Unerwünschte Mithörer

Die Funkübertragung von Handys galt lange als abhörsicher. Doch die Fortschritte der vergangenen Jahre sowohl in der Kryptanalyse als auch bei der Hardware lassen den weltweit anzutreffenden GSM-Standard in einem anderen Licht erscheinen. "Abhören für jedermann" ist in erschreckende Nähe gerückt.

GSM ist der Mobilfunkstandard schlechthin. Nach Schätzung der Global Mobile Suppliers Association (GSA) gibt es derzeit knapp 2,7 Milliarden GSM-Nutzer weltweit. Dass es auch bei einer im Grunde sicheren Übertragung längst möglich ist, Handytelefonate live abzuhören, zeigten spätestens die IMSI-Catcher der Strafverfolgungsbehörden. Doch sie setzen nicht bei der Verschlüsselung der Funkübertragung an, sondern schummeln sich als vermeintlicher Mobilfunkmast mit einem Man-in-the-middle-Angriff zwischen Handy und Provider. Einziger Nachteil: Sie müssen auf wenigstens 500 Meter ans Handy herankommen.

Abgesehen von diesen mehr oder minder einfachen Angriffen auf die Infrastruktur gibt es beachtliche Fortschritte bei passiven Angriffen auf die GSM-Sprachverschlüsselung. Mitglieder der Hacker-Gruppe THC arbeiten derzeit im Rahmen des "GSM Software Project" an der Umsetzung eines Systems, das ein mitgeschnittenes, verschlüsseltes GSM-Gespräch in rund zwei Stunden entschlüsseln können soll - also nicht live, sondern nachträglich [1]. Der Effekt: Zum Mitschneiden muss man dem abgehörten Handy weniger dicht auf die Pelle rücken und unter Umständen verräterische Netzstörungen wie beim IMSI-Catcher entfallen bei der passiven Vorgehensweise auch.

Wir haben uns mit THC-Mitglied Steve über den Stand des "A5 Cracking Projects" unterhalten, das aus dem GSM Software Project hervorgegangen ist. Seiner Schätzung nach wird das Crack-System im ersten Quartal 2008 voll einsatzbereit sein, sobald die sogenannten Rainbow-Tabellen - enorme Datensätze, die den Crack-Vorgang immens beschleunigen - fertig berechnet sind. "Es gibt viele Möglichkeiten, in GSM einzubrechen. Was wir jetzt machen, ist sozusagen die Luxusvariante, mit der man zu Hause von der Couch aus Telefonate abhören kann", so Steve.

Schneller

Was die A5-Cracker da bauen, fußt auf der wissenschaftlichen Arbeit des israelischen Kryptologen Elad Barkan, der vergangenes Jahr auf dem Gebiet der GSM-Sicherheit promovierte. In seiner Dissertation lieferte er einen Überblick über den Stand der Wissenschaft und entwickelte darin unter anderem eine praktikable Angriffsmethode gegen den wichtigsten Verschlüsselungsalgorithmus des Mobilfunkstandards "A5" [2].

Dabei handelt es sich um eine Familie aus insgesamt drei Krypto-Algorithmen, den nicht verschlüsselnden Dummy A5/0 nicht mitgezählt. Der wichtigste Algorithmus mit der weitesten Verbreitung ist der auch in Deutschland eingesetzte A5/1. Bei A5/2 handelt es sich um eine künstlich abgeschwächte Variante von A5/1. Die neueste und stärkste Variante A5/3 kommt bislang nur in UMTS-Netzen zum Einsatz. Sie ist auch unter den Namen Kasumi und 3GPP8 bekannt.

A5/1 und A5/2 produzieren mit Hilfe von Schieberegistern einen kontinuierlichen Datenstrom, gehören also zu den Stromchiffren. Nach der Initialisierung mit dem zwischen Handy und Mobilfunkstation ausgehandelten, 64 Bit langen Schlüssel berechnen sie mit jedem Takt ein neues, pseudozufälliges Bit, das mit dem nächsten Bit des zu übertragenden Datenstroms Exklusiv-Oder verknüpft (XOR) wird. Ihre exakte Funktionsweise gelangte erst 1998 durch eine Beispielimplementierung von Briceno, Goldberg und Wagner an die Öffentlichkeit, da die Spezifikationen anfänglich unter Verschluss gehalten wurden.

Die wichtigste Schwäche des Verschlüsselungsalgorithmus der Handys ist, dass keine Rückkopplungen (rot) zwischen den Schieberegistern (blau) erfolgen.

A5/2 ist derart schwach, dass er unmittelbar nach seinem Bekanntwerden mit einem trivial durchzuführenden Angriff gebrochen werden konnte. Inzwischen ist er auch kein offizieller GSM-Standard mehr und nur noch vereinzelt im Einsatz, etwa in Kenia und Slowenien.

Angriff

Bereits 1999 wurden erste Angriffe gegen A5/1 beschrieben (siehe Kasten "Angriffskomplexität"). Doch als Known-Plaintext-Angriffe waren sie noch weit von einer praktischen Umsetzung entfernt: Sie benötigten zur Berechnung bis zu zwei Minuten "Klartext", also entschlüsselte Gesprächsdaten.

Barkans Angriff auf A5/1 schlägt einen Kompromiss zwischen Rechenzeit und Speicherplatz (Time/Memory-Tradeoff, kurz TMTO) und benötigt nur einige Millisekunden verschlüsselten Gesprächsmitschnitt. Er kommt also ohne bekannten Klartext aus. Die von ihm verwendete Methode, die erstmalig Martin Hellmann zu Beginn der achtziger Jahre beschrieb, ist jedoch nicht A5-spezifisch.

Die THC-Hacker konnten nun nach eigenen Angaben den TMTO-Angriff speziell für die Handy-Verschlüsselung optimieren. Laut Steve wird lediglich das erste verschlüsselte Datenpaket der Gesprächsverbindung benötigt. Den entscheidenden Hinweis lieferten Analysen des GSM-Verbindungsaufbaus: Der Inhalt des ersten verschlüsselten Datenpaketes ist demnach fast vollständig vorhersagbar, weil es vornehmlich aus nutzlosen, konstanten Füllbits besteht. Das Ergebnis, gewissermaßen als Hochzeit aus Klartext- und TMTO-Angriff: Der geheime Schlüssel für die gesamte Gesprächsverbindung soll sich nun mit Hilfe eines rund 600 Euro teuren Signalverabeitungschips (FPGA) innerhalb von rund zwei Stunden auf einem PC zurückrechnen lassen.

Um diese Geschwindigkeit zu erreichen, sind allerdings ziemlich große Rainbow-Tabellen notwendig. Steve erklärt, dass das kleine Cracking-System namens "Demo-Buster" mit zwei Terabyte Rainbow-Tabellen arbeitet. Theoretisch kann das System aber auch mit 28 Terabyte großen Tabellen arbeiten, was den Crack-Vorgang theoretisch auf wenige Sekunden beschleunigen soll.

Derzeit arbeiten die THC-Hacker an der Berechnung der insgesamt 8000 Rainbow-Tabellen für das kleine System. Die Berechnungen laufen auf einem Cluster aus einigen dutzend FPGAs. Bis Jahresende sollen es 100 sein. Der finanzielle Aufwand für die FPGAs und der benötigte Zeitrahmen für die Berechnungen ist zwar erheblich, doch die Tabellen müssen nur ein einziges Mal berechnet werden. Die THC-Hacker arbeiten nach ihren Angaben hauptsächlich mit Leih-Hardware. Sie erwarten, dass alle 8000 Tabellen im ersten Quartal 2008 fertig berechnet sein werden. Anschließend sollen sie im Internet zum Download angeboten werden.

Zwei Terabyte lassen sich schon in einem RAID-System für 1000 Euro speichern. Im Prinzip ließe sich laut Steve mit gleichem Zeit- und Rechenaufwand auch die große Variante mit 28 Terabyte berechnen, man müsste nur mehr Zustandsinformationen abspeichern. Das würde das System aber erheblich verteuern, und kaum jemand würde eine solche Datenmenge herunterladen wollen oder können.

Die praktische Durchführbarkeit haben die THC-Hacker bereits getestet. Steve erklärt, dass sie mit einer der 8000 Tabellen aus einem A5/1-verschlüsselten Datenpaket, von dem bekannt war, dass es in den Geltungsbereich der Tabelle fällt, erfolgreich den korrekten Verbindungsschlüssel zurückberechnen konnten. Den ersten öffentlichen Live-Crack will die Gruppe im April auf der Sicherheitskonferenz "Hack in the Box" in Dubai vorführen.

Billiger

Um überhaupt erst an die vom Handy übertragenen Datenpakete zu gelangen, ist ein leistungsfähiger Empfänger nötig. Eines der Hauptprobleme beim Empfang von GSM-Signalen ist jedoch, dass Sender und Empfänger im Frequenzsprungverfahren mehr als 200-mal je Sekunde den Kanal wechseln.

1999 hatte es noch seitens der Mobilfunkindustrie geheißen, dass allein das Frequenzsprungverfahren GSM ausreichend abhörsicher machen würde, selbst wenn der Verschlüsselungsalgorithmus theoretisch gebrochen ist. Auch wenn das Verfahren ursprünglich nur wegen der geringeren Störanfälligkeit eingeführt wurde, war diese Aussage damals durchaus richtig, da es keine erschwinglichen, frei erhältlichen und frei programmierbaren Empfänger gab.

Doch fast zehn Jahre später wird die Demodulationsstufe, die früher einen wesentlichen Teil der Empfängerschaltung ausmachte, zunehmend in Software ausgelagert, die auf einem speziellen FPGA läuft. Solche Empfänger gibt es ab 500 Euro zu kaufen, die zugehörige Software GnuRadio ist Open Source. Auch die Hacker von THC arbeiten mit einem solchen Universal Software Radio Peripheral (USRP). Um darüber hinaus für Analysezwecke an die unverschlüsselten Datenpakete zu gelangen, verwenden sie Mobiltelefone, die wie beispielsweise das Nokia 3310 auf dem Handy-Betriebssystem DCT3 basieren.

Viele DCT3-Modelle wurden über Jahre hinweg mit aktivierten Debugging-Funktionen ausgeliefert. Dadurch lassen sie sich in einen Trace-Modus versetzen, in dem sie sämtliche verarbeiteten Datenpakete unverschlüsselt an einen angeschlossenen Computer übermitteln. Laut Steve sind das nicht nur die Gesprächsdaten des Telefons, sondern auch die ohnehin unverschlüsselten Gesprächsvermittlungsdaten aller Handys der näheren Umgebung, die auf gesonderten Kontrollkanälen übertragen werden.

Angriffskomplexität Jeder Verschlüsselungsalgorithmus ist anfällig für eine bestimme Angriffsart: das stumpfe Durchprobieren aller möglichen Schlüssel, englisch: Brute-Forcing. Doch die Menge aller möglichen Schlüssel, der sogenannte Schlüsselraum, ist in der Regel enorm groß. A5-Schlüssel beispielsweise sind 64 Bit lang. Der Schlüsselraum von A5 umfasst also 264 (rund 18 Milliarden Milliarden) Schlüssel, die auszuprobieren wären. Allerdings bewegt sich der Zeitbedarf von Brute-Force-Angriffen in astronomischen Größenordnungen - bei ausreichend langen Schlüsseln einige hunderttausend bis Milliarden Jahre. Alle A5-Schlüssel durchzuprobieren, würde etwa 584 000 Jahre dauern, wenn man annimmt, dass sich eine Million Entschlüsselungsvorgänge je Sekunde durchführen und auf Erfolg prüfen lassen. Den Zeitbedarf für einen Einzelschritt unter den Tisch fallen lassend sagt man auch vereinfachend: Der Brute-Force-Angriff gegen A5 hat eine Komplexität von 264. Von einem erfolgreichen Angriff gegen einen Kryptoalgorithmus spricht man, wenn sich durch theoretische Überlegungen die Angriffskomplexität wesentlich verkleinern lässt. Der 1999 beschriebene A5/1-Angriff von Biryukov, Shamir und Wagner reduzierte auf einen Schlag die Angriffskomplexität vom theoretischen Maximum 264 des Brute-Force auf 242 bis 248. Ein Zurückrechnen des Schlüssels beschleunigt sich daher - etwa ähnlich aufwendige Einzelschritte vorausgesetzt - um den Faktor 242 bis 224 und würde sich damit in dem überschaubaren Zeitrahmen von gerade einmal wenigen Monaten bewegen. Erst durch Zeit/Speicher-Kompromisse (Time/Memory Tradeoffs, kurz TMTOs) nach Hellmann ergeben sich weitere Beschleunigungen. Je mehr Zwischenergebnisse der Berechnungen man etwa in sogenannten Rainbow-Tabellen sammelt, desto schneller lassen sich die einzelnen Knackvorgänge durchführen: derzeit voraussichtlich rund zwei Stunden je Schlüssel. Die nur einmal notwendige Berechnung der zwei Terabyte großen Rainbow-Tabellen dauert jedoch selbst auf Spezial-Hardware mehrere Monate.

Stand der Technik

Die Fortschritte der vergangenen Jahre sind also auch nicht an der Sicherheit der veralteten Funkverschlüsselung der Handys vorbeigegangen. Die Aussichten stehen schlecht, dass sich Telefonate über das GSM-Netz noch lange als ausreichend abhörsicher bezeichnen lassen. Es ist aber auch nicht verwunderlich, dass ein bald drei Jahrzehnte alter Verschlüsselungsalgorithmus nicht mehr dem Stand der Technik entspricht.

Für professionelle Entschlüsseler im Auftrag einer Regierungsbehörde stellt die GSM-Verschlüsselung ohnehin kaum eine Hürde dar. Notfalls greifen sie die Daten direkt beim Provider ab. Wenn eine Hacker-Gruppe innerhalb von Monaten ein funktionierendes Cracking-System bauen kann, ist die Wahrscheinlichkeit groß, dass finanziell besser ausgestattete Organisationen längst über vergleichbare Systeme verfügen. Zwar sind in Deutschland solche Systeme wegen des "Hackertools-Paragrafen" 202c illegal, doch spätestens, wenn jeder Hobbyschnüffler für unter 2000 Euro bei den Gesprächen der gesamten Nachbarschaft mitlauschen kann, wirds brenzlig - gute Richtantennen liefern sogar Reichweiten von vielen Kilometern. Bleibt nur noch der Trost, dass die UMTS-Netze auf dem Vormarsch sind. Im Gegensatz zu A5/1 und A5/2 wurde deren Blockchiffre A5/3 nicht unter Verschluss entwickelt, weshalb er als erheblich sicherer gelten kann. Noch sind keine besonderen kryptografischen Schwächen in A5/3 bekannt. (cr)

Literatur

[1] Wiki des GSM Software Project: wiki.thc.org/gsm

[2] Elad Pinhas Barkan, Cryptanalysis of Ciphers and Protocols, www.cs.technion.ac.il/users/wwwb/cgi-bin/trget.cgi/2006/PHD/PHD-2006-04.pdf