home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chaos Computer Club 1997 February
/
cccd_beta_feb_97.iso
/
chaos
/
ds56
/
ds56_11.txt
< prev
next >
Wrap
Text File
|
1997-02-28
|
3KB
|
160 lines
Endgerät mit der Aufforderung, die Authentifizierung durchzu-
führen. In dieser Nachricht befindet sich ein zufällig gewählter
Parameter von 128 Bit Länge, genannt RAND. Das Endgerät
schickt diesen Wert an die SIM-Karte weiter.
Die SIM-Karte
berechnet jetzt aus
RAND und Ki mit
Hilfe des
Algorithmis A3
einen 32 Bit langen
Wert: SRES. Dieser
wird dann vom
Telefon an das
MSC gesendet. Zu
einem etwas frühe-
ren Zeitpunkt hat
das MSC mit dem
HLR des Benutzers
Kontakt aufgenom-
men und dort ein RANE) / SRES-Paar berechnen lassen. Der vom
HLR gelieferte SRES wird jetzt mit dem vom Telefon verglichen,
sind beide identisch, ist die Authentifizierung erfolgreich.
KIF '
~ .__
SRES _
~. . _.
Ki RAND ~ RAND
'~6 d~ 1 :~
_ I Kl RAND
~t?3, ,,
_ SRt'
--t
MS
~ equal ?
network
frame nurober
122 bitsl Kc (64 bits)
1 1
IS2
1114 bitsl
( } -Ja
C'ph6,j~
,.: __
Oec~l>her~ng
MS
~11 4 Bits)
· - - ~ ~ ─~ ~ ~ ─~ ─ ~ ~ ~ ~
frame nUmber Kc <64 bits)
(22 Bits)
1
W_]
1l14bds~
S2
. ~1 14 bete
. .. ~~
dorlpherrag
~ 7 ~
rehhä
BIS
Gleichzeitig mit der Berechnung von
SRES wird mit Hilfe von Ki, RAND und
dem Algorithmus A8 ein Parameter Kc
von 64 Bit Länge berechnet. Zu einem
späteren Zeitpunkt schickt das MSC an
das Endgerät die Aufforcierung, die
Verbindung zu verschlüsseln. Ab die-
sem Zeitpunkt wird jeder gesendete
Durst mit dem Algorithmus A5 ver-
schlüsselt, hierzu werden Kc und eine 22
Bit lange Framenummer als Schlüssel
verwendet. Das MSC bekommt seinen
Kc wieder vom HLR.
Die Algorithmen A3, A5 und A8 werden von GSM nicht näher
spezifiziert. Durch die Einbeziehung des HLR ergibt sich, daß
A3 und A8 netzspezifisch sein können, beide werden nur im
HLR und in der SIM-Karte benötigt. Im Gegensatz dazu muß
jedes MSC dasselbe A5 sprechen, um ein Roaming zwischen
Netzen zu erlauben. Das GSM Memorandum of Understunding
(MoU), ein Zusammenschluß der Netzbetreiber, hat deshalb
einen A5 spezifiziert.
Die A5-Spezifikation ist zwar geheim, allerdings ist schon vor
einiger Zeit im Internet ein Sourcecode aufgetaucht, der mit
Wie ~nten~c~leuber #.5fi
hoher Wahrscheinlichkeit A5 oder eine Vorläuferversion des A5
ist. Die Analyse liest sich recht interessant, besonders, da sich
auch aus anderen Quellen ergibt, daß die maximal nutzbare
Schlüssellange vom MoU auf einen Wert kleiner 64 bit festgelegt
wurde.
Insgesamt ist die Sicherung der
Funkstrecke als eher durchschnittlich
anzusehen. Da A3 und A8 nicht
bekannt sind, läßt sich über deren
Sicherheit keine besonders gute
Aussage treffen - noch dazu, wo diese
netzspezifisch sind und außerdem auf
der SIM Platz finden müssen.
Wahrscheinlicher ist allerdings ein
Angriff auf die Authentifizierung mit
gestohlenen Ki.
Anders sieht es bei der
Verschlüsselung aus. Da A5 vom
MoU standardisiert wurde, ist er ent-
sprechenden Stellen bekannt, diese
dürften auch über die notwendige mittelschwere Hardware ver-
fügen, um unten angedeuteten Angriff durchzuführen.
Kc
MS
andreas~ccc.de
Wie ~nten~cf~leuber #56
Ki RAND ─~ -- RAND
(In In)
Öl..
Kl RAND
+:: - ~
er ~
-~t 1t A8
N,~
network
· ~─ ~ ~ ~ ~─- ~ · ~ ─