Seminarausarbeitung. Die Stromchiffre A5. Philipp Südmeyer Matr.-Nr.: Letzte Änderung: 7. November 2003

Transkript

1 Seminarausarbeitung Die Stromchiffre A5 Philipp Südmeyer Matr.-Nr.: Letzte Änderung: 7. November 2003 Ruhr-Universität Bochum Lehrstuhl für Kommunikationssicherheit Betreuer: Dipl.-Ing. Kai Schramm

2 In dieser Ausarbeitung zum Seminar IT-Sicherheit wird der auf der Verschaltung von linear rückgekoppelten Schieberegistern ( LFSR ) basierende Algorithmus A5 und die bisher gefundenen Angriffstechniken beleuchtet. Dazu kommt eine kleine Einführung in Form eines historischen Überblicks, sowie die kurze Betrachtung der Infrastruktur eines auf dem GSM-Standard basierenden Kommunikationsnetzes.

3 Inhaltsverzeichnis 1. GSM - Etwas Hintergrundwissen Ein chronologischer Überblick Die Infrastruktur des GSM-Netzes Verbindungsaufbau Stromchiffre A Allgemeines Aufbau des A5/ Angriffe auf A5/ Grundsätzliches Vollständige Suche Angriff von R. Anderson und M. Roe Time-Memory-Tradeoff nach J. Golić Angriff nach A. Biryukov, A. Shamir und D. Wagner Divide and Conquer -Verfahren nach Golić Ansatz von G. Gong A5/2 - Aufbau und Angriff Aufbau des A5/ Fazit 20 A. 22 A.1. A5/1/2 nach Briceno, Goldberg & Wagner

4 Abbildungsverzeichnis 1.1. Teilnehmerzahlen weltweit (Quelle: [1]) Logischer Aufbau eines GSM-Netzes Funktionsprinzip des A5/ Funktionsprinzip des A5/

5 1. GSM - Etwas Hintergrundwissen 1.1. Ein chronologischer Überblick In den frühen achtziger Jahren wurde die Entwicklung auf dem Markt der zellularen Telefonsysteme in Europa immer klarer. Besonders in Skandinavien, aber auch in vielen anderen Ländern Europas, machte sich ein starkes Wachstum bemerkbar. Jede Nation entwickelte ihr eigenes System, keines war kompatibel zum nächsten. Wie man sich leicht denken kann, war dadurch weder der Aufbau eines internationalen, noch der eines preiswerten Handynetzes möglich. Dieses Problem wurde sehr früh erkannt, so dass durch die CEPT 1 die Groupe Spécial Mobile 2 ( GSM ), eine Arbeitsgemeinschaft zur Entwicklung eines neuen Mobilfunknetzes, ins Leben gerufen wurde. Die Entwicklung des neuen, international standardisierten Kommunikationsprotokolls dauerte bis In diesem Jahr wurde von 17 Staaten ein Abkommen über den neuen Standard unterzeichnet. Damit begann der langsame Aufbau eines global kompatiblen Telefonnetzes, mit den folgenden Primärzielen: möglichst gute Sprachqualität Kompatibilität zu ISDN-Netzen Grenzüberschreitende Kompatibilität Erweiterbarkeit ( SMS, WAP,... ) Sicherheit bzgl. der Authentifikation und Kommunikation 1 Conférance Européenne des Administrations des Postes et des Télécommunications 2 später umbenannt in Global System for Mobile Communication 5

6 Abbildung 1.1.: Teilnehmerzahlen weltweit (Quelle: [1]) Im Jahr 1992 zählte man auf der Welt ca. 1 Mio. Teilnehmer, 5 Jahre später waren es bereits 71,2 Mio. Die Teilnehmerzahl stieg rasend schnell an und ist heute, gut fünf Jahre später, dabei die Milliardenmarke zu überschreiten. Weiterführende Informationen lassen sich in [1] und [3] finden Die Infrastruktur des GSM-Netzes Die Infrastruktur besteht zunächst einmal aus der vom Endbenutzer verwendeten Mobile Station (MS) 3 sowie dem vom Netzbetreiber installierten Netzwerk. Um über die MS eine Verbindung aufbauen zu können, wird ein Subscriber Identity Module (SIM) benötigt. Auf der SIM-Karte sind alle Daten gespeichert, die zur Identifizierung des Teilnehmers von Nöten sind. Hierbei sind die International Mobile Subscriber Identity (IMSI) 4 und der geheime Schlüssel K i besonders hervorzuheben. Darüber hinaus können auf der SIM- Karte private Daten wie z.b. das Adressbuch gespeichert werden. 3 üblicherweise ein Mobiltelefon 4 weltweit eindeutig, wie die persönliche Telefonnummer 6

7 Das Netzwerk lässt sich in drei Gruppen einteilen, welche unterschiedlichen Zwecken dienen und jeweils aus verschiedenen Komponenten bestehen: Base Station Subsystem (BSS) Network and Switching Subsystem (NSS) Operation Subsystem (OSS) Base Station Subsystem Network and Switching Subsystem Mobile Station BTS Richtfunk MSC HLR VLR EIR MS SIM AuC BSC BTS Erdkabel Operation Subsystem OMC Abbildung 1.2.: Logischer Aufbau eines GSM-Netzes Das BSS beinhaltet unterschiedlich viele Base Transceiver Stations (BTS) 5 und einen Base Station Controller (BSC). Der BSC steuert die in seinem Bereich liegenden BTS und dient darüber hinaus als Bindeglied zum NSS. Es ist noch erwähnenswert, daß die Datenübertragung zwischen BTS und BSC üblicherweise durch eine unverschlüsselte Richtfunkstrecke, teilweise auch über Erdkabel realisiert wird. Die NSS beherbergen alle Verwaltungstechnischen Dienste. Hier sind besonders die Mobile Switching Centers (MSC) zu nennen, welche als Vermittlungsstelle 6 dienen. 5 Sendemasten 6 zur Vermittlung in Fremdnetze gibt es Gateway MSCs 7

8 Um diese Aufgabe zu bewältigen haben sie Zugriff auf die folgenden Datenbanken: Home Location Register (HLR) Visited Location Register (VLR) Equipment Identity Register (EIR) Authentification Center (AuC) Das HLR ist das Herzstück eines GSM-Netzes und existiert im Allgemeinen genau einmal im gesamten Netzwerk eines Betreibers 7. Hier werden alle Kundendaten gespeichert. Von dem jeweilig zuständigen VLR werden beim HLR alle benötigten Informationen über die im Bereich eines MSC befindlichen MS angefragt und lokal gespeichert 8.DasEIRdient der Speicherung von Endgerätedaten, insbesondere der Individual Mobile Equipment Identity (IMEI). Anhand der IMEI ist jedes Handy weltweit eindeutig identifizierbar. Mit dem EIR läßt sich beispielsweise eine schwarze Liste gestohlener Handys erstellen. Im AuC werden alle sensiblen Daten gespeichert, die der Authentifizierung und verschlüsselten Kommunikation einer MS dienen. Dieses gesamte Szenario wird durch das OSS, welches in erster Linie aus dem Operation And Maintenance Center (OMC) besteht, gesteuert und kontrolliert. Man kann sich leicht denken, daß OMC und MSC stark zusammenhängen Verbindungsaufbau Jedesmal wenn eine MS beim nächstgelegenen BTS den Aufbau einer Verbindung anfordert laufen folgende Schritte ab: MS sendet TMSI 9 bzw. IMSI an die nächstgelegene BTS BTS leitet Anfrage an AuC weiter AuC antwortet mit Tripel aus Zufallswert RAND 10 und dazugehöriger Signed Response (SRES) sowie geheimem Sitzungsschlüssel K c 7 Das HLR entspricht also in etwa dem root-dns einer Top-Level-Domain im Internet 8 Analog zum HLR entspricht das VLR also einem normalen DNS im Internet 9 Durch die zuständige VLR vergebene, temporäre Identifikationsnummer. Dient dem Datenschutz Byte 11 4Byte 12 8Byte 8

9 Anschließend sendet die BTS den Zufallswert RAND an die MS MS erzeugt aus RAND und K i ebenfalls eine Signed Response (SRES ) und sendet Sie an die BTS BTS vergleicht SRES und SRES Bei Übereinstimmung hat sich die MS korrekt am System angemeldet und darf eine Verbindung aufbauen. Bei der Authentifizierung wurde gleichzeitig ein geheimer Sitzungsschlüssel erzeugt, der beiden Parteien bekannt ist. Die weitere Kommunikation kann also verschlüsselt ablaufen. Außerdem ist der sensibelste Bestandteil, nämlich der geheime Schlüssel K i, nicht preisgegeben worden. Lediglich SIM und AuC kennen diesen Schlüssel und geben ihn nie preis. Bei diesem Prozedere kommen die durch die GSM definierten Schnittstellen A3 und A8 zum Einsatz. A3 ist dabei für die Authentifizierung und A8 für die Schlüsselgenerierung verantwortlich. Jeder Anbieter hat also die Möglichkeit, hier seiner eigenen Kreativität freien Lauf zu lassen. Als Beispiel führte die GSM den kombinierten Algorithmus COMP auf, welcher weltweit von vielen Anbietern eingesetzt wird 14. Der COMP128 ist jedoch relativ leicht brechbar. Für weitergehende Informationen sei auf [7] verwiesen. Bei der Gesprächsverschlüsselung kommt der im folgenden genauer besprochene Algorithmus A5 zum Einsatz. Dieser Algorithmus ist allerdings durch die GSM genau definiert, wenn auch geheim gehalten. Es dürfte dann auch klar sein, daß die Algorithmen A3 und A8 auf der vom Anbieter bereitgestellten SIM-Karte enthalten sind. Der A5 befindet sich hingegen in der MS. 13 erzeugt aus (RAND + K i ) 16Byte einen 128 Bit langen Hashwert mit SRES und K c 14 Ein großer Teil der europäischen Anbieter nutzt heute eigene Protokolle 9

10 2. Stromchiffre A Allgemeines Wie der Leser im vorhergehenden Kapitel erfahren konnte, läuft eine Kommunikation unmittelbar zwischen Mobiltelefon und Base Transceiver Station ab. Lediglich dieser Teil der Verbindung wird i. A. verschlüsselt. Die BTS hat jedoch die Möglichkeit, sogar die Verschlüsselung auf dieser so genannten Luftschnittstelle zu deaktivieren. Das kann zum Beispiel bei Empfangsproblemen geschehen. In jedem Fall fordert das Übertragungsprotokoll den Austausch von je 114 Bit in beiden Richtungen. Es wird hierbei von einem Rahmen bzw. Frame gesprochen. Jeder dieser Rahmen entspricht einer Zeiteinheit von 4,615ms (vgl. [2] S. 40 ff.). Zu jedem Rahmen gehört eine 22 Bit lange Rahmennummer N 1 f. Die Verschlüsselung der Luftschnittstelle findet bis heute in Form einer Stromchiffrierung 2 statt. Es stellt sich nun die Frage, wie die für jeden Rahmen benötigten 228 Schlüsselbits zustande kommen. An dieser Stelle setzt der A5 an. Es gibt den A5 klassischerweise in zwei ähnlichen Varianten - A5/1 und A5/2. A5/2 unterscheidet sich von A5/1 nur dahingehend, daß die enthaltenen Taktkontrollbits in ein viertes LFSR ausgelagert sind. Auf diese Weise wird der Algorithmus geschwächt. Diese Version des A5 kommt in Ländern mit Verschlüsselungsbeschränkungen 3 zum Einsatz. A5 wurde unter strengster Geheimhaltung in den achtziger Jahren entwickelt. Die Spezifikation des Algorithmus wurde der Öffentlichkeit nie zur Verfügung gestellt. Allerdings wurde ungefähr zeitgleich mit der Entwicklung des Algorithmus auch die Diskussion über den internen Aufbau des A5 begonnen. So haben sich einige findige Mathematiker daran gemacht, den Algorithmus zu rekonstruieren. Im Sommer 1994 veröffentlichte R. Anderson die erste Annäherung an den geheimen A5 im Usenet. Fünf Jahre später wurde durch die Herren M. Bricenco, I. Goldberg und D.Wagner eine genaue Beschreibung des A5/1 veröffentlicht, die inzwischen auch allge- 1 für Frame Number 2 also der Bitweisen XOR-Verknüpfung der ein- bzw. ausgehenden Daten mit den jeweils identischen Zufallsbits 3 z.b. Australien und China 10

11 mein als korrekt angesehen wird. Die dazugehörige Implementation in C befindet sich im Anhang (vgl. A). Bei Recherchen zum Aufbau des A5 tauchen kleinere Ungereimtheiten auf, die sich auf Grund der Geheimhaltung der Spezifikation nicht genau überprüfen lassen. So spricht z.b. E. Zenner in [7] von 428 Bit, die bei jedem Durchlauf des A5 erzeugt werden. In der Literatur, auf die sich Zenner bezieht (z.b. [8]), werden i. A. jedoch nur 328 Bit aufgeführt. An anderer Stelle war die Rede von lediglich 114 Bit, was jedoch offensichtlich falsch sein wird. Im Herbst des vergangenen Jahres wurde die Spezifikation für einen neuen Standard mit dem Namen A5/3 angekündigt. Dieser unterscheided sich grundlegend vom ursprünglichen A5. So handelt es sich nun um eine Blockverschlüsselung. Der A5/3 wurde im Gegensatz zu seinen Vorgängern nicht unter strengster Geheimhaltung entwickelt, sondern von der Security Algorithms Group of Experts (SAGE), einer Abteilung des European Telecommunications Standards Institutes (ETSI) 4, entworfen und veröffentlicht Aufbau des A5/1 Der Algorithmus A5/1 besteht aus drei Schieberegistern mit den Längen 19, 22 und 23 Bit, deren Ausgänge miteinander XOR-verknüpft werden, und liefert 328 pseudozufällige Bits pro Rahmen. Dazu kommt eine Taktsteuerung, die dynamisch eine Auswahl der zu taktenden Register trifft. Der Ausgang der drei LFSR wird Bitweise auf den Datenstrom des jeweiligen Rahmens addiert. Bevor die eigentliche Verschlüsselung stattfindet sind die drei Register zu initialisieren. Dabei findet die Taktkontrolle noch keine Verwendung! Die Initialisierung der LFSR sieht konkret wie folgt aus: Alle drei Register werden mit dem Nullvektor geladen. Anschließend wird der Sitzungsschlüssel K c in jedes Register geladen. Jedes Register wird 64 mal getaktet, mit jedem Takt t wird das Bit t des Sitzungsschlüssel eingespeist. Hierbei findet also schon eine Vermischung statt - nach 8, 14 und 21 Takten fängt der jeweilige LFSR an zu arbeiten. Die Ausgabebits verfallen dabei ungenutzt. Als nächstes wird auf die selbe Weise die aktuelle Framenummer in jedes Register geladen. 4 offizielles europäisches Standardisierungsinstitut mit Sitz in Frankreich 11

12 18 CLK 0 R1 Klartext Schlüsseltext Pseudozufallszahlen 21 CLK 0 R2 22 CLK 7 0 R3 Abbildung 2.1.: Funktionsprinzip des A5/1 Nun befindet sich der A5/1 im initialisierten Zustand S(0) und kann mit der Verschlüsselung beginnen. Mathematisch gesehen ist folgendes passiert: Es wurden nacheinander die Werte K c mit einer Länge von 64 Bit 5 und N f mit einer Länge von 22 Bit in jedes einzelne Register geschrieben. Das Ergebnis war der innere Zustand S(0). Es handelt sich also um eine lineare Abbildung f: (K c,n f ) S(0), wobei (K c,n f )= =2 86 und S(0) = =2 64. Der Anschließend erzeugte Schlüsselstrom hat eine Länge von 328 Bit. Naiv betrachtet könnte man zu dem Schluß kommen, daß unterschiedliche Schlüsselströme möglich sind. Das trifft aber wegen der Initialisierung mit 2 64 Möglichkeiten nicht zu. Für die nun folgende Verschlüsselung der Rahmendaten wird die Taktkontrolle zugeschaltet. Ohne die Taktsteuerung wäre der A5 linear. Es würden lediglich die Ausgänge der drei Schieberegister miteinander verknüpft und man könnte durch Lösen eines linearen Gleichungssystems den Anfangszustand S(0) rekonstruieren. Mit Hilfe der Taktung werden die Schieberegister zu unterschiedlichen Zeitpunkten angesprochen. Man kann sich vorstellen, daß der Ausgangsstrom dadurch unlinearer wird. Zur Taktung der einzelnen Register dienen drei Taktkontrollbits τ, von denen je eines in jedem Register enthalten ist. Man geht davon aus, daß τ 1 =11, τ 2 =12und τ 3 =13gilt. Die Ansteuerfunktion der LFSR läßt sich leicht wie folgt beschreiben: 5 üblicherweise wird in Verbindung mit COMP128 die Schlüssellänge, durch auffüllen mit Nullen in den untersten Bitstellen, auf 54 Bit verkürzt 12

13 Wenn höchsten ein Taktkontrollbit den logischen Wert 1 hat, dann takte alle Register, deren Taktkontrollbits auf 0 stehen. Wenn mehr als ein Taktkontrollbit auf 1 steht, dann takte alle Register, deren Taktkontrollbits auf 1 stehen. Es werden also immer zwei respektive drei Register getaktet. Die Chance eines Register, getaktet zu werden, liegt bei 75% Eine interessante Beobachtung ist, daß die Schlüssellänge nichts mit der Gesamtlänge der drei Register zu tun hat. Anderson stellte in seiner Publikation die Vermutung an, daß K c auf die drei LFSR verteilt würde. Das hätte einen Angriff stark erleichtert. Allerdings muß man dazu sagen, daß er parallel zu dieser Annahme davon ausging, daß die Taktsteuerung bereits zur Einspeisung der Rahmennummer aktiviert würde. Dieses hätte wiederum zur Folge, daß sich aus dem bekannten Initialisierungswert der Register nicht unmittelbar der Sitzungsschlüssel K c ableiten ließe. Aber auch diese Annahme trifft nicht zu. Für die Verschlüsselung werden nicht alle 328 Bit benötigt; lediglich 114 Bit sollen in jeder Richtung übertragen werden. Es ergibt sich folgende Struktur (vgl. [7]): Die ersten 100 Bit verfallen ungenutzt. Nun folgen 114 Bit, die Bitweise auf den gesendeten Datenstrom 6 addiert werden. Abschließend werden die 114 empfangenen Bits mit den restlichen Bits des A5 XOR-verknüpft. Damit ist ein Rahmen abgewickelt worden und der A5 wird neu initialisiert. Eine Wiederholung des Bitstroms tritt erst nach ca. 209 Minuten ein (vgl. [5]). 6 aus Sicht des Teilnehmers 13

14 2.3. Angriffe auf A5/ Grundsätzliches Das Grundprinzip für einen Angriff auf den A5 sieht üblicherweise so aus, daß man versucht den Weg vom Initialisierungstupel (K c,n f ) zu den 328 ausgegebenen Bis rückwärts abzugehen. Man spricht dann auch von einem Inversionsangriff. Die Schwierigkeit eines solchen Angriffs besteht darin, S(0) zu bestimmen. Das Tupel (K c,n f ) läßt sich aus S(0) relativ leicht berechnen. Die andere Alternative, also das Ausprobieren von verschiedenen Schlüsseln, wird als Vorwärtsangriff bezeichnet. Die Voraussetzung für einen Angriff ist üblicherweise das Vorhandensein von einigen Klartextstücken mit den zugehörigen Chiffraten. Wenn der Klartext überhaupt nicht bekannt ist, dann wird die Schlüsselsuche verkompliziert - das System muß eine sinnvolle von einer Schlechten Lösung unterscheiden können. Da im GSM eine Komprimierung der Sprachdaten vorgesehen ist, kann man eine sinnvolle Lösung aber relativ leicht anhand der spezifischen Eigenschaften des Kompressionsverfahrens erkennen. Die hier vorgestellten Angriffe führen den Angreifer nicht zum Zustand S(0). Lediglich der Zustand vor Beginn der Verschlüssellung wird erreicht. Es fehlen also noch die 100 verworfenen Bits. Diese lassen sich durch statistische Auswertungen und auch durch bestimmte Vorberechnungen relativ leicht ermitteln. Aus S(0) den geheimen Sitzungsschlüssel K c zu ermitteln ist dann auch kein großes Problem mehr. Im folgenden werden die bekannten Angriffstechniken kurz angeschnitten. Tiefergehende Informationen finden sich in [6], [7] und [9] Vollständige Suche M. Briceno, I.Goldberg und D. Wagner (vgl. [8]) stellten in ihrer Veröffentlichung zum A5/1 fest, daß die Länge von K c üblicherweise auf 54 Bit gekürzt würde. Das ermöglicht eine Brute-Force-Attacke (Vorwärtsangriff) mit einem Aufwand O(2 54 ). Im Durchschnitt würde also nach 2 53 Versuchen der richtige Schlüssel gefunden. Für diese Form des Angriffs ist nicht einmal die innere Struktur des A5 von Interesse! Angriff von R. Anderson und M. Roe Der älteste rekursive Angriff wurde von Anderson und Roe veröffentlicht. Es soll sich durch beliebige Wahl der ersten beiden Register das dritte einfach berechnen lassen. Damit liesse sich eine Komplexität von O(41) erreichen. Hierbei wählt man die ersten 14

15 beiden Registerinhalte beliebig und berechnet anschließend die sich daraus ableitenden 23 Bit des dritten LFSR. Leider wurde bei diesem Ansatz die Taktkontrolle mißachtet. Um den Angriff praktisch durchführen zu können, müssen vom dritten Register zumindest die für den Takt aktuell relevanten Bits geraten werden. Mit diesem verbesserten Angriff würde man somit 11 Bit gegenüber der volständigen Suche einsparen. Die Komplexität liegt also im Worst Case bei etwa 2 63,32 11 =2 53,32 Rateversuchen (vgl. [7]). Wenn man davon ausgeht, daß ein heutzutage gängiger PC ca. 20 Mio. Tests pro Sekunde durchführen kann, so würde ein solcher Angriff immerhin ca. einen Monat Zeit in Anspruch nehmen Time-Memory-Tradeoff nach J. Golić Time-Memory-Tradeoff meint das Abwägen eines guten Verhältnisses zwischen den auf einem Festspeicher gesicherten Vorberechnungen bzw. nutzbaren Informationen und der daraus resultierenden Arbeitsintensität einer Schlüsselsuche. Konkret zielt der Angriff von Golić auf das so genannte Geburtstagsparadoxon ab. Dabei geht es um die Frage, wie groß eine Personengruppe sein muß, damit die Wahrscheinlichkeit über 50% liegt, daß zwei Personen am selben Tag Geburtstag haben. Die Lösung ist 24. Bei Golićs Ansatz wird die Frage noch etwas verkompliziert. Sie lautet nun: wieviele Personen müssen im Durchschnitt befragt werden, damit die Chance größer 50% ist, daß der Fragende und der Befragte den selben Geburtstag haben? Um wieder auf den A5 zu kommen: es stellt sich die Frage, wieviele mögliche Übertragungsrahmen (maximal 2 64 ) in einer Datenbank abzuspeichern sind, damit die Warscheinlichkeit einer Kollision mit den mitgeschnittenen Rahmen eines Telefonats sehr groß ist. Sehr groß meint natürlich nicht mehr 50%, sondern ungefähr 100%. Nun muß man abwägen, zwischen der mindestens benötigten Gesprächsdauer - also den potentiellen Kollisionspartnern - und der daraus resultierenden größe der benötigten Datenbank. Der Angriff erweist sich als unpraktikabel. Zum einen liegt es daran, daß selbst bei großen Vorberechnungen noch ein sehr langes Gespräch abgehört werden muß um Kollisionen zu finden. Außerdem würde alleine die für den Datenvergleich benötigte Zugriffszeit auf eine Festplatte viele Tage dauern Angriff nach A. Biryukov, A. Shamir und D. Wagner Bei diesem Angriff handelt es sich um die selbe Grundidee, die auch schon Golić hatte. Allerdings wird hierbei die Datenbank der Vorberechnungen nach ganz bestimmmten 15

16 Kriterien generiert. So macht man sich zum Beispiel die regelmäßgie Neuinitialisierung mit dem selben geheimen Schlüssel zunutze. Das Konzept ist in gewissen Grenzen variabel. Die Komplexität der Vorberechnungen liegt zwischen O(2 38 ) und O(2 48 ). Dabei ergibt sich eine benötigte Festplattenkapazität zwischen 146 und 292 GB. Je nach mitgeschnittener Gesprächsdauer ist ein solcher Angriff dann nahezu in Echtzeit möglich! Divide and Conquer -Verfahren nach Golić Diese Angrifftechnik basiert auf dem Lösen von linearen Gleichungssystemen. Gesucht ist der innere Zustand des Systems, zu Beginn des Übetragungsrahmens. Wegen der unsynchronen Taktung der drei Register besteht zunächst einmal keine lineare Abhängigkeit zwischen dem Ausgangstrom des A5 und den drei Ausgängen der Register. Wenn man jedoch den Zustand der drei Taktkontrollbits beliebig annimt, dann kann man daraus schließen, welche Register mit dem nächsten Takt angesprochen werden. Bei den entsprechenden Registern wäre es nun interessant, wie wohl der Folgezustand ist. Auch dise Bits kann man wieder raten und damit auch die beim nächsten Takt angesteuerten Register ausmachen u.s.w. Das willkürliche vorgeben der jeweiligen Bits hat nun aber einige Nebenwirkungen. So hängt es von diesen Bits ab, welcher Zustand rückgekoppelt wird. Auf diese Weise lassen sich schon zwei verschiedene Gleichungstypen aufstellen. Ein dritter Typ ergibt sich aus dem Schlüsselstrom des Systems, der ja von den drei LFSR-Ausgängen direkt abhängig ist. Auf diese Weise lassen sich durch das Raten der Taktkontrollbits 64 linear unabhängige Gleichungen bestimmen, die es zu Lösen gilt. Daraus resultiert dann ein innerer Zustand, der noch gegengeprüft werden muß. Man läßt den A5 also mit seinem errechneten Zustand vorwärts laufen und vergleicht mit dem abgehörten Schlüsselstrom. Stimmen die beiden Ströme überein, so ist der korrekte innere Zustand errechnet worden. Ist dies nicht der Fall, muß man auf die selbe Weise 64 neue Gleichungen suchen Ansatz von G. Gong Guang Gong machte im vergangenen Jahr die Enteckung, daß es im A5 Kollisionen gibt. Es führt also nicht jede der 2 64 möglichen Initialisierungen auf einen individuellen Schlüsselstrom. Wenn man zwei vermeintlich unterschiedliche Schlüsselströme vergleicht, dann stellt man, zumindest nach kleinen Verschiebungen, oftmals Deckungsgleichheiten fest. Nach Gongs Aussagen liegt die Warscheinlichkeit für eine solche Kollision bei immerhin 30%. Frau Gong fand heraus, daß die Periodenlänge des A5/1 bei lediglich 4 3 (223 1) 16

17 liegt. Die drei LFSR haben jeweils maximale Periodenlänge 7. Ohne die Taktung ergibt sich also eine Periodenlänge von Guang Gong vermutet hinter diesen Tatsachen eine Schwäche in der Verschlüsselung, die allerdings noch zu finden ist. 7 also 2 n 1 17

18 18 0 R1 Klartext Schlüsseltext Pseudozufallszahlen 21 0 R R3 CLK1 CLK2 CLK3 0 R4 Abbildung 2.2.: Funktionsprinzip des A5/ A5/2 - Aufbau und Angriff Der A5/2 unterscheidet sich vom A5/1 nur dahingehend, daß die Taktkontrollbits in ein viertes Register ausgelagert wurde. Das hat aber eine enorme Abschwächung des Algorithmus zur Folge. Das Problem des im vorhergehenden Abschnitt aufgeführten Angriff nach Anderson und Roe waren genau die Taktkontrollbits. Ohne diese ließe sich aus zwei beliebig gewählten Registern leicht der Inhalt des dritten ermitteln. Beim A5/2 ist das also prinzipiell möglich. es gibt allerdings noch eine bessere Möglichkeit. Beim Angriff von S. Petrović, A. Fúster-Sabater werden nicht die drei Register analysiert, die den Schlüsselstrom liefern. Stattdessen wird das vierte Register analysiert. Hierzu werden innere Zustände geraten und daraus abgeleitet, wie die ersten drei Register getaktet würden. Auf diesem Weg läßt sich wiederum der Inhalt der drei Register ermitteln. 18

19 2.5. Aufbau des A5/3 Der A5/3 unterscheidet sich völlig von den beiden anderen Versionen. Zum einen handelt es sich hierbei nicht mehr um eine Strom- sondern um eine Blockchiffre. Außerdem wurde der A5/3 im Gegensatz zu seinen Vorgängern nicht geheim entwickelt. Statt dessen kann sich jeder Interessent die Spezifikationen im Internet herunterladen (vgl. [10]). A5/3 und der in UMTS-Netzen verwendete KASUMI Algorithmus sind identisch. Beide stammen vom Misty-Algorithmus ab, welcher von Mitsubishi erfunden wurde. Der A5/3 wurde durch die ETSI unter dem Markenzeichen 3GPP 8 veröffentlicht. Diese Bezeichung soll die Zusammenarbeit zwischen Industrie und Forschung bei der Entwicklung neuer Algorithmen für die Mobilfunknetze der dritten Generation hervorheben. A5/3 verschlüsselt immer einen 64 Bit Block mit Hilfe eines 128 Bit langen Schlüssels. Der Algorithmus wurde als Feistelchiffre mit 8 Runden entworfen. Im A5/3 kommen zwei S-Boxen zum Einsatz. Insgesamt finden pro Runde 2 Funktionsaufrufe und 12 Substitutionen statt. Hierbei ist zu bemerken, daß die beiden aufgerufenen Funktionen wiederum Unterfunktionen aufrufen. Für eine genauere Betrachtung des Algorithmus sei auf die Spezifikation verwiesen. 8 3rd Generation Partnership Project 19

20 3. Fazit Zusammenfassend läßt sich sagen, daß der in den meißten Industrienationen zum Einsatz kommende A5/1 als relativ sicher anzusehen ist. Es gibt lediglich eine realistische Möglichkeit, den Algorithmus zu brechen den Angriff von A. Biryukov, A. Shamir und D. Wagner. Alle anderen bisher veröffentlichten Angriffe erweisen sich für die Praxis als unrelevant. Für den eben genannten Angriff ist nicht nur eine gute Rechnerausstattung notwendig, sondern auch die entsprechende Meßtechnik. Es handelt sich also bei weitem nicht um eine Attacke, die jedem Interessierten zur Verfügung steht. Lediglich Großunternehmen und Nachrichtendienste dürften über die entsprechenden finanziellen Mittel verfügen. Für den A5/2 gilt, daß er durch entsprechend finanzkräftige Institutionen leicht zu brechen ist. Der A5/3 wird momentan als sehr sicher eingeschätzt. David Wagner äußerte sich dazu am im Usenet wie folgt: A5/3 is Kasumi. I don t know of any problems with Kasumi. I think it s great that they ve moved from A5/1 and A5/2 to Kasumi; that s a big step forwards, and we should applaud that. I consider it unlikely that anyone will break 3GPP s security by attacking Kasumi. (This is in contrast to previous digital cellphone standards, where the cryptography had serious problems.) Derjenige der nicht die Sicherheit des einzelnen Algorithmus betrachtet, sondern die Abhörsicherheit eines Telefonats im GSM-Netz, kommt zu einem etwas differenzierteren Ergebnis. Es gibt durchaus Möglichkeiten ein Handygespräch abzuhören, ohne dazu den verwendeten Kryptalgorithmus brechen zu müssen. So lassen sich mit so genannten IMSI-Catchern auf leichte Weise man in the middle -Attacken durchführen. Dazu gibt sich das Gerät gegenüber dem anzugreifenden Mobilfunkgerät als Basisstation und gegenüber einer realen Basisstation als Handy aus. Einzige Vorraussetzung ist hierbei, daß sich der Angreifer möglichst nah am abzuhörenden Gerät befindet, damit dieses den IMSI-Catcher und nicht irgend eine andere BTS als Basisstation benutzt. IMSI-Catcher 20

21 sind natürlich nicht auf dem freien Markt erhältlich. Im Internet kursiert allerdings das Gerücht, daß unter anderem die Firma Rohde & Schwarz ein solches Gerät an einen exklusiven Kundenkreis vertreibt. Außerdem wird davon ausgegangen, daß sowohl Nachrichtendienste, als auch bestimmte Polizeieinheiten über solche Geräte verfügen. Da die Kommunikation innerhalb des Betreibernetzes üblicherweise unverschlüsselt stattfindet, ist auch ein Abhören der Verbindung zwischen BTS und BSC denkbar gerade dann, wenn die Verbindung über eine Richtfunkstrecke realisiert wird. Auch eine Infiltrierung des AuC ist nicht auszuschließen. Solch ein Vorgehen würde dem Angreifer ungeahnte Möglichkeiten eröffnen. Wenn man als Mobilfunknutzer sicher sein will, daß das Gespräch von keiner dritten Person mitgehört wird, dann sollte man den Kauf eines Krypto-Handys in Erwägung ziehen. Beispielsweise ist von Rohde & Schwarz ein Handy erhältlich, welches nach dem 1024-Bit starken Schlüsslaustausch das gesamte Gespräch mit einer 128 Bit Stromchiffre verschlüsselt. 21

22 A. A.1. A5/1/2 nach Briceno, Goldberg & Wagner / A pedagogical implementation of the GSM A5/1 and A5/2 "voice privacy" encryption algorithms. Copyright (C) : Marc Briceno, Ian Goldberg, and David Wagner The source code below is optimized for instructional value and clarity. Performance will be terrible, but that s not the point. This software may be export controlled by US law. This software is free for commercial and non commercial use as long as the following conditions are adhered to. Copyright remains the authors and as such any Copyright notices in the code are not to be removed. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. THIS SOFTWARE IS PROVIDED AS IS AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. 22