Overheidsinstantie Govcert adviseert om alleen nog mobiele telefoons met een UMTS-only functie te kopen en voor vertrouwelijke gesprekken crypto-telefonie te gebruiken. De aanbevelingen staan in een factsheet die gepubliceerd werd na de GSM-hack die tijdens het Chaos Comunication Congres onthuld werd. Daar liet de Duitse beveiligingsonderzoeker Karsten Nohl zien hoe hij via een zeven jaar oude Motorola-gsm en gratis software die hij op het internet vond, mobiele gesprekken, voicemails en sms-berichten kon hacken en afluisteren.
Govcert stelt dat de technische middelen die nodig zijn om gesprekken af te luisteren nog niet allemaal publiek beschikbaar zijn. "Op basis van wat al publiek is, is het voor iemand met goede kennis van GSM niet moeilijk de ontbrekende stukken in te vullen", zo laat de overheidsinstantie weten.
Toestel
Aangezien UMTS encryptiealgoritmen gebruikt die niet kwetsbaar zijn voor deze aanval, wordt voor vertrouwelijke gesprekken aangeraden om mobiele telefoons op basis van UMTS technologie (met UMTS-only mogelijkheid) of crypto-telefonie te gebruiken. "Voer bij gebruik van sms-authenticatie een risicoanalyse uit. Overweeg zonodig de invoering van additionele maatregelen."
Ook bij de aanschaf van nieuwe mobiele apparatuur wordt geadviseerd om voor toestellen met een UMTS-only functie te kiezen. Dat voorkomt dat de telefoon (ongemerkt) overschakelt op GSM voor betere ontvangst. Door beperkte dekking is het echter niet altijd mogelijk van UMTS gebruik te maken.
UMTS
Bij UMTS wordt gebruik gemaakt van de UEA1-encryptie met een sleutellengte van 128 bits voor de versleuteling tussen mobiele telefoon en basisstation. De UEA1-encryptie van UMTS is beter dan A5/1 van GSM omdat de sleutellengte twee keer zo lang is. Verder is het UEA1-algoritme al lange tijd geleden gepubliceerd, in tegenstelling tot de GSM-encryptie, en is onderzocht door wetenschappelijke instellingen. Daarbij zijn er nog geen significante zwakheden gevonden.
UMTS heeft tweezijdige authenticatie: niet alleen is de handset door het netwerk geauthenticeerd, ook is de mogelijkheid ingebouwd dat de handset het netwerk authenticeert, wat een betere bescherming biedt. Daarnaast wordt in UMTS de integriteit van het signaleringsverkeer beveiligd met een aparte sleutel, zo laat de factsheet weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.