Gläserne Handys: Hochzeiten für Lauscher

Eine Sicherheitsbetrachtung der Mobilfunknetze-Netze

Schöne neue Kommunikationswelt. Die Mobilfunkfirmen boomen, Geschäftsentscheidungen können überall getroffen werden und nicht zuletzt gewinnt auch der Privatmensch höhere Flexibilität und Erreichbarkeit. Aber gerade wegen dieser stürmischen Entwicklung sollte auch die Fragen der Sicherheit und des Schutzes der Privatsphäre eine ausführlichere Würdigung erfahren.

C-Netz: Völlig unsicher

Beginnen wir mit der erfreulichen Feststellung. Die GSM-Netze sind weit sicherere als das bisher vorherschende "Autotelephonnetz" C-Net. In diesem analogen Netz konnten mit einem einfachen Scanner die Telefonate belauscht werden. Zwar wird die Sprache bei der Übertragung "gescramblet", diese Art der "Verschlüsselung" nötigt jedoch selbst nicht sonderlich versierten Nachwuchshackern nur ein müdes Lächeln ab. Aber zitieren wir einfach den Kryptografen Dr. Reinhard Wobst:

"Kurzum: Wenn Sie vertrauliche Gespräche im C-Netz führen, dann könnten Sie den Inhalt Ihrer Gespräche gleich auf Postkarten schreien und diese dem erstbesten Passanten zum Briefkasten bringen lassen. Das ist nicht so schnell wie ein Anruf, aber sicherer, wenn der Passant vertrauenserweckend aussieht."

Und wer erinnert sich nicht an das makabere Ausspionieren und Veröffentlichen von königlichen Handygesprächen?

GSM: Sicherer telefonieren

Die Entwicklung eines länderübergreifenden, europäischen Mobilfunkstandards dauerte von 1982 bis 1990. Die Arbeitsgruppe GSM (Groupe Spécial Mobile) schuf dabei ein Werk, daß allein in der grundlegenden Empfehlung "Phase 1" über 6000 Seiten umfaßte. Dennoch wurde die Empfehlung weltweit positiv aufgenommen und schon 1993 hatten sich über 60 Länder für den GSM-Standard entschieden. In Deutschland verwenden D1, D2 und E-plus den GSM-Standard, allerdings D1 und D2 im Frequenzbereich von 900 MHz und E-plus im 1800MHz-Band.

Im Gegensatz zu den meisten anderen Entwicklungen im Kommunikations- und Computerbereiche waren Integration von Sicherheitskonzepten erklärtes Designziel bei der GSM-Entwicklung. Zentrale Aufgabe war hierbei der Schutz der "Luftschnittstelle", das heißt der Strecke, welche per Funk überbrückt werden muß bis die Daten in ein festes Netz eingespeist werden. Hierdurch soll ein Schutz vor unerlaubten Telefonieren und illegalem Abhören gerwährleistet werden.

Authentifizierung: Wer bin ich?

Jeder Teilnehmer besitzt eine bis zu 15 Ziffern lange Mobilteilnehmerkennung IMSI (International Mobile Subscriber Identity), die weltweit eindeutig ist. Sie besteht aus einem Ländercodeteil, einer Netz- und einer Teilnehmerkennung und wird vom Netzbetreiber der SIM-Karte fest zugeordnet. (Analog existiert übrigens für jedes Handy eine Mobilgerätekennung IMEI (International Mobilstation Equipment Number), welche ebenfalls weltweit eindeutig ist.). Weiterhin ist in einem "einbuchsicheren" Register noch der "Individual Subscriber Authentifikation Key" Ki, ein bis zu 128 Bit langer Schlüssel gespeichert. IMSI und Ki sind auch in der Datnbank "Authority Center" (AuC) des Mobilfunknetzbetreiber gespeichert.

Die Authentifizierung des Teilnehmers gegenüber dem Betreiber wird durch ein Challange-and-Response-Protokoll gewährleistet. Das Mobilfunksystem erzeugt eine 128 Bit lange Zufallszahl RAND und sendet sie an den Teilnehmer. Mit Hilfe des Authentifizierungsalgorithmus A3 und dem individuellen Schlüssel Ki berechet der Teilnehmer die 32 Bit lange Antwort SRES ("signed response") und sendet diese an die anfragende Basisstation.

SRES:= A3(RAND,Ki)

Der Netzbetreiber wiederum liest den Teilnehmerschlüssel aus der AuC-Datenbank und berechnet selbst A3(RAND,Ki).Wenn der berechnete und der empfangene Wert übereinstimmen wird der Sender als berechtigt anekannt und erhält Zugang zu Netz. Als Identitätbeweis wird also die Kenntnis von Ki annerkannt. Hierbei wird vorausgesetzt, daß keine Möglichkeit existiert SRES aus RAND ohne Kenntnis des Schlüssels zu errechnen.

Der geheime Schlüssel Ki selbst wird niemals über die Luftschnittstelle übertragen.

Timesharing und Frequencyhopping

Auf einer einzigen Frequenz können im GSM-Standard die Datenpakete von bis zu acht verschiedenene Teilnehmern im Timesharing-Verfahren übertragen werden. Jede Zeitscheibe hat dabei etwa die Größe einer halben Millisekunde. Die Sendefrequenz kann dabei auch während der Übertragung gewechselt werden. Dieses Verfahren wird auch als Frequencyhopping bezeichnet. Neben einer Verbesserung der Funkqualität wird durch einen Frequenzwechsel natürlich auch das Abhören erschwert. Nach dem Standard stehen 124 Frequenzen für jede Funkzelle zur Verfügung. Leider werden in der Praxis werden momenan in der Regel nur weniger als 10 verschiedene Frequenzen benutzt.

Vertraulichkeit durch Verschlüsselung

Mit Hilfe der übermittelten Zufallszahl RAND und des individuellen Schlüssels Ki wird mit dem Schlüsselgenerierungs-Algorithmus A8 der 64 Bit lange Sitzungsschlüssel Kc ("ciphering key") erzeugt.

Kc:= A8(RAND,Ki)

Diese Schlüsselgenerierung wird wiederum unabhängig von der Chipkarte im Teilnehmerhandy und beim Netzbetreiber vorgenommen.

Mit dem so erzeugten Schlüssel werden dann die zu sendenden Gesprächsdaten verschlüsselt. Hierbei findet der in Frankreich entwickelte A5 Stromchiffrierer Verwendung.

Der GSM-Standard legt fest, daß die Autentifizierung mindestens einmal beim Einschalten durchgeführt werden muß, sie kann jedoch öfter - sogar während eines Anfufes - angefordert werden. Diese Entscheidung obliegt den Netzbetreibern. Der gesamte Authentifizierungsprozeß muß in weniger als einer halben Sekunde durchgeführt werden.

Der A5-Stromchiffrierer

A5 ist ein schneller Stromchiffrierer. Er besteht aus 3 Schieberegistern mit linearer Rückkopplung (linear feedback shiftregister, LFSR). Die Schieberegister haben eine Länge von 19, 22 und 23-Bits, was addiert gerade der Schlüsssellänge 64 Bit entspricht.

Die primitiven Polynome sind dabei:

p₁(x):=x¹⁹+x⁵+x²+1

p₂(x):=x²²+x⁹+x⁵+1

p₃(x):=x²³+x⁵+x⁴+x+1

Die mittleren Bit (bei dem 22-Bitregister das elfte) takten die Register. Das ist schon alles! Für die mathematisch interessierten Leser sei auf die unten angegebene URL verwiesen.

Unsicherheit von A5

Für die Vertraulichkeit der Gespräche ist also der A5-Algorithmus entscheidend. Da der A5 einer der meistgenutztesten Verschlüsselungsverfahren der Welt ist, darf man sicher davon ausgehen, daß er von den Geheimdiensten und anderen kriminellen und nichtkriminellen Organisationen ausführlich analysiert wurde. Besonders ärgerlich ist angesichts dessen die einige Zeit betriebene Geheimhaltung von A5. Davon abgesehen, daß solche Verfahren vor geheimdienstlicher oder kriminellen Ausforschung noch nie sicher waren und im Zeitalter des Internets ohnehin nicht vor einer Veröffentlichung zu sichern sind, verlieren die ehrlichen Anwender wichtige Zeit für eine seriöse wissenschaftliche Analyse. Wer behauptet, daß eine Geheimhaltung von Algorithmen ihre Sicherheit erhöht, hat entweder keine Ahnung von Kryptoanalyse, ist ein mit Desinformation betrauter Geheimdienstmitarbeiter oder erfüllt beide Eigenschaften.

Bevor ich eine genauere Analyse der algorithmischen Sicherheit unter Berücksichtigung neuster Veröffentlichungen gebe, zunächst ein triviales Argument für die offensichtliche Unsicherheit des im GSM-Netzt eingesetzten Verfahren.

Selbst wenn A5 kryptografisch sicher wäre, das heißt das außer einem vollständiges Absuchen des Schlüsselraumes (exhautive search) kein Angriff möglich ist, wäre eine Schlüssellänge von 64 Bit sicherlich nicht ausreichend. Nach Angaben von führenden Kryptographen braucht ein Unternehmen, welches bereit ist Million Dollar auszugeben, nach dem Stand von Sommer 1997 für einen "brute-force"-Angriff lediglich Minuten. Für große Geheimdienste mit einem Hardwareetat von einer Milliarde Dollar benötigt das Entschlüsseln nur Sekunden. Daß zumindestens die in Mitteleuropa aktiven Geheimdienste hierüber verfügen, dürfte wohl außer Zweifel stehen. Im übrigen befindet sich in der Bundesrepublik das dichteteste geheimdienstliche Abhörnetz der Welt.

Davon abgesehen macht der gesamte Algorithmus schon auf den ersten Blick keinen besonders vertrauenserweckenden Eindruck. Die Registerläng ist zu kurz und alle Rückkoppelungspolynome sind zu dünn besetzt. Zwar besteht A5 die gängigen statistischen Standardtests, doch schon bei der Internetveröffentlichung schlug der englische Kryptograf Dr. Ross Anderson eine Angriff der Komplexität 2⁴⁰ vor. Eine noch gefährlichere Atacke stellte der Belgrader Wissenschaftler Jovan Dj. Golic auf Eurocrypt ´97 in Konstanz vor. Durch einen "time-memory-trade-off"-Angriff wird A5 knacken auch für unterbezahlte PC-Poolverwalter zu einer leicht durchführbaren und möglicherweise höchst lohnenden Aufgabe.

"Legale" Abhörmöglichkeiten

Kurz nach der Einführung des D-Netztes fiel den Beamten des Postministerium ein, daß es ja auch eine "legale" Möglichkeit für die Sicherheitsbehörden geben müßte, nach richtlicher Anordnung Gespräche mitzuhören. Bekanntlich ist hierin Deutschland seit Jahren "Weltmeister". Doch diese Anforderungen waren bei der Lizenserteilung schlichtweg vergessen worden. Nach einigem hin und her wurden schließlich die millionenschwere Nachrüstung der Basisstationen vorgenommen.

Neu: Bewegungsprofile und Komplettüberwachung

Einige neue Überwachungsmöglichkeit wurde bei der Einbringung des Telekommunikationsgesetzes legalisiert (s.Kasten). Da die Handys sich beim Einschalten und anschließend in betreiberdefinierten Abständen wie oben erläutert bei der nächstgelegen Basisstation authentifizieren, ist eine Ortsbestimmung bis auf wenig Meter möglich. Diese Eigenschaft wurde schon einigen geistig minderbemittelten Bankräubern zum Verhängnis. Doch wenn diese Daten, wie geplant, schleppnetzartig erhoben werden, gelangt eine Unmenge von Daten auch unbescholtener Bürger in die Polizeicomputer. Viele Juristen haben hiergegen erheblich verfassungsrechtliche Bedenken.

Durch den Bundesrat wurden folgende erweiterterten Überwachungsmöglichkeiten ins Telekommunikationsgesetz (TKG) ergänzt

Mobiltelefone als Peilsender
Einngeschaltete Mobiltelefone geben automatisch ihre Positionsdaten ab. Durch eine Änderung des § 100 c der Strafprozessordnung sollen Sicherheitsbehöden nun auch diese Daten zur Ortsfeststellung und für Bewegungsbilder nutzen können.

Überwachung Dritter durch Rasterfahndung im Äther
Die Sicherheitsbehörden sollen Geräte (sog. IMSI-Catcher) nutzen dürfen, die den gesamten Mobilfunk-Verkehr überwachen und neben Netzkennungen von Teilnehmern sogar verschlüsselte Telefonate mithören können. Dabei wird bewusst in Kauf genommen, daß auch alle Mobiltelefon-Gespräche unbeteiligter Dritter in derselben Funkzelle abgehört werden.

Präventive Überwachung
Das Zollkriminalamt darf in besonderen Fällen auf Verdacht hin präventiv Telefone überwachen. Die Daten dieser präventiven Überwachung sollen nun auch an Verfassungsschutzämter weitergegeben werden.

Empfehlungen

Zusammenfassend kann man eigentlich nur zwei Ratschläge geben.

Erstens: Keine vertraulichen Gespräche via Mobiltelefon. (Insbesondere nicht im C-Netz.)

Zweitens: Man sollte das Handy möglichst oft ausgeschaltet lassen.

Über den in allen Netzen vorhandenen Anrufbeantworter kann man die eingegangenen Nachrichten ja leicht zu einem selbstbestimmten Zeitpunkt abhören. Und überhaupt tut man doch das unterbleibende Gebimmel nicht nur seiner geplagten Umwelt, sondern auch nach wissenschaftlichen Untersuchungen dem eigenen Stresshaushalt einen großen Gefallen.

Dipl.-Math. Rüdiger Weis

Stand: 10.9.97

[Back]

Ruediger Weis <ruedi@cryptolabs.org>