GPRS: Forscher zeigen Hintertür in alter Mobilfunk-Verschlüsselung

Ein internationales Forscherteam hat die vor allem in GPRS und EDGE genutzten Verschlüsselungsalgorithmen GEA-1 und GEA-2 untersucht und kommen zu dem recht eindeutigen Schluss, dass vor allem GEA-1 derart geschwächte Eigenschaften aufweist, dass dies kein Zufall sein kann. Dabei handelt es sich wohl also um eine sogenannte Backdoor und der Verschlüsselungsalgorithmus wurde absichtlich durch dessen Verfasser geschwächt.

Wirklich überraschend ist diese Erkenntnis in Anbetracht der Entstehungszeit von GEA-1 nicht. Die Technik stammt aus den 90er Jahren des vergangenen Jahrhunderts; zu der Zeit versuchten viele Staaten oder offizielle Standardisierungsstellen, Hintertüren in Verschlüsselung einzubauen, um weiter Zugriff auf die Kommunikation zu haben.

Darüber hinaus gab es Regeln für den Export, die das Ausführen von damals als stark und sicher anerkannter Technik offiziell verbot. Bekannt ist in diesem Zusammenhang etwa die Hintertür in dem Zufallszahlengenerator Dual EC DRBG.

Die damalige Grenze für den Export von Verschlüsselungstechnik lag bei einer Schlüssellänge von 40 Bit. Formal nutzt GEA-1 jedoch eine Schlüssellänge von 64 Bit und galt damit aus damaliger Sicht wohl als sicher genug. Oder eben auch als zu sicher, je nach Perspektive. Das Forscherteam konnte nun aber einen formalen Angriff zeigen, der die effektive Sicherheit von GEA-1 auf nur noch 40 Bit reduziert.

Das Team schreibt dazu: "Dies ist die zentrale Beobachtung des Angriffs und der Schwachstelle, die höchstwahrscheinlich nicht unbeabsichtigt auftritt". Sie gehen also davon aus, dass GEA-1 beim Erstellen aktiv manipuliert wurde.

Um das zu überprüfen, versuchten die Beteiligten, die Ausgangsparameter der zugrunde liegenden mathematischen Operation der Verschlüsselung zufällig zu erzeugen. Aber auch nach einer Million Versuchen konnten sie die tatsächlich genutzten Parameter nicht zufällig erzeugen.

Sehr alte und schwache Verschlüsselung

Die IT-Security-Experten Karsten Nohl und Luca Melette, die sich wiederholt mit der Sicherheit von Mobilfunknetzen befasst haben, konnten bereits vor rund zehn Jahren in mehreren verschiedenen Angriffen zeigen, dass GEA-1 auch unabhängig von der nun entdeckten Backdoor deutliche Schwierigkeiten aufweist und nicht mehr als sicher gelten kann. Unter anderem deshalb verbietet das für Telekommunikation zuständige Normungsinstitut ETSI seit 2013 die Nutzung von GEA-1.

Die Forscher konnten darüber hinaus nun aber auch zeigen, dass vergleichsweise neue und aktuelle Smartphones und Geräte aus dem Jahr 2018 GEA-1 dennoch implementieren und unterstützen. Auch wenn GEA-1 kaum noch von Providern genutzt werde, könne dies mit einer gefälschten Basisstation dazu genutzt werden, Anwender umzuleiten und die Nutzung der veralteten Verschlüsselung zu erzwingen, die dann gebrochen werden könne, schreibt das Team.

Der Verband der Mobilfunkhersteller und -Anbieter, GSMA, arbeitet deshalb inzwischen daran, Tests umzusetzen, damit GEA-1 effektiv von den Geräten verschwindet. Wie die Süddeutsche Zeitung unter Berufung auf verschiedene Hersteller berichtet, wollen diese dafür entsprechende Updates bereitstellen.

Vor allem GEA-1, aber auch GEA-2 werden weltweit kaum noch verwendet. Auch in der Verschlüsselungstechnik GEA-2 hat das Forscherteam Schwachstellen gefunden, die sich für Angriffe ausnutzen lassen. Hier wollen die Beteiligten auf die Standardisierungsstellen einwirken, so dass auch der Einsatz von GEA-2 effektiv unterbunden wird.

Die beschrieben Verschlüsselungsalgorithmen und auch deren modernere Pendants verschlüsseln die Kommunikation zwischen Modem und Basisstation oder weiter bis zum Server der Provider. Kommt darüber hinaus für die eigentliche Internet-Anwendung auf dem Smartphone eine sichere Verschlüsselung zum Einsatz, wie die Ende-zu-Ende-Verschlüsselung vieler Messenger oder auch HTTPS für Webanwendungen, ist die Verschlüsselung des Mobilfunks ähnlich wie auch bei einer WLAN-Verbindung aber sowieso praktisch nur von wenig Relevanz. Immerhin schützt hier die Verschlüsselung der Anwendung selbst davor, dass die Kommunikation mitgelesen werden kann.