Ein neues Verfahren zur Verschlüsselung des GSM-Sprachkanals
Ordnungsmerkmale
erschienen in: <kes> 2004#6, Seite 41
Rubrik: BSI Forum
Schlagwort: Mobilfunk-Sicherheit
Autor: Von Dr. Antonius Klingler, BSI
Zusammenfassung: Die in den Sprachkanal des GSM-Netzes fest integrierten Vocoder verhindern bisher den Einsatz einer Ende-zu-Ende Verschlüsselung und machen es erforderlich, auf den qualitativ problematischen Datenkanal auszuweichen. Einen Lösungsansatz bietet ein neuartiges Verfahren zur Realisierung eines Sprachkanal-Modems.
Die Verschlüsselung von Sprachkommunikation gehört seit langer Zeit zu den Hauptanwendungsgebieten der Kryptographie. Die fortschreitende Digitalisierung der Netze hat dabei in den letzten Jahrzehnten einen entscheidenden Beitrag zur Reduzierung des technischen Aufwands geleistet. Im Rückgriff auf einen digitalen Kommunikationskanal, der Zahlenwerte mit geringer Verzögerung und in unveränderter Form von einem zum anderen Ort transportieren kann, ist eine Sprachverschlüsselung schon durch vergleichsweise einfache technische Einrichtungen an beiden Enden des digitalen Kanals zu realisieren.
Eine in diesem Sinne ideale Basis für die verschlüsselte Sprachkommunikation bietet zum Beispiel das Integrated Services Digital Network (ISDN). Die Übertragung der verschlüsselten Sprache kann hier nahezu fehlerfrei mit hoher und konstanter Datenrate erfolgen (![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/projekte/edat62/index.htm). Deutlich schlechtere Voraussetzungen für die Realisierung verschlüsselter Sprachverbindungen bieten dagegen IP-basierte Netze: Diese auf einen maximalen Gesamtdurchsatz zielenden Strukturen sind für Sprachverbindungen nur bedingt geeignet. Datenverluste sowie stark schwankende und im Mittel lange Kanallaufzeiten führen zu einer deutlichen subjektiven Verschlechterung der Übertragungsqualität. Aus diesen Gründen führt die seit langem bekannte Internettelefonie, mit oder ohne Verschlüsselung, lediglich ein Schattendasein.
Überraschenderweise bietet GSM, ebenso wie andere drahtlose digitale Netze, ähnlich schlechte Voraussetzungen für die verschlüsselte Sprachkommunikation. Dies erscheint zunächst paradox, da die digitale Übertragung von Sprache ja gerade die Hauptaufgabe dieser Netze ist. Der Grund verbirgt sich in der internen Struktur des GSM-Netzes.
Sprachübertragung im GSM-Netz
Ein vom Mikrofon des GSM-Endgerätes aufgenommenes Sprachsignal wird zunächst in eine digitale Form umgewandelt. Dieses digitale Rohsignal hat eine relativ hohe Datenrate, die sich aufgrund der geringen Kapazitäten des GSM-Netzes für eine direkte drahtlose Übertragung nicht eignet. Mittels eines so genannten Vocoders wird das Rohsignal im Endgerät in eine komprimierte Form mit wesentlich geringerer Datenrate überführt. Nach der Übertragung wird das Signal dann in der Basisstation wieder dekomprimiert und in das Telefonnetz eingespeist. Die häufig diskutierte interne Verschlüsselung des GSM-Netzes sichert alleine die Funkstrecke und wird an der Basisstation wieder aufgehoben.
![[Illustration]](04-6-041-1-400.gif)
GSM-Sprachkanal
Durch die Kompression/Dekompression in den beiden Vocodern wird das digitale Sprachsignal deutlich verändert. Lediglich die Eigenschaften, die für die menschliche Wahrnehmung entscheidend sind, bleiben erhalten. Insbesondere der Vocoder der Basisstation gehört zur festen Infrastruktur des GSM-Sprachkanals und kann daher nicht aus dem Signalweg ausgeblendet werden. Eine bitgenaue Übertragung digitaler Daten an einen anderen Teilnehmer ist so zunächst ausgeschlossen. Die wesentliche Voraussetzung für eine einfach zu realisierende End-zu-Ende-Verschlüsselung ist daher nicht gegeben. Ein Beispiel für einen Mobilfunk-Standard, der ohne diese Einschränkungen auskommt, ist übrigens das TETRA-System, bei dem sich die Vocoder ausschließlich in den Endgeräten befinden. Eine leistungsfähige Ende-zu-Ende-Verschlüsselung für dieses System wurde bereits erfolgreich erprobt ( www.pilotprojekt-digitalfunk-aachen.de ).
Datenübertragung im GSM-Netz
Die dargelegte spezielle Problematik des GSM-Sprachkanals macht es bisher erforderlich, Ende-zu-Ende-verschlüsselte Sprachverbindungen mithilfe der im GSM-Netz verfügbaren Datenverbindungen zu realisieren. Alle auf dem Markt befindlichen Systeme arbeiten ausschließlich nach diesem Prinzip. Die entscheidenden Nachteile dieser Lösung entstehen durch die Qualitätseigenschaften der GSM-Datenverbindungen. Ähnlich wie im Falle der Internettelefonie treten auch hier schwankende und insgesamt sehr lange Signallaufzeiten auf. Die Verzögerung ist im Allgemeinen deutlich größer als die eines Satellitentelefons. Das Führen eines verschlüsselten Telefonats erfordert daher ein sehr hohes Maß an Gesprächsdisziplin von den Teilnehmern – zudem ist die Verfügbarkeit von GSM-Datenverbindungen zumindest im Ausland mitunter eingeschränkt.
----------Anfang Textkasten----------
Vocoder
Ein Vocoder bearbeitet in seinem Analyseteil jeweils einen Zeitabschnitt T des Sprachsignals. Er charakterisiert dabei das ursprüngliche Signal im Abschnitt T durch einen Satz von Merkmalen. Häufig verwendete Merkmale sind das Linienspektrum, die Frequenz der Grundschwingung und die Energie des Signals. Die zahlenmäßige Darstellung der Merkmale erfordert erheblich weniger Bits als die digitale Repräsentation des ursprünglichen Signals im Zeitabschnitt T. Die Merkmale des Abschnitts T werden als komprimierte Darstellung übertragen und dienen als Eingabe für den Syntheseteil des Vocoders, der sich am anderen Ende des digitalen Kanals befindet und eine Rekonstruktion des ursprünglichen Signals erzeugt. Das Signal und seine Rekonstruktion stimmen im Allgemeinen aber nur hinsichtlich der extrahierten Merkmale überein. Lediglich für die menschliche Wahrnehmung besteht eine hohe Ähnlichkeit zwischen den Signalen.
![[Illustration]](04-6-041-3-400.gif)
Charakterisierung von Sprache durch Merkmale
----------Ende Textkasten----------
Das Sprachkanal-Modem
Da lediglich der Sprachkanal des GSM-Netzes erträgliche Signalverzögerungen garantiert, liegt es nahe, über Verfahren nachzudenken, die eine Übertragung digitaler Daten durch die "Vocoder-Barriere" hindurch ermöglichen können. Ähnlich wie im Falle eines Modems für analoge Telefonleitungen, müssen die digitalen Daten dazu mittels eines Modulators in Signale umgewandelt werden, die den Kanal weitgehend unverändert passieren und vom Demodulator fehlerfrei erkannt werden können. Den durch die eingeschleiften Vocoder hervorgerufenen nicht-linearen Verzerrungen ist mit klassischen Verfahren der digitalen Signalverarbeitung jedoch kaum beizukommen. Einen sehr vielversprechenden Lösungsansatz verfolgt in diesem Zusammenhang das Team um den britischen Vocoderspezialisten Prof. Dr. A. Kondoz [1]. Vereinfacht ausgedrückt geht dieser Ansatz von der These aus, dass insbesondere solche Signale den Vocoder ungehindert passieren können, die bereits von einem Vocoder erzeugt wurden. Ein besseres Verständnis liefert ein kurzer Blick auf die grundsätzliche Funktionsweise eines Vocoders.
Die Syntheseeinheit eines Vocoders wird zum Modulator umfunktioniert, indem jeweils ein (n1+n2+n3) Bit langer Abschnitt des zu übertragenden digitalen Signals als Kriterium für die Erzeugung des Synthesesignals in einem Zeitabschnitt der Dauer T herangezogen wird. Dieser Abschnitt des Sendesignals dient als Symbol für den (n1+n2+n3) langen Bitvektor und wird über den Kanal zum Demodulator übertragen. Da die in den Kanal eingeschleiften Vocoder dieses Symbol nach gleichen oder ähnlichen Kriterien analysieren und wieder synthetisieren, bleiben die vom Modulator eingeprägten Merkmale weitgehend erhalten. Der Demodulator kann daher bei der Analyse des Zeitabschnitts T den ursprünglichen Bitvektor mit geringer Fehlerquote rekonstruieren.
Das Verfahren setzt natürlich die Synchronität der beteiligten Analyse- und Syntheseeinheiten voraus, das heißt die Analyse- und Syntheseschritte müssen sich immer auf den gleichen Zeitabschnitt der Dauer T beziehen. Die Parameter n1, n2 und n3 entsprechen der Auflösung, mit der ein bestimmtes Merkmal übertragen werden kann. So ist die Auflösung für das Linienspektrum (n1) beispielsweise deutlich größer als die Auflösung für die Energie (n3). Der Unterschied zu bekannten Übertragungsverfahren besteht vor allem in der enorm großen Anzahl der möglichen Symbole. Eine an diesen Umstand angepasste Kanalkodierung könnte Potenzial für weitere Verbesserungen bieten.
Die Funktionsfähigkeit des Verfahrens wurde bereits praktisch nachgewiesen. Auf dem GSM Sprachkanal ließen sich dabei Datenraten von 2-3 kBit/s erzielen. Die Bitfehlerrate liegt, abhängig von der Datenrate, im Bereich einiger Prozent.
![[Illustration]](04-6-041-2-400.gif)
Modifizierter Vocoder als Modem
Ende-zu-Ende-Verschlüsselung des GSM-Sprachkanals
Basierend auf dem Sprachkanal-Modem für das GSM-Netz, lässt sich eine Ende-zu-Ende-Verschlüsselung nach den bekannten Prinzipien verwirklichen. Die insgesamt recht niedrige und mit hoher Fehlerquote behaftete Datenrate erfordert jedoch besondere technische Maßnahmen. So muss zur Reduzierung der Bitfehlerrate eine Faltungskodierung eingesetzt werden, die die Netto-Rate weiter auf etwa 1–2 kBit/s absenkt. Die Übertragung von Sprache über diesen sehr schmalbandigen Kanal erfordert wiederum eine Vocoder mit sehr hoher Komprimierungsrate. Sehr aufwändige Low-Bit-Rate-Vocoder machen es heute möglich, noch bei Datenraten von 1,2 kBit/s einen Sprecher eindeutig an seiner Stimme zu erkennen. Diese Sprachqualität ist unter normalen Umständen für Telefongespräche völlig ausreichend.
![[Illustration]](04-6-041-4-400.gif)
Ende-zu-Ende-Verschlüsselung
Alle für die Ende-zu-Ende Verschlüsselung erforderlichen Komponenten lassen sich zu einer kryptographischen Einheit zusammenfassen. Hierbei muss es sich nicht notwendigerweise um ein zusätzliches Gerät handeln. Moderne Smartphones bieten neben ihrer Funktion als GSM-Endgerät eine leistungsfähige Plattform für Zusatzapplikationen. Die Software für Vocoder, Verschlüsselung und Modem kann als zusätzliches Programm während eines Telefongesprächs ausgeführt werden. Die digitalen Signale des ohnehin vorhandenen A/D-D/A-Wandlers müssen lediglich intern umgeleitet werden.
Eine Basistechnologie – nicht nur für GSM
Man könnte im Hinblick auf das beschriebene Verfahren kritisch anmerken, dass angesichts des fortschreitenden UMTS-Ausbaus schon bald eine weitaus bessere Basis für die mobile verschlüsselte Sprachkommunikation zur Verfügung steht, die dieser aufwändigen Technik nicht bedarf. Diese Betrachtungsweise wird der Problematik jedoch nicht ganz gerecht. Zunächst ist zu bedenken, dass der Fortbestand des Weltstandards GSM und seiner milliardenschweren Infrastruktur schon aus ökonomischen Gründen zumindest mittelfristig gesichert ist.
Die eigentliche Bedeutung des Verfahrens geht aber über GSM hinaus, da es sich grundsätzlich für alle Sprachkommunikationssysteme eignet. Eine (evtl. auch automatische) Adaption an verschiedenste Sprachkanäle ist prinzipiell möglich. Dabei ist weder ein Eingriff in das Netz noch eine Veränderung der Endgeräte notwendig. Die Funktion der Ende-zu-Ende-Verschlüsselung wird durch eine unabhängige modulare Einheit realisiert, die zwischen Endgerät und Benutzer eingefügt wird. Die geringe Tiefe, mit der hier in bestehende Kommunikationsstrukturen eingegriffen werden muss, könnte Entwicklungszeit, Kosten und Langlebigkeit entsprechender Krypto-Produkte entscheidend beeinflussen.
Literatur
- [1]
- N. Katugampala, S. Villette, A. M. Kondoz, Secure Voice over GSM and Other Low Bit Rate Systems, in: Secure GSM and beyond: end to end security for mobile communications, IEE, Savoy Place, London, Februar 2003
zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#6, Seite 41
![[Illustration]](04-6-041-1.gif)
![[Illustration]](04-6-041-3.gif)
![[Illustration]](04-6-041-2.gif)
![[Illustration]](04-6-041-4.gif)
