Knekker GSM-kryptering: Frank A. Stevenson (Bilde: Per Ervland)

Han knekker GSM-koden

- Alt vil bli lagt ut på nettet, sier Frank Stevenson til digi.no.

I 1999 var han den første som publiserte en fullverdig kryptologisk analyse som påviste at DVD-kopibeskyttelsen var en vits. Han la også tidlig ut kildekode som avdekker svakhetene i DVD-krypteringen Content Scrambling System (CSS).

Nå sier den norske utvikleren Frank A. Stevenson at GSM-krypteringen er sprengt.

Det er en gammel drøm som går i oppfyllelse. Allerede i 1999 fortalte han digi.no om svakheter i GSM-krypteringen.

- Det har ligget i hodet mitt i ti år, sier han. Stevenson har britisk pass, men er født i Bergen og prater en avslepen dialekt etter mange år i Oslo.

Hackerprosjekt

For et par måneder siden ble han med i et internasjonalt hackerprosjekt, som har til hensikt å knekke GSM-krypteringsalgorimen kjent som A5/1.

Les mer om dette initiativet: Dødsstøt for all mobilsikkerhet

Sammen med IT-sikkerhetseksperter som Karsten Nohl og Sascha Krissler vil Stevenson tvinge mobilbransjen til å ta sikkerheten alvorlig, i stedet for å late som om alt er i skjønneste orden.

- I over femten år har akademia påpekt svakheter i GSM. Det eneste som har skjedd på denne tiden er at PC-ene har blitt stadig raskere. Angrepene mot sikkerheten blir bare bedre med tiden.

- Vi har gjort store fremskritt de siste ukene, sier Stevenson.

Ved hjelp av kraftige grafikkort beregner han tabeller som gjør det praktisk mulig å avlytte GSM-samband.

- Koden for å generere tabeller er lagt ut på nettet, mens knekkekoden holder jeg foreløpig for meg selv.

På Linux-maskinen hjemme har han installert to stykk ATI Radeon 5850. Det er den enorme regnekraften i disse grafikkortene han bruker til oppgaven.

- Allerede nå er jeg i stand til å finne nøkkelen til testdata vi har generert.

Gruppen planlegger å kalkulere og senere offentliggjøre til sammen 2 terabyte med tabeller, men har et stykke igjen.

- GSM-data sendes i frames eller rammer. Hvis du klarer å finne nøkkelen til én ramme, da kan du finne det vi kaller Kc-nøkkelen. Den beskytter alle dataene til en enkelt GSM-sesjon i mobilnettet. Normalt varer denne sesjonen ganske lenge, typisk fra du skrur på telefonen til den skrus av — eller mer.

I prosjektet har Stevenson forpliktet seg til å generere halvparten av tabellene.

- Det er diskplass som begrenser meg. Jeg spyr ut 40 gigabyte hver dag og må stadig løpe ut og kjøpe nye harddisker.

Det er imidlertid ikke sikkert at de trenger så mye som 2 terabyte.

- Hver GSM-ramme er på 114 bits. Vet jeg innholdet i den så har jeg noen prosents sjanse til å finne nøkkelen. Med flere rammer øker sjansen tilsvarende.

Han legger til at en rekke akademiske beskrivelser av angrep mot GSM-krypteringen har urealistiske forutsetninger; De krever mange minutter med samtale, som innebærer tusenvis av rammer med kjent klartekst.

Slik jeg ser det er GSM-krypteringen sprengt. Det er null sikkerhet igjen. - I praksis er dette umulig å få til, siden en ikke kjenner nøyaktig hvordan lyden kommer ut av komprimeringskodeket. Våre angrep vil derimot bare trenge noen få rammer (rundt 8-16) med kjent innhold. Angrepet kan derfor rettes mot SMS, eller annen signalering i nettverket.

- Null sikkerhet
- Når vil dere være i stand til å avlytte GSM-nettet?

- Det vet jeg ikke. Slik jeg ser det er krypteringssystemet sprengt. Det er null sikkerhet igjen. Men for å avlytte må man ha grundig kjennskap til hva som er i GSM-pakkene. Vi må finne det som på fagspråket heter «known plain text (kjent klartekst). Den biten mangler det mye på.

Stevenson viser oss nettsider som selger relevant utstyr. For 700 dollar kan man kjøpe en boks som både tar imot og sender rå GSM-signaler.

- Med dette utstyret kan man ta inn hele råbitstrømmen fra GSM og knekke den, men vi vet ikke hva vi skal se etter. Problemet er at dette er vanskelig å demonstrere uten å bryte loven.

Han er imidlertid ikke i tvil om at andre vil bygge videre på deres arbeid, straks tabellene er offentliggjort.

- Alt kommer til å ligge ute på nettet. Utstyret kan du kjøpe. Programvaren vil komme etterhvert.

Vil frigjøre frekvensene

Stevenson mener den naturlig slutningen for mobilbransjen blir å pensjonere hele GSM-systemet. Han ønsker at de verdifulle mobilfrekvensene frigjøres og brukes av nyere teknologi.

- GSM-systemet er gammel. Det vil være fint om frekvensene kunne bli brukt til noe annet. 3G har langt bedre sikkerhet.

Her skylder vi å gjøre leserne oppmerksomme på at Stevenson jobber som utvikler for Oslo-selskapet Kvaleberg, som lager 3G-mobiltelefoner.

- Er ikke hobbyprosjektet ditt i konflikt med arbeidsgiver?

- De vet hva jeg driver med. For oss ville det være en fordel om flere satset på 3G. Men den store vinneren ville være Qualcomm. Det er de som sitter på den store 3G-patentporteføljen.

- Hvor mye sikrere er krypteringen til 3G?

- Jeg ser ikke at noen klarer å knekke det på mange år. Nøkkelen er større. 3G bruker Kasumi, mens GSM bare har 64 biters kryptering gjennom A5/1.

Frank Andrew Stevenson har 16 års fartstid som utvikler. Blant annet jobbet han i 12-13 som spillutvikler for Funcom. Nå er han utvikler for 3G-mobilprodusenten Kvaleberg. Kryptografi er en hobby. - Jeg er stort sett selvlært, sier han til digi.no.
Frank Andrew Stevenson har 16 års fartstid som utvikler. Blant annet jobbet han i 12-13 som spillutvikler for Funcom. Nå er han utvikler for 3G-mobilprodusenten Kvaleberg. Kryptografi er en hobby. - Jeg er stort sett selvlært, sier han til digi.no. Bilde: Per Ervland

Hackerprosjektet har en egen e-postliste, der Stevenson forteller om sine gjennombrudd. Den første nøkkelen fant han i april, mens han nå skal ha knekt 46 av 1000 testrammer.

GSM er den klart mest brukte mobilteknologien. Ifølge GSM Association har GSM 80 prosent av verdens mobilmarked, og teller tre milliarder brukere fordelt på 212 land.

    Les også:

Til toppen