home *** CD-ROM | disk | FTP | other *** search
/ Chaos CD Blue / Chaos_CD_Blue__[1999].iso / www_ccc_de / congress98 / doku / 281298-gsm.text < prev    next >
Text File  |  1999-01-01  |  5KB  |  101 lines
  1.  
  2.    
  3.                             All rights reversed
  4.                                       
  5.    GSM-Unsicherheit
  6.    
  7. Vortrag: Andreas Bohk, Lucky Green, Janus <ich@andreas.org>
  8. Bericht: Dirk Steinhauer <moose.uni.de>
  9.  
  10.    Welche Sicherheitsmerkmale sind im GSM Netz implementiert? Wenigstens
  11.    kann man dort nicht wie im alten analogen C-Netz einfach mit einem
  12.    Scanner mith÷ren, denn zwischen Basisstation und Telefon werden die
  13.    Daten verschlⁿsselt. Auch sind die Telefonnummern an sich nicht auf
  14.    der SIM-Karte gespeichert, sondern nur in einer zentralen Datenbank
  15.    des Netzbetreibers, wo zu jeder SIM-Nummer die Telefonnummern
  16.    zugeordnet wird.
  17.    
  18.    Wenn sich das Telefon authentifizieren will, bekommt es vom
  19.    Authentification Center (AC) eine RAND Challenge, die in der SIM-Karte
  20.    mit dem Geheimschlⁿssel und dem A3-Algorithmus zum SRES verarbeitet
  21.    wird. Diese SRES geht zurⁿck an den AC, der sie mit einer von ihm
  22.    berechneten SRES vergleicht. Sind beide identisch, gibt das AC grⁿnes
  23.    Licht. Der A3 Algorithmus ist nicht in jedem Netz gleich, aber es gibt
  24.    einen Referenzstandard dafⁿr (COMP128), der bis vor kurzem nicht
  25.    bekannt war (Security by obscurity). Bis auf die sicherheitsrelevanten
  26.    Themen ist aber der GSM-Standard unter [1]http://www.etsi.fr/ zu
  27.    finden.
  28.    
  29.    Zur Verschlⁿsselung werden 128 Bit RAND und 128 Bit KI 40 mal
  30.    durchrotiert, allerdings sind das 1. und 8., das 2. und 9. Byte
  31.    (usw...) miteinander verbunden. Nach 6-18 Stunden und in der Regel
  32.    150.000 DurchlΣufen kann man sich den Geheimschlⁿssel durch diesen Bug
  33.    generieren und auf einem Simulator eine echte Karte emulieren. Der
  34.    A5-Algorithmus ist ein 64 Bit langer Key, von dem allerdings die
  35.    letzten 10 Bit Nullen sind. Ein weiterer Key (A8) dient der
  36.    Schlⁿsselgenerierung.
  37.    
  38.    Lucky Green erzΣhlte von den Begebenheiten, die dazu gefⁿhrt haben,
  39.    da▀ er den COMP128 gefunden hat: Er stolperte bei einer ▄bersetzung
  40.    eines GSM Manuals ⁿber den Befehl "Run GSM Algorithm" und versuchte,
  41.    im Netz etwas ⁿber COMP128 herauszufinden. Er fand nur eine in Teilen
  42.    falsche Version und suchte drei Monate, um den richtigen Algorithmus
  43.    zu finden. Den gab er zwei Freunden, die sich an der UC Berkley auf
  44.    Kryptografie spezialisiert haben, und innerhalb vor zwei Stunden war
  45.    er geknackt.
  46.    
  47.    Drei Tage vor der Ver÷ffentlichung fand er einen Hersteller, der
  48.    Chipkarten mit COMP128 und verΣnderbarer Schlⁿssel herstellt, und
  49.    natⁿrlich bestellte er alle 8 in Nordamerika verfⁿgbaren Exemplare.
  50.    Mittlerweile wird in etwa 100 Millionen Mobiltelefonen COMP128
  51.    eingesetzt, und die Austauschkosten werden sich auf etwa 1,6 Millionen
  52.    Dollar belaufen. Auch die 12 Provider weltweit, die nicht COMP128
  53.    benutzen, setzen aus irgendeinem unerfindlichen Grund die letzten 10
  54.    Bits des A5 auf Null. Natⁿrlich war es nicht Sinn des Experiments, GSM
  55.    zu zerst÷ren, sondern nur darauf hinzuweisen, da▀ es immer ein Problem
  56.    ist, wenn Kryptoschlⁿssel nicht ÷ffentlich gemacht werden.
  57.    
  58.    ▄brigens es ist auch kein Problem, eine unechte Basisstation zu bauen,
  59.    die nur Challenges aussendet um so an die Schlⁿssel mehrerer
  60.    Mobiltelefonen zu kommen. Bei Motorola-Telefonen kann man sogar recht
  61.    einfach die Software Σndern und so aus einem handelsⁿblichen Telefon
  62.    und mit ein wenig krimineller Energie eine unechte Basisstation bauen.
  63.    Dies ist m÷glich, da sich die Basisstation nicht authentifizieren mu▀,
  64.    sondern nur das Telefon. Andreas ist davon ⁿberzeugt, da▀ die GSM
  65.    Standards absichtlich so niedrig gehalten wurden. So werden
  66.    beispielsweise nur die Daten zwischen Handy und Basisstation mit A5
  67.    verschlⁿsselt, aber nicht zwischen der Basisstation und dem Netz an
  68.    sich, wo Funkstrecken benutzt werden. (Richtfunkstrecken). Wenn man
  69.    sich in einem anderen Netz befindet (Ausland), dann werden vom
  70.    Heimnetz an das Roamingnetz fⁿnf Tripplets aus RAND, SRES und KI
  71.    geschickt aber nur eins davon benutzt. Die restlichen k÷nnte
  72.    theoretisch ein anderer benutzen, um so ohne eigene Selbstkosten zu
  73.    telefonieren.
  74.    
  75.    Die von den Netzbetreibern verbreitete Legende, da▀ man sich mit der
  76.    selben SIM mehrmals in ein Netz einloggen kann, ist nicht wahr. Um
  77.    GesprΣche abzuh÷ren genⁿgt ⁿbrigens A8, A3 und COMP128. A5 mu▀ man
  78.    nicht unbedingt kennen. Aber nicht nur das GSM-Netz an sich, sondern
  79.    auch viele Telefone haben Schwachstellen oder ausgeschaltete Features,
  80.    die man in einem Servicemode aktivieren kann. Durch diesen Servicemode
  81.    kann man aus seinem Billighandy manchmal ein "Top the line" GerΣt
  82.    machen.
  83.    
  84.    Weitere Informationen zum Thema sind das im Hansa-Verlag erschienene
  85.    "Handbuch der Chipkartentechnik" von Ranke und Effing ISBN
  86.    3-496-18893-2 ISO 7816 fⁿr Chipkarten an sich der GSM Standard 11.11
  87.    [2]http://www.efri.fr/ und das Programm Serprog von Tron, das (wie
  88.    auch Wafercards) im Archiv zu finden ist.
  89.    
  90.    References
  91.    
  92.    1. [1]http://www.etsi.fr/
  93.    
  94.    2. [2]http://www.efri.fr/
  95.  
  96. References
  97.  
  98.    1. http://www.etsi.fr/
  99.    2. http://www.efri.fr/
  100.  
  101.