[Deodor Ant]

Hommik!

Otsisin HV'st analoogset artiklit, kuid ei leidnud. Võibolla olen lihtsalt koba...

Igatahes, huvitab, kuidas on realiseeritud erinevate GSM süsteemide nagu High-Speed Circuit-Switched Data (HCSD), General Packet Radio System (GPRS), Enhanced Data GSM Environment (EDGE) turvalisus.
Avalikus hotspotis ei söenda enam pihuarvutiga meilboksi avada, sest wireless neti pealtkuulamine on käepärane igale asjast huvitunule. Kas EDGE või HCSD pakettide sniffimine on kodukootud asjapulgale rohkem keerukas, vajab erirauda?

Ärge palun terminiga "google" mind sõimake. Uurin kindlasti ka ise sealt, kuid alati võivad mõned huvitavad artiklid kahe kõõrdsilma vahele jääda
Visake siia huvitavaid asjakohaseid linke.

[daddo]

Need võiks olla küsimused, millele meelsalt peaksid operaatorid vastama, kui klient on murelik oma privaatsuse pärast...

[HacaX]

Tõenäoliselt eksin, aga paistab et EDGE käib GSM standardi raames ja mingeid turvalisasid GSMiga võrreldes ei ole. GSMi enda turva on aga alla igasugust arvestust (ning tänapäeval peaks lausa reaalajas lahti murtav olema).

[Shook]

[UB]

HacaX, räägid et GSM side turvamine on alla igasugust arvestust Ma ei ole piisavalt ennast asjaga kurssi viinud, et saaks vastu vaielda, aga seleta mulle siis ära, mismoodi on võimalik Mobiil ID teenust siis üldse turvaliselt pakkuda?

[Dogbert]

Üle GSM/GPRS/EDGE ühenduse on ka võimalik krüpteeritud tunnelit teha, täpselt nagu üldse krüptota arvutivõrgu puhul
Jutt on ühenduse enda krüptost - näiteks tavakõne puhul.

[UB]

[Dogbert]

[UB]

Dogbert, see et need mobiil ID sõnumid on mõlemis otsas krüpteeritud on fakt või sinu arvamus? Mingi erinevus muidugi asjal peaks põhimõtteliselt olema, sest selleks kasutatakse ainult teatud SIM kaarte, kuid arvamus on väga väike argument.

[tauntz]

"Hulton and Steve now claim that with 30 minutes and $1,000 worth of gear (or 30 seconds and $100,000 in equipment), they can hack the GSM communications and even locate a particular device's location to within 200 meters."

link1
link2
(rohkema jaoks googelda ;) )



Ma sügavalt loodan, et mobiilID kasutab mingit lisa end-to-end krüpteeringut (ja selleks on midagi paremat kui rot13 :P) - igatahes enne mobiilID'd kasutama ei hakka kui selle turvalisuse põhimõtteid lähemalt selgitatud pole.

[Osiris]

Uurisin EMT käest väheke selle mobiil-ID turva kohta.

Vastati nii:

[Andrus Luht]

Minuarust tegelete te siin pseudo-probleemiga! Asjaga, mille muutmine ei ole teie võimuses ega ka pädevuses.
Kasutada tuleb pop3s/imaps ja smtps-auth teenuseid ning pole vahet, milliseid võrke kasutatakse ja/või kui turvalised nood on.

[Deodor Ant]

[taavi]

http://www.cs.ut.ee/~peeter_l/research/nordsec09.pdf

[Deodor Ant]

tänud lingi eest.

[Draqula]

Lugesin hiljuti artiklit, kus väideti, et on valmistatud $1500 seade, millega saab live's 2G sidet ehk GSM pealt kuulata ning ka presenteeriti seda.
http://www.theregister.co.uk/2010/08/02/gsm_cracking/

[Dogbert]

[Draqula]

[Deodor Ant]

Tõsi ta on, toona teemat algatades huvitas mind just GSM'i enda turva, mitte selle sees jooksvad teised kanalid/teenused. Ei oskagi kommenteerida, miks järsku mID jalgu meile jäi

Sorisin ka oma postkastis ja leidsin veel sellest ajast põgusa kirjavahetuse EMT'ga:

--------------------------------------------
Tervist

Tunnen sportlikku huvi, millist krüptoalgoritmi kasutab EMT oma GSM
võrgu krüpteerimiseks? Kas A5/0, A5/1 või A5/2?

Jaksu ja kõike paremat.
------------------------------------------

Tere

EMT kasutab võrgu krüpteerimiseks A5/1.

Lugupidamisega

Angelika Roos
Kliendiinfo teenindaja
-----------------------------------------

Ja üks esimesi linke, mis hetkel google annab A5/1 kohta on:
http://cryptome.org/a51-bsw.htm
The first attack requires the output of the A5/1 algorithm during the first two minutes of the conversation, and computes the key in about one second. The second attack requires the output of the A5/1 algorithm during about two seconds of the conversation, and computes the key in several minutes.

[Dogbert]

Draqula, selge pilt. Kuna eelnevalt avaldati selles osas kahtlust, tuli neile kahtlejaile neidsamu IT põhitõdesid natuke tutvustada ja et viimased postitused käisid just mobiil-ID kohta, siis pidasin ka sinu lakoonilist postitust sama teema jätkuks, mitte vastuseks algsele postitusele. Ma ei kahtle enam sinu teadmistes.