NSA klaut Schlüssel von SIM-Karten-Hersteller

Kommentare (12)

1. #1 Gustav

   21. Februar 2015

   “ine Ende-zu-Ende-Verschlüsselung gibt es nicht (außer mit speziellen Verschlüsselungshandys, die aber kaum jemand nutzt).”

   Oder entsprechenden Apps. Bei Android Redphone und für SMS Textsecure. Beides funktioniert allerdings nur übers Internet, dafür machts das gleich nochmal sicherer, weil auch damit auch die Verbindungsdaten-Erfassung erschwert wird.

   Allerdings – eh klar – funktioniert nur, wenn beide kommunizierenden Handys die App haben.

   Redphone benutz ich nie (nur Testweise), Textsecure dagegen immer und auch etliche meiner Freunde und Geschäftspartner. Dazu noch das Gerät selbst verschlüsseln, was ja Android kann und das ganze ist halbwegs sicher – natürlich nichts so sicher wie extra dafür gebaute Spezialhandys, aber von der Preisleistung (App 0 €) unschlagbar. 😉

2. #2 Johannes Riecke

   21. Februar 2015

   “Allerdings war diese Methode in diesem Fall gar nicht anwendbar, denn der Schlüssel muss ja nicht nur der Karte, sondern auch der Basisstation bekannt sein.”

   Das ist so nicht korrekt – nur der *öffentlich* Schlüssel muss der Basisstation bekannt sein und den Chip verlassen.

   • #3 Klaus Schmeh

     21. Februar 2015

     Im Mobilfunk werden keine öffentlichen Schlüssel verwendet.

3. #4 Johannes Riecke

   22. Februar 2015

   Stimmt, da war ich etwas voreilig.

4. #5 Joe

   Berlin

   22. Februar 2015

   Wieso “klaut” NSA und GHCQ?
   Da sie es doch freiwillig erhalten haben.
   Mit der Pistole auf der Brust gibt man doch gerne oder?

   Joe

   • #6 Klaus Schmeh

     22. Februar 2015

     Anscheinend haben NSA und GCHQ nicht die Pistole auf die Brust gesetzt, sondern die Schlüssel geklaut, ohne dass das Opfer es überhaupt gemerkt hat.

5. #7 Hans Brandl

   München

   22. Februar 2015

   “Es ist möglich, einen Schlüssel direkt auf dem Karten-Chip zu generieren, der die Karte nie verlässt.”
   Das ist zwar eine Methode, die bei Hochsicherheitsanwendungen wie z.B. Trusted Computing mit asymmetrischen Cryptoverfahren Anwendung findet (und da auch nur sehr begrenzt, weil die Generierungszeiten auf dem Chip im Bereich bis zu einer Minute liegen und dann die Testerkosten in der Produktion ein Vielfaches der Chipkosten ergeben) .
   Im Mobilfunk wird aber ein klassisches sym. Authentisierungsverfahren verwendet, sodass beim Provider in der Datenbank auf jeden Fall Identifizierung (Tel. Nummer) und zugehöriger Schüssel vorliegen müssen (ganz egal wo der Schlüssel generiert wird).

   Die ganze Meldung ist aber nicht so ganz plausibel: Gemalto als Marktführer generiert im Jahr über 500 Mio. SIMs und ähnliches . Ein Datenfluß in dieser Größe aus deren geschützter Produktion heraus (die produzieren ja nicht auf der grünen Wiese sondern im Sicherheitsbereich) müßte irgendwann auffallen !

6. #8 Hans Brandl

   München

   22. Februar 2015

   @Gustav:
   “Dazu noch das Gerät selbst verschlüsseln, was ja Android kann und das ganze ist halbwegs sicher – natürlich nichts so sicher wie extra dafür gebaute Spezialhandys, aber von der Preisleistung (App 0 €) unschlagbar.”

   Ich wäre da bzgl. Sicherheit nicht so sicher, bei der Eigma hat man auch mangels Phantasie gemeint dass das sicher sei.
   Solange man nicht serienmäßig und zertifiziert in die Smartphone Hardware so etwas wie die Root of Trust einbaut (wie aus dem trusted computing Standard bekannt) und die Integrität sicher verifiziert , ist ein intelligenter Angriff über die Hardware (z.B. beim Booten ) auf die Systemintegrität durchaus möglich. Und da nutzt dann auch die beste SW-Verschlüsselung von Android nichts.
   Da aber solche Hardware Sicherheit durchaus einige 10 cent Stücke mehr kosten würde und billig Trumpf ist , hält man sich bei der Entwicklung und Fertigung eben zurück, obwohl das Know How ja sogar als offener Standard existiert.

7. #9 Anstatt ihnen einfach den Geldhahn zuzudrehen… › Piratenpartei Deutschland

   24. Februar 2015

   […] Chipkartenhersteller reingehackt hat und die Schlüssel von SIM-Karten und was weiß ich noch alles gestohlen hat. Ich verstehe diese Aufregung nicht. Seit fast zwei Jahren kommen täglich neue Informationen […]

8. #10 Heino

   25. Februar 2015

   #Verschlüsselt wird im Mobilfunk standardmäßig nur zwischen Gerät und Sendeturm (Basisstation). #

   Naja, zum “Glück” gibts ja die IMSI-Catcher. Da kann man selbst als “Basisstation” agieren und die Verschlüsselung aushandeln.

9. #11 schlappohr

   4. März 2015

   Es bleiben eine Menge Fragen offen, und ich wundere mich, warum sie niemand stellt:

   – Welche Karten genau sind davon betroffen?
   – Wie kann ich feststellen, ob meine Karte betroffen ist? (ich gebe ohne schlechtes Gewissen zu, dass ich mir mehr Sorgen um mein eigenes Handy mache als um das von Frau Merkel)
   – Weiß Gemalto, auf welche Weise dieser Hack durchgeführt wurde?
   – Benutzt Gemato Software amerikanischer Hersteller, von der zu erwarten ist, dass sie solche Angriffe ermöglicht oder erleichtert? Wenn ja, warum?
   – Hat Gemalto Gegenmaßnahmen ergriffen, oder ist damit zu rechnen, dass ab jetzt alle Karten betroffen sind?
   – Sind auch andere Kartenhersteller betroffen?
   – Hat unsere Bundesregierung irgendwelche Maßnahmen zum Schutz ihrer Bürger gegen Auschnüffelung durch ausländische und damit potenziell feindliche Geheimdienste ergriffen? Plant sie, dies zu tun? Wenn nein, warum nicht?

10. #12 Tim

    22. Oktober 2015

    Das schlimme ist, dass man mit dem Hack von SIM-Karten die Spionage gar nicht mehr abwenden kann, oder? Früher war es so, dass man zumindest mit Programmen für Virenschutz den Computer schützen konnte. Zwar gibt es zum Beispiel jede Menge Anti-Virus-Apps für Smartphones, siehe https://www.flatero.de/uebersicht-antivirus-apps.html, aber die schützen auch nur in geringen Maßen vor kleinen Dingen. Die NSA kann mit sowas sowieso nicht gestoppt werden.