Krypto Handys & SNS

 

Krypto Handys und Sichere Netzübergreifende Sprachkommunikation

 

Der BlackBerry Enterprise Service ist für große Unternehmen immer noch die erste Wahl wenn es darum geht, ein Smartphone in sichere Arbeitsprozesse einzubinden, auch wenn die iOS und Android Konkurrenz aufholt.

Muss hingegen eine erhöhte Geheimhaltungsstufe garantiert werden, kommen speziell entwickelte Endgeräte zum Einsatz. „Krypto Handys“[1] stehen seit über 10 Jahren zur Verfügung. Ein handelsübliches Gerät wird dazu modifiziert (gehärtet) und um sicherheitsrelevante Funktionen erweitert.

 

Komponenten:

  • Verschlüsselung der lokalen Daten, Telefongespräche, SMS und E-Mails
  • Schutz vor Veränderungen am Boot-ROM.
  • Secure microSD-Speicherkarte mit signiertem Zertifikat (PKI)
  • Authentifizierung der Gesprächsteilnehmer
  • Fernzugriff (Löschen) bei Diebstahl, sicheres Löschen/Überschreiben
  • Härtung des Systems durch Blockieren von potenziell unsicheren Schnittstellen und Funktionen.
  • Schließen von Backdoors und Exploits der Gerätesoftware
  • Kernel-Protector, Prozesskontrolle und strenge Datenschutzrichtlinien

Ein Problem besteht darin, dass beide Seiten die gleichen Standards unterstützen müssen, um eine sichere Verbindung etablieren zu können.

SNS (Sichere netzübergreifende Sprachkommunikation) (vom BSI entwickelt) soll die Interoperabilität verschiedener Verschlüsselungssysteme ermöglichen. Dazu müssen sich die Endgeräte durch ein Verhandlungsverfahren beim Verbindungsaufbau zunächst auf einen gemeinsamen Betriebsmodus einigen. Ein Betriebsmodus[2] besteht aus einem Paket aus Diensten, Sprachkodierung und Sicherheitskonzept (Authentifizierung, Verschlüsselung), welches von den jeweiligen Endgeräten unterstützt wird.

Zunächst unterstützt das System TETRA-BOS[3] und den CSD-Kanal bei GSM. Somit können Sprachübertragungen und SMS-Nachrichten sicher übermittelt werden. Die nächste Version „SNS-over-IP“ befindet sich seit 2012 in der Pilotphase. Mit dem „SNS-Starter-Kit“ soll in Zukunft eine Entwicklungsumgebung zur Verfügung gestellt werden, die eine „Open-SNS Variante“ enthält. Diese ist jedoch nicht für den VS-NfD (Verschlusssache, nur für den Dienstgebrauch) einsetzbar, weil der Starter-Kit nur den Teil des Aushandlungsprotokolls enthält und nicht die anschließende Verschlüsselung der Nutzdaten.

Krypto-Handys für den Dienstgebrauch, sogenannte „topSec“-Mobiltelefone für staatliche Einrichtungen, müssen höchsten Anforderungen entsprechen. Das von T-Systems entwickelte Simko (Sichere mobile Kommunikation) Konzept benutzt die SNS-Variante, die auch für den Dienstgebrauch zugelassen ist. Die Auswahl an Handy-Modellen ist jedoch sehr beschränkt. Die Hardwarebasis der Simko2 Handys wird von HTC geliefert. Für das neue Simko3[4] wird ein Samsung Galaxy S3[5] verwendet, das durch die Doppelkern-CPU zwei voneinander getrennte Teilbereiche realisieren soll. Ein Kern ist für die sicherheitsrelevanten Prozesse und Schnittstellen zuständig, der andere für Funktionen, die bei den Vorgängermodellen oft nur reduziert oder gar nicht vorhanden waren. Alternativ zu dem Samsung S3 Smatphone, gibt es ein BlackBerry Z10 von Secusmart[6].

Eine abgeschwächte Simko-Variante wird von der Telekom als Enterprise-Lösung für Firmen vertrieben. Bei diesem Angebot lassen sich grundsätzlich alle Smartphones einsetzen, die ein SD-Kartenslot besitzen. Der Überwachung durch staatliche Behörden können sich diese abgeschwächten Geräte aber nicht entziehen.

Bei dem Cryptophone 500 der Firma GSMK soll eine Baseband Firewall für zusätzlichen Schutz sorgen. Diese befindet sich zwischen Application Processor und Baseband Processor und überwacht verschiedene Parameter, wodurch Manipulationen sofort erkannt werden sollen [7].

 

[1] Eines der ersten „topSec“ Geräte wurde 2001 von Siemens und Rohde & Schwarz entwickelt, dass auf dem S35i Model basiert.
[2] Quelle: „SNS Sichere Netzübergreifende Sprachkommunikation“, Bundesamt für Sicherheit in der Informationstechnik, 2012
[3] „Terrestrial Trunked Radio“ TETRA ist eine Bündelfunktechnik, die zur Kommunikation von Polizei, Behörden aber auch Industrie- und Verkehrsbetriebe genutzt wird. BOS steht für Behördenfunknetz. Siehe hierzu auch Kapitel 2.3.3.
[4] SIMKO3 Angebot der Telekom siehe: www.t-systems.de/
[5] S2/S3 mit einem angepassten Android 4.0 von Giesecke & Devrient (G&D)  www.gi-de.com
[6] Secusmart www.secusmart.com
     Seit 2014: SecuSuite für Blackberry 10 Secusuite-for-blackberryr-10
    Seit 2017: SecuSuite für Samsung Knox -nicht mehr vorhanden- SecuSUITE_for_Knox_DE.pdf
[7] Patent der Baseband Firewall im Cryptophone 500

 

Smartphone Security