Govcert: GSM is niet langer veilig

Voor het voeren van vertrouwelijke gesprekken is het verstandig niet langer te vertrouwen op de beveiliging van het gsm-protocol. Dat zegt Govcert. Volgens het computerincident-responsteam van de Nederlandse overheid heeft umts een beter encryptie-algoritme en biedt het daarmee 'een hoger niveau van vertrouwelijkheid.'

Dat maakt Govcert bekend in een factsheet met de titel Afluisteren van gsm-communicatie dichterbij. Govcert adviseert om alleen nieuwe mobiele apparatuur aan te schaffen die een umts-only modus heeft. Zo kan voorkomen worden dat de telefoon ongemerkt overschakelt op gsm wanneer de ontvangst daarvan beter is.

Het umts-protocol is volgens Govcert veiliger, niet alleen omdat umts-sleutels langer zijn, maar vooral omdat een umts-handset gebruik maakt van tweezijdige authenticatie: het netwerk authenticeert niet alleen de handset, maar ook andersom.

Daarnaast adviseert Govcert om het gebruik van cryptotelefonietoepassingen te overwegen. Omdat umts minder dekking heeft dan gsm, is het namelijk niet altijd mogelijk om van dit modernere protocol gebruik te maken.

Nep-basisstation

De factsheet verschijnt naar aanleiding van de aankondiging van beveiligingsonderzoeker Karsten Nohl dat inmiddels alle kennis aanwezig is om gsm-gesprekken af te luisteren. Die aankondiging deed hij op de op de beveiligingsconferentie CCC, die de laatste week van december werd gehouden in Berlijn.

Onderzoekers Karsten Nohl en Sacha Kriβler presenteerden in oktober 2009 een methode voor het afluisteren van gsm-verkeer. Nohl en Kriβler riepen de hackersgemeenschap toen op om gezamenlijk rekenwerk te doen, waarmee dat raden naar sleutels sneller verloopt. Die arbeid is inmiddels voltooid. Kwaadwillenden kunnen de resulterende 'rainbowtabellen' misbruiken om gsm-gesprekken en sms-berichten af te luisteren. Na voor enkele duizenden euro's een gsm-basisstation aangeschaft te hebben, kunnen ze zich voordoen als een nieuw gsm-netwerk. Publiek misbruik is volgens Govcert dan ook 'dichtbij gekomen'.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	PaVaKe	154	6.4
2	Reza Sarshar	120	6.7
3	Henri Koppen	109	6.4
4	edekkinga	79	6.6
5	Jaap-G	53	6.1
6	Guido Groeneweg	49	6.3
7	Ruud Mulder	47	6.5
8	mauwerd	43	6.1
9	Frank Brechts	43	6.0
10	Rob Koelmans	40	6.3

Nieuws / Security

Govcert: GSM is niet langer veilig

Nep-basisstation

10-02 Infor helpt Ferrari met bouwen F1-auto's

10-02 Tester Four Oaks in Israëlische handen

10-02 IS Online en Tres zijn klaar voor Elfstedentocht

10-02 SecureLink migreert Microsoft-diensten Atradius

10-02 Nieuwe software brengt Vitens in problemen

10-02 Ex-Misys-topman moet CSC uit penarie helpen

10-02 Veenman en 20/20 vision adviseren samen klant

10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst

10-02 Misys en Temenos willen fuseren

10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan

10-02 SecureLink migreert Microsoft-diensten Atradius

09-02 Vodafone: Wij spelen klantinformatie niet door

09-02 Lang leve de hackers!

09-02 'Ook met cookiewet is gebruiker niet anoniem'

09-02 'KPN koppelt ID aan internetverkeer'

08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'

07-02 Eigen werknemer kan ook een vijand zijn

03-02 'Overheid vreest voor veiligheid in de cloud'

01-02 F5 beschermt openbare websites

31-01 Publieksvoorlichting is belangrijke taak voor NCSC

15-06-10 Overheid schakelt Govcert vaker in

18-01-10 Govcert wil extra beveiliging GSM-verkeer

11-01-10 Govcert: vertrouw niet op SMS-authenticatie

25-11-09 Nortel verkoopt GSM- en optische activiteiten

23-10-09 'UMTS niet goedkoper door GSM-richtlijn'

22-10-09 GSM-frequentie binnen half jaar open voor UMTS

01-10-09 Nortel veilt in november zijn GSM-activiteiten

24-08-09 GSM-protocol hoeft niet op schroothoop

29-05-09 GSM-netwerk blijft voorlopig gewoon bestaan

27-05-09 KPN gaat GSM-netwerk uitfaseren

Best Practices om laptop-data te beschermen