A3/A8 Implementierung
Der Algorithmus zur Authentifizierung A3 sowie der Algorithmus A8 zur Schlüsselerzeugung werden vom Mobilfunkprovider implementiert.
Keine MITRE Quellen vorhanden.
Details:
Bei Fehlern können tiefgreifende Sicherheitsprobleme entstehen, durch die zum Beispiel ein Identitätsdiebstahl (SIM-Cloning) ermöglicht werden kann. Wie es bei Comp128-v1 der Fall ist. Diese Karten sind in Europa seit 2002 nicht mehr in Gebrauch.
Quellen/Links:
Technische Quellen (Algorithmen, Implementierung, Hintergrund)
- Billy Brumley, A3/A8 & COMP128 (2004)
- COMP128: Überblick zu A3/A8-Implementierungen und bekannten Schwächen
Erkennung:
Die Erkennung eines Fehlers bei der Implementierung der Algorithmen A3/A8 ist am Endgerät in der Regel nicht möglich. Ob eine unsichere oder veraltete Implementierung wie COMP128-1 verwendet wird, lässt sich normalerweise weder an der Benutzeroberfläche noch mit üblichen Apps zuverlässig feststellen.
Belastbare Aussagen sind meist nur über Analysen der SIM, Hersteller- bzw. Providerinformationen oder spezialisierte Sicherheitsforschung möglich.
Quellen/Links:
Gegenmaßnahmen:
A3/A8 in dieser Form ist ein Thema klassischer GSM-/2G-Netze. Eine sinnvolle Gegenmaßnahme ist daher, wenn betrieblich möglich, die Deaktivierung von 2G auf dem Endgerät und die Nutzung modernerer Mobilfunkstandards. Zusätzlich sollten veraltete SIM-Implementierungen und Altgeräte vermieden werden.
Aus Sicht des Betriebs ist vor allem die Migration weg von schwachen oder veralteten COMP128-Varianten relevant. Je weniger Legacy-GSM genutzt wird, desto kleiner ist die praktische Angriffsfläche.
Quellen/Links:
- COMP128: Schwächen von COMP128-1 sowie Unterschiede zu COMP128-2/3
- Android-Sicherheitsbulletins (allgemeine Update-Praxis)