Govcert: Afluisteren van gsm dichterbij

Gsm-netwerken maken zowel voor de versleuteling van spraak- als berichtenverkeer (sms) gebruik van het kwetsbare A5/1-algoritme. Is dit algoritme eenmaal gekraakt, dan kan iemand die in de buurt staat van de beller met de juiste apparatuur het gesprek afluisteren. Ook zou een kwaadwillende zich kunnen voordoen als een nieuw gsm-netwerk.

Ook sms-berichten kunnen zo worden onderschept. Er bestaat kans op fraude als sms’jes worden gebruikt om transacties te bevestigen. Govcert.nl tekent hierbij wel aan dat meestal nog meer gegevens nodig zijn, zoals gebruikersnaam en wachtwoord van de rekeninghouder. Ook vanwege enkele andere omstandigheden die in het factsheet worden uitgelegd is het moeilijk een grootschalige aanval op te zetten op diensten die van sms-berichten gebruikmaken, maar een gerichte aanval is wel makkelijker geworden.

UTMS biedt op twee punten een betere beveiliging dan gsm. Voor de UEA1-encryptie wordt gebruikgemaakt van een langere sleutel van 128 bits. Een van de adviezen van Govcert.nl is om “waar mogelijk” te bellen via een 3G-netwerk (UMTS) en niet via gsm. Vaak heeft de gebruiker overigens geen keus doordat er geen 3G-bereik is. Veel toestellen vallen bij het ontbreken van 3G-dekking automatisch terug naar gsm.

Govcert.nl verwijst onder andere naar de onderzoeker Karsten Nohl, die in oktober via de Chaos Computer Club aankondigde spoedig een methode te publiceren om de versleuteling van gsm-communicatie te kraken. In december maakte Nohl melding van vorderingen op dit gebied, onder andere bij de berekening van zogeheten rainbow-tabellen. Met deze tabellen kan de aanval op de gsm-encyptie aanzienlijk worden versneld. “Publiek misbruik (wat in Nederland bij wet verboden is) is hiermee dichterbij gekomen”, stelt Govcert.nl.

Het factsheet is in de vorm van een PDF-document te downloaden van de website van Govcert.nl.