Den siste uka er det mange som som har uttalt seg harmdirrende om sporing og avlytting av GSM-trafikk via falske basestasjoner. Vi kjenner saken kun fra mediene, og kan ikke si så mye om hva som har skjedd eller ikke skjedd, men for oss fremstår det (på samme måte som for tidligere professor Svein Knapskog) som noe av en storm i et vannglass.
Et av de mer edruelige innleggene kommer fra UiO-professor Audun Jøsang, og vi stiller oss bak det meste av det han skriver. GSM-nettet tilbyr ikke toveis autentisering, og de krypteringsalgoritmene som er tilgjengelige holder ikke helt dagens krav til bl.a. nøkkellengder.
Imidlertid bommer kravene om at “nå må noe gjøres, og det straks” på målet – noe er gjort, og det for lenge siden: UMTS-nettet både tilbyr gjensidig autentisering av telefon og basestasjon, og bruker kryptomekanismer (Kasumi og Milenage) som fullt ut tilfredsstiller tidens krav. Enkelte Android-telefoner kan i følge VG enkelt skru av støtte for gammeldags GSM (2G), så da skulle det bare være for de som er redd for IMSI-catchere å konfigurere dette. Hvis man ønsker å være ekstra sikker, skulle det heller ikke være vanskelig for teleselskapet (f.eks. Telenor) å levere SIM-kort som kun har støtte for UMTS – da får man heller leve med at telefonen ikke virker der det ikke er UMTS-dekning (men dette oppleves så vidt vi vet sjelden som et problem rundt Stortinget og Tjuvholmen). Det burde likeledes være en smal sak å konfigurere SIM-kortet til å avstå fra å bruke internasjonale basestasjoner.
Dette illustrerer på en glimrende måte at sikkerhet vanligvis har en kostnad; enten i penger (for operatør og/eller kunde), redusert funksjonalitet, eller dårligere brukervennlighet. Du får det du betaler for. Det finnes også mengder av tredjeparts-programvare som tilbyr kryptert tale og meldingsutveksling for dem som ikke stoler på UMTS-krypteringen, men det får bli en annen bloggpost.
Se forøvrig mer informasjon om temaet i mitt tidligere innlegg om GPRS-sikkerhet.