WES: Software verschlüsselt Blackberry-Telefonate

Das englische Unternehmen Cellcrypt zeigt auf RIMs Hausmesse Wireless Enterprise Symposium (WES) eine Anwendung zur Echtzeitverschlüsselung von Telefonaten, die vom Blackberry Bold aus geführt werden. Cellcrypt Mobile for Blackberry kommt nach Angaben des Herstellers ohne zusätzliche Hardware wie Smartcards aus und verschlüsselt ausschließlich mit Hilfe der Smartphone-CPU.

Die Software kombiniert eine ganze Reihe verschiedener Kryptographietechniken: RSA und ECDH (Eliptic Curve Diffie-Hellman) mit 2048-Bit-Schlüssel zur Authentifikation, wobei pro Gespräch jeweils Session Keys erzeugt und anschließend zerstört werden. Die eigentlichen Sprachdatenpakete werden erst mit 256 Bit AES und anschließend noch einmal mit 256 Bit RC4 kodiert. Um die Integrität der Übertragung sicherzustellen, setzt die Anwendung auf die Hash-Algorithmen SHA512 und MD5. Laut Cellcrypt wird die Software momentan dem Zertifizierungsprozess nach FIPS 140-2 unterzogen.

Anders als Telefone, die mit spezieller Hardware verschlüsseln, überträgt die Cellcrypt-Anwendung die Telefonate nicht über das Sprach-, sondern per VoIP über das Datennetz der Mobilfunkprovider. Ohne ausreichende Versorgung mit Datendiensten durch die Netzbetreiber funktioniert die Anwendung also nicht. Der Einsatz von VoIP ist insofern bemerkenswert, weil RIM nach wie vor keine VoIP-API bereitstellt und Cellcrypt die nötigen Funktionen selbst nachbilden muss. Für ein Telefonat in Mobilfunk-Qualität würde eine Bandbreite von 13 kbit/s genügen, erklärte Cellcrypt-Chef Simon Bransfield-Garth im Gespräch mit heise online. Daher soll die Software auch in herkömmlichen GPRS-Netzwerken funktionieren.

Cellcrypt for Mobile verschlüsselt End-to-End, so dass die Gegenstelle ebenfalls mit der Software ausgerüstet sein muss. Über ein spezielles Cellcrypt-Gateway sollen auch kodierte Telefonate zu Festnetzanschlüssen möglich sein. Vermittelt werden die Blackberry-zu-Blackberry-Telefonate – ähnlich einem per SIP eingeleiteten VoIP-Gespräch – über einen Server von Cellcrypt. Auf dem Blackberry werden alle gerade per Cellcrypt verfügbaren Gesprächspartner mit einem kleinen Schlosssymbol vor dem Telefonbucheintrag markiert.

Trotz des massiven Einsatzes von Krypto-Techniken ist ein leiser Zweifel an der Art der Software-Verteilung angebracht. Laut Bransfield-Garth wird jedem Lizenznehmer eine SMS mit einer Download-URL zugeschickt. Da es dem Cellcrypt-Chef zufolge keine Möglichkeit gibt, später die Integrität der installierten Anwendung in der Ferne beispielsweise durch den Vermittlungsserver sicherzustellen, könnte den Cellcrypt-Kunden eine bösartig modifizierte Anwendung untergeschoben werden. Lizenziert wird die Software pro Jahr und Endgerät, wobei pro Endgerät Kosten von 1000 US-Dollar fällig werden. (Uli Ries) / (dal)