Verschlüsselung A5 (cs)
Verschlüsselung der Sprachverbindung (A5/1, A5/2 oder A5/3, circuit switched /cs) zwischen Smartphone und BTS (Basisstation).
Keine MITRE Quellen vorhanden.
Details:
Ein Angriff auf A5/1 ist von A. Biryukov, A. Shamir, und D. Wagner[1] im Jahre 2000 durchgeführt worden. Die Komplexität von ursprünglich 264 konnte auf 238, beziehungsweise 248 vermindert werden. Mittlerweile werden zum Entschlüsseln des A5/1 „Rainbow Tables“ genutzt. Diese Technik verkürzt den rechnerischen Aufwand, um den richtigen Session Key zurückzurechnen, mit dem dann ein passives Mithören von Telefonaten in Echtzeit möglich ist. Ein modifiziertes Handy älterer Bauart reicht hierzu völlig aus. [2,3,4]
In Europa und den USA wird A5/1 eingesetzt. Der viel schwächere A5/2 wurde für Länder entwickelt, in denen eine starke Verschlüsslung verboten ist. Seit 2007 darf dieser Algorithmus laut Standardisierungs-Komitee nicht mehr eingesetzt werden.
Bei UMTS wird ausschließlich A5/3 zur Verschlüsselung der Funkverbindung verwendet. Das auch als KASUMI bekannte Verfahren wurde im Jahr 2002 veröffentlicht. Mehr Sicherheit entsteht jedoch nur durch die erhöhte Komplexität des Blockchiffre-Verfahrens. Orr Dunkelman, Nathan Keller und Adi Shamir[5] konnten durch einen sogenannten „Sandwich Attack“ die Komplexität von ursprünglich 276 auf 232 reduzieren.
Quellen/Links:
- [1] Alex Biryukov, Adi Shamir, David Wagner, "Real Time Cryptanalysis of A5/1 on a PC" (2001)
- [2] Karsten Nohl, "Attacking GSM Phone Privacy" (26C3, 2009), Folien
- [3] Karsten Nohl, "Attacking Phone Privacy" (Black Hat USA, 2010), Folien
- [4] Karsten Nohl, Sylvain Munaut, "GSM Sniffing" (27C3, 2010), Folien
- [5] Orr Dunkelman, Nathan Keller, Adi Shamir, "A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony" (2010)
Erkennung:
Ein rein passiver Angriff auf A5/1 oder A5/3 ist am Smartphone normalerweise nicht direkt erkennbar. Verdächtig sind jedoch Situationen, in denen das Gerät unerwartet auf 2G/GSM zurückfällt oder sich in Umgebungen mit bekannter 3G/4G-Versorgung plötzlich nur noch schwächer abgesicherte Verfahren nutzen lassen.
Eine belastbare Feststellung erfordert in der Praxis Funkanalyse, Protokollauswertung oder spezialisierte Werkzeuge. Für Nutzer bleibt oft nur die indirekte Beobachtung von Downgrades, Netzwechseln und unplausiblen Funkparametern.
Quellen/Links:
- Karsten Nohl, "Attacking GSM Phone Privacy" (26C3, 2009)
- Karsten Nohl, Sylvain Munaut, "GSM Sniffing" (27C3, 2010)
Gegenmaßnahmen:
Die praktisch wichtigste Gegenmaßnahme ist, wenn möglich, 2G/GSM am Endgerät zu deaktivieren oder zumindest moderne Netze zu bevorzugen. Dadurch sinkt das Risiko, auf schwächere oder historisch besser untersuchte Chiffren zurückzufallen.
Zusätzlich helfen Ende-zu-Ende-verschlüsselte Kommunikationsdienste, weil selbst bei einer Schwächung der Funkverschlüsselung nicht automatisch die eigentlichen Gesprächs- oder Nachrichteninhalte offenliegen. In sensiblen Szenarien sind Netz-Monitoring und die Vermeidung unnötiger Legacy-Verbindungen sinnvoll.
Quellen/Links:
- Dunkelman, Keller, Shamir: Angriff auf A5/3 / KASUMI (2010)
- Biryukov, Shamir, Wagner: Angriff auf A5/1 (2001)