GSM-versleuteling gekraakt, toont leeftijd

De onthulling van een gsm (Global System for Mobile Communications) encryptie codeboek samengesteld door een Duitse veiligheidsonderzoeker en zijn team van medewerkers verlaagt de lat aanzienlijk voor de hoeveelheid geld en technische expertise die nodig is om te luisteren naar een gsm-gebaseerde gsm-oproep. Wat nog belangrijker is, het illustreert hoe oud de huidige GSM-codering is en laat zien waarom het tijd is voor een upgrade.

Wetshandhavingsambtenaren en goed gefinancierde cybercriminelen zijn in staat geweest om ooit GSM-codering te kraken, maar de investering was zo hoog dat het niet echt een bedreiging vormde. Deze nieuwe methode verlaagt de prijs van toegang tot het punt dat het meer een probleem is, maar nog steeds geen hoog risico.

Karsten Nohl heeft aangekondigd dat hij en zijn team 2 terabytes aan GSM-versleutelingsgegevens hebben verzameld. PC World's Robert McMillan legt uit dat de resultaten zijn als "kraaktabellen die kunnen worden gebruikt als een soort omgekeerd telefoonboek om de coderingssleutel te bepalen die wordt gebruikt voor het beveiligen van een GSM-telefoongesprek of sms-bericht (Global System for Mobile communications)."

[Meer lezen: de beste Android-telefoons voor elk budget.]

GSM is de meest gebruikte technologie voor mobiele telefonie ter wereld - goed voor meer dan 80 procent van de 4,3 miljard mobiele telefoons ter wereld. Het coderingsalgoritme dat GSM-oproepen beschermt tegen onderschepping en afluisterpraktijken, is echter meer dan twintig jaar oud.

Tijd is de vijand van codering. Wanneer een nieuw versleutelingsalgoritme wordt ontwikkeld en waarvan wordt beweerd dat het ondoordringbaar is, of dat kraken zo onpraktisch is dat het niet aannemelijk is, zijn die beweringen gebaseerd op de huidige technologie. Naarmate de technologie verbetert, hebben de reguliere consumentencomputers van morgen uiteindelijk de verwerkingscapaciteit van de mainframes van gisteren en plotseling wordt de verwerkingskracht die nodig is om de codering te kraken triviaal.

Beschouw als een analogie encryptie als een legpuzzel waar je moet vinden een specifiek puzzelstukje. Als de puzzel maar 25 stukjes heeft, kost het je niet al te lang om dit te bereiken. Dat is als een zwak coderingsalgoritme. Als de puzzel echter 10.000 stukjes bevat, duurt het aanzienlijk langer.

Naarmate de tijd vordert, verzamel je echter meer mensen om deel te nemen aan het proces en nieuwe strategieën te ontwikkelen om sneller door de stukjes te bladeren en de tijd te verkorten die nodig is om te kijken door de 10.000 stukken. Dat is vergelijkbaar met de manier waarop moeilijke coderingsalgoritmen uiteindelijk eenvoudig te kraken worden.

Er is ook altijd de mogelijkheid van een gelukkige gok. De schattingen voor het kraken van coderingen zijn gebaseerd op de hoeveelheid tijd die nodig is om elke mogelijke combinatie en permutatie van tekens door te voeren om de coderingssleutel te bepalen. Maar in theorie zou je de juiste sleutel op de achtste poging kunnen vinden in plaats van de tienduizendste.

Het feit dat het A5 / 1-algoritme dat wordt gebruikt om GSM-handsets te coderen meer dan twee decennia oud is en nog steeds voortjakkert is een bewijs van de sterkte van het algoritme had bij zijn aanvang. De mobiele-telefoonindustrie zou zichzelf gelukkig moeten prijzen dat dit nu pas een probleem wordt. Voorlopig vereisen de methoden die zijn onthuld op de Chaos Communication Conference in Berlijn nog steeds een vrij forse investering in technologie die waarschijnlijk incidentele GSM-hacking ontmoedigt. Maar de mobiele-telefoonindustrie als geheel moet de zwakheid van het geriatrische A5 / 1-versleutelingsalgoritme aanpakken voordat het wordt verbroken, zodat het zo triviaal is dat de codering volledig nutteloos is.

Tony Bradley tweets als

@PCSecurityNews, en kan gecontacteerd worden op zijn Facebook-pagina.