A5 (Algorithmus)

A5 ist ein Satz von symmetrischen Verschlüsselungsverfahren in Mobilfunknetzen nach dem GSM-Standard. Der Standard definiert verschiedene Chiffren zur Absicherung von Gesprächs- und Datenverkehr über eine Funkstrecke. Die A5-Algorithmen sind sowohl auf den mobilen Endgeräten als auch in den Basisstationen des Netzbetreibers enthalten. Soll beispielsweise ein Gespräch mit A5/3 abgesichert sein, müssen sowohl der Netzbetreiber als auch das jeweilige Endgerät den Algorithmus A5/3 implementiert haben. Fehlt einer Basisstation oder einem mobilen Endgerät der A5/3-Algorithmus, kann keine Verbindung mit A5/0, A5/1 oder A5/4 zustande kommen.^[1]:6

Zusammenhang zwischen A3, A5 und A8

A5/1

A5/1 ist eine Stromchiffre, die 1987 entwickelt wurde, um die Sprachkommunikation von GSM zu schützen. Die ersten Angriffe waren bereits seit 2000 bekannt,^[2] seit 2003 gibt es praktische Angriffe.^[3] 2008 wurden erstmals vorberechnete Rainbow Tables zum Brechen der Verschlüsselung erstellt. Diese wurden aber nicht veröffentlicht. 2009 folgte die Veröffentlichung einer zwei Terabyte großen Rainbowtable. Mit Hilfe dieser Tabelle kann die Verschlüsselung in Echtzeit gebrochen werden (“Near real-time decryption with distributed cracking network”).^[4]

Der britische Informatiker Ross Anderson vertrat 1994 die Meinung, es sei absichtlich eine schwache Chiffre ausgewählt worden, um den Nachrichtendiensten der NATO das Abhören von Gesprächen zu ermöglichen.^[5] Dies wurde später bestätigt.^[6]

A5/2

A5/2, ebenfalls eine Stromchiffre, ist eine 1989 entwickelte schwächere Version von A5/1 zum Einsatz in bestimmten Exportregionen.^[7] Von A5/2 stammende Chiffrate können seit dem Jahr 2003 auf einem durchschnittlichen PC in unter einer Sekunde gebrochen werden.^[3] Im Juli 2007 hat die 3GPP die Implementierung von A5/2 in neuen Mobiltelefonen untersagt.^[8] Neuen Mobiltelefonen steht in Netzen, die nur A5/2 verwenden, daher keine Verschlüsselung zur Verfügung.

A5/3

→ Hauptartikel: KASUMI

A5/3 basiert auf der Blockchiffre KASUMI in Counter Mode mit einer effektiven Schlüssellänge K_c von 64 Bit,^[9] da die 64 niederwertigsten Bits eine Kopie der 64 höchstwertigsten sind.^[10] A5/3 ist für GSM und für die EDGE-Variante Enhanced Circuit Switched Data (ECSD) spezifiziert. Das Pendant von A5/3 für GPRS trägt den Namen GEA3. Anders als bei GSM und ECSD ist eine KASUMI-basierte Verschlüsselung der Funkstrecke standardmäßig in UMTS aktiviert.

2010 wurde gegen das A5/3-Verschlüsselungsverfahren KASUMI eine praktischere Attacke von Orr Dunkelman, Nathan Keller und Adi Shamir präsentiert. Die „sandwich“-Attacke ermöglicht es einem Angreifer, den kompletten 128 Bit-Schlüssel zu extrahieren. KASUMI gilt seitdem als theoretisch gebrochen. Allerdings kann über die Wirksamkeit der Angriffe gegen die Implementation von KASUMI in dem A5/3-Algorithmus für GSM-Netze keine Aussage getroffen werden. Mehr Details sind in dem Artikel KASUMI zu finden.^[11]

Die Deutsche Telekom gab im Dezember 2013 bekannt, dass der Verschlüsselungsstandard A5/3 in ihrem GSM-Mobilfunknetz bis Ende 2013 bundesweit implementiert wurde. 30.000 Basisstationen und zentrale Netzpunkte mussten dafür umgerüstet werden. Zu diesem Zeitpunkt ging die Telekom von ungefähr 50.000 Endgeräten aus, welche nicht kompatibel zu A5/3 sind. Bei diesen Modellen wird weiter der A5/1-Algorithmus verwendet. Geräte vom Hersteller Apple sind ab iOS 7 mit A5/3 kompatibel. Siehe dazu auch die Liste von Endgeräten mit A5/3-Unterstützung im Abschnitt Weblinks. In Mazedonien, Montenegro, Polen und Tschechien wurde der Algorithmus ebenfalls implementiert.^[12] Die Mitbewerber Vodafone, O₂ und E-Plus wollen erst in einigen Jahren A5/3 in ihrem GSM-Mobilfunknetzen einsetzen.^[13]

Im Abschnitt Weblinks findet sich mit der GSM Security Map eine visuelle Übersicht der GSM-Sicherheit in verschiedenen Ländern.

Aufgrund der geringen Schlüssellänge von 64 Bit lässt sich A5/3 laut Karsten Nohl mit überschaubaren Aufwand mittels der Brute-Force-Methode angreifen.^[14]

A5/4

A5/4 ist der A5/3-Algorithmus mit einem längeren Schlüssel K_c (128-bit). Für GPRS lautet der Name des Verschlüsselungsalgorithmus GEA4.^{[1]:6 [15]}

Siehe auch

• Cellular Message Encryption Algorithm (CMEA)
• Abschnitt Sicherheitsfunktionen im Artikel Global System for Mobile Communications (GSM)
• Abschnitt Sicherheitsdefizite im Artikel Global System for Mobile Communications (GSM)
• IMSI-Catcher: technische Einrichtung zum Orten und Abhören von Gesprächsteilnehmern und deren Gesprächen

Weblinks

• Security Research Labs: A5/1 Security Project
• Die Spezifikationen der 3GPP Algorithmen (Official 3GPP Confidentiality Algorithms) für Vertraulichkeit und Integrität sowie des A5/3 Verschlüsselungsalgorithmus.
• Bekannte Endgeräte mit Unterstützung von A5/3-Verschlüsselung. Deutsche Telekom
• Security Research Labs: GSM Security Map
• Karsten Nohl: Mobile self-defense 31C3 (SnoopSnitch)
• SnoopSnitch – Eine Android-App zum Analysieren von Mobilfunkverkehrsdaten. Gibt dem Nutzer Informationen über den Verschlüsselungs- und Authentifizierungsalgorithmus, SMS- und SS7-Attacken sowie IMSI-Catcher.

Einzelnachweise

1. Present and future Standards for mobile internet and smart phone information security. (PPT; 2342 kB) September 2012, abgerufen am 9. Januar 2014 (englisch). 
2. Alex Biryukov, Adi Shamir, David Wagner: Real Time Cryptanalysis of A5/1 on a PC. In: Fast Software Encryption 2001 (= Lecture Notes in Computer Science). Band 1978. Springer, 2001, S. 1–18 (cryptome.org). 
3. Elad Barkan, Eli Biham und Nathan Keller: Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication. In: Crypto 2003. 2003, S. 600–616 (cs.technion.ac.il (Memento vom 30. März 2019 im Internet Archive) [PDF; 344 kB]). 
4. Chris Paget, Karsten Nohl: GSM. (PDF; 664 kB) SRSLY? 27. Dezember 2009, abgerufen am 7. Februar 2014 (englisch). 
5. Ross Anderson: A5 (Was: HACKING DIGITAL PHONES), 17. Juni 1994
6. Arild Færaas: Sources: We were pressured to weaken the mobile security in the 80’s. Aftenposten, 9. Januar 2014, abgerufen am 2. März 2017 (englisch). 
7. A52_Withdrawal – Mobile (in)security. security.osmocom.org; abgerufen am 29. Januar 2011.
8. Prohibiting A5/2 in mobile stations and other clarifications regarding A5 algorithm support. (ZIP; 62 kB) Abgerufen am 14. Februar 2011. 
9. Specification of the A5/4 Encryption Algorithms for GSM and ECSD, and the GEA4 Encryption Algorithm for GPRS (Memento vom 10. Januar 2014 im Internet Archive)
10. 3rd Generation Partnership Project (Hrsg.): 3GPP TS 55.216 V6.2.0. 2003, Abschnitt 4.3 Function Definition, S. 10 (gsma.com [PDF; abgerufen am 23. Januar 2014]). 
11. Orr Dunkelman, Nathan Keller, Adi Shamir: A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony. (PDF; 243 kB) 10. Januar 2010, abgerufen am 5. Februar 2014 (englisch). 
12. Deutsche Telekom. Telekom erhöht Abhörschutz im Mobilfunk. In: telekom.de. 9. Dezember 2013, abgerufen am 3. Februar 2014. 
13. Datenschutz. Telekom führt neue Verschlüsselungstechnik für Handygespräche ein. In: WirtschaftsWoche Online. 7. Dezember 2013, abgerufen am 3. Februar 2014. 
14. Karsten Nohl: Mobile self-defense. Abgerufen am 21. Mai 2021 (englisch). 
15. Europäisches Institut für Telekommunikationsnormen: ETSI TS 155 226 V9.0.0. 2011, Introduction (etsi.org [PDF] I TS 155 226 V9).