Govcert: GSM is niet langer veilig

Voor het voeren van vertrouwelijke gesprekken is het verstandig niet langer te vertrouwen op de beveiliging van het gsm-protocol. Dat zegt Govcert. Volgens het computerincident-responsteam van de Nederlandse overheid heeft umts een beter encryptie-algoritme en biedt het daarmee 'een hoger niveau van vertrouwelijkheid.'

Dat maakt Govcert bekend in een factsheet met de titel Afluisteren van gsm-communicatie dichterbij. Govcert adviseert om alleen nieuwe mobiele apparatuur aan te schaffen die een umts-only modus heeft. Zo kan voorkomen worden dat de telefoon ongemerkt overschakelt op gsm wanneer de ontvangst daarvan beter is.

Het umts-protocol is volgens Govcert veiliger, niet alleen omdat umts-sleutels langer zijn, maar vooral omdat een umts-handset gebruik maakt van tweezijdige authenticatie: het netwerk authenticeert niet alleen de handset, maar ook andersom.

Daarnaast adviseert Govcert om het gebruik van cryptotelefonietoepassingen te overwegen. Omdat umts minder dekking heeft dan gsm, is het namelijk niet altijd mogelijk om van dit modernere protocol gebruik te maken.

Nep-basisstation

De factsheet verschijnt naar aanleiding van de aankondiging van beveiligingsonderzoeker Karsten Nohl dat inmiddels alle kennis aanwezig is om gsm-gesprekken af te luisteren. Die aankondiging deed hij op de op de beveiligingsconferentie CCC, die de laatste week van december werd gehouden in Berlijn.

Onderzoekers Karsten Nohl en Sacha Kriβler presenteerden in oktober 2009 een methode voor het afluisteren van gsm-verkeer. Nohl en Kriβler riepen de hackersgemeenschap toen op om gezamenlijk rekenwerk te doen, waarmee dat raden naar sleutels sneller verloopt. Die arbeid is inmiddels voltooid. Kwaadwillenden kunnen de resulterende 'rainbowtabellen' misbruiken om gsm-gesprekken en sms-berichten af te luisteren. Na voor enkele duizenden euro's  een gsm-basisstation aangeschaft te hebben, kunnen ze zich voordoen als een nieuw gsm-netwerk. Publiek misbruik is volgens Govcert dan ook 'dichtbij gekomen'.