Dect: Grauslige Sicherheit, eigentlich unverantwortbar?

Auf der kleinen, aber feinen IT-Sicherheitskonferenz der FH Stralsund berichtet Dr. Erik Tews von der TU Darmstadt interessante Details über die Kryptographie von DECT-Telefonen, also den handelsüblichen Schnurlos-Telefonen zu Hause. Da fragt man sich schon, ob man das heimische DECT-Telefon überhaupt noch benutzen darf…

Nicht nur, daß Schwächen in den Zufallsgeneratoren und dem DECT-Schlüsselpairing erschreckend wenig verschiedene Schlüssel ermöglichen: Trotz vorgeblicher Schlüssellänge von 2^128, lassen sich bereits die Grundschlüssel in nur 2^22 Operationen knacken — und von diesem Grundschlüssel werden zu Lebzeiten von DECT-Telefon und Basisstation alle anderen Keys abgeleitet.

Auch verschiedene andere Designfehler im Protokoll machen es Angreifern leicht — so kann ein Angreifer eine Basisstation problemlos Daten senden lassen um Datentraffic zur Kryptoanalyse zu sammeln, ohne gleichzeitig selbst verschlüsselte Daten senden zu müssen (was der Angreifer zu diesem Zeitpunkt ja noch gar nicht könnte).

DECT abzuhören ist anscheinend relativ einfach möglich — und auch staatliche Stellen haben DECT-Cyrptoanalyse schon längst als Thema für sich erkannt. Erik verwies hier auf einen Bericht eines französischen Geheimdienstes aus dem Jahr 2004. Hardware um eigene Basisstationen zu Abhörzwecken zu programmieren sei auch für Normalbürger verfügbar.

Ein neuer DECT-Standard, der in den kommenden Wochen verabschiedet werden soll, verspricht Abhilfe in den wichtigsten Problemen — doch wird das nach Ansicht von Erik noch Ewigkeiten dauern, bis neue Telefone auf Basis dieses Standards auch im breiten Consumer-Markt angekommen sind — und dann werden bestehende Telefone auch kaum ersetzt.

Ein bißchen ist es bei der DECT-Telefonie wie mit dem Schnitzel auf dem Teller: Jeder weiß, daß man besser nicht nach den Hintergründen und Details fragen sollte, aber (fast) alle lieben es…

Dieser Beitrag wurde unter Blog, Security abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.