Distributed-Computing-Projekt soll GSM-Verschlüsselung knacken

Karsten Nohl will so auf die Schwäche der Verschlüsselung A5/1 hinweisen. Seiner Meinung nach sollten Mobilfunkprovider komplett auf UMTS umrüsten. Eine weitere Möglichkeit sind separate Verschlüsselungslösungen.

Karsten Nohl schlägt vor, GSM mit verteiltem Rechnen zu entschlüsseln und ein vollständiges Codebuch zu erstellen (Bild: Hacking at Random).
Karsten Nohl schlägt vor, GSM mit verteiltem Rechnen zu entschlüsseln und ein vollständiges Codebuch zu erstellen (Bild: Hacking at Random).

Sicherheitsforscher Karsten Nohl will ein Distributed-Computing-Projekt starten, das die Verschlüsselung von GSM knackt. Dies sagte er auf einem Vortrag bei der niederländischen Konferenz „Hacking at Random“. Dann wäre es möglich, Gespräche und Datentransfers über Mobilfunk zu entschlüsseln. Nohl will mit der Aktion aber vielmehr die Mobilfunkanbieter dazu bringen, ihre Sicherheitsvorkehrungen zu verbessern und damit ein 15 Jahre altes Loch zu beseitigen, das seiner Rechnung nach 3 Milliarden Anwender betrifft.

Gegenüber ZDNet sagte er: „Wir schaffen keine Schwachstelle, sondern machen einen Fehler publik, der schon in großem Massstab ausgenutzt wird. Natürlich erleichtern wir Angriffe, und selbstverständlich besteht die moralische Frage, ob wir das tun sollten. Aber wichtiger ist, dass wir die Leute über diese uralte Schwäche informieren und verhindern, dass noch mehr Systeme sie übernehmen.“

Es gebe mindestens vier kommerzielle Tools zu Preisen zwischen 100.000 und 250.000 Dollar, die die Schwachstelle in der GSM-Verschlüsselung A5/1 ausnutzten, sagte Nohl. 80 High-Performance-Computer bräuchten ungefähr drei Monate, um mit unsystematischem Vorgehen (Brute Force) A5/1 zu entschlüsseln und ein Codebuch zu schaffen, mit dem jedes GSM-Telefonat entschlüsselt werden könnte. 160 Teilnehmer könnten dies mit Distributed Computing in der Hälfte der Zeit erreichen.

Das verteilte Vorgehen, das gern für wissenschaftliche Projekte wie SETI@Home verwendet wird, würde auch rechtliche Probleme lösen. Vor einigen Jahren war nämlich ein ähnliches Projekt vorzeitig zu Ende gegangen, weil jemand die Teilnehmer eingeschüchtert hatte – möglicherweise ein Mobilfunkprovider, sagt Nohl. Ein verteiltes Vorgehen könnte weniger leicht beeinflusst werden.

Als Lösung des Problems schlägt Nohl vor, UMTS statt GSM für Gespräche zu verwenden, das die weitaus stärkere Verschlüsselung A5/3 habe. Auch könne man ein separates Verschlüsselungverfahren einsetzen, wie es Amnesty International und Greenpeace praktizierten. Die Schwierigkeit dabei sei, dass beide Seiten die gleiche Technologie einsetzen müssten.

Die Sicherheitsvorkehrungen von GSM werden immer wieder kritisiert. Vergangenes Jahr hatte der Sicherheitsforscher David Hulton gewarnt, er halte GSM für zu unsicher, um darüber persönliche Gespräche zu führen.

Themenseiten: Handy, Mobil, Mobile

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Distributed-Computing-Projekt soll GSM-Verschlüsselung knacken

Kommentar hinzufügen
  • Am 26. August 2009 um 3:00 von Mickey Mouse

    Wohin führt das?
    Es ist keine 20 Jahre her, da wurden Gespräche im B- und C-Netz für jedermann mithörbar und unverschlüsselt übrtragen und keiner machte sich Gedanken darüber. Auch ist es heute kein Problem, dass analoge Telefone einfach anzuzapfen sind.

    Da ist der "Schrei" nach UMTS nur folgerichtig, bis ein Herr Nohl dann feststellt, dass man dieses Verfahren mit 320 Computern innerhalb eines Jahres knacken kann. Es wird kein Ende finden, da die kriminelle Energie nicht mehr gestoppt wird, sondern eher jeglicher technologischer Fortschritt in Verfahren zur Absicherung "verbraten" wird anstatt bewährte Methoden zur Ermittlung gegen diejenigen, welche sich den genauso und mehr verbesserten Mitteln zum Knacken nutzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *