GSM-puhelimien salaus murtui – mahdollistaa kuuntelun

A5/1-salausmenetelmää käytetään matkapuhelimen ja GSM-verkon tukiaseman välisen viestinnän, esimerkiksi puheluiden ja tekstiviestien salaamiseen. Salaus on olemassa siksi, ettei puhelimesta lähtevä radiosignaali olisi kuunneltavissa minkään ulkopuolisen vastaanottimien avulla.

Pelkkä salauksen murtaminen ei sinänsä tarkoita, että hyökkääjä pystyisi kaappaamaan signaalin ja prosessoida sen kuunneltavaan muotoon. Salauksen murtaminen on kuitenkin ehdoton edellytys sille, jos puhelinta yritetään kuunnella tai tekstiviestejä kaapata.

Signaalin saattaminen kuunneltavaan muotoon vaatii rutkasti osaamista ja teknistä laitteistoa. Kaiken lisäksi salakuunneltavaa kohdetta, eli puhelinta, pitää pysytellä lähellä, jotta puhelimesta tukiasemaan lähtevä signaali voidaan kaapata. Käytännössä uhka on siis vain teoreettinen. Teoreettisesta haittakäytöstä huolimatta puhelinliikenteeseen tunkeutumisen mahdollistava laitteisto on laiton pitää hallussa.

Salaus murtui, entä sitten?

Puhelimen luvaton kuuntelu ja puhelimen tietojen onkiminen on ollut mahdollista jo pitkään haittaohjelmien avulla, mutta tietoliikenne-ekspertit halusivatkin osoittaa, että puhelimen turvallisuutta voidaan murtaa kajoamatta itse kohteena olevaan laitteeseen.

Mutta miksi salauksen purkaminen, joka sinänsä ei vielä mahdollista mitään, on asiantuntijoiden mukaan merkittävää?

– Juuri se, että se on pystytty purkamaan. GSM-puhelimien A5/1 algoritmi on kaksikymmentä vuotta vanha, mutta nyt se on siis onnituttu murtamaan, kehitysjohtaja Jaakko Wallenius Elisasta kertoo.

Samalla suojauksen murtaminen osoittaa, että tietyt mallit jäävät teknisen kehityksen jalkoihin.

– Ehkä salauksen murtaminen osoittaa, että pitkäikäisimmän gsm-suojauksen aika alkaa olla ohi ja on aika siirtyä uudempiin, paremmin suojattuihin järjestelmiin, Wallenius lisää.

Suomessa on vielä käytössä parisataa tuhatta A1/5 suojausta käyttävää gsm-puhelinta. Tämä teoreettinen tietoturvauhka poistuu sitä mukaa, kun puhelimia korvataan uusilla.

Viestintäviraston mukaan näiden vanhojen gsm-puhelimien salauksen palauttaminen vedenpitäväksi vaatisi kaikkien vanhojen gsm-tukiasemien päivittämisen.

Suurin tietoturvauhka olet sinä itse

Asiattomia väliin tulijoita ei tarvitse pelätä, jos käyttää uudempia 3G- tai 4G-puhelimia. Tai ainakaan niiden signaalisalausta ei kyetä murtamaan.

– 3G- ja 4G-signaalin salaus, jota älypuhelimet käyttävät, ei voi murtaa, Wallenius vakuuttaa.

Lisäksi asiantuntijat uskovat, ettei älypuhelimien radioliikennettä ihan noin vain tulla kaappaamaan, vaikka rikolliset tahot sitä kuinka yrittäisivät.

Nokia Siemens Networksin asiantuntija Konstantin Shemyak nimittäin kertoo, että salaukset otetaan käyttöön vasta kun ne on todella todettu vedenpitäväksi.

– Maailman parhaat kryptografit, jotka eivät osallistuneet 3G-salauksen suunnitteluun, yrittivät purkaa salausta pitkään. Kun he eivät siinä millään onnistuneet, voitiin kyseinen salaustekniikka ottaa käyttöön 3G-puhelimiin.

Kaikki asiantuntijat sekä myös yhteiskunnan kriittisimpien osien toimivuudesta vastaava Huoltovarmuuskeskus ovat yhtä mieltä siitä, että yleensä pahin tietoturvauhka on käyttäjä itse. Suurin virhe, minkä vastuullisessa asemassa oleva henkilö voi tehdä on jättää tärkeä puhelin tai tietokone ilman valvontaa tai puhua tärkeitä asioita niin kuuluvasti, että täysin ulkopuolisetkin kuulevat.

Huoltovarmuuskeskuksen mukaan tietoturvauhkiin on kaiken kaikkiaan varauduttu erittäin hyvin. Yksi tärkeimmistä ja aina ajankohtaisista käytännöistä on, että todella tärkeistä asioista ei puhuta matkapuhelimissa lainkaan.

– Tärkeiden tietojen vaihtoon meillä on omat erikoisjärjestelmämme. Matkapuhelimet ovat tarkoitettu nk. tavalliseen kommunikaatioon, Huoltovarmuuskeskuksen johtaja Veli-Pekka Kuparinen selventää.

Joitakin kansalaisia saattaa askarruttaa myös se, miten viranomaiset toteuttavat telepakkokeinoja. Suojausten murtamisen kanssa sillä ei ainakaan ole mitään tekemistä. Viranomaisten käyttämät telepakkokeinot, kuten puhelinkuuntelu, eivät koskaan perustu salauksen murtamiseen vaan operaattorin kanssa tehtävään yhteistyöhön, jolloin operaattori hankkii viranomaisille tietoja liittymästä tai tallentaa puheluita viranomaisia varten.