GSM-kryptering sprekket, viser sin alder

Avsløringen av en krypteringskodebok for GSM (Global System for Mobile Communications), utarbeidet av en tysk sikkerhetsforsker og hans team av samarbeidspartnere, senker linjen betydelig for mengden penger og teknisk ekspertise som kreves for å lytte inn på en GSM-basert mobiltelefonanrop. Viktigere, det illustrerer hvor gammel gjeldende GSM-kryptering er og demonstrerer hvorfor det er på tide for en oppgradering.

Retshåndhevende tjenestemenn og velfinansierte cyberkriminelle har i løpet av en tid spist GSM-kryptering, men investeringen var så høy at det ikke utgjorde mye av en trussel. Denne nye metoden senker prisen på oppføring til det punktet at det er mer et problem, men fortsatt ikke en høy risiko. Karsten Nohl annonserte at han og hans team har samlet 2 terabyte verdi for GSM-krypteringsdata. PC Worlds Robert McMillan forklarer at resultatene er som "cracking-tabeller som kan brukes som en slags omvendt telefonbok for å bestemme krypteringsnøkkelen som brukes til å sikre en telefonsamtale eller tekstmelding til GSM (Global System for Mobile Communications)."

[Videre lesing: De beste Android-telefonene for hvert budsjett.]

GSM er den mest brukte mobiltelefonteknologien i verden - står for over 80 prosent av verdens 4,3 milliarder mobiltelefoner. Krypteringsalgoritmen som beskytter GSM-baserte anrop fra å bli avlyttet og avlyst, er mer enn tjue år gammel, skjønt.

Tiden er krypteringsfjenden. Når en ny krypteringsalgoritme er utviklet og hevdet å være ugjennomtrengelig, eller at sprekkingen er så upraktisk at det ikke er troverdig, er disse påstandene basert på dagens teknologi. Etter hvert som teknologien forbedrer, har morgendagens vanlige forbruker datamaskiner til slutt prosesseringskapasiteten til gårdagens mainframes, og plutselig blir prosessorkraften som kreves for kryptering, trivial.

Som en analogi, tenk på kryptering som et puslespill der du må finne ett bestemt puslespill. Hvis puslespillet bare har 25 stykker, vil det ikke ta deg for lang tid å oppnå. Det er som en svak krypteringsalgoritme. Men hvis puslespillet har 10 000 stykker, vil det ta betydelig lengre tid. Når tiden går på, samler du flere mennesker til å bli med i prosessen og utvikle nye strategier for å sile gjennom bitene raskere og komprimere tiden som kreves for å se gjennom de 10.000 stykkene. Det ligner måten vanskelige krypteringsalgoritmer til slutt blir enkle å sprekke.

Det er også alltid mulighet for en heldig gjetning. Krypteringsspringsestimatene er basert på hvor lang tid det ville ta å arbeide gjennom alle mulige kombinasjoner og permutasjon av tegn for å bestemme krypteringsnøkkelen. Men du kan teoretisk finne den rette nøkkelen på det åttende trykket i stedet for de ti tusen.

Det faktum at A5 / 1-algoritmen brukes til å kryptere GSM-telefoner, er mer enn to tiår gammel og fremdeles chugging sammen er et testamente til styrke algoritmen hadde ved starten. Mobiltelefonindustrien bør vurdere seg selv heldig at dette bare nå blir et problem.

For nå må metodene som ble avslørt på Chaos Communication Conference i Berlin fortsatt kreve en ganske høy investering i teknologi som sannsynligvis vil motvirke uformell GSM-hacking. Men mobilbransjen som helhet trenger å takle svakheten i den geriatriske A5 / 1 krypteringsalgoritmen før den brytes blir det så trivielt at krypteringen er helt ubrukelig.

Tony Bradley tweets som

@PCSecurityNews, og kan kontaktes på hans Facebook-side.