image

Onderzoekers: GPRS-encryptiealgoritme GEA-1 opzettelijk verzwakt

donderdag 17 juni 2021, 10:05 door Redactie, 17 reacties

Het GPRS-encryptiealgoritme GEA-1 dat eind vorige eeuw door telefoons werd gebruikt voor het versleutelen van dataverbindingen was opzettelijk verzwakt, waardoor het mogelijk was om de encryptie te kraken, zo stellen onderzoekers op basis van een crypto-analyse. De ontwerpers van het algoritme lieten in het ontwerpdocument van het GSM GPRS Encryption Algorithm (GEA) uit 1998 al weten dat ze met de op dat moment geldende exportbeperkingen rekening zouden houden (pdf).

Het encryptiealgoritme had 64-bit beveiliging moeten bieden, maar bood in werkelijkheid slechts een beveiligingsniveau van 40-bit. Volgens de onderzoekers is dit een bewuste ontwerpkeuze van de ontwikkelaars geweest. Door het lagere beveiligingsniveau was het mogelijk voor aanvallers om gebruikers passief af te luisteren. Voorwaarde was dat een aanvaller het versleutelde radioverkeer onderschepte alsmede 65 bits van "bekende keystream" data. Het gaat dan om 65 bits van versleutelde data waarvan de plaintext al bekend is.

"Het ontwerp van GPRS bevat tal van packetheaders en dingen die voorspelbaar zijn, waardoor het relatief eenvoudig is om door alleen passief af te luisteren 65 bits aan bekende keystream te onderscheppen", zegt Matthew Green, cryptograaf en hoogleraar aan de Johns Hopkins University, op Twitter. Hij merkt op dat het algoritme grotendeels is uitgefaseerd en alleen in nog wat oudere telefoons en basebands aanwezig is.

Voor eigenaren van dergelijke telefoons kan de aanwezigheid van GEA-1 een probleem zijn, aangezien het via een malafide telefoonmast mogelijk is een downgrade-aanval uit te voeren zodat de telefoon van GEA-1 gebruikmaakt als het toestel dit ondersteunt. GEA-1 en GEA-2 werden in 2013 officieel uitgefaseerd. De zwakte die in GEA-1 werd gevonden is niet aanwezig in GEA-2, stellen de onderzoekers. Ook dit algoritme biedt echter geen volledige 64-bit bescherming en zou volgens de onderzoekers niet meer moeten worden gebruikt.

Toch is het verdwijnen van GEA-1 geen reden voor feest, stelt Green. "Omdat aan het eind van de dag overheden dezelfde motieven hebben om encryptiestandaarden te saboteren. We doen alsof we te verlicht zijn om dit tegenwoordig te doen, of dat we slim genoeg zijn om het te zien. Misschien, maar ik betwijfel het." Green voegt toe dat erin het volgende decennium zeer waarschijnlijk onderzoekers zullen zijn die zelfde rapporten publiceren over de encryptiealgoritmes die we tegenwoordig gebruiken.

Eind vorige eeuw hadden verschillende landen exportbeperkingen opgesteld voor encryptieproducten. De langste sleutellengte die werd toegestaan was 40 bits. In het ontwerpdocument stellen de ontwerpers dat het GEA-algoritme moet kunnen worden geëxporteerd, waarbij er rekening met de op dat moment geldende exportbeperkingen wordt gehouden.

Iets wat ook de onderzoekers stellen. "We hebben laten zien dat de eerste versie van het GPRS Encryption Algorithm, GEA-1, alleen 40-bit (van 64) security biedt. We hebben verder laten zien dat het zeer onwaarschijnlijk is dat de zwakte toevallig is. Aangezien GEA-1 was ontwikkeld om te kunnen worden geëxporteerd binnen de exportbeperkingen van Europese landen eind jaren 1990, is dit mogelijk een aanwijzing dat een beveiligingsniveau van 40 bits een obstakel was voor encryptiealgoritmes om de noodzakelijke toestemming te krijgen." Met hun onderzoeksrapport hebben de onderzoekers nu laten zien waar de zwakte zich precies bevindt.

Image

Reacties (17)
17-06-2021, 10:11 door Anoniem
Allemaal leuk en aardig, maar wie voorkomt dat een NSA of CIA medewerker een portable of mobiele GSM mast in de lucht brengt die alleen 40bit ondersteunt en dus alle telefoons die koppelen terugvallen naar een makkelijk afluisterbaar protocol?

Met andere woorden, dankzij de VS/NSA is weer eens gebleken dat je vrienden erger zijn dan je vijanden... Zijn je vrienden dan wel je vrienden?

Niet dat ik graag met een beer slaap, maar een natte dweil slaapt ook niet lekker.
17-06-2021, 11:23 door Anoniem
Zogenaamde downgrade attack.
17-06-2021, 11:27 door Anoniem
Door Anoniem: wie voorkomt dat een NSA of CIA medewerker een portable of mobiele GSM mast in de lucht brengt die alleen 40bit ondersteunt en dus alle telefoons die koppelen terugvallen naar een makkelijk afluisterbaar protocol?
De huidige telefoons ondersteunen geen GEA-1 meer, dus kunnen ze er ook niet naar terugvallen.
17-06-2021, 14:11 door Anoniem
Met de encryptie in de browser Netscape in de jaren negentig, konden Amerikanen tenminste nog sterke 128 bit 'domestic' encryptie gebruiken. Maar in dit geval naait de Amerikaanse overheid dus ook haar eigen inwoners.

Wat een land.
17-06-2021, 16:40 door Anoniem
Voor de USA bashers hierboven: GSM is een Europese standaard.
Wikipedia ENGeneral Packet Radio Service (GPRS) is a packet oriented mobile data standard on the 2G and 3G cellular communication network's global system for mobile communications (GSM). GPRS was established by European Telecommunications Standards Institute (ETSI) in response to the earlier CDPD and i-mode packet-switched cellular technologies. It is now maintained by the 3rd Generation Partnership Project (3GPP).[1][2]
Dit onderzoek is uitgevoerd door DEZELFDE organisatie die verantwoordelijk is voor de GPRS standaard: ETSI <https://en.wikipedia.org/wiki/ETSI>
17-06-2021, 16:51 door Anoniem
Het GPRS-encryptiealgoritme GEA-1 dat eind vorige eeuw door telefoons werd gebruikt voor het versleutelen van dataverbindingen was opzettelijk verzwakt ...

Dat was al lang bekend!
17-06-2021, 16:53 door johanw
De overheid kan toch wel afluisteren bij de telecom provider dus bescherming op dit protocol niveau tegen de overheid is zinloos. Net zoals een banksite met https geen bescherming biedt tegen overheden die bij de bank je gegevens opvragen.

Gelukkig wordt er op de laag daarop tegenwoordig vaal wel encryptie toegepast, zodat de onderschepte WhatsApp en Signal berichten in elk geval veilig zijn.
17-06-2021, 17:29 door Anoniem
Door Anoniem: Met de encryptie in de browser Netscape in de jaren negentig, konden Amerikanen tenminste nog sterke 128 bit 'domestic' encryptie gebruiken. Maar in dit geval naait de Amerikaanse overheid dus ook haar eigen inwoners.

Wat een land.

dit gaat om Europese wet en regelgeving, gprs is een Europese standaard.
17-06-2021, 18:06 door Anoniem
Door Anoniem: Met de encryptie in de browser Netscape in de jaren negentig, konden Amerikanen tenminste nog sterke 128 bit 'domestic' encryptie gebruiken. Maar in dit geval naait de Amerikaanse overheid dus ook haar eigen inwoners.

Wat een land.
En jij denkt dat alleen de VS dit doet? Dit is totaal niet realistisch.
Kijk maar eens wat Nederland doet met de z.g. "sleepnet"!
17-06-2021, 18:25 door Anoniem
Door Anoniem: Voor de USA bashers hierboven: GSM is een Europese standaard.

GSM is een wereldwijde standaard. De 'G' in GSM staat voor Global.

Het lijkt mij dat Amerika ook GEA-1 gebruikte toen dat nog gangbaar was. Terwijl ze wisten dat het onveilig was. Want daar hadden ze zelf op toegezien.

Anoniem 14:11
17-06-2021, 22:48 door Anoniem
Door Anoniem:
Door Anoniem: Voor de USA bashers hierboven: GSM is een Europese standaard.

GSM is een wereldwijde standaard. De 'G' in GSM staat voor Global.

Je kunt je product wel 'Global' noemen, dat betekent niet dat het dat is.

Ze spelen de 'World Series' in de VS - honkbal met clubs uit de USA en Canada.
Het is altijd weer een aardlinge die 'Miss Universe' wordt.

De VS begon met 'CDMA' (digitaal) mobiel bellen, en dat is geen 'GSM' .


Het lijkt mij dat Amerika ook GEA-1 gebruikte toen dat nog gangbaar was. Terwijl ze wisten dat het onveilig was. Want daar hadden ze zelf op toegezien.

Anoniem 14:11

De VS waren natuurlijk erg zichtbaar met hun export restricties op crypto, maar ook Frankrijk had strenge export restricties op crypto - en meer landen.
De Fransen hadden een forse invloed op de standaard (Alcatel).

GPRS was de eerste 'data over mobiel' standaard ;
De spraak (? en metadata ?) encryptie heet A5/1 . (er is een familie van GSM encryptie algorithmen) .
https://en.wikipedia.org/wiki/A5/1

Ook dat was een bewust verzwakt algorithme. Duitsland wenste sterke encryptie (met , toen nog, een vijandig Oost Duitsland naast de deur) . oa Frankrijk en Engeland een zwak algorithme ; Waarschijnlijk vanuit buitenlandse spionage (en evt binnenlandse spionage) overwegingen.
18-06-2021, 06:40 door Anoniem
We zijn geboren in een systeem wat al heel wat jaren bestaat.

Er vanuit gaan dat de wereld eerlijk en rechtvaardig is, is een naïviteit die helaas bij velen heerst.

Doe goed je best op school
Haal je diploma's
Werk hard
en dan komt alles goed..

Is zo... anno 1800... en een totaal gebrek aan realisme. Je koopt er alleen toegangsbewijs mee als je mazzel hebt ...en dan begint het pas

De wereld is eerlijk ja maar dan moet je hem wel zien. Sommige zaken zijn helaas noodzakelijk en worden niet aan de grote klok gehangen om erger te voorkomen.

Groepsvorming komt in alle gelederen voor.
Wie gunt wat...
Sommige processen gaan al eeuwen op dezelfde wijze
en zo kunnen we wel blijven doorgaan

Het is überhaupt een wonder dat elektrische auto's bestaan gezien de tegenwerking van de zittende machthebbers binnen die branche..
18-06-2021, 09:24 door Anoniem
Anoniem van 6:40

Dank voor de heads-up. Helemaal eens, je zult het zelf moeten doen en een ander komt het je niet aandragen.

#sockpuppet
18-06-2021, 09:40 door Anoniem
Door Anoniem:
De huidige telefoons ondersteunen geen GEA-1 meer, dus kunnen ze er ook niet naar terugvallen.

Dat doen ze dus nog wel dus ook al zou het in 2013 uitgefaseerd zijn. Al mijn telefoons van mijn nokia communicator tot mijn iphone 12 en ook mijn microsoft en mijn samsung s21 ondersteunen het nog
18-06-2021, 11:08 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Voor de USA bashers hierboven: GSM is een Europese standaard.

GSM is een wereldwijde standaard. De 'G' in GSM staat voor Global.

Je kunt je product wel 'Global' noemen, dat betekent niet dat het dat is.

Ze spelen de 'World Series' in de VS - honkbal met clubs uit de USA en Canada.
Het is altijd weer een aardlinge die 'Miss Universe' wordt.

World Wide Web? Sommige technieken werken beter als ze Global zijn.

De VS begon met 'CDMA' (digitaal) mobiel bellen, en dat is geen 'GSM' .


Het lijkt mij dat Amerika ook GEA-1 gebruikte toen dat nog gangbaar was. Terwijl ze wisten dat het onveilig was. Want daar hadden ze zelf op toegezien.

Anoniem 14:11

De VS waren natuurlijk erg zichtbaar met hun export restricties op crypto, maar ook Frankrijk had strenge export restricties op crypto - en meer landen.
De Fransen hadden een forse invloed op de standaard (Alcatel).

GPRS was de eerste 'data over mobiel' standaard ;
De spraak (? en metadata ?) encryptie heet A5/1 . (er is een familie van GSM encryptie algorithmen) .
https://en.wikipedia.org/wiki/A5/1

Ook dat was een bewust verzwakt algorithme. Duitsland wenste sterke encryptie (met , toen nog, een vijandig Oost Duitsland naast de deur) . oa Frankrijk en Engeland een zwak algorithme ; Waarschijnlijk vanuit buitenlandse spionage (en evt binnenlandse spionage) overwegingen.

Er zijn wel meer landen dan Frankrijk en Engeland. Zoals China. Ik heb gehoord dat Rusland ook erg succesvol is met het afluisteren van burgers. Deze zouden zich anders zomaar verkiesbaar kunnen stellen en dat wil je natuurlijk niet voor de 'nationale' veiligheid. Voor je het weet is de Taliban aan de macht met hun zwarte tulbands.

Anoniem 14:11
18-06-2021, 14:58 door Anoniem
Door Anoniem:
Door Anoniem: Voor de USA bashers hierboven: GSM is een Europese standaard.

GSM is een wereldwijde standaard. De 'G' in GSM staat voor Global.
Het wordt wereldwijd gebruikt, maar het is een standaard van het European Telecommunication Standards Institute.
18-06-2021, 15:09 door Anoniem
Standaarden zijn dus niet overal standaard. Downgrade hoeft maar even op te kunnen treden om je leeg te kunnen trekken van je data. Deze globe is een soort van gevangenisplaneet voor het merendeel van het mensdom. Constant bewust zijn van die status is het beste wat je kunt doen.
J.O.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.