Ausgespäht

Editorial: Angriff aufs Herz

NSA und GCHQ haben gezielt einen großen Hersteller von SIM-Karten gehackt, um an die Geheimschlüssel von SIM-Karten zu kommen. Wie können künftige SIMs aussehen, damit diese trotz solcher Hacks sicher sind?
AAA
Teilen

Einerseits überrascht die Meldung kaum: NSA und GCHQ haben den SIM-Karten-Hersteller Gemalto beziehungsweise dessen Kommunikation mit den Netzbetreibern gehackt, um die geheimen Verschlüsselungscodes von Abermillionen SIM-Karten raubzukopieren. So habe ich schon Anfang 2014 geschrieben: "Die 'Schlüsselverwalter' [...] werden [...] zum bevorzugten Angriffsziel der Geheimdienste wie der NSA". Und Gemalto ist so ein Schlüsselverwalter. Andererseits zeigt die Meldung erneut, dass die Dienste nachhaltig bemüht sind, alle Daten einzusammeln, die nicht niet- und nagelfest sind. Und es werden eben nicht nur, wie mit Stuxnet geschehen, die Atomanlagen der "Feinde" gehackt, sondern ebenso auch die Kommunikation der "Freunde".

Mit dem Diebstahl der SIM-Karten-Schlüssel greift die NSA direkt das Herz der Kommunikation in den Mobilfunknetzen an. Das ganze Sicherheitskonzept von GSM, UMTS, LTE und Co. basiert darauf, dass ein geheimer Schlüssel fest in die SIM-Karte eingebrannt ist. Mit diesem Schlüssel identifiziert sich die SIM-Karte im Netz, so dass man weltweit genau auf dem Handy oder Smartphone erreichbar ist, in dem die SIM-Karte steckt. Und von diesem Schlüssel werden die Sitzungsschlüssel abgeleitet, mit denen die weitere Kommunikation, sowohl Sprache als auch Daten, verschlüsselt werden.

Bitte sicher machen!

SIM-Karten für Mobilfunknetze: Angriff aufs HerzSIM-Karten für Mobilfunknetze: Angriff aufs Herz Wie schon in der Vergangenheit, als beispielsweise Schwächen der für GSM verwendeten Verschlüsselungs- und Authentifizierungs-Algorithmen A5/1 und COMP128 bekannt wurden, ist zu fürchten, dass die Mobilfunk-Branche auch dieses Mal nur halbherzig reagiert, weil ihr eigentliches Kerngeschäft nicht unmittelbar bedroht ist, wenn die NSA mitlauschen kann. Im Gegenteil, das eigene Geschäftsmodell könnte durch zunehmende staatliche Regulierung und Gängelung bedroht werden, wenn man das Mitlauschen den Geheimdiensten zu schwer macht!

Das ändert aber nichts daran, dass ein erhebliches Upgrade der Sicherheits-Infrastruktur der Mobilfunknetze zu fordern ist. Insbesondere besitzen aktuelle Smartphones einen mehr als ausreichend schnellen Prozessor, um zum Beispiel Sitzungsschlüssel nicht nur vom geheimen SIM-Karten-Schlüssel und einer mit der Basisstation ausgehandelten Zufallszahl abzuleiten, sondern dafür zusätzlich auch Schlüsselaustauschprotokolle wie RSA oder Diffie-Hellman (kurz DHE) zu verwenden. Um diese (bei ausreichend großer Schlüssellänge) zu knacken, wird ein so genannter Quantencomputer benötigt, den es bis heute noch nicht gibt.

Angesichts der Taktik der Geheimdienste, sich umfassend an alle Daten ranzumachen, derer sie habhaft werden können, ist es zudem unumgänglich, mehrere Geheimnisse auf einer SIM-Karte zu vereinigen: Einen geheimen Schlüssel, den der Hersteller fest und unveränderlich einbrennt. Einen zweiten geheimen Schlüssel, den der Netzbetreiber fest und unveränderlich einbrennt. Einen dritten geheimen Schlüssel, den der Netzbetreiber regelmäßig over-the-air aktualisiert. Und einen vierten geheimen Schlüssel, der per DHE gemeinsam von Endgerät und Netz erzeugt wird, und der in der Folge weder im Netz noch auf dem Endgerät vollständig gespeichert ist. Das Protokoll muss so implementiert sein, dass jeder dieser Schlüssel und bei DHE sogar jede der beiden Hälften reicht, die gesamte Kommunikation abzusichern.

Neben dem hier genannten Austausch von ausreichend vielen Geheimnissen auf der SIM-Karte ist ebenso wichtig, dass die eigentlichen Gesprächs- oder Internet-Daten nicht nur einfach verschlüsselt werden, sondern mehrfach mit unterschiedlichen Algorithmen. Die Sicherheit von Krypto-Algorithmen wie AES (Advanced Encryption Standard) lässt sich nicht beweisen. Zwar sind in der einschlägigen Sicherheitsliteratur keine harten Angriffe gegen AES veröffentlicht. Doch das bedeutet nicht, dass die NSA nicht doch einen Angriff kennt. Würde zudem ein praktikabler Angriff gegen AES veröffentlicht werden, hätten die Netzbetreiber das Problem, quasi über Nacht Netze und Endgeräte updaten zu müssen, denn UMTS (teilweise) und LTE (überwiegend) setzen auf AES.

Zwar gibt es Kryptoalgorithmen wie DES, die über Jahrzehnte hinweg nicht gebrochen werden konnten. Jedoch ist DES aufgrund der kurzen Schlüssel von nur 56 Bit nicht mehr zeitgemäß, und kann durch die pure Rechenleistung aktueller Computer gebrochen werden. Doch eine ganze Reiher anderer, zumindest zeitweilig weit verbreiteter Kryptoverfahren, wurde bereits ganz oder teilweise gebrochen: Neben den bereits erwähnten A5/1 und COMP128 insbesondere ENIGMA, MD5 und SHA-1.

Besser also, man verschlüsselt mit drei bis fünf als stark geltenden Algorithmen mit unterschiedlichen Sitzungsschlüsseln nacheinander: Erst AES, dann Twofish, dann Serpent. Denn anders als bei einer mechanischen Kette, die nur so stark wie ihr schwächstes Glied ist, gilt für eine Verschlüsselungs-Kette: Sie ist so stark wie das stärkste Glied! Fallen beispielsweise AES und Serpent in sich zusammen, hält aber Twofish, dann sind die mit der gesamten Kette codierten Nachrichten immer noch sicher.

Teilen

Weitere Editorials