Geen gsm-gesprek meer veilig
Het met opzet verzwakte A5/2 wordt gebruikt in landen met duidelijke exportrestricties, zoals het Oostblok.
Dat officiële instanties de dreiging na Nohls aankondiging serieus nemen, blijkt wel uit de huidige activiteiten die gestart worden. Het Nationaal Bureau Verbindingsbeveiliging van de AIVD, afgekort het NBV, is naar aanleiding hiervan een zoektocht gestart naar goede beveiligingsproducten voor normale mobiele telefonie. Op staatsgeheimniveau hebben ze al lange tijd een oplossing. Dit orgaan adviseert de rijksoverheid bij de beveiliging van staatsgeheimen. Ook in Duitsland is een waarschuwing uitgegaan voor het gebruik van mobiele telefoons binnen de overheid. De vraag is alleen waarom deze dreiging nu pas serieus wordt genomen, terwijl al vaker is aangetoond dat de huidige implementatie niet veilig is.
Meer en meer wordt de mobiele telefoon ingezet voor zakelijke doeleinden in plaats van de vaste vaak nog oude KPN-lijnen. Het gebruiksgemak, de mobiliteit en de steeds lagere kosten, maken hem in veel gevallen het geschiktste alternatief voor zakelijk gebruik. Steeds vaker worden zaken als contractonderhandelingen, overnamebesprekingen en zelfs staatsgeheime informatie met een collega via de mobiele telefoon besproken. Enige bewustwording over de veiligheid rondom het bellen via gsm’s is er vaak niet. De laatste aanval van Nohl op het Hacking At Random 2009 (HAR 2009) in Vierhouten heeft opnieuw duidelijk gemaakt dat de huidige implementatie niet veilig is voor het communiceren van gevoelige informatie.
In de huidige implementatie wordt het telefoongesprek meestal versleuteld tussen de mobiele telefoon en gsm-mast. De provider kan beslissen de versleuteling helemaal uit te zetten, om de gsm-mast bij drukte te ontlasten. De sleutel is bij een versleuteld gesprek zowel bij de mobiele telefoon als bij de telecomprovider bekend. In het netwerk van de telecomprovider wordt het gesprek vervolgens onversleuteld verstuurd. Het afluisteren van gesprekken kan op twee manieren gebeuren: via het kraken van de versleutelde data in de lucht, maar ook door het aftappen van onversleutelde data binnen het providernetwerk. Voor de eerste aanval is het noodzakelijk om het radiosignaal goed uit de lucht te halen. Voor de tweede aanval dient men het netwerk van de provider te hacken.
Zowel Italië (2006) als Griekenland (2005) is opgeschrikt door grote afluisterschandalen. In beide landen was een illegale tap geplaatst. Hooggeplaatste personen in politieke en economische kringen werden gedurende een lange periode afgeluisterd. Er is een sterk vermoeden dat geheime diensten achter deze spionagepraktijken zaten. Door het omzeilen van de encryptie van het gsm-verkeer was het vergaren van gevoelige informatie wel heel eenvoudig geworden.
De gebruikte versleutelingstechniek van gsm staat al heel lang ter discussie. De kracht lag meer in de geheimhouding van het algoritme dan in de kracht van versleuteling. Het is voor opsporingseenheden dan ook eenvoudig om met gesprekken ‘van verdachten’ mee te luisteren. Het algoritme kon, nadat het eind jaren negentig in eerste instantie deels was uitgelekt, compleet worden achterhaald. De bekendwording van het algoritme heeft ertoe geleid dat steeds meer mensen zich over het algoritme gingen buigen. Binnen korte tijd zijn verschillende aanvalscenario’s geschetst. De meest belovende aanvallen maken gebruik van versleutelde data, waarvan het origineel ook bekend is. Effectief komt het erop neer dat een sleutel met een lengte van 54 bits teruggevonden moet worden. Een sleutel van deze lengte geldt al heel lang niet meer als veilig.
De laatste poging van Karsten Nohl (zie kader) is niets nieuws. De hackersclub ‘The Hacker’s Choice’ (THC) deed al eenzelfde poging in 2008. Door de zwakke versleuteling van het A5/1-algoritme kan aan de hand van een stukje bekende data de sleutel worden achterhaald. Een grote opzoektabel is dan al voldoende om de sleutel te vinden die bij dat stukje data hoort. Echter, het probleem is dat de opzoektabel eerst gegenereerd moet worden. Dit is een zeer tijdrovende klus. Een enkele pc doet er meer dan 100.000 jaar over om de tabel uit te rekenen. Er bestaan manieren om dit proces te versnellen. In 2008 gebruikten ze hier snelle hardware voor. Meerdere FPGA’s rekenden parallel stukjes van de tabel uit. De geschatte rekentijd werd hiermee teruggebracht tot ongeveer drie maanden. Hoewel zij meldden te beschikken over een complete tabel, is deze helaas nooit gepubliceerd. De hackers zijn mogelijk bezweken onder de druk die verschillende instanties op hen uitoefenden.
In het huidige project van Nohl wordt deze tabel opnieuw uitgerekend. Het idee is om eenieder die participeert in het project een deel van de tabel uit te laten rekenen. Deze delen zouden dan online via een bittorrent-client anoniem beschikbaar gesteld moeten worden. Het voordeel hiervan is dat de gehele tabel niet meer in handen is van een klein aantal personen. Het nadeel is wel dat niemand de gehele tabel in handen heeft en dat de slagingskans voor het vinden van de juiste sleutel sterk afhangt van de online beschikbaarheid. Volgens de eerste schatting zou de tabel met tachtig deelnemende mensen eind 2009 klaar zijn. Deze schatting is te optimistisch geweest. De huidige beschikbare rekenkracht is op dit moment nog te klein om dit daadwerkelijk te halen. Toch heeft deze poging een hoge slagingskans en is het alleen een kwestie van tijd.
Uiteindelijk omvat het succesvol afluisteren van versleutelde mobiele telefoongesprekken meer dan alleen deze tabel. Je hebt niks aan een tabel als je de versleutelde data niet in handen hebt. Deze data moeten eerst uit de lucht opgevangen worden. Tot voorheen was de apparatuur hiervoor erg duur en alleen voorbehouden aan politie en geheime diensten. Prijzen variëren van honderdduizend tot een miljoen euro, afhankelijk van het aantal parallel getapte gesprekken en de snelheid. Radioamateurs krijgen echter steeds meer mogelijkheden voor het verzenden en ontvangen van complexe radiosignalen. Zo is binnen het GNU Radio-project al aangetoond dat met een beetje software en relatief goedkope hardware veel mogelijk is. Ook voor het ontvangen van gsm-signalen.
Hackers vanuit het oude THC-project werken nu samen binnen het Airprobe-project (zie kader) voor het opvangen van gsm-signalen met GNU Radio. De bekende hacker Harald Welte presenteerde tijdens de HAR 2009 de huidige status van het project. De eerste stappen zijn inmiddels gezet. Toch zijn er, zo is de schatting, nog een à twee jaar nodig om gsm-signalen in de praktijk betrouwbaar op te vangen en om mee te kunnen luisteren met een gsm-gesprek. Het is een kwestie van tijd wanneer dit gaat gebeuren, want alle mogelijkheden liggen er.
De telecomproviders reageren tot nu toe zeer terughoudend op deze hernieuwde poging. Het huidige model is niet voorbereid op snelle aanpassingen aan de beveiliging van gsm-signalen. Aanpassingen in het netwerk hebben grote technische en financiële consequenties voor zowel de provider als de gebruiker.
Voorlopig zou je als paranoïde gebruiker de telefoon op alleen UMTS kunnen zetten, aangezien de huidige aanval alleen gericht is op het gsm-kanaal. Het gevolg is dat zowel de dekking als de kwaliteit minder is. Beroepsmatige gebruikers kunnen beter gebruikmaken van goede en veilige encryptieoplossingen voor het bellen met mobiele telefoons.
Ronald Westerlaken (westerlaken@fox-it.com) is productmanager Gsm-beveiliging bij Fox-IT.