idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Grafik: idw-Logo

idw - Informationsdienst
Wissenschaft

Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instance:
Share on: 
06/16/2021 08:03

Hintertür in Handy-Verschlüsselung aus 90er-Jahren immer noch existent

Dr. Julia Weiler Dezernat Hochschulkommunikation
Ruhr-Universität Bochum

    Der Verschlüsselungsalgorithmus GEA-1 ist in den 1990er-Jahren in Handys implementiert worden, um Datenverbindungen zu chiffrieren. Seither wurde er geheim gehalten. Nun hat ein Forschungsteam der Ruhr-Universität Bochum (RUB) mit Kollegen aus Frankreich und Norwegen den Algorithmus analysieren können und kommt zu dem Schluss: GEA-1 ist so leicht zu brechen, dass es sich um eine absichtlich schwache Verschlüsselung handeln muss, die als Hintertür eingebaut wurde. Obwohl die Schwachstelle noch in vielen modernen Handys enthalten ist, geht laut den Forschenden heute keine große Gefahr mehr davon für Nutzerinnen und Nutzer aus.

    „Auch wenn Geheimdienste und Innenminister*innen sich aus nachvollziehbaren Gründen solche Hintertüren wünschen, sind sie nicht sinnvoll“, sagt Prof. Dr. Gregor Leander, Leiter der RUB-Arbeitsgruppe Symmetrische Kryptographie. „Denn nicht nur sie können diese Schwachstellen nutzen, sondern auch alle anderen Angreiferinnen und Angreifer. Und unsere Arbeit zeigt: Wenn eine Hintertür einmal implementiert ist, bekommt man sie so schnell nicht wieder weg.“ So hätte GEA-1 bereits 2013 aus den Handys verschwunden sein sollen; das besagen zumindest die Mobilfunkstandards. Das Forschungsteam fand den Algorithmus jedoch in aktuellen Android- und iOS-Smartphones.

    Für die Arbeiten kooperierte ein Team um Dr. Christof Beierle, Dr. David Rupprecht, Lukas Stennes und Prof. Dr. Gregor Leander von der RUB mit Kolleginnen und Kollegen der Université de Rennes und Université Paris-Saclay sowie dem französischen Forschungsinstitut Centre Inria de Paris und dem norwegischen Forschungsinstitut Simula UiB in Bergen. Die Ergebnisse präsentiert das Team im Oktober 2021 auf der Konferenz Eurocrypt. Das Paper ist seit dem 16. Juni 2021 online abrufbar.

    Die Arbeiten waren eingebettet in das Bochumer Exzellenzcluster CASA – kurz für Cyber Security in the Age of Large-Scale Adversaries –, welches das Ziel verfolgt, nachhaltige IT-Sicherheit gegen großskalige, insbesondere nationalstaatliche Angreifer zu ermöglichen.

    Lottogewinn wahrscheinlicher, als dass der schwache Schlüssel Zufall ist

    Die IT-Sicherheitsexperten bekamen die Algorithmen GEA-1 und GEA-2 aus einer Quelle, die anonym bleiben möchte, zugespielt und verifizierten zunächst ihre Echtheit. Früher wurden die Chiffren genutzt, um Datenverkehr über das 2G-Netz zu verschlüsseln, etwa beim E-Mailen oder beim Aufruf von Webseiten. Die Forschenden analysierten, wie genau die Algorithmen funktionieren. Sie zeigten, dass GEA-1 Schlüssel erzeugt, die in drei Teile gegliedert sind, von denen zwei nahezu identisch sind. Die Architektur dieser Schlüssel macht es dabei relativ leicht, sie zu erraten.

    Die Eigenschaften, die die Chiffre so unsicher machen, können laut dem Bochumer Team nicht zufällig entstanden sein. „Unserer experimentellen Analyse zufolge ist es in etwa so wahrscheinlich, zweimal hintereinander sechs Richtige im Lotto zu haben, als dass diese Eigenschaften des Schlüssels zufällig auftreten würden“, veranschaulicht Christof Beierle.

    Algorithmus GEA-2 ebenfalls schwach – aber unabsichtlich

    Auch den GEA-2-Algorithmus nahmen die IT-Experten unter die Lupe. Er ist kaum sicherer als GEA-1. „Vermutlich war GEA-2 ein Versuch, einen sichereren Nachfolger für GEA-1 aufzusetzen“, nimmt Gregor Leander an. „GEA-2 war allerdings kaum besser. Aber zumindest scheint dieser Algorithmus nicht absichtlich unsicher zu sein.“

    Die Verschlüsselungen, die GEA-1 und GEA-2 erzeugen, sind so schwach, dass man damit chiffrierte und über 2G versendete Daten live entschlüsseln und mitlesen konnte. Heute erfolgt der Datenverkehr zum größten Teil über das 4G-Netz, auch LTE genannt. Außerdem werden die Daten mittlerweile mit einer zusätzlichen Transportverschlüsselung versehen. Daher gehen die Forschenden davon aus, dass durch die alten immer noch existierenden Schwachstellen kein großes Risiko mehr für Nutzerinnen und Nutzer besteht.

    Hersteller halten sich nicht an Standards

    Eigentlich sollte GEA-1 seit 2013 nicht mehr in mobile Geräte implementiert werden. „Dass es immer noch passiert, zeigt, dass die Hersteller den Standard nicht richtig befolgen“, erklärt David Rupprecht. Über den Mobilfunkverband GSMA kontaktierte die Bochumer Gruppe die Hersteller vor der Veröffentlichung ihrer Daten, um ihnen die Gelegenheit zu geben, GEA-1 durch Software-Updates zu entfernen. Zusätzlich nahmen sie Kontakt zur ETSI auf, der für die Telekommunikationsstandards verantwortlichen Organisation, um auch GEA-2 aus den Telefonen zu entfernen. In Zukunft sollen Smartphones laut Beschluss der ETSI GEA-2 nicht mehr unterstützen.

    Förderung

    Die Arbeiten wurden unterstützt von der Deutschen Forschungsgemeinschaft im Rahmen des Exzellenzclusters CASA (EXC 2092 CaSa – 39078197) sowie der französischen Agence Nationale de la Recherche (Grant ANR-20-CE48-0017 – Projekt SELECT und Grant ANR-17-CE39-0003 – Projekt CryptAudit).


    Contact for scientific information:

    Prof. Dr. Gregor Leander
    Horst-Görtz-Institut für IT-Sicherheit
    Ruhr-Universität Bochum
    Tel.: +49 234 32 28402
    E-Mail: gregor.leander@rub.de

    David Rupprecht
    Horst-Görtz-Institut für IT-Sicherheit
    Ruhr-Universität Bochum
    Tel.: +49 234 32 23508
    E-Mail: david.rupprecht@rub.de


    Original publication:

    Christof Beierle, Patrick Derbez, Gregor Leander, Gaëtan Leurent, Håvard Raddum, Yann Rotella, David Rupprecht, Lukas Stennes: Cryptanalysis of the GPRS encryption algorithms GEA-1 and GEA-2, Eurocrypt 2021, Kroatien, DOI: 10.1007/978-3-030-77886-6_6

    Das Paper wird auch als frei verfügbarer Pre-Print-Artikel online erscheinen.


    More information:

    https://casa.rub.de/ Exzellenzcluster CASA
    https://eurocrypt.iacr.org/2021/ Konferenz-Webseite


    Images

    Obwohl die unsicheren Algorithmen längst nicht mehr auf modernen Smartphones implementiert sein dürften, gehen die Forschenden davon aus, dass sie kein großes Risiko darstellen.
    Obwohl die unsicheren Algorithmen längst nicht mehr auf modernen Smartphones implementiert sein dürf ...
    RUB, Katja Marquard
    RUB, Marquard

    Christof Beierle und Gregor Leander sind Experten für das Design und die Analyse von symmetrischen kryptographischen Algorithmen.
    Christof Beierle und Gregor Leander sind Experten für das Design und die Analyse von symmetrischen k ...
    RUB, Katja Marquard
    RUB, Marquard


    Criteria of this press release:
    Journalists
    Information technology
    transregional, national
    Research results, Scientific Publications
    German


     

    Help

    Search / advanced search of the idw archives
    Combination of search terms

    You can combine search terms with and, or and/or not, e.g. Philo not logy.

    Brackets

    You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).

    Phrases

    Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.

    Selection criteria

    You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).

    If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).