DECT Security Zertifizierung - nun auch für Headsets

Ursprung der DECT Security Zertifizierung

Die Gruppe „deDECTed“ legte Ende 2008 beim 25. Chaos Communication Congress in Berlin dar, wie Telefongespräche über DECT-Geräte abgehört werden können. 2009 veröffentlichte sie dann einen Artikel, in dem sie die Sicherheitsmängel genereller DECT-Geräte aufdeckte.

Diese Enthüllungen wurden von den DECT-Geräteherstellern sehr ernst genommen. Seitdem arbeiten das DECT-Forum und die Gruppe „deDECTed“ gemeinsam daran, nicht nur bereits bekannte, sondern auch potenzielle künftige Sicherheitslücken im DECT-Protokoll zu beseitigen.

Im Januar 2013 gab das DECT-Forum seine neuen Sicherheitsstandards bekannt und rief gleichzeitig offizielle das „DECT-Security-Certification-Program“ ins Leben. Die neuen Standards bieten Richtlinien für die Verbesserung der Sicherheit in acht Bereichen, darunter Authentifizierung, Verschlüsselung, Verbindungsaufbau, -verlauf und -abbruch.

Die Sicherheitszertifizierung des DECT-Forums wird nur Geräten verliehen, bei denen alle acht Empfehlungen umsetzt sind und die zur unabhängigen Prüfung bei einem genehmigten Testlabor eingereicht werden.

Wie lauten die neuen Sicherheitsfunktionen und welchen praktischen Nutzen haben Sie?

1) Registrierungsverfahren und Zeitlimits für 44-Bit-Einrichtung:
Die Basisstation bleibt maximal 120 Sekunden „für die Registrierung geöffnet“.

► Hierdurch wird sichergestellt, dass der Versuch, ein Headset bei der Basisstation zu registrieren, nur stattfinden kann, wenn der Nutzer die Registrierung gestartet hat. Der Vorgang muss innerhalb von 120 Sekunden abgeschlossen sein.

2) Verschlüsselungsaktivierung gestartet (Basisstation und Headset):
Sowohl die Basisstation als auch das Headset unterstützen die Verschlüsselungsaktivierung. Die Basisstation aktiviert die Verschlüsselung bei allen Anrufen.

► In der Vergangenheit wurde die Verschlüsselung bei einigen DECT-Geräten nicht bei allen Anrufen gestartet.

3) Live-Schlüsselzuweisung (Basisstation und Headset):
Die Basisstation erstellt bei der Registrierung des Headsets einen (64-Bit) Nutzerauthentifizierungsschlüssel (User Authentication Key, UAK) und weist diesen zu.

► Dies ist eine der Maßnahmen, durch die sichergestellt wird, dass Basisstationen und Headsets nicht für klassische Man-in-the-Middle-Angriffe anfällig sind. Sowohl die Basisstation als auch das Headset verwenden den Authentifizierungsschlüssel bei der Kommunikation.

4) Authentifizierung von PP (Basisstation und Headset):
Die Basisstation kann das Headset authentifizieren und somit sicherstellen, dass es sich um ein echtes Headset handelt und nicht um einen Eindringling oder einen Versuch, das echte Headset zu imitieren.

► Mit dieser Funktion wird sichergestellt, dass zwischen Headset und Basisstation keine Kommunikation stattfindet, wenn keine gegenseitige Authentifizierung möglich ist.

5) Verbesserter Zufallszahlengenerator:
Robusterer Algorithmus, durch den verhindert wird, dass die bei der Generierung von Verschlüsselungsschlüsseln verwendeten Seed-Zahlen doppelt vorkommen.

► Durch diese Verbesserung wird es praktisch unmöglich, eine Zufallszahl durch wiederholte Versuche zu erraten und dann zum Erstellen von Schlüsseln zu verwenden.

6) Bewertung des Peer-Verhaltens hinsichtlich der Verschlüsselungs-Timeoutwerte für die Auslösung einer Anruffreigabe:
Wenn der Peer sich nicht wie erwartet verhält, d. h. wenn er die Verschlüsselung nicht rechtzeitig startet, geht das Gerät davon aus, dass eine versuchte Sicherheitsverletzung vorliegt. Der Anruf wird daraufhin abgebrochen.

► Ein Hacking-Versuch müsste jedes Mal in jeder Hinsicht fehlerlos sein, weil jede Kommunikation zwischen Headset und Basisstation, die vom erwarteten Muster abweicht, zum Abbruch der Verbindung führt.

7) Frühzeitige Verschlüsselung:
Garantiert die Aktivierung der Verschlüsselung sofort nach der Herstellung der Verbindung und vor dem Austausch von Protokollnachrichten einer höheren Ebene (einschließlich Anrufer-ID, gewählter Ziffern usw.)

► Die Verschlüsselung beginnt jetzt sofort, damit nützliche Informationen nicht unverschlüsselt ausgetauscht werden.

8) Verfahren für Re-Keying mit einem neu abgeleiteten Cipher-Schlüssel während eines Anrufs:
Der vom Verschlüsselungsmodul verwendete Cipher-Schlüssel wird alle 60 Sekunden mindestens einmal aktualisiert. Hierdurch werden alle Versuche vereitelt, den Cipher durch Brute Force Attacken zu ermitteln, beispielsweise durch Supercomputer.

► Bisher gab es Geräte, die einen Schlüssel über längere Zeiträume oder bei mehreren Kommunikationsströmen einsetzten. Dies ist nicht mehr zulässig. Für Angriffsversuche stehen daher nur noch jeweils maximal 60 Sekunden zur Verfügung.

Welche Produkte sind nach "DECT-Security" zertifiziert?

Aktuell ist Plantronics der einzige Hersteller welche diese Zertifizierung für den Großteil seiner Geräte durchgeführt hat (Stand 16.12.2015). Eine Übersicht aller zertifizierten Headsets finden Sie etwas weiter unten aufgelistet.

Sollten Sie Fragen haben diesem Thema haben, zögern Sie bitte nicht, uns anzusprechen: Unsere Fachberater erreichen Sie unter (040) 500 580 20  – oder Sie schicken uns eine E-Mail an info@comhead.de.


Autor:
Jens Bernhardt

(Vertriebsleiter & Gesellschafter)

 

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.

Die Datenschutzbestimmungen habe ich zur Kenntnis genommen

Kontaktformular

Persönliche Beratung
040 - 500 580 20