![[Chaos CD]](/file/6530/Chaos_CD_Blue__[1999].iso/images/chaoscd.jpg) |
| ![[Gescannte Version]](/file/6530/Chaos_CD_Blue__[1999].iso/images/scan.jpg) |
![[ -- ]](/file/6530/Chaos_CD_Blue__[1999].iso/images/prev.jpg) |
![[ ++ ]](/file/6530/Chaos_CD_Blue__[1999].iso/images/next.jpg) |
![[Suchen]](/file/6530/Chaos_CD_Blue__[1999].iso/images/search.jpg) |
|
| |
|
|
|
Sicherheit ist VertrauenssucheNaja, wirklich konsequent wird die Sicherheit beim Telefonieren auch bei GSM nicht betrieben, eine end-to-end Verschlüsselung und Authentifizierung gibt es auch bei GSM nicht. Aber zumindest der Hauptangriffspunkt für einen Angriff auf das System, die Funkschnittstelle, wurde ausreichend gesichert.Die Absicherung der Funkschnittstelle verfolgt zwei prinzipielle Ziele: zum einen die Verschlüsselung der Sprach- und Vermittlungsdaten, um ein Abhören zu verhindern, und zum anderen, um die Identität des Benutzers zu überprüfen. Beide Funktionen sind eng miteinander verwoben. Der wichtigste Sicherheitsparameter des GSM ist der sogenannte Ki. Das ist ein geheimer Schlüssel, der sowohl in der SIM-Karte des Benutzers, als auch im sogenannten Home Location Register (HLR) im Heimatnetz des Benutzers gespeichert ist. Der Parameter Ki wird niemals zu anderen Komponenten des Netzes übertragen. Die Überprüfung der Identität des Benutzers geschieht unter Benutzung von Ki. Das MSC, die Zentrale, bei der der Benutzer eingebucht ist, sendet über die Zelle eine Nachricht an das Endgerät mit der Aufforderung, die Authentifizierung durchzuführen. In dieser Nachricht befindet sich ein zufällig gewählter Parameter von 128 Bit Länge, genannt RAND. Das Endgerät schickt diesen Wert an die SIM-Karte weiter. Die SIM-Karte berechnet jetzt aus RAND und Ki mit Hilfe des Algorithmis A3 einen 32 Bit langen Wert: SRES. Dieser wird dann vom Telefon an das MSC gesendet. Zu einem etwas früheren Zeitpunkt hat das MSC mit dem HLR des Benutzers Kontakt aufgenommen und dort ein RAND/ SRES-Paar berechnen lassen. Der vom HLR gelieferte SRES wird jetzt mit dem vom Telefon verglichen, sind beide identisch, ist die Authentifizierung erfolgreich. Gleichzeitig mit der Berechnung von SRES wird mit Hilfe von Ki, RAND und dem Algorithmus A8 ein Parameter Kc von 64 Bit Länge berechnet. Zu einem späteren Zeitpunkt schickt das MSC an das Endgerät die Aufforderung, die Verbindung zu verschlüsseln. Ab diesem Zeitpunkt wird jeder gesendete Burst mit dem Algorithmus A5 verschlüsselt, hierzu werden Kc und eine 22 Bit lange Framenummer als Schlüssel verwendet. Das MSC bekommt seinen Kc wieder vom HLR. Die Algorithmen A3, A5 und A8 werden von GSM nicht näher spezifiziert. Durch die Einbeziehung des HLR ergibt sich, daß A3 und A8 netzspezifisch sein können, beide werden nur im HLR und in der SIM-Karte benötigt. Im Gegensatz dazu muß jedes MSC dasselbe A5 sprechen, um ein Roaming zwischen Netzen zu erlauben. Das GSM Memorandum of Understanding (MoU), ein Zusammenschluß der Netzbetreiber, hat deshalb einen A5 spezifiziert. Die A5-Spezifikation ist zwar geheim, allerdings ist schon vor einiger Zeit im Internet ein Sourcecode aufgetaucht, der mit hoher Wahrscheinlichkeit A5 oder eine Vorläuferversion des A5 ist. Die Analyse liest sich recht interessant, besonders, da sich auch aus anderen Quellen ergibt, daß die maximal nutzbare Schlüssellange vom MoU auf einen Wert kleiner 64 bit festgelegt wurde. Insgesamt ist die Sicherung der Funkstrecke als eher durchschnittlich anzusehen. Da A3 und A8 nicht bekannt sind, läßt sich über deren Sicherheit keine besonders gute Aussage treffen - noch dazu, wo diese netzspezifisch sind und außerdem auf der SIM Platz finden müssen. Wahrscheinlicher ist allerdings ein Angriff auf die Authentifizierung mit gestohlenen Ki. Anders sieht es bei der Verschlüsselung aus. Da A5 vom MoU standardisiert wurde, ist er entsprechenden Stellen bekannt, diese dürften auch über die notwendige mittelschwere Hardware verfügen, um unten angedeuteten Angriff durchzuführen. andreas@ccc.de
|
[Datenschleuder]
[56]
Sicherheit ist Vertrauenssuche