-
2. führen. In dieser Nachricht befindet sich ein zufällig gewählter
3. Parameter von 128 Bit Länge, genannt RAND. Das Endgerät
4. schickt diesen Wert an die SIM-Karte weiter.
5.  
6. Die SIM-Karte
7. berechnet jetzt aus
8. RAND und Ki mit
9. Hilfe des
10. Algorithmis A3
11. einen 32 Bit langen
12. Wert: SRES. Dieser
13. wird dann vom
14. Telefon an das
15. MSC gesendet. Zu
16. einem etwas frühe-
17. ren Zeitpunkt hat
18. das MSC mit dem
19. HLR des Benutzers
20. Kontakt aufgenom-
21. men und dort ein RANE) / SRES-Paar berechnen lassen. Der vom
22. HLR gelieferte SRES wird jetzt mit dem vom Telefon verglichen,
23. sind beide identisch, ist die Authentifizierung erfolgreich.
24.  
25. KIF '
26.  
27. ~ .__
28.  
29. SRES _
30.  
31.         ~.    . _.
32.  
33. Ki RAND ~ RAND
34. '~6 d~ 1 :~
35.  
36. _ I Kl RAND
37. ~t?3, ,,
38.  
39. _ SRt'
40. --t
41.  
42. MS
43.  
44. ~ equal ?
45.  
46. network
47.  
48. frame nurober
49. 122 bitsl Kc (64 bits)
50. 1 1
51.  
52. IS2
53. 1114 bitsl
54. ( } -Ja
55. C'ph6,j~
56. ,.: __
57. Oec~l>her~ng
58. MS
59.  
60. ~11 4 Bits)
61.  
62. · - - ~ ~ ─~ ~ ~ ─~ ─ ~ ~ ~ ~
63.  
64. frame nUmber Kc <64 bits)
65.  
66. (22 Bits)
67. 1
68.  
69. W_]
70.  
71. 1l14bds~
72.  
73. S2
74.  
75.     .    ~1 14 bete
76.  
77. . .. ~~
78. dorlpherrag
79.  
80.         ~ 7 ~
81.  
82. rehhä
83. BIS
84.  
85. Gleichzeitig mit der Berechnung von
86. SRES wird mit Hilfe von Ki, RAND und
87. dem Algorithmus A8 ein Parameter Kc
88. von 64 Bit Länge berechnet. Zu einem
89. späteren Zeitpunkt schickt das MSC an
90. das Endgerät die Aufforcierung, die
91. Verbindung zu verschlüsseln. Ab die-
92. sem Zeitpunkt wird jeder gesendete
93. Durst mit dem Algorithmus A5 ver-
94. schlüsselt, hierzu werden Kc und eine 22
95. Bit lange Framenummer als Schlüssel
96. verwendet. Das MSC bekommt seinen
97. Kc wieder vom HLR.
98.  
99. Die Algorithmen A3, A5 und A8 werden von GSM nicht näher
100. spezifiziert. Durch die Einbeziehung des HLR ergibt sich, daß
101. A3 und A8 netzspezifisch sein können, beide werden nur im
102. HLR und in der SIM-Karte benötigt. Im Gegensatz dazu muß
103. jedes MSC dasselbe A5 sprechen, um ein Roaming zwischen
104. Netzen zu erlauben. Das GSM Memorandum of Understunding
105. (MoU), ein Zusammenschluß der Netzbetreiber, hat deshalb
106. einen A5 spezifiziert.
107.  
108. Die A5-Spezifikation ist zwar geheim, allerdings ist schon vor
109. einiger Zeit im Internet ein Sourcecode aufgetaucht, der mit
110.  
111. Wie ~nten~c~leuber #.5fi
112.  
113. hoher Wahrscheinlichkeit A5 oder eine Vorläuferversion des A5
114. ist. Die Analyse liest sich recht interessant, besonders, da sich
115. auch aus anderen Quellen ergibt, daß die maximal nutzbare
116. Schlüssellange vom MoU auf einen Wert kleiner 64 bit festgelegt
117. wurde.
118.  
119. Insgesamt ist die Sicherung der
120. Funkstrecke als eher durchschnittlich
121. anzusehen. Da A3 und A8 nicht
122. bekannt sind, läßt sich über deren
123. Sicherheit keine besonders gute
124. Aussage treffen - noch dazu, wo diese
125. netzspezifisch sind und außerdem auf
126. der SIM Platz finden müssen.
127. Wahrscheinlicher ist allerdings ein
128. Angriff auf die Authentifizierung mit
129. gestohlenen Ki.
130.  
131. Anders sieht es bei der
132. Verschlüsselung aus. Da A5 vom
133. MoU standardisiert wurde, ist er ent-
134. sprechenden Stellen bekannt, diese
135. dürften auch über die notwendige mittelschwere Hardware ver-
136. fügen, um unten angedeuteten Angriff durchzuführen.
137.  
138. Kc
139.  
140. MS
141.  
142. andreas~ccc.de
143.  
144. Wie ~nten~cf~leuber #56
145.  
146. Ki RAND ─~ -- RAND
147. (In In)
148.  
149. Öl..
150. Kl RAND
151. +:: - ~
152. er ~
153. -~t 1t A8
154. N,~
155.  
156. network
157.  
158. · ~─ ~ ~ ~ ~─- ~ · ~ ─
159.  
160.