Neben dem Krypto-Algorithmus des Mobilfunkstandards GSM haben Sicherheitsforscher auch den Verschlüsselungscode für Telefonate mit einer schnurlosen Fernsprechapparatur auf Basis des weit verbreiteten Standards Digital Enhanced Cordless Telecommunication (DECT) geknackt. Dies erklärten Vertreter der Projektgruppe deDECTed.org am Dienstag auf dem 26. Chaos Communication Congress (26C3) in Berlin. Es sei möglich, einen eingesetzten Schlüssel aus abgehörtem Datenverkehr mit überschaubarem Aufwand herauszubekommen. Die Experten gehen davon aus, dass der verwendete DECT Standard Cipher (DSC) mit diesen Vorarbeiten künftig "immer einfacher und schneller gebrochen werden kann".

Mitglieder von deDECTed hatten bereits auf der Hackerkonferenz im vergangenen Jahr auf schwere Lücken bei der Implementierung der Sicherheitsfunktionen von DECT hingewiesen. Die Wissenschaftler hatten eine aufgebohrte Laptop-Karte und einen Linux-Rechner für das Belauschen von DECT-Telefonen benutzt. Bei durchgeführten Versuchen fiel ihnen auf, dass manchmal überhaupt kein Verschlüsselungsprozess zwischen der Sendestation und dem Handgerät abläuft. Vielfach authentisiert sich das Telefon nur gegenüber der Basisstation wie beim Mobilfunkstandard GSM. Bei anderen Geräten erfolgt zwar eine Authentisierung der Station, allerdings ohne Verschlüsselung. In all diesen Fällen konnten die Tüftler laufende Gespräche im Klartext mitschneiden.

Auf den geheim gehaltenen DSC hatte die Gruppe damals aber noch keinen erfolgreichen Angriff durchspielen können. Nun ist sie einen Schritt weiter, sodass Telefonieren mit DECT-Geräten selbst bei richtiger Implementierung der mit dem Standard einhergehenden Verschlüsselungsfunktionen durch einen Hersteller als unsicher zu betrachten ist. Eine Ursache dafür ist laut dem Kryptoforscher Karsten Nohl, der sich mittlerweile deDECTed angeschlossen hat, dass die Ingenieure schon beim Einbau des Verschlüsselungscodes geschludert und zugunsten einer schnelleren Kryptierung zunächst vorgesehene zusätzliche Verfahrensabsicherungen in Form von Leerlaufrunden deutlich zurückgefahren hätten.

Erste Hinweise darauf, dass bei DECT "mit der Verschlüsselung etwas nicht stimmt", hatten die Experten Nohl zufolge rasch gefunden. Die Verwendung eines proprietären, in seiner prinzipiellen Funktionsweise nicht offen gelegten Kryptostandards etwa könne fast schon als Garantie gelten, dass das Verfahren leicht zu knacken sei. Zudem sei auch keine gute Methode zur Erzeugung der für die Verschlüsselung nötigen Zufallszahlen ausfindig zu machen gewesen. Generell sei "eine Menge Design-Fehler" zutage getreten. So vertraue der Funkstandard etwa komplett der Basisstation, obwohl das Handgerät den geheimen Schlüssel aufbewahre.

Der DSC ist nach Angaben des Darmstädter Kryptoforschers Erik Tews ein wenig ausgefeilter als sein GSM-Pendant A5/1. Aus einer bildlichen Darstellung in dem betreffendem Patent sei ersichtlich gewesen, dass der Algorithmus aus vier Registern mit insgesamt 80 Bits aufgebaut sei. Das Laden der erzeugten Schlüssel erfolgte von einer Steuerungseinheit in einem unregelmäßig getakteten Verfahren. Diesem Vorgang seien immer 40 Leerrunden vorgeschaltet, was das Abgreifen des verschlüsselten Datenstroms vereinfache. Zudem habe sich ein Schreibkommando ausfindig machen lassen, das sich als nützlich fürs Reverse Engineering herausgestellt habe.

Tews schilderte die mühsame Puzzlearbeit, mit der die Wissenschaftler immer wieder Vergleiche zogen zwischen den vermuteten Abläufen innerhalb der Verschlüsselungsregister und ihren tatsächlichen Messungen. Nachdem der ein oder andere "Hier knacken"-Hinweis gefunden worden sei, habe man eine lineare Kryptoanalyse gestartet. Damit konnte die Nummer der Taktschläge in einem Register mit einer Wahrscheinlichkeit von 12 Prozent berechnen werden. So sei es möglich geworden, den DSC mit der Auswertung einer halben Million abgefangener verschlüsselter Datenströme auf einem PC zu knacken. Details dazu will die Gruppe Mitte Januar veröffentlichen.

Darüber hinaus sei es nötig, herauszufinden, wie der Verschlüsselungscode in DECT konkret arbeitet, führte Tews das weitere Vorgehen aus. Dafür könne man zum einen den Kontrollverkehr über das sogenannte A-Feld des entsprechenden C-Kanals eines Funktelefons analysieren. Dieser enthalte neben gewählten Ziffernfolgen oder ständig aktualisierten Angaben über die laufende Gesprächszeit auch den gewünschten "Keystream". Um daraus den tatsächlich verwendeten Schlüssel auslesen zu können, sei 24 Stunden an aufgezeichnetem Datenmaterial erforderlich gewesen. Über eine Auswertung des B-Felds, das eigentlich Stimmdaten enthalte, gehe es auf Basis von
Daten für 3 Stunden deutlich schneller. Voraussetzung dafür ist laut Tews aber, dass Stille übertragen werde. Dies sei etwa der Fall, wenn das Handgerät als "Wanze" etwa im Babyzimmer genutzt werde.

Die Forscher hatten das DECT-Forum vor der Präsentation über die neuen Ergebnisse informiert. Die hinter dem Standard stehende Allianz hat die Sicherheitsschwächen anerkannt (PDF-Datei) und auf die Entwicklung eines neuen, offenen kryptographischen Ansatzes in Zusammenarbeit mit dem European Telecommunications Standards Institute (ETSI) verwiesen. Eine entsprechende kurzfristige Aktualisierung von DECT solle schon im Frühjahr 2010 ratifiziert werden. Darüber hinaus sei das Forum dabei, ein formales Zertifizierungsverfahren für auf dem Standard basierende Geräte zu etablieren. Weitere Verbesserungen wolle man auch gemeinsam mit deDECTed besprechen. Die Gruppe selbst empfiehlt bis dahin, nur Telefone zu kaufen, bei denen der Nutzer die Firmware selbst aktualisieren könne. Generell empfehle es sich, Funktelefonate kurz zu halten und Schweigen zu vermeiden. (Stefan Krempl) / (nij)

Quelle: Heise.de