Ruhr-Uni-Bochum

Hintertür in Handy-Verschlüsselung aus 90er-Jahren immer noch existent

In modernen Handys hat ein Forschungsteam eine Sicherheitslücke entdeckt, die mit sehr großer Wahrscheinlichkeit nicht zufällig entstanden sein kann. Eigentlich hätte sie schon 2013 entfernt werden sollen.

Copyright: RUB, Marquard

Der Verschlüsselungsalgorithmus GEA-1 ist in den 1990er-Jahren in Handys implementiert worden, um Datenverbindungen zu chiffrieren. Seither wurde er geheim gehalten. Nun hat ein Forschungsteam der Ruhr-Universität Bochum (RUB) mit Kollegen aus Frankreich und Norwegen den Algorithmus analysieren können und kommt zu dem Schluss: GEA-1 ist so leicht zu brechen, dass es sich um eine absichtlich schwache Verschlüsselung handeln muss, die als Hintertür eingebaut wurde. Obwohl die Schwachstelle noch in vielen modernen Handys enthalten ist, geht laut den Forschenden heute keine große Gefahr mehr davon für Nutzerinnen und Nutzer aus.

Hintertüren laut Forschern nicht sinnvoll
„Auch wenn Geheimdienste und Innenminister*innen sich aus nachvollziehbaren Gründen solche Hintertüren wünschen, sind sie nicht sinnvoll“, sagt Prof. Dr. Gregor Leander, Leiter der RUB-Arbeitsgruppe Symmetrische Kryptographie. „Denn nicht nur sie können diese Schwachstellen nutzen, sondern auch alle anderen Angreiferinnen und Angreifer. Und unsere Arbeit zeigt: Wenn eine Hintertür einmal implementiert ist, bekommt man sie so schnell nicht wieder weg.“ So hätte GEA-1 bereits 2013 aus den Handys verschwunden sein sollen; das besagen zumindest die Mobilfunkstandards. Das Forschungsteam fand den Algorithmus jedoch in aktuellen Android- und iOS-Smartphones.

Für die Arbeiten kooperierte ein Team um Dr. Christof Beierle, Dr. David Rupprecht, Lukas Stennes und Prof. Dr. Gregor Leander von der RUB mit Kolleginnen und Kollegen der Université de Rennes und Université Paris-Saclay sowie dem französischen Forschungsinstitut Centre Inria de Paris und dem norwegischen Forschungsinstitut Simula UiB in Bergen. Die Ergebnisse präsentiert das Team im Oktober 2021 auf der Konferenz Eurocrypt. Das Paper ist seit dem 16. Juni 2021 online abrufbar.

Die Arbeiten waren eingebettet in das Bochumer Exzellenzcluster CASA – kurz für Cyber Security in the Age of Large-Scale Adversaries –, welches das Ziel verfolgt, nachhaltige IT-Sicherheit gegen großskalige, insbesondere nationalstaatliche Angreifer zu ermöglichen.

Lottogewinn wahrscheinlicher, als dass der schwache Schlüssel Zufall ist
Die IT-Sicherheitsexperten bekamen die Algorithmen GEA-1 und GEA-2 aus einer Quelle, die anonym bleiben möchte, zugespielt und verifizierten zunächst ihre Echtheit. Früher wurden die Chiffren genutzt, um Datenverkehr über das 2G-Netz zu verschlüsseln, etwa beim E-Mailen oder beim Aufruf von Webseiten. Die Forschenden analysierten, wie genau die Algorithmen funktionieren. Sie zeigten, dass GEA-1 Schlüssel erzeugt, die in drei Teile gegliedert sind, von denen zwei nahezu identisch sind. Die Architektur dieser Schlüssel macht es dabei relativ leicht, sie zu erraten.

Die Eigenschaften, die die Chiffre so unsicher machen, können laut dem Bochumer Team nicht zufällig entstanden sein. „Unserer experimentellen Analyse zufolge ist es in etwa so wahrscheinlich, zweimal hintereinander sechs Richtige im Lotto zu haben, als dass diese Eigenschaften des Schlüssels zufällig auftreten würden“, veranschaulicht Christof Beierle.

Algorithmus GEA-2 ebenfalls schwach – aber unabsichtlich
Auch den GEA-2-Algorithmus nahmen die IT-Experten unter die Lupe. Er ist kaum sicherer als GEA-1. „Vermutlich war GEA-2 ein Versuch, einen sichereren Nachfolger für GEA-1 aufzusetzen“, nimmt Gregor Leander an. „GEA-2 war allerdings kaum besser. Aber zumindest scheint dieser Algorithmus nicht absichtlich unsicher zu sein.“

Die Verschlüsselungen, die GEA-1 und GEA-2 erzeugen, sind so schwach, dass man damit chiffrierte und über 2G versendete Daten live entschlüsseln und mitlesen konnte. Heute erfolgt der Datenverkehr zum größten Teil über das 4G-Netz, auch LTE genannt. Außerdem werden die Daten mittlerweile mit einer zusätzlichen Transportverschlüsselung versehen. Daher gehen die Forschenden davon aus, dass durch die alten immer noch existierenden Schwachstellen kein großes Risiko mehr für Nutzerinnen und Nutzer besteht.

Hersteller halten sich nicht an Standards
Eigentlich sollte GEA-1 seit 2013 nicht mehr in mobile Geräte implementiert werden. „Dass es immer noch passiert, zeigt, dass die Hersteller den Standard nicht richtig befolgen“, erklärt David Rupprecht. Über den Mobilfunkverband GSMA kontaktierte die Bochumer Gruppe die Hersteller vor der Veröffentlichung ihrer Daten, um ihnen die Gelegenheit zu geben, GEA-1 durch Software-Updates zu entfernen. Zusätzlich nahmen sie Kontakt zur ETSI auf, der für die Telekommunikationsstandards verantwortlichen Organisation, um auch GEA-2 aus den Telefonen zu entfernen. In Zukunft sollen Smartphones laut Beschluss der ETSI GEA-2 nicht mehr unterstützen.

Förderung
Die Arbeiten wurden unterstützt von der Deutschen Forschungsgemeinschaft im Rahmen des Exzellenzclusters CASA (EXC 2092 CaSa – 39078197) sowie der französischen Agence Nationale de la Recherche (Grant ANR-20-CE48-0017 – Projekt SELECT und Grant ANR-17-CE39-0003 – Projekt CryptAudit).

Originalveröffentlichung
Christof Beierle, Patrick Derbez, Gregor Leander, Gaëtan Leurent, Håvard Raddum, Yann Rotella, David Rupprecht, Lukas Stennes: Cryptanalysis of the GPRS encryption algorithms GEA-1 and GEA-2, Eurocrypt 2021, Kroatien, DOI: 10.1007/978-3-030-77886-6_6
Das Paper wird auch als frei verfügbarer Pre-Print-Artikel online erscheinen.

Pressekontakt
Prof. Dr. Gregor Leander
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: +49 234 32 28402
E-Mail: gregor.leander(at)rub.de

Dr. David Rupprecht
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: +49 234 32 23508
E-Mail: david.rupprecht(at)rub.de

Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.