GEA-1: Mobilfunk-Verschlüsselung von GPRS wurde bewusst geschwächt

17.06.2021
G DATA Blog

Ein Forscherteam der Ruhr-Universität Bochum hat eine Sicherheitslücke in der Verschlüsselung von GPRS entdeckt. Ein genauer Blick verrät: Diese Sicherheitslücke ist kein Zufall.

Ein aktueller Forschungsbericht eines Teams der Ruhr-Universität Bochum (RUB) zeigt eine Sicherheitslücke in einem Verschlüsselungsstandard für die zweite Generation (2G) der Mobilfunktechnologie. Darin weisen die Forscher eine absichtliche Schwächung der Verschlüsselung nach, welche das Ergebnis gesetzlicher Vorgaben war. Denn bis in die frühen 2000er hatte starke Kryptografie in einigen Ländern denselben Stellenwert wie Kriegswaffen. Wer Verschlüsselungstechnologie exportierte, die stärker als das war, was staatliche Stellen entschlüsseln konnten, machte sich strafbar.
Die Politik hat ihrerseits vielfach kein Interesse dran, die Privatsphäre von Bürgern effektiv zu schützen.  Das ist spätestens seit dem Beschluss zum Einsatz von Schadsoftware, dem sogenannten Staatstrojaner, durch deutsche Geheimdienste klar. Sich selbst frühzeitig eine Hintertür „für alle Fälle“ schaffen zu wollen, ist aber kein neues Phänomen und geht zurück bis in die späten Neunziger und die „Crypto Wars“.

Wenn der Notnagel rostig ist

Das Bochumer Forscherteam hat also herausgefunden, dass die Verschlüsselung für die zweite Generation des Mobilfunks bewusst geschwächt wurde. Ist jetzt also Mobilfunkverschlüsselung endgültig „kaputt“? Jein. Wichtig zu wissen ist als erstes, dass die Sicherheitslücke weit über 20 Jahre alt ist. Die GEA-1-Verschlüsselung wurde 1998 entwickelt. Es handelte sich um die erste Verschlüsselung für Mobilfunk, die es gab – der Mobilfunk war bis zur Einführung des D-Netzes (1G) unverschlüsselt. Kurze Zeit nach Einführung der GEA-1-Verschlüsselung wurden die gesetzlichen Bestimmungen gelockert und ein etwas besser gesicherter - wenn auch nicht ganz problemfreier - Nachfolger mit dem Namen GEA-2 entwickelt. Die 2G-Mobilfunktechnologie, die das GEA-1 Verfahren nutzt, wird schon lange nicht mehr flächendeckend eingesetzt. Ein kleines „Aber“ gibt es jedoch: In Gegenden mit schlechter Netzabdeckung nutzen viele Geräte die alte Technologie noch als „Notnagel“ – erkennbar an der Anzeige „EDGE“ oder „GPRS“ auf dem Smartphone-Display. Die 2G-Netze, die noch in Betrieb sind, werden nach und nach abgeschaltet. In einigen Gegenden sind sie überhaupt nicht mehr verfügbar. Auch die Hersteller von Smartphones werden seit längerem angehalten, die Technologie nicht mehr einzubauen. Dennoch: in vielen moderneren Smartphones ist die Option, bei schlechter Verbindung zu einem 4G oder 5G-Netz auf die GPRS-Technologie umzuschalten, noch vorhanden und wurde teils erst vor kurzem deaktiviert. Auf dem iPhone 8 oder XR war die Technologie bis zum April 2021 noch eingebaut, wurde aber mit iOS 14.5 per Software entfernt und damit "tot gelegt". Auf dem One Plus 6T war die Technologie zum Zeitpunkt der Veröffentlichung der Studie noch vorhanden. Offiziell wurde GEA-1 schon 2013 abgekündigt.
Dort, wo mangels 4G- oder 5G-Empfang noch GPRS im Einsatz ist, ist es allerdings möglich, zumindest einige Daten abzufangen. Dafür ist keine teure Spezial-Hardware erforderlich. Der Forschungsbericht spricht von „Standard-Hardware“.

 

Was bedeutet das in der Praxis?

Jemand, der die GEA-1-Verschlüsselung angreift, muss effektiv den Code erraten, mit dem sich der Datenverkehr entschlüsseln lässt. Ist dieser einmal erraten, lässt sich der gesamte Datenverkehr mitlesen – bis sich der Code ändert. Das dauert laut dem Forschungsbericht zwischen einer und 24 Stunden.

Mit den entsprechenden Gerätschaften sind hier so genannte „Downgrade-Angriffe“ möglich. Diese gaukeln – vereinfacht gesagt - einem Endgerät vor, dass nur eine ältere Verbindungstechnologie zur Verfügung steht. Das jeweilige Endgerät schaltet dann einfach auf die ältere Technologie um, und damit auch auf die schlechtere Verschlüsselung.

Wenn wir einmal vom ungünstigsten denkbaren Fall ausgehen, in dem jemand über eine mit GEA-1 gesicherte Verbindung im Internet surft (was die Geduld von heutigen Nutzer*innen auf eine harte Probe stellen dürfte), dann ist es möglich, zumindest die angewählten Webseiten herauszufinden. Da heutzutage aber die meisten Internetseiten zusätzlich mit HTTPS verschlüsselt sind, würde der Angriff hier enden. Dennoch ist die schwache Verschlüsselung ein Problem.

Wir müssen uns hier vor Augen führen, dass weite Teile des Internets damals wesentlich schlechter gesichert waren als heute – wenn sie es überhaupt waren. Mit damaligen Mitteln war also ein vollständiges Abhören sämtlichen Internetverkehrs zwischen einem Handy und dem nächsten Mobilfunkmasten ohne weiteres möglich. Die entsprechende Technik war damals extrem kostspielig und stand eigentlich nur staatlichen Stellen zur Verfügung.

Warum die Aufregung, und warum jetzt?

Der Mobilfunk fand damals zunehmend Verbreitung und immer mehr Menschen besaßen ein Handy. Mobilfunk war nichts mehr, was sich nur Superreiche leisteten, die dicke C-Netz-Telefone (die mit der koffergroßen und teils mehr als 20 kg schweren „Bodenstation“) in ihre Autos einbauten.
Dass Daten verschlüsselt übermittelt werden müssen, war auch den Entwicklern der Technologie klar. Sie entwickelten einen Verschlüsselungsstandard mit der Bezeichnung GEA-1. Auf dem Papier hatte dieser eine für damalige Verhältnisse recht starke Verschlüsselung mit einer Schlüssellänge von 64 bit. Doch hier hatte die Politik ein Wörtchen mitzureden. Der kalte Krieg war damals noch nicht lange vorbei. Verschlüsselungstechnologien, die „zu stark“ waren, unterlagen strengen Im- und Exportbestimmungen. Und diese untersagten in einigen Ländern unter anderem die Ein- und Ausfuhr von Verschlüsselungstechnologien mit einer Schlüssellänge über 40 bit. Diese Zahl wird in der Folge noch einmal wichtig. Die Entwickler der Verschlüsselung hatten also hier ein Problem: Die Technologie fiel mit 64 bit Schlüssellänge in einigen Ländern rechtlich unter die Exportbestimmungen. Was also tun?
Entscheidend für die Sicherheit einer Verschlüsselung ist die Länge des kryptografischen Schlüssels. Je länger und komplexer der Schlüssel ist, desto sicherer ist auch die Verschlüsselung. Wie passt also die Schlüssellänge von 64 bit mit den damals geltenden Exportbeschränkungen zusammen?

Kryptografische Mogelpackung

Das Forscherteam der RUB fand heraus, dass die Verschlüsselung, die auf dem Papier eine 64-bit-Verschlüsselung war, in Wahrheit nur eine effektive Schlüssellänge von 40 bit besaß – also gerade genug, um nicht unter das Exportverbot zu fallen.
Dazu werfen wir einen Blick in die Entwicklungs-Dokumentation. Dort heißt es: „Der Algorithmus sollte mit Blick auf die aktuellen Ausfuhrbestimmungen exportierbar sein. […] Die Stärke [der Verschlüsselung] sollte im Hinblick auf die vorgenannten Kriterien optimiert werden.“  
Diese beiden Sätze enthalten reichlich Zündstoff: Im Klartext bedeutet das, dass trotz der nominalen Schlüssellänge von 64 bit der tatsächliche rechnerische Aufwand zur Entschlüsselung dem einer 40 bit-Schlüssellänge entspricht. Der Verschlüsselungsalgorithmus wurde also bewusst geschwächt, um den politischen Forderungen der Zeit gerecht zu werden.

Die Wahrscheinlichkeit, dass dies zufällig passiert ist, beschreibt RUB-Forscher Christof Beierle in einem Interview mit der Süddeutschen Zeitung mit den Worten: „Da müsste man an zwei Samstagen hintereinander sechs Richtige im Lotto gewinnen, so wahrscheinlich ist es[…].“


Um ein zwar nicht hundertprozentig akkurates, aber dafür anschauliches Beispiel zu nennen:
Die Verschlüsselung wurde so geschwächt, als hätte man ein Zahlenschloss mit einem sechsstelligen Zahlencode in zwei Teile aufgespalten. So muss jemand, der das Schloss knacken will, lediglich zwei Zahlenfolgen mit drei Ziffern durchprobieren. Kryptografie-Experten sprechen hier von einer Vorgehensweise namens “Divide and Conquer” (zu Deutsch: Teile und Herrsche). Diese Art des Angriffs reduziert den Rechenaufwand – und damit die Zeit zum Knacken eines Schlüssels - deutlich.

 

Was kommt als nächstes?

Gerade wenn wir den Vorstoß von Regierungen und Strafverfolgern betrachten, die seit Jahren immer wieder in der einen oder anderen Form Hintertüren für Verschlüsselungstechnologien fordern, sind diese Funde besorgniserregend. Wenn es mehr als ein Jahrzehnt oder länger dauert, eine Sicherheitslücke in einer weit verbreiteten und global eingesetzten Technologie zu finden – was für Nachrichten werden wir vielleicht in fünf oder zehn Jahren über aktuelle Verschlüsselungen lesen?
Gerade im Bereich der 5G-Technologie, die ja als Heilsbringer für alles Mögliche von “Industrie 4.0” bis “Autonomes Fahren” angepriesen wurde, bleibt der Bereich „Verschlüsselung“ weit hinter dem zurück, was technisch möglich wäre. Und bereits jetzt steht die Entwicklung von 6G in den Startlöchern, mit dem Entwicklungsprojekt „Hexa-X“.  Was dort im Bereich Verschlüsselung und Sicherheit umgesetzt werden wird, steht bis jetzt in den Sternen. Es ist allerdings zu erwarten, dass auch dort schon jetzt Begehrlichkeiten von staatlichen Organisationen geweckt sind.
Eine mögliche Lektion aus der Entdeckung ist jedenfalls klar:
Zu lange an einer veralteten Legacy-Technologie festzuhalten, kann schwerwiegende Folgen haben. Noch mal zur Erinnerung: die Lücke stammt aus den späten Neuzigern. Einer Zeit, zu der viele der Menschen, die heute mit dem Internet aufwachsen, noch nicht einmal geplant waren.

 

Tim Berghoff
Security Evangelist