Abo
  • IT-Karriere:

DECT-Sicherheit: Industrie arbeitet mit Hackern an DECT II

Positive Entwicklung bei drahtlosen Telefonen

Ein Jahr nach der Veröffentlichung der Sicherheitsprobleme beim DECT-Standard zieht das Projekt deDECTed.org ein positives Fazit. Die Industrie öffne sich, erkenne die Probleme an und arbeite mit den Hackern an einem neuen Standard.

Artikel veröffentlicht am ,

Nachdem auf dem 25C3 im vergangenen Jahr die leichte Abhörbarkeit von DECT-Telefonen aufgezeigt worden war und die Industrie zunächst abgewiegelt hatte, hat sich das Bild nun geändert. Die Forschung rund um die Sicherheit von DECT-Telefonen, von denen immerhin 670 Millionen verkauft worden sind, und den beiden optionalen Verschlüsselungsverfahren DSC und DSAA wird vom DECT-Forum mittlerweile anerkannt.

Stellenmarkt
  1. SAACKE GmbH, Bremen
  2. Mercer Timber Products GmbH, Saalburg-Ebersdorf

Karsten Nohl und Eric Tews berichteten auf dem 26. Chaos Communication Congress (26C3) von den Fortschritten, die das deDECTed.org-Projekt und die Industrie 2009 gemacht haben. Der Verschlüsselungsalgorithmus DSC, der A5/1 recht ähnlich ist und für die Verschlüsselungen des Verkehrs zuständig ist, ist mittlerweile geknackt und für Angriffe anfällig. Und das obwohl DSC an sich stärker ist als A5/1, das aufgrund des kalten Krieges und damaligen Exportbestimmungen nicht sonderlich sicher sein konnte, wie die Hacker angeben. Allerdings wurde bei der Entwicklung von DSC ein großer Fehler gemacht. Aus Geschwindigkeitsgründen wurden die pre-cipher rounds von 100 bei A5/1 auf 40 bei DSC reduziert. Die Hacker bezeichneten das als "Major Crypto Fuckup", da damit die Bemühungen für eine bessere Verschlüsselung untergraben wurden.

DECT-Entschlüsselung ohne Spezial-Hardware möglich

Die Details zum Angriff werden erst Mitte Januar 2010 vorgestellt. Bisher sind sie eher theoretischer Natur und verlangen nach einer recht langen Gesprächsdauer. Die Hacker gaben allerdings zu, sie seien nicht die besten Kryptografen, daher seien schnellere Angriffe möglich. Die Entschlüsselung ist mit herkömmlicher PC-Hardware und einer schnellen Grafikkarte zumindest kein Problem mehr.

Den kryptografischen Schutz konnten die Hacker unter anderem knacken, weil sie den SC14421-Chip untersuchten. Zum einen war es möglich, unter dem Mikroskop die Leiterbahnen nachzuvollziehen und so an den Algorithmus heranzukommen, aber auch der Chip selbst schreibt über ein Kommando den Zustand einer für die Verschlüsselung wichtigen Chiffre direkt in den Speicher. So können die Hacker nachvollziehen, was bei einer DECT-Übertragung im Chip Stück für Stück passiert.

Kurz vor Weihnachten hat auch das DECT-Forum die Zertifizierung von Telefonen angekündigt (PDF).

Auf dem 26. Chaos Communication Congress empfahlen Nohl und Tews, in der Zwischenzeit nur DECT-Telefone mit der Möglichkeit eines Firmware-Upgrades durch den Nutzer zu kaufen. Besser ist es allerdings, bis zum Frühjahr 2010 zu warten, bis die ersten Telefone mit Zertifikaten vorliegen. Diese werden durch eine unabhängige Firma getestet und diversen Angriffen ausgesetzt.

Mit Telefonen, die einem neuen DECT-Standard der zweiten Generation folgen, ist frühestens 2011 zu rechnen. Dieser Standard wird dann allerdings offen zugänglich sein, so dass etwa die Forschung in der Lage sein wird, den Standard zu untersuchen. Auch das deDECTed.org-Projekt wird dieser Aufgabe weiter nachkommen und so versuchen, auf kryptografischer Ebene und auf der Implementationsebene Fehler zu vermeiden.

Insgesamt ist das deDECTed.org-Projekt mit der Zusammenarbeit des DECT-Forums zufrieden. Es verhalte sich offen gegenüber Sicherheitsproblemen und wisse die Forschung mittlerweile zu schätzen. Anders sieht es jedoch bei der GSM Alliance aus, die ähnliche Probleme hat, sich aber bisher nicht kooperativ zeige.



Anzeige
Top-Angebote
  1. (heute u. a. Saugroboter)
  2. 149€
  3. (u. a. Metal Gear Solid V: The Definitive Experience für 8,99€ und Train Simulator 2019 für 12...
  4. (u. a. Seasonic Focus Gold 450 W für 46,99€ statt über 60€ im Vergleich)

Hirsch2k 30. Dez 2009

Hust, um damit eine Betondecke weiter genau 0 Empfang mehr zu haben mit WLAN, während...

darki 30. Dez 2009

herr, schick rs hirn vom himmel..... aber die klappe fing nur an zu wachsen, der rest...


Folgen Sie uns
       


Asus Prime Utopia angesehen

Asus zeigt auf der Computex 2019 eine Ideenstudie für ein neues High-End-Mainboard.

Asus Prime Utopia angesehen Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
    Doom Eternal angespielt
    Die nächste Ballerorgie von id macht uns fix und fertig

    E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

    1. Sigil John Romero setzt Doom fort

    Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
    Ada und Spark
    Mehr Sicherheit durch bessere Programmiersprachen

    Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
    Von Johannes Kanig

    1. Das andere How-to Deutsch lernen für Programmierer
    2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
    3. Software-Entwickler Welche Programmiersprache soll ich lernen?

      •  /