 So, fangen wir pünktlich an. Ja, ich habe es eben schon mal gesagt. Kryptografie hat so ein bisschen was zu tun wie die Farbe vom Hasen und vom Igel. Egal was sich der Hase auch alles einfallen lässt, in dem Fall der Kryptograph, der Igel, der Kryptologe, ist ihm immer dahintergestiegen und das hat dazu geführt, dass man sich nach dem zweiten Weltkrieg mal so ein paar Gedanken gemacht hat zum Thema Verschlüsselung und wie sie funktionieren sollte. Ganz kurz zu mir, bin Uli Klemann, beschäftige mich mit Kryptografie seit einigen Jahren hobbymäßig. Kommt einfach daher, ich bin seit den späten 70ern so mit dem Funk-Virus infiziert, damals CB-Funk und später bisschen Armadörfunk und ja, so bin ich halt ein bisschen mit Verschlüsselung im drahtlosen Bereich in Berührung gekommen. Ja, moderne Kryptografie, ich weiß nicht, was sie sich darunter vorstellen. Sie unterscheidet sich von der klassischen Kryptografie im Wesentlichen dadurch, dass man so bis Ende des zweiten Weltkriegs sogar noch ein teilweise bisschen länger, es gingen sogar bis so Ende der 80er Jahre Kryptografie vorgestellt hat, basierend auf der Geheimhaltung des Verfahrens, auf der Geheimhaltung der elektronischen Schaltung, auf der Geheimhaltung der Vertratung und was weiß ich alles. Und 1949 hatten amerikanische Mathematiker und Kryptograf Claude Shannon zu dem Thema einen für damalige Feld diese revolutionären Aufsatz verfasst mit dem schönen Titel Communication Theory of Secrecy Systems, indem er die These verdritt, statt die Geheimhaltung des Verfahrens oder des Schaltkreises oder der Vertratung oder was auch alles in den Vordergrund zu stellen, sollte eine moderne Verschlüsselung jeder man zugänglich sein, sie sollten sich dem wissenschaftlichen Diskurs stellen. Einfach gesagt, wenn sich die glügsten Köpfe an der Nuss auch die Zähne ausgebissen haben, können wir davon ausgehen, dass das Verfahren erstmal sicher ist, solange bis dann doch irgendeiner dahinter steigt, wie man es knacken kann. Das hat man zum ersten Mal 1976 mit der Ausschreibung des DES Standards unterstützt damals von IBM und auch der National Security Agency gemacht und hat gesagt, okay, wir brauchen ein neues Verschlüsselungsverfahren, wir brauchen einen neuen encryption Standard, wir bieten um Einreichung, um Ideen und dann schauen wir mal, was da kam und kommt. Gewonnen hat das dann DES, heute Triple DES. Der zweite Knaller im Jahr 1976 war dann die Lösung eines damals sehr großen Problems, eigentlich das Kernproblems in der Kryptografie, nämlich wie tauschen wir den Schlüssel über unsichere Kanäle sicher aus. Gelöst wurde es von den beiden Herrn Wittfield-Diffy und Martin Hellmann, der so eine Diffy-Hellmann-Schlüssel-Austausch. Dann kam 2009 mal wieder was Neues, die Homofe Verschlüsselung von Greg Gentry. Das heißt, es erlaubt jetzt zum ersten Mal Berechnungen auf verschlüsselten Daten durchzuführen, spielt im Cloud-Computer eine ziemlich große Rolle. Kern besteht darin, dass der Betreiber den Klartext selbst nie zu Gesicht bekommt, also immer nur das Schiffrad. Natürlich hat sich mit der Kryptografie auch die Krypto-Analyse modernisiert und zwar so im Wesentlichen seit den 60er-Jahren, als die ersten Computer zugänglich waren, wo man dann Verschlüsselungsalgorithmen verwandt hat wie den DES, IDEA, AES und die Stromschiffen AC4. In der modernen Krypto-Analyse hat man sich natürlich auf die bewährten Methoden auch verlassen, sprich man hat die Cypher-Text-Only-Attack, man hat die Muster-Erkennung, man hat die asymetrische Kryptologie, seit es den Diffy-Hellmann-Schlüssel-Austausch gibt. Man hat den Non-Planetext-Attack und es gibt mittlerweile verschiedenste Arten und Weisen, was man damit machen kann. Natürlich auch den Chone-Planetext-Attack wird auch immer noch verwandt, aber es kamen noch ein paar Geschichten hinzu, die man vorher nicht kannte. Ja, dann hat man sich mal überlegt, was bedeutet überhaupt Sicherheit? Wie definieren wir Sicherheit? Und Shannon hat gesagt, es gibt drei Arten von Sicherheit, einmal die perfekte Sicherheit, zeichnen sich halt dadurch aus, dass ein mit dem Verfahren erzeugter Schlüsseltext, auch wenn er nur als Schifrat vorliegt, keinerlei Rückschüsse auf den Glartext zulässt. Ich habe also keine Möglichkeit, zum Beispiel über eine Häufigkeits-Analyse, Krasiski-Test oder ähnliches, irgendwelche Rückschüsse zu führen auf den Glartext oder auf die Länge des Schlüssel. Das Zweite ist die asymptotische Sicherheit. Das heißt garantiert Sicherheit des Verfahrens auch gegen solche Angreifer, die zumindest theoretisch über unbegrenzte CPU-Leistung verfügen, beispielsweise Geheimdienste. Und dann natürlich für uns das Wichtigste, die konkrete Sicherheit, sprich hier wird abgewogen zwischen der Erfolgswahrscheinlichkeit und dem zu betreibenden Aufwand. Also quasi ein Kompromiss, dass man sagt, okay, ja, theoretisch zu brechen, aber der Aufwand, der dafür betrieben werden müsste, ist so groß, dass es irgendwo auch für einen Geheimdienst keinen Sinn macht. Ich habe das mal ein paar Beispielen versucht zu verdeutlichen. Das so genannte L-Germail-Verschluss-Verfahren ist so genannt IND-CPA-Sicher. Das heißt, unter der Annahme, dass dieses Diffy-Hellmann-Problem halt schwierig zu lösen ist und so weiter und so fort, kann man davon ausgehen, dass dieses Verfahren halt konkret sicher ist. Theoretisch kann es natürlich gebrochen werden. Und ich habe das mal an einem kleinen Beispiel gemacht. Gehen wir mal nur von 128 mit Schlüssel länger aus. Und wir hätten die CPU-Leistung der ganzen Rechner der Welt, sprich, dass wir also wirklich eine Milliarde Schlüssel pro Sekunde in Brutforce-Verfahren testen könnten. Da wurde das immer noch ziemlich lange dauern. Macht also irgendwo keinen Sinn. Heißt aber nicht, dass das Verfahren sicher ist gegen Fehler in der Implementierung, gegen Fehler bei der Auswahl der Schlüssel etc. pp oder gegen solche Dinge wie Wiederholungen, sprich, dass ich mit dem gleichen Schlüssel zwei oder dreimal verschlüssel, dann sieht die ganze Geschichte sofort ganz anders aus. Kurz zu Rheindahl, AIS, das ist heute eigentlich so der Standard im Bereich der synchronen Verschlüsselung. Wurde 2001 vom NIST eingeführt, mit den Schlüssellängen 128, 192, 256 Bit. Ganz kurz, wie er arbeitet. Aber da hier ja mehr oder weniger Kryptoprofi sitzen, braucht man darauf nicht detailliert einzugehen. XOR muss ich, denke ich, auch nicht groß erklären. Challenge Response Authentifizierung dürfte den meisten auch bekannt sein. Erinnert mich immer irgendwie an meinen Mathematik-Unterricht früher. Leere hatten Riesentarm hingeschrieben, Riesentleichung. Und zwei Zahlen drunter stand dann X gleich, Y gleich, Z gleich. Und keiner hat verstanden, wie er darauf gekommen ist. Challenge Response Authentifizierung arbeitet ähnlich. Sprich, es wird halt ein gemeinsames Geheimnis nicht ausgetauscht, sondern die beiden Teilnehmer beweisen sich gegenseitig, dass sie dieses Geheimnis kennen, ohne dass das Geheimnis selbst jemals überhaupt erwähnt wird. Ja, wie kann ich so was angreifen? Sowohl mit den klassischen Methoden, sprich, ich kenne den Klartext. Ich habe also irgendwas mitgeschnitten. Und versuche jetzt halt eben diese Response mit klassischen Methoden irgendwie herauszufinden, sei es durch Erraten, sei es durch ein Wörterbuchangriff, ja, was auch immer, sei es durch ein Timing-Attack, hat aber gewisse Einschränkungen. Es ist also nicht so einfach, denn ich brauche gewisse Voraussetzungen. Sprich, ich muss also zum Beispiel das Geheimnis im Klartext vorliegen, oder ja, ist der Schlüssel da, wann nicht allzu lang sein, damit es einfach in absehbarer Zeit geknackt werden kann. Aber es ist durchaus genau wie klassische Schrifrate angreifbar. Ein paar Anwendungsbeispiele, wo dieses Challenge Response Verfahren zum Tragen kommt, das ist einmal im A-POP-Autentifikationsverfahren, vom POP-3-Protokoll bei der CHAP-Autentifizierung, Gramm-MD5-Verfahren und natürlich auch bei der GSM-Autentifizierung. Ja, ganz kurz Kryptologie, brauche ich denke ich auch nicht groß auszuführen. Hier gibt es zwei Ansätze, einmal die lineare Krypto-Analyse, das heißt klassischer chosen plaintext-Angriff auf die nicht linearen Bestandteil des Algorithmus. Vorteil, die Brutforz-Attacke muss nicht über den gesamten Schlüsselraum ausgeführt werden, sondern nur noch über den begrenzten Schlüsselraum. Nachteil ist, ich muss halt eine riesige Menge haben von Klartext-Schifratpaaren, damit ich das fahren kann. Die differenzielle Krypto-Analyse ist das etwas neuere Verfahren, arbeitet auch mit dem chosen plaintext-Verfahren auch mit dem chosen plaintext-Attack und untersucht die Auswirkungen von Differenzen im Klartext-Block auf die Schifretext-Block. Das heißt ich habe Klartext, ich habe Schifretext, jetzt manipuliere ich den Klartext und sehe mir an, welche Auswirkungen hat das dann auf den Schifretext und daraus ziehe ich dann eben meine Schlüsse. So, dann haben wir noch die Triming-Attack, ist eine Form des Seitenkanalangriffs auf der Implementierung. Das heißt, heute werden in der Regel nicht Angriffe gefahren auf den Algorithmus, sondern auf die Implementierung. Da habe ich einfach mehr Chancen, menschliche Fehler. Die Algorithmen sind in der Regel von allen Kapazitäten, die es da gibt, bis ins Detail geprüft, die sind getestet, bis zum Geht nicht mehr. Da habe ich also kaum eine Chance, darin ein Fehler zu finden, aber in der Implementierung finden sich halt immer irgendwelche Fehler. Das heißt, man macht hier zum Beispiel Tests, dass ich sage, okay, wie lange braucht denn zum Beispiel ein Webserver, um eine Login-Anfrager zu reagieren. Oder kann ich bei irgendwelchen Messungen, Zeitmessungen, kann ich da irgendwas feststellen, was mir Rückschlüsse gibt auf das Verschlüsselungsverfahren, beziehungsweise auf den Schlüssel, auf die Schlüssellänge. Also sprich zum Beispiel, wie lange dauert es, den Hash-Wert zu errechnen. Das könnte mir Rückschüsse geben auf die Hash-Funktion, die verwendet wird, und auch auf die Schlüssellänge. Ja, dann kommen wir mal zu meinem Lieblingsthema Meinungen und Fakten. So, allgemein herrsch ich ja oftmals die Meinung vor, dass mit der ganzen Verschlüsselung ist, wieso alles Käse und unnötig, weil die Geheimdienste können, dass sowieso alles knacken. Wir haben alle Möglichkeiten, und die NSA ist sowieso allmächtig. Und die andere Meinung ist, ja, ich, also wir haben uns da was ganz besonders schlaues ausgedacht, und wir sind der Meinung, das kann in absehbarer Zeit sowieso keiner knacken. Bei uns konnte es keiner. Beide Annahmen sind eindeutig und zweifelsfrei falsch. Quotet demonstrandum. Ich weiß, das kann man schlecht lesen, deshalb lese ich es grad schnell vor. Erschied 2014 im Dezember in der Zeit online von Patrick Beuth, und zwar schreibt er hier, die NSA ist nicht allmächtig, die gute Nachricht, zwar versucht der US-Geheimdienst zwar jede Art von Verstüstung und Informationstechnik zu hacken, zu unterwandern und zu brechen, aber zumindest bis zum Jahr 2012 hat er sich an Manchendachen noch die Zähne ausgebissen. Was die NSA nicht sofort knacken kann, versucht sie zu umgehen, zu sabotieren oder irgendwie später zu entschlüsseln. Klar, Nachrichten vor 20 Jahren sind heute nicht mehr so furchtbar interessant. Dass sie über immense Mittel verfügt, ist auch klar. Sie hat sich im Wertesystem geschaffen und zwar ordnet sie Verschlüsselungstechnologien in verschiedene Kategorien ein. Insgesamt fünf Schwierigkeitsgrade von Trivial über Minor, Moderate und Major bis Katastrophic. OTR, Tor, Druckgrüpt, bereiten NSA immer noch Probleme, aber viel schwieriger ist offensichtlich damals gewesen, das Mitlesen von Jets, auch bei Facebook. Problematisch sind OTR, Tor, Druckgrüpt. Ja, und ganz brutal sind dann halt solche Spezialfälle, wenn ich halt Tor und gewisse Messaging-Systeme miteinander kombiniere, was aber der Normal-User in der Regel nicht tut. Das ist dann eher was für uns. Das ist dann noch eine Geschichte, wo sich auch die NSA erst mal die Zähne auspreist. Ja, selbst gebaute Krypto in der Regel keine gute Idee, hat sich nicht wirklich bewährt. Und wir sind heute bei der Problematik, dass wir schon Schlüssellängen haben, die im asigronen Verfahren kaum noch zu überdraht sind. Deswegen ist man dann auch auf diese elliptischen Kurven ausgewichen, weil wir hier wieder eine starke Verschlüsselung hinkriegen mit 256 bzw. 512-Bit-Schlüsseln. Bei RSA sind wir heute ja schon mal 4096 und mehr. Und spätestens wenn es in den militärischen Bereich geht, von 32.000 Bit und mehr, das ist ein dermaßener Rechenaufwand. Das lässt sich einfach, vor allem mit mobilen Geräten, lässt sich das gar nicht mehr bewältigen. Ja, da kommen wir mal zum eigentlichen Thema drahtlose Netze. Ich habe es genannt, das Übels-Wotzer, so bisschen scherzhaft. Zum einen, die Verschlüsselung in Mobilfunknetzen besteht in der Regel nur zwischen dem Endgerät und der nächsten Basisstation. Von der Basisstation, wie es da weitergeht, über die normale drahtgebundene Leitung, da haben wir in der Regel überhaupt keine Verschlüsselung. Das heißt, wenn wir das realisieren wollen, dann müssen wir das mit Transportverschlüsselung irgendwie selbst machen. Von Seiten der Provider passiert da nichts. Angefangen hat das ganze Jahr mit GSM. Früher, die Eltern unter ihnen werden es noch wissen, dass sie mit einem C-Netz-Telefon und so was konnte, man hat mit einem Funkscanner abhören. Das ging bei GSM dann natürlich irgendwann immer. Man hat dafür den A5-Algorithmus implementiert. Und zwar auch unter der Maßgabe, dass die auf der SIM-Karte gespeiten Daten geheim gehalten wurden. Grober Verstoß gegen das Prinzip von Kerckhoff. Kurz und gut, das ganze GSM-Protokoll hatte einige Nachteile. Es gab keine Authentifizierung der Basistation gegenüber dem Mobilteil. Nur das Mobiltelefon muss sich gegenüber der Basistation authentifizieren. Stichwort IMSI-Catcher. Weiterhin hat man aus der Historie her das SS7 Signalling Protokoll immer noch verwendet. Und verwendet es auch heute noch. Das Ding stammt aus den frühen 70er-Jahren. Hat einfach die Problematik nicht in allen Ländern der Erde. Da haben wir den gleichen Standard. Und damit die Menschen in allen Ecken und Regionen der Welt miteinander telefonieren können, muss man halt dann SS7 so implementieren, dass das auch wirklich noch unter den übelsten Umständen funktioniert. Damit müssen wir halt einfach leben. Das nächste Problem ist, man ging bei der Implementierung von SS7 davon aus, dass sich das nur bewegt innerhalb der Mobilfunkanbieter und somit in vertrauenswürdiger Umgebung. Heute ist es nur noch eine Geldfrage, dass ich über einen Registrar, über irgendeinen außenischen in das SS7 Netzwerk reinkomme Zugriff erhalte. Oder ich kann mir natürlich auch über Schodern irgendwo in entsprechenden Serbersuchen in einem entsprechenden Land, wo ich davon ausgehe, dass die Sicherheitsimplementierung so toll ist und versuchen, den zu hacken. Ja, warum sind die Schwachstellen in SS7 heute immer noch so ein riesen großes Problem? Ja, einmal die Netzbetreiber verfügen über einer erhöhten Zugang zum Nutzerkommunikation. Das heißt, wirst du es ja alle, brauche ich nicht groß zu erklären. Der Provider weiß genau, wer wo was macht. Diese Informationen stehen allen Betreibern weltweit zur Verfügung. Halt auch solchen bei denen Firewall und ähnliches. Es ist jetzt nicht unbedingt das riesen Thema ist. Dann haben wir natürlich die Problematik drin, dass staatliche Stellen, entsprechende Abhöhrschnittstellen verlangt haben, auch durchgesetzt haben unter der Maßgabe der Strafverfolgung. Und ja, gut, man kann natürlich was dagegen tun. Bei den großen Providern gehe ich mal davon aus. Aber jetzt sage ich mal bei uns, einem afrikanischen oder asiatischen Provider in Laos, Kampotscha oder Weisdagdäufe, wo, ja, kann man wohl eher davon ausgehen, dass da nicht alles so ist, wie es sein sollte. Es kostet ja irgendwo alles Geld. Ja, der A5 Algorithmus, ganz kurz in der Beschreibung, der nutzt also Schieberregister, drei Stück. Und das Ganze wird dann eben entsprechend XOR verknüpft. Kai Hexewerk gab es in drei Versionen, A51, A52 für den Export, der war also noch geschwächt, ging damals noch Thema Kalter Krieg und Comic-Con-Liste. A53 war dann der allgemeine Standard, den wir heute auch noch in der Telefonie verwenden. Alles andere, A54 geht dann mehr so in die Richtung reine Datenübertragung. Aber in der Telefonie ist es eher nicht der Fall. Ja, was kann ich bei GSM so alles an Angriffe fahren? Ja, so ziemlich alles, was das Herz begehrt. Ich kann mitsniffen, ich kann Tracking, ich kann Silent-SMS machen. Alles kein Problem. Alles alte Hüte, brauchen wir nicht drauf einzugehen. Kann natürlich auch ein paar komplexere, lustige Geschichten machen. Men in den Mittelangriff, OTA, SMS, proprietary Software, auch immer ein Problem über Bluetooth, brauche ich gar nicht mehr zu reden. Und WLAN, naja, ist ja auch nicht unbekannt, dass man das absichern sollte. Ja, ein bisschen was zu den einzelnen Versionen. Wie gesagt, A54 ist meistens nur in der Datenübertragung, wenn überhaupt implementiert. Ja, dann kam 4G, LTE, hurra, wunderbar. Da sieht es ein bisschen anders aus. Hier mal so ein paar Rahmendaten. Worin es sich vom klassischen GSM unterscheidet. Aber bei der Systemsicherheit ist es auch nicht viel besser als GSM, wenn es auch in anderen Algorithmus verwendet. Aber im Wesentlichen ist das jetzt keine merkliche, riesengroße Verbesserung. LTE ist also genauso in Anführungszeichen unsicher wie GSM. Die Schwachtstellen bei der Implementierung auf Integritätsschutz wurde komplett verzichtet. Das heißt, die werden zwar verschlüsselt die Daten, aber nicht auf die Integrität überprüft. Was das bedeutet, ist uns allen klar. So, mit einem Computer und zwei Software, die faire radius die geeignet sind, also die USRPs zum Beispiel, kann ich das Ganze mitschneiden. Und es wurde ja auch dann schon 2014 auf dem 34C3 demonstriert, wie es funktioniert. Ja, dann habe ich mal versucht, rauszukriegen. Wie sieht das im Moment eigentlich aus? Was verwenden unsere großen Provider an Verschlüsselungsalgorithmen? Gar nicht so einfach da, an Daten zu kommen. Das aktuellste, was ich im Netz gefunden habe, ist von 2014. Und da sieht es also, wie ich gesagt habe, so aus. A53 und A51, damit auch noch die ältesten Mobiltelefone funktionieren. Ähnliche SS7. Ja, dann provokante These. Vielleicht telefonieren wir besser über Messenger als über 4 oder 5G. Ist gar keine so schlechte Idee. Das wir natürlich nicht WhatsApp nehmen, brauchen wir, denke ich, nicht darüber reden. Aber ansonsten ist die Idee gar nicht so verkehrt, weil im Gegensatz zu den GSM-Providern verwenden diese Messenger eine Ende-zu-Ende-Verschlüsselung und auch einen richtigen Schlüssel-Austausch. WhatsApp zum Beispiel mit einer elliptischen Kurve. Wenn ich das hardwaremäßig implementieren möchte, dann müsste ich mir zum Beispiel bei Kryptofon in Berlin so ein Handy kaufen mit einem geharteten Android, das dann fünfmal so viel kostet, wie das mit dem regulären Android. Das wäre dann die hardware-Alternative. Ganz kurz zu 5G ist ja noch nicht mal richtig implementiert. Schon geht die Schreierei von staatlicher Seite wieder los, Schwächungen einzubauen, damit man das abhören kann. Was den meisten Normalbürgern auch nicht bekannt ist, 5G ist ja nur zur Datenübertragung, hat also mit Telefonie überhaupt nichts zu tun. Passiert auch nichts. Und wo das hingehen wird, weiß im Moment noch keiner. Auch hier halten sie sich alle noch sehr bedeckt. Was mich natürlich interessiert hat, wenn wir jetzt 5G machen, Internet of Things, wie sieht es damit der Verschlüsselung aus? Ich habe es gerade eben gesagt, unsere Damen und Herren Volksvertreter sind schon am Schreien, ist noch gar nichts passiert. Man kann wohl davon ausgehen, dass sie sich durchsetzen und auch in das 5G-Protokoll die gleichen Abhörstandards implementieren, wie in seine Vorgänger. Es wäre möglich, technisch, hat man mir bestätigt, eine Ende zu Ende Verschlüsselung durch die Netzbetreiber zu implementieren. Und zwar in der Form, dass auch der Provider keine Möglichkeit hätte, in den Datenverkehr reinzusehen. Aber es besteht einfach kein Interesse und auch nicht der politische Wille. Ja, was kann man jetzt machen? Wie gesagt, Glup-Do-Handy kaufen für 2.750 Euro oder selber machen, zum Beispiel das OTA-Protokoll nutzen. Dass ja den meisten bekannt sein dürfte, das wäre jetzt eine Möglichkeit, was ich machen könnte, also sprich, eine Möglichkeit über Messenger telefonieren. Dann will ich natürlich nicht nur telefonieren, ich will auch irgendwo chatten. Ich würde Sie so was anbieten. Besonders schön finde ich die glaubhafte Abstreitbarkeit. Ich kann also glaubhaft abstreiten, dass ich der Absender einer solchen Nachricht bin. Und im Nachhinein kann der Sitzungsschlüssel dem Absender nicht mehr eindeutig zugeordnet werden. Ja, dann hat sich der Zimmermann, den kennen wir ja vom PGP, so ein paar Gedanken gemacht über das Realtime-Protokoll. Das könnte ich natürlich auch verwenden. War ursprünglich gedacht für VoIP, aber lässt sich auch im GSM-Netz implementieren. Ganz kurz, wie es funktioniert. Wird also quasi über sieben ATP-Stromer zeugt. Und dann halt dieses Geheimnis, dieses gemeinsame Geheimnissschuldigung. Und halt auch der Sold. Vorteil der ganzen Geschichte, ich brauche keine PKI-Struktur, keine Zertifizierungstellen oder irgend sowas. Kann mit allen Signalisierungsprotokollen eingesetzt werden, auch mit dem uralten SS7. Ja, und kann auf allen Drahtlosystemen betrieben werden. Ob das jetzt GMS ist, UMTS, ISDN, SATCOM, sogar auf UHF-Funk. Ganz kurzer Ausdruck, TETRA. Ich habe es am Anfang gesagt, ganz zu Anfang, als es noch alles analog war. Da konnte man mit Radioscannern oder auch mit einem modifizierten Autoradio das abhören, was heute unter TETRA leucht, sprich also den BOS-Funk, Polizei, Feuerwehr, THW, was alles so gab. Tomaten Sie im 4-Meter-Band, so etwas unterhalb des 3-Meter-UKW-Radio-Bandes. Und da das bekannt war, hat man sich dann irgendwann überlegt, das müsste man jetzt auch digitalisieren. Hat also TETRA eingeführt. TETRA gibt es in zwei Arten, einmal für BOS, aber im 400-MHz-Bereich und im 900-MHz-Bereich ist es gedacht für andere Zwecke, zum Beispiel Betriebsfunk. Dort ist es auch per se nicht verschlüsselt. Im BOS-Bereich ist es verschlüsselt, ist letztlich nichts anderes als digitaler Bündelfunk. Im BOS-Bereich hat die Polizei ja in einen Raum, die Feuerwehr, das THW. Aber von wegen, man kann es nicht abhören. Es gab im Fernsehen einige Berichte in den Verbrauchermagazinen, ich glaube, der Zoll war es in Zusammenarbeit mit dem BSI. Irgendwelche Plutus-Kopfhörer aus China eingezogen hat, die dürfen ja nicht mehr verkauft werden, weil man damit den Polizeifunk abhören konnte. Leider haben sie nicht gesagt, welcher Hersteller welches Modell. Ich hätte mir gerne einen besorgt. Sie haben auch für BOS-Tetra natürlich wieder ein eigen Algorithmus kreiert. Den THW gilt damals oder galt als unknackbar. Wie wir wissen, ist er nicht unknackbar. Man braucht dazu diese SIM-Karte, die halt vom BSI entsprechend initialisiert und personalisiert wird. Das heißt, wenn ich so ein Gerät irgendwo in die Hände bekäme, ohne diese Karte kann ich eigentlich gar nichts machen. Ganz kurz, wie dieser THW funktioniert. Ich brauche also ein digitales Signal, das analoge Sprachsignal digitalisiert. Dann wird das Ganze mit den generierten Schüsseldaten verschüsselt. Nochmals verschüsselt über AES oder IDEA. Anschließend werden diese doppelt verschüsselten Datenpakete übertragen und entschüsselt mit dem auf der Schüsselkarte, die ich bei hatten, Schlüsselgenerator. Ja, kommen wir mal ein bisschen zu Wi-Fi. Finde ich ja alles mal an mit WEP. Schon die Abkürzung war, wie es sich schnell herausgestellt hat. Dann kam WPA. Standard heute eigentlich WPA2, manche schon WPA3. Brauche ich, denke ich, auch nicht groß auf die Details einzugehen. Die sind euch alle bekannt. Dass es alles andere als wirklich sicher ist, brauchen wir, denke ich, nicht drüber zu diskutieren. Haben wir einmal das ERP-Verfahren. Brauch ich, denke ich, hier auch nicht groß zu erklären. Könnte besser als ich. Ja, dann kommen wir mal zu Radius. Wie sieht es da aus? Radius ist auch nicht der Weisheit letzter Schluss. Ich kann natürlich da wunderbar arbeiten mit einem Verzeichnungsdienst, wie Elderbord und sowas. Aber selbst in größeren Unternehmen wird nicht unbedingt der Einrichtungsaufwand betrieben, das wirklich total sicher zu implementieren. Man macht es dort in der Regel nur dort, wo halt WLAN nicht so umgehen ist oder halt fürs Gästennetz. Also ich würde es in sensiblen Bereichen auch mit Radius nicht einsetzen wollen. Ja, die Angriffe sind soweit ja auch bekannt, gegen WPA2 sind alles alte Hüte. Also musste man sich was Neues wieder einfallen lassen. WPA3. WPA3 ist im Wesentlichen nur eine Weiterentwicklung von WPA2. Also man hat das Rad hier auch nicht neu erfunden. Was sich verbessert hat, das Handshake-Verfahren, was unter WPA2 noch möglich war, ist jetzt so gut wie unmöglich. Aber man hat schon Schwachstellen gefunden, Anfang April die Dragonblood Schwachstelle. Man hat Downgrade, Attacken, Zeit Channel und DOS ist denkbar. Also so wirklich sicher ist auch WPA3 nicht. Ja, und dann habe ich mir gedacht, jetzt will ich es mal wissen, von denen, die es ja wissen müssen. Hab den drei großen, also sprich unserer Telekom, Vodafone und Telefoniker diese E-Mail geschickt. Und war der Meinung, da müsste ich jetzt eigentlich zwei Tage später eine Antwort haben. Ehe. Ich habe aber eine Antwort bekommen. Und ihr werdet es nicht glauben, es war die Telekom. Es war nicht Vodafone, es war nicht Telefoniker, es war die Telekom. Den Aufwand, den ich dafür betreiben musste, das würde jetzt den zeitlichen Raben sprengen, das alles zu erläutern, um an diese Information zu kommen. So ein offensichtlich dort so eine Art Staatsgeheimnis, ich kann es mir anders nicht erklären. Also kurz und gut, die Antwort von der Telekom sah so aus, Sie verwenden in der Regel A5-3, als auch noch A5-1 für die Ur-Altändis. Eine Ende zu Ende Verschlüsselung ist nicht geplant. Wird auch in absehbarer Zeit nicht kommen. So. Fazit. Fazit, im Westen nichts Neues, im Osten auch nicht. Mobil telefonieren ist nach wie vor unsicher. Der Datenaustrausch über Mobilfunknetze ist per se ebenfalls unsicher. Es sei denn, wir implementieren selbst entsprechende Ende zu Ende Verschlüsselung. Da gibt es verschiedene Möglichkeiten, was wir, wie gesagt, machen könnte. Man kann einmal arbeiten mit dem Off-the-record-Protokoll, man kann arbeiten mit dem Zimmermann-Real-Time-Protokoll. Ich habe einmal ein bisschen geguckt, was gibt es so an möglichen Applikationen, die man da nützen könnte. Gestoßen bin ich auf im Wesentlichen 2. Das ist einmal Simla, eine App, die von ein paar jungen Leuten entwickelt wird. Ich habe mich auf der Frostcon kennengelernt vor ein paar Wochen. Ich wollte den Entwickler eigentlich hier einladen, aber er konnte nicht. Nachteil von der Geschichte bei Simla ist, es funktioniert am besten, wenn über WLAN telefoniert wird. Also über GSM funktioniert es nicht so super. Ich habe es selbst nicht ausprobiert, weil ich Android nicht nutze. Das andere, auf das ich gestoßen bin, ist das TOX-Protokoll. Anwendung heißt PTOX. Das ist zumindest von der Beschreibung her, ganz interessant. Das ist eine Klein-zu-Klein-Geschichte. Das heißt, ich brauche also hier keinen Provider, ich brauche keine zwischengeschalteten Server, ich brauche gar nichts, sondern sowohl der einen als auch der andere Teilnehmer implementieren sich diese App auf ihr Gerät und bauen einen entsprechenden Schlüssel-Austausch auf, eine richtige Ende-zu-Ende-Verschlüsselung. Ausprobiert, wie gesagt, habe ich es bisher nicht, aber es soll dem Berichten zufolge ganz gut funktionieren. Ja, da bin ich schon fertig. Wer Fragen hat, bitte. Danke. Hört sich so an, als wenn es euch gefallen hätte. Ja, bitte. Beschäftigt, ja. TETRA-POL, auch so eine Geschichte, also der TETRA-Standard ist nicht in jedem Land einheitlich. Auch hier haben die Nationalstaaten, mehr oder weniger jeder seinen eigenen, sein eigenes Sübschen gekocht, sein eigenes Standard davon. Vor allen Dingen die Schweizer und die Franzosen waren also nicht bereit, da irgendwas Gemeinsames zu machen. Es war aus öffentlichen Quellen praktisch nichts Verwertbares rauszufinden. Also habe ich dann versucht, über das französische Innenministerium an Informationen zu kommen, aber sie waren nicht bereit, mir die zu geben. Ich gehe mal davon aus, dass es da auch nicht besser aussieht, als bei BOS TETRA. Nachteil ist, das habe ich mir von Feuerwehrleuten bei mir in Leonberg sah, eine große freiwillige Feuerwehr, als auch eine große Polizeibahre. Nachteil ist ja bei diesem Digitalfunk, anders bei Analog, die Geräte müssen also ständig senden, bzw. ständig im Betrieb sein. Die Akkus sind ständig leer. Nächstes Problem ist, aufgrund der 400 MHz-Frequenz, also ungefähr 70 cm, wo auch die PMRs da herum werkeln, wenn du in irgendwelchen Gebäuden bist, vor allen Dingen in der Stadt Stahlbeton, Paradäischer Käfig, in der Gelände, Freierabend geht nichts mehr. Für die Freier wäre auch nicht so erbaulich. Und mit ausländischen Kollegen, in der Regel nicht kompatibel. Ich glaube, in irgendeinem Bundesland war die Woche noch im Fernsehen, ich weiß nicht in welchem, möchte man jetzt Diensthandys anschaffen, also GSM-Geräte, ich nehme an Quad-Bands, damit man dieses Problem zumindest beim Sicherheitsbereich gelöst bekommt, weil so wirklich sind auch die Polizisten mit den Tetra-Geschichten nicht glücklich. Also ich weiß nur von Bekannten von mir, die dort arbeiten in Leeremberg, die sagen, also wir nehmen unsere Privathandys, wenn es mal wieder nicht funktioniert und verschicken SMS oder MMS oder telefonieren oder sonst was, weil mit diesem Tetra-Gerät kann es ja nur funken und die halbe Zeit funktioniert es nicht wirklich. Die Reichweite ist auch sehr begrenzt, es gibt immer mal wieder Störungen, weil dieser 400 MHz-Bereich ist halt ziemlich stark belegt, da ballert alles mögliche drauf rum von Pager-Systemen, über Amateur-Funk, über die PMRs, da ist also alles mögliche, was da mit reinstört. Nicht unbedingt so der Bringer mit diesem Tetra. Also viele wünschen sich die alte Analogtechnik zurück, weil die gingen, mit so einem 15 Watt-Ding, da konnte ich so unhause mit einem Tetra-Gerät, mit 1,5 Watt-Maximal, da kommen vielleicht 0,7, 0,8, HF, oben eine Antenne an. Da geht nichts mehr. Und es gibt ja auch keine Repeater, dass du sagst, ich gehe jetzt übers WLAN im Haus oder so, das geht ja nicht. Haben wir sonst noch Fragen? Wie war das schon alles? Dann danke ich für das Kommen. Viel Spaß noch.