Cryptography Reference
In-Depth Information
Während A5 im GSM-Standard beschrieben wird, kann jeder Netzbetreiber A3
und A8 selbst festlegen. Lediglich die Größe von Challenge, Response, Master-
schlüssel und Sitzungsschlüssel ist vorgegeben. Da A3 und A8 nur zwischen Ali-
ces SIM-Karte und der Basisstation zur Anwendung kommen, die beide vom
Netzbetreiber kontrolliert werden, sind durch eine proprietäre Realisierung die-
ser Verfahren keine Inkompatibilitäten zu befürchten. Es liegt nahe, A3 und A8
als schlüsselabhängige Hashfunktionen zu realisieren und in beiden Fällen das-
selbe Design zu verwenden. Ist dies der Fall, dann nutzt A3 den Masterschlüssel,
um aus der Challenge einen Hashwert zu berechnen, der als Response verwendet
wird. Ein weiterer Hash mit demselben Verfahren und demselben Schlüssel ergibt
den Sitzungsschlüssel. Die meisten GSM-Netzbetreiber verwenden für A3 und A8
die schlüsselabhängige Hashfunktion COMP128. Diese habe ich bereits in
Abschnitt 14.5.2 erwähnt. Zusammengefasst sieht ein GSM-Verbindungsaufbau
wie folgt aus:
1.
Die Basisstation sendet einen 128-Bit-Wert als Challenge an Alice (bzw. an
die SIM-Karte in Alices Handy).
2.
Alice berechnet aus der Challenge und dem Masterschlüssel mit dem Algo-
rithmus A3 die Response (32 Bit) und sendet diese an die Basisstation.
3.
Die Basisstation überprüft die Korrektheit der Response mithilfe des gehei-
men Schlüssels auf Alices Smartcard (dieser ist dem Netzbetreiber bekannt).
4.
Alice verwendet den Masterschlüssel und die Challenge, um mit dem Algo-
rithmus A3 den Sitzungsschlüssel zu berechnen.
5.
Die Basisstation berechnet auf die gleiche Weise ebenfalls den Sitzungsschlüssel.
6.
Alices Handy und die Basisstation kommunizieren verschlüsselt, wobei das
Verschlüsselungsverfahren A5 und der zuvor generierte Sitzungsschlüssel
verwendet werden. Die Verschlüsselung wird aus Performanzgründen nicht
auf der SIM-Karte, sondern vom Handy selbst durchgeführt.
32.2.2
Sicherheit von GSM
Die kryptografische Sicherheit von GSM ist unbefriedigend. Schon das Protokoll-
design entspricht nicht mehr dem Stand der Technik und sieht beispielsweise
keine Authentisierung der Basisstation gegenüber Alice vor. Außerdem bietet das
Protokoll keine sinnvolle Trennung zwischen Masterschlüssel und Sitzungs-
schlüssel, da der Masterschlüssel unverändert für die Authentifizierung verwen-
det wird. Forward Security oder Backward Security ist ebenfalls nicht gegeben.
Noch schlechter sieht es bei den verwendeten Krypto-Verfahren aus. Bereits
in Abschnitt 16.3 haben Sie erfahren, dass das symmetrische Verschlüsselungs-
verfahren A5 heute geknackt werden kann. Auch COMP128 ist alles andere als
sicher. 1998 veröffentlichten Ian Goldberg und David Wagner einen Angriff, mit
dem man einer SIM-Karte den Masterschlüssel entlocken kann (eine Beschrei-
bung findet sich in [Dingfe]). Dazu benötigten sie etwa 185.000 Challenge-Werte,
