Vortrag: Andreas Bohk, Lucky Green, Janus <ich@andreas.org>

Bericht: Dirk Steinhauer <moose.uni.de>

Welche Sicherheitsmerkmale sind im GSM Netz implementiert? Wenigstens kann man dort nicht wie im alten analogen C-Netz einfach mit einem Scanner mith÷ren, denn zwischen Basisstation und Telefon werden die Daten verschlⁿsselt. Auch sind die Telefonnummern an sich nicht auf der SIM-Karte gespeichert, sondern nur in einer zentralen Datenbank des Netzbetreibers, wo zu jeder SIM-Nummer die Telefonnummern zugeordnet wird.

Wenn sich das Telefon authentifizieren will, bekommt es vom Authentification Center (AC) eine RAND Challenge, die in der SIM-Karte mit dem Geheimschlⁿssel und dem A3-Algorithmus zum SRES verarbeitet wird. Diese SRES geht zurⁿck an den AC, der sie mit einer von ihm berechneten SRES vergleicht. Sind beide identisch, gibt das AC grⁿnes Licht. Der A3 Algorithmus ist nicht in jedem Netz gleich, aber es gibt einen Referenzstandard dafⁿr (COMP128), der bis vor kurzem nicht bekannt war (Security by obscurity). Bis auf die sicherheitsrelevanten Themen ist aber der GSM-Standard unter [1]http://www.etsi.fr/ zu finden.

Zur Verschlⁿsselung werden 128 Bit RAND und 128 Bit KI 40 mal durchrotiert, allerdings sind das 1. und 8., das 2. und 9. Byte (usw...) miteinander verbunden. Nach 6-18 Stunden und in der Regel 150.000 DurchlΣufen kann man sich den Geheimschlⁿssel durch diesen Bug generieren und auf einem Simulator eine echte Karte emulieren. Der A5-Algorithmus ist ein 64 Bit langer Key, von dem allerdings die letzten 10 Bit Nullen sind. Ein weiterer Key (A8) dient der Schlⁿsselgenerierung.

Lucky Green erzΣhlte von den Begebenheiten, die dazu gefⁿhrt haben, da▀ er den COMP128 gefunden hat: Er stolperte bei einer ▄bersetzung eines GSM Manuals ⁿber den Befehl "Run GSM Algorithm" und versuchte, im Netz etwas ⁿber COMP128 herauszufinden. Er fand nur eine in Teilen falsche Version und suchte drei Monate, um den richtigen Algorithmus zu finden. Den gab er zwei Freunden, die sich an der UC Berkley auf Kryptografie spezialisiert haben, und innerhalb vor zwei Stunden war er geknackt.

Drei Tage vor der Ver÷ffentlichung fand er einen Hersteller, der Chipkarten mit COMP128 und verΣnderbarer Schlⁿssel herstellt, und natⁿrlich bestellte er alle 8 in Nordamerika verfⁿgbaren Exemplare. Mittlerweile wird in etwa 100 Millionen Mobiltelefonen COMP128 eingesetzt, und die Austauschkosten werden sich auf etwa 1,6 Millionen Dollar belaufen. Auch die 12 Provider weltweit, die nicht COMP128 benutzen, setzen aus irgendeinem unerfindlichen Grund die letzten 10 Bits des A5 auf Null. Natⁿrlich war es nicht Sinn des Experiments, GSM zu zerst÷ren, sondern nur darauf hinzuweisen, da▀ es immer ein Problem ist, wenn Kryptoschlⁿssel nicht ÷ffentlich gemacht werden.

▄brigens es ist auch kein Problem, eine unechte Basisstation zu bauen, die nur Challenges aussendet um so an die Schlⁿssel mehrerer Mobiltelefonen zu kommen. Bei Motorola-Telefonen kann man sogar recht einfach die Software Σndern und so aus einem handelsⁿblichen Telefon und mit ein wenig krimineller Energie eine unechte Basisstation bauen. Dies ist m÷glich, da sich die Basisstation nicht authentifizieren mu▀, sondern nur das Telefon. Andreas ist davon ⁿberzeugt, da▀ die GSM Standards absichtlich so niedrig gehalten wurden. So werden beispielsweise nur die Daten zwischen Handy und Basisstation mit A5 verschlⁿsselt, aber nicht zwischen der Basisstation und dem Netz an sich, wo Funkstrecken benutzt werden. (Richtfunkstrecken). Wenn man sich in einem anderen Netz befindet (Ausland), dann werden vom Heimnetz an das Roamingnetz fⁿnf Tripplets aus RAND, SRES und KI geschickt aber nur eins davon benutzt. Die restlichen k÷nnte theoretisch ein anderer benutzen, um so ohne eigene Selbstkosten zu telefonieren.

Die von den Netzbetreibern verbreitete Legende, da▀ man sich mit der selben SIM mehrmals in ein Netz einloggen kann, ist nicht wahr. Um GesprΣche abzuh÷ren genⁿgt ⁿbrigens A8, A3 und COMP128. A5 mu▀ man nicht unbedingt kennen. Aber nicht nur das GSM-Netz an sich, sondern auch viele Telefone haben Schwachstellen oder ausgeschaltete Features, die man in einem Servicemode aktivieren kann. Durch diesen Servicemode kann man aus seinem Billighandy manchmal ein "Top the line" GerΣt machen.

Weitere Informationen zum Thema sind das im Hansa-Verlag erschienene "Handbuch der Chipkartentechnik" von Ranke und Effing ISBN 3-496-18893-2 ISO 7816 fⁿr Chipkarten an sich der GSM Standard 11.11 [2]http://www.efri.fr/ und das Programm Serprog von Tron, das (wie auch Wafercards) im Archiv zu finden ist.

References

1. http://www.etsi.fr/

2. http://www.efri.fr/