Home  |  Impressum  |  Rechtlicher Hinweis / Disclaimer  |  Print  | 
 

CT-DECT Systemsicherheit


Sicherheit der CeoTronics-DECT-Technik

Ende 2008 wurde auf einem Kongress des Chaos Computer Clubs (CCC) die bisherige Arbeit des Projekts dedected.org vorgestellt, welches sich zur Aufgabe gemacht hat, Sicherheitslücken in DECT-Telefonen aufzudecken.
Die von dedected.org benannten, bei vielen DECT-
Produkten funktionierenden Angriffe sind:

  • Passives Abhören
  • Fälschen einer Basisstation
Das passive Abhören eines DECT-Schnurlos-Telefons
mit einer unverschlüsselten Verbindung ist für jeden mit entsprechender Hard- und Software vergleichsweise einfach möglich, wenn auf das nun veröffentlichte Know-how von dedected.org zurückgegriffen wird.
Abhilfe dagegen ist nach wie vor die Verschlüsselung der Verbindung, wie sie bei den CT-DECT-Systemen der CeoTronics AG eingesetzt wird.
Beim Fälschen einer Basisstation wird, auf eine nicht von dedected.org beschriebene Weise, die Aufmerksamkeit (Synchronisation) des Mobilteils vom Dummy Bearer seiner eigentlichen Basisstation zum Dummy Bearer einer fremden Basisstation mit gleicher RFPI (Radio Fixed Part Identity) umgeleitet.
  Die RFPI ist leicht durch Abhören der eigentlichen Basis-
station zu ermitteln. Anders als die eigentliche Basisstation fordert die gefälschte Basisstation beim Verbindungsaufbau vom Mobilteil nun weder eine Authentifizierung noch Verschlüsselung an bzw. lehnt einen eventuellen Verschlüsselungswunsch des Mobilteils ab. Das Mobilteil fordert bei einem von ihm ausgehenden Verbindungsaufbau keine Authentifizierung der Basisstation an. Somit kommt, obwohl im System eigentlich Verschlüsselung aktiviert ist und auch die Authentifizierungsschlüssel (AC bzw. UAK User Authentication Key) dem Angreifer nicht bekannt sind, eine Verbindung zur gefälschten Basisstation zustande.

Achtung:
Diese Möglichkeit des Angriffs funktioniert bei den
CT-DECT-Systemen der CeoTronics AG nicht, da am Mobilteil eine beidseitige zwingende Authentifizierung aktiviert ist!

Darüber hinaus wäre natürlich auch das Fälschen eines Mobilteils denkbar, allerdings muss dazu die IPUI (International Portable User Identity) des eigentlichen Mobilteils erraten werden oder während einer vorherigen Verbindung mitgehört werden.


Das fremde Mobilteil mit gleicher IPUI fordert beim Verbindungsaufbau von der Basisstation aus (z. B. an-
kommender Anruf) keine Authentifizierung an, sodass, obwohl die Authentifizierungsschlüssel (AC bzw. UAK)
dem Angreifer nicht bekannt sind, eine Verbindung zum gefälschten Mobilteil zustande kommt, wenn im System keine Verschlüsselung aktiviert ist.

Achtung:
Diese Möglichkeit des Angriffs funktioniert bei den CT-DECT-Systemen der CeoTronics AG nicht, da die Verschlüsselung an der Basisstation aktiviert ist!


Wenn die Verschlüsselung aktiviert ist, fordert die Basisstation in jedem Fall die Authentifizierung des Mobilteils, um den Schlüssel berechnen zu können.

Ein Pentium-4-Rechner mit 3 GHz könnte ca. 2 x 106  Schlüssel pro Sekunde ausprobieren. Damit wäre der von CeoTronics verwendete 64-Bit-Schlüssel im Worst Case „schon“ nach ca. 292.000 Jahren gebrochen.

In diesem Zusammenhang bemängeln die Forscher von dedected.org bestimmte Schwachstellen in gängigen (schnurlose Telefone) DECT-Implementierungen, die ein Berechnen von Authentifizierungsschlüsseln und Encryption-Schlüsseln durch Angreifer möglich machen können:



 
  • Zufallszahlen mit geringer Entropie
  • Triviale Authentication Codes (AC bzw. PIN)

Obwohl die im DECT-Standard eingeführten Zufallszahlen, die zur Berechnung der UAKs und der Encryption-Keys verwendet werden, 64 Bit lang sind, werden laut dedected.org oft rein mathematisch erzeugte Zufallszahlen verwendet, die sich tatsächlich z. B. nur in 22 Bits ändern. Dies reduziert die Rechenzeit drastisch, die man zum Ausprobieren der Schlüssel benötigen würde.

Bei den CeoTronics CT-DECT-Systemen werden die Zufallszahlen aus den RSSI-Werten des DECT-
Empfängers, also aus dem thermischen Rauschen und der zufälligen Feldstärkeverteilung in der Umgebung des Moduls zusammengesetzt.


Der DECT-Standard definiert den zur Berechnung der UAKs und der Encryption Keys verwendeten AC mit 32 Bit Länge, also mit acht Ziffern von 0 x 0 bis 0 x F. Praktische Implemen-
tierungen (wie z. B. GAP) nutzen von diesen acht Ziffern nur vier, und diese auch nur als Binary Coded Decimals (0 bis 9). Dadurch ergibt sich eine Reduktion des Wertebereichs des AC von ca. 4,3 Milliarden Möglichkeiten auf nur Zehntausend (das ist ein Faktor von ca. 430.000). Außerdem wird seitens der Hersteller oft der Wert „0000“ vorbelegt.






Bei der CeoTronics-DECT-Implementierung werden
vom AC generell die gesamten, maximal möglichen
32 Bit genutzt und diese werden darüber hinaus mit schwer erratbaren Werten belegt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darüber hinaus darauf hin, dass die Verwendung von statischen Cipher Keys (SCK) im Gegensatz zur Verwendung von dynamischen Cipher Keys (DCK) eine Einschränkung der Sicherheit bei der DECT-Verschlüsse-
lung darstellt.

Die CeoTronics-CT-DECT-Systeme benutzen zur Verschlüsselung ausschließlich die sichereren DCKs. Diese wechseln bei jedem Verbindungsaufbau.


Fazit:

Die CeoTronics-CT-DECT-Systeme bieten einen überdurchschnittlichen Schutz gegen Brute-Force-Angriffe auf die Authentifizierung und Verschlüsselung.


  Bei CT-DECT werden sämtliche vorgesehenen Sicherheitsmechanismen des DECT-Standards angewendet, sodass ein passives Abhören oder ein Eindringen durch Fälschung einer Basisstation oder eines Mobilteils nicht möglich ist.

Die Software zum Berechnen der CT-DECT 5er-Konferenz ist und wird nicht veröffentlicht. Das Fälschen oder der Nachbau einer Basisstation wird hierdurch nahezu unmöglich.




Rödermark, den 27.11.2013

Günther Thoma
Vorstand, COO