SIM-Karten für Mobilfunknetze: Angriff aufs Herz
Bild: teltarif.de
Einerseits überrascht die Meldung kaum: NSA und GCHQ haben den
SIM-Karten-Hersteller Gemalto beziehungsweise dessen Kommunikation
mit den Netzbetreibern gehackt, um die
geheimen Verschlüsselungscodes von Abermillionen SIM-Karten
raubzukopieren. So habe ich schon Anfang 2014
geschrieben: "Die 'Schlüsselverwalter'
[...] werden [...] zum bevorzugten Angriffsziel der Geheimdienste
wie der NSA". Und Gemalto ist so ein Schlüsselverwalter.
Andererseits zeigt die Meldung erneut, dass die
Dienste nachhaltig bemüht sind, alle Daten einzusammeln, die nicht
niet- und nagelfest sind. Und es werden eben nicht nur,
wie mit Stuxnet geschehen,
die Atomanlagen der "Feinde" gehackt, sondern ebenso auch die
Kommunikation der "Freunde".
Mit dem Diebstahl der SIM-Karten-Schlüssel greift die NSA direkt
das Herz der Kommunikation in den Mobilfunknetzen an. Das ganze
Sicherheitskonzept von GSM, UMTS, LTE und Co. basiert darauf, dass
ein geheimer Schlüssel fest in die SIM-Karte eingebrannt ist. Mit
diesem Schlüssel identifiziert sich die SIM-Karte im Netz, so dass
man weltweit genau auf dem Handy oder Smartphone erreichbar ist, in
dem die SIM-Karte steckt. Und von diesem Schlüssel werden die
Sitzungsschlüssel abgeleitet, mit denen die weitere Kommunikation,
sowohl Sprache als auch Daten, verschlüsselt werden.
Bitte sicher machen!
SIM-Karten für Mobilfunknetze: Angriff aufs Herz
Bild: teltarif.de
Wie schon in der Vergangenheit, als beispielsweise Schwächen der
für GSM verwendeten Verschlüsselungs- und Authentifizierungs-Algorithmen
A5/1 und COMP128 bekannt wurden, ist zu fürchten, dass die
Mobilfunk-Branche auch dieses Mal
nur halbherzig reagiert, weil ihr eigentliches
Kerngeschäft nicht unmittelbar bedroht ist, wenn die NSA mitlauschen
kann. Im Gegenteil, das eigene Geschäftsmodell könnte durch zunehmende
staatliche Regulierung und Gängelung bedroht werden, wenn man das
Mitlauschen den Geheimdiensten zu schwer macht!
Das ändert aber nichts daran, dass ein erhebliches Upgrade der
Sicherheits-Infrastruktur der Mobilfunknetze zu fordern ist.
Insbesondere besitzen aktuelle Smartphones einen mehr als ausreichend
schnellen Prozessor, um zum Beispiel Sitzungsschlüssel nicht nur vom
geheimen SIM-Karten-Schlüssel und einer mit der Basisstation ausgehandelten
Zufallszahl abzuleiten, sondern dafür zusätzlich auch
Schlüsselaustauschprotokolle wie RSA oder Diffie-Hellman (kurz DHE)
zu verwenden. Um diese (bei ausreichend großer Schlüssellänge)
zu knacken, wird ein so genannter Quantencomputer benötigt, den es
bis heute noch nicht gibt.
Angesichts der Taktik der Geheimdienste, sich umfassend an alle
Daten ranzumachen, derer sie habhaft werden können, ist es zudem
unumgänglich, mehrere Geheimnisse auf einer SIM-Karte zu vereinigen:
Einen geheimen Schlüssel, den der Hersteller fest und unveränderlich
einbrennt. Einen zweiten geheimen Schlüssel, den der Netzbetreiber
fest und unveränderlich einbrennt. Einen dritten geheimen Schlüssel,
den der Netzbetreiber regelmäßig over-the-air aktualisiert. Und einen
vierten geheimen Schlüssel, der per DHE gemeinsam von Endgerät und
Netz erzeugt wird, und der in der Folge weder im Netz noch auf dem
Endgerät vollständig gespeichert ist. Das Protokoll muss so implementiert
sein, dass jeder dieser Schlüssel und bei DHE sogar jede der beiden
Hälften reicht, die gesamte Kommunikation abzusichern.
Neben dem hier genannten Austausch von ausreichend vielen
Geheimnissen auf der SIM-Karte ist ebenso wichtig, dass die eigentlichen
Gesprächs- oder Internet-Daten nicht nur einfach verschlüsselt werden,
sondern mehrfach mit unterschiedlichen Algorithmen. Die Sicherheit von
Krypto-Algorithmen wie AES (Advanced Encryption Standard)
lässt sich nicht beweisen. Zwar sind in der einschlägigen
Sicherheitsliteratur keine harten Angriffe gegen AES veröffentlicht.
Doch das bedeutet nicht, dass die NSA nicht doch einen Angriff kennt.
Würde zudem ein praktikabler Angriff gegen AES veröffentlicht werden,
hätten die Netzbetreiber das Problem, quasi über Nacht
Netze und Endgeräte updaten zu müssen, denn UMTS (teilweise) und LTE
(überwiegend) setzen auf AES.
Zwar gibt es Kryptoalgorithmen wie DES,
die über Jahrzehnte hinweg nicht gebrochen werden konnten. Jedoch ist DES
aufgrund der kurzen Schlüssel von nur 56 Bit nicht mehr zeitgemäß,
und kann durch die pure Rechenleistung aktueller Computer gebrochen
werden. Doch eine ganze Reiher anderer, zumindest zeitweilig weit
verbreiteter Kryptoverfahren, wurde bereits ganz oder teilweise
gebrochen: Neben den bereits
erwähnten A5/1 und COMP128 insbesondere ENIGMA, MD5 und SHA-1.
Besser also, man verschlüsselt mit drei bis
fünf als stark geltenden Algorithmen mit unterschiedlichen
Sitzungsschlüsseln nacheinander: Erst AES, dann Twofish, dann
Serpent. Denn anders als bei einer mechanischen Kette, die nur so
stark wie ihr schwächstes Glied ist, gilt für eine Verschlüsselungs-Kette:
Sie ist so stark wie das stärkste Glied! Fallen beispielsweise AES und
Serpent in sich zusammen, hält aber Twofish, dann sind die mit der
gesamten Kette codierten Nachrichten immer noch sicher.