Warum der Digitalfunk von sich aus weniger anfällig für unerwünschtes Abhören ist und was Sie tun können, um Ihr Netz so zu verschlüsseln, dass die Sicherheit noch erhöht wird.
Funksysteme sind naturgemäß sicherer als andere Kommunikationsmittel, da sie in privaten Netzen arbeiten und deshalb nicht so leicht abgehört werden können, zum Beispiel durch Handlesegeräte. Analoge Funkgeräte sind anfälliger für das Abhören durch Handlesegeräte, da es schwieriger ist, im Analogfunk einen wirklich privaten Kanal zu erstellen. Analoge Systeme bieten eine Reihe programmierbarer Standard-Datenschutzcodes, oder PL-Töne (Private Line), die für jeden Funkkanal programmiert werden können. Schafft es ein Hacker jedoch, die Übertragung abzufangen, halten ihn diese Maßnahmen nicht davon ab, den Ruf abzuhören. Hier muss auch angemerkt werden, dass für die Sprachverschlüsselung Investitionen in zusätzliche Hardware notwendig sind, unter anderem in Scrambling- oder Verschlüsselungskarten, was die Gesamtkosten in die Höhe treibt. Ein weiterer Nachteil von Scrambling-/Verschlüsselungslösungen für analoge Geräte ist die Tatsache, dass die Verschlüsselung die Qualität der Audioübertragung erheblich beeinträchtigt.
Verschlüsselungen im Analogfunk stellen immer eine Herausforderung dar, da für die ältere analoge Technologie ein Analog-Digital-Umsetzer, ADC, benötigt wird, und nachdem die verschlüsselte Nachricht empfangen wurde, die Signale wieder rekonstruiert werden müssen, um die analoge Audio-Wellenform zu erhalten, mittels DAC oder Digital-Analog-Umsetzer. Traditionelle analoge Funkgeräte benötigen also immer teure Optionskarten für die Verschlüsselung, wohingegen ADC und DAC inhärenter Teil der digitalen Schaltschemata eines DMR-Funkgerätes sind.
Hytera: Vier Verschlüsselungsoptionen für DMR-Funkgeräte
Digitale Funkgeräte sind also viel leichter zu schützen. Die Audioqualität wird durch die Verschlüsselung nicht beeinträchtigt. Die Verschlüsselungslösungen für digitale DMR-Funkgeräte bieten einen extrem guten Schutz gegen gängige Handlesegeräte. Analoges Scrambling ist normalerweise nicht sehr gut. DMR-Funkgeräte bieten außerdem den Vorteil, dass sie immer noch mit analogen Funkgeräten kommunizieren können, wenn Sie gemischte Flotten betreiben. DMR-Funkgeräte von Hytera bieten drei oder vier mögliche Verschlüsselungsoptionen, und zwar Basic, Enhanced, Advanced und Customized. Bei der Verschlüsselung Basic handelt es sich um Scrambling, das hauptsächlich für den analogen Betrieb verwendet wird, oder um die Basisverschlüsselung mit 10, 32 oder 64 Zeichen. Dann gibt es die Enhanced DMR Association ARC4 40-Bit-Verschlüsselung oder die Verschlüsselung auf Basis der Standards Advanced AES 128 Bit oder AES 256 Bit. Bei der letztgenannten Option wird eine SIM- oder SD-Karte mit den Verschlüsselungsalgorithmen des Kunden in das Funkgerät eingebaut.
Hier sollte angemerkt werden, dass nicht alle Funkgeräte von Hytera jede Verschlüsselungsoption unterstützen. Normalerweise unterstützen Modelle aus dem Einsteiger- und mittleren Segment nur die Verschlüsselungsoptionen Basic oder Enhanced, und selbst dann kann es sein, dass die neueste Firmware von Hytera und in einigen Fällen auch ein gebührenpflichtiger Lizenzschlüssel benötigt werden. Die erweiterte Verschlüsselung ist nur für Modelle aus dem höheren Segment verfügbar und erfordert bestimmte Software. Dabei handelt es sich um einen gebührenpflichtigen Dienst und für jede Seriennummer eines Funkgerätes muss eine Lizenz vergeben werden.
Eine Personalisierung erfolgt nur auf Modellen, die Optionskarten unterstützen und nur nach Vorab-Kaufverpflichtungen und eventuell einer Anzahlung durch den Kunden. Jede dieser Verschlüsselungsoptionen erhöht die Sicherheit. All diese Sicherheitslösungen nutzen Algorithmen mit „symmetrischen Schlüsseln“, das heißt, das für die Ver- und Entschlüsselung der Übertragung der gleiche Schlüssel verwendet wird. Das bedeutet, dass ein DMR-Funkgerät genau den gleichen Schlüssel und Code verwenden muss wie alle anderen Funkgeräte, mit denen es kommunizieren soll. Technisch gesehen handelt es sich bei den Verschlüsselungsoptionen Basic und Enhanced eher um „private Modi“ als um tatsächliche Verschlüsselungen, da diese Lösungen die Übertragung unter Verwendung eines zugewiesenen Schlüsselcodes nur „verwürfeln“ und wieder „ordnen“.
Die Lösung Basic Privacy bietet Schlüsseloptionen zwischen 1 und 255 unter Verwendung von 10, 32 oder 64 Zeichen für die Übertragungs- und Empfangsfrequenz, die sich entsprechen müssen. Die Schlüssel sind nicht personalisiert, ein Hacker muss also nur alle 255 Schlüssel scannen, um denjenigen zu finden, den Sie verwenden. Die Option Enhanced Privacy verwendet eine 40-Bit-Verschlüsselung (oder fünf Bytes), was 240 möglichen Schlüsseln entspricht oder, anders ausgedrückt, ungefähr einer Billion Permutationen. Das ist sicherer als bei der Option Basic Privacy, da der Anwender einen personalisierten Schlüssel eingibt, für den er einen Mix aus Buchstaben und Zahlen verwendet, zusammen mit einem Schlüsselnamen und einer Slotnummernvergabe – die alle zueinander passen müssen. Für einen Hacker ist es viel schwieriger, personalisierte Schlüssel zu knacken. Dennoch wird eine 40-Bit-Verschlüsselung in der heutigen Computerwelt als relativ unsicher angesehen und mit der heutigen Rechenleistung und Hochgeschwindigkeitsprozessoren ist es möglich, einen 40-Bit-Code mit einem sogenannten Brute-Force-Angriff sehr schnell zu knacken.
Für die Verschlüsselungsoption Advanced nutzen DMR-Funkgeräte entweder die 128-Bit-Verschlüsselung oder den Standard AES (Advanced Encryption Standard) mit 256 Bit. AES 256 zählt allgemein zu den sichersten Verschlüsselungsoptionen und wird häufig von Regierungen, Einrichtungen der öffentlichen Sicherheit und Behörden verwendet. Die AES-Spezifikation für die Verschlüsselung elektronischer Daten wurde im Jahr 2001 vom US National Institute of Standards and Technology (NIST) veröffentlicht. AES bietet eine Reihe von Chiffren mit unterschiedlichen Schlüssel- und Blockgrößen. Die Blockgröße bezieht sich auf die Blockverschlüsselung, von der es zwei Arten gibt: Stromverschlüsselung und Blockverschlüsselung. Bei der Stromverschlüsselung ver- und entschlüsselt der Algorithmus einzeln pro Bit. Eine Blockverschlüsselung bezieht sich auf eine Gruppe von Bits. Bei der Blockverschlüsselung ver- und entschlüsselt der Algorithmus die Nachricht Block für Block. AES verwendet die Blockverschlüsselung. Das NIST entschied sich für drei Elemente der AES-Familie mit je einer Blockgröße von 128 Bit, aber unterschiedlichen Schlüssellängen: 128, 192 und 256 Bit. AES hat den vorher üblichen Data Encryption Standard (DES), der 1977 veröffentlicht wurde, weitgehend ersetzt. DES verwendet eine Schlüsselgröße von 56 Bit, was heute als unsicher angesehen wird, da diese Bitgröße zu gering ist.
Luftschnittstellenverschlüsselung von Hytera
Im Jahr 2017, erhöhte Hytera die Sicherheit seiner DMR-Funkgeräte durch die Einführung einer zusätzlichen, kostenfreien Luftschnittstellenverschlüsselung, die höheren Schutz gegen Abhören bietet. Wie wird der Schutz erhöht? Die im DMR-Standard definierte Ende-zu-Ende-Verschlüsselung verschlüsselt den Dateninhalt an einem Ende am Punkt der Übertragung und entschlüsselt ihn am anderen Ende am Punkt des Empfangs. So wird sichergestellt, dass die übertragenen Daten gegen Abhören geschützt sind. Was passiert aber, bevor der Dateninhalt übertragen wird?
Hier gibt es offensichtlich eine Sicherheitslücke, denn die eigentliche Signalisierung für den Rufaufbau ist selten geschützt. Die Luftschnittstellenverschlüsselung von Hytera setzt genau hier an. Die Luftschnittstellenverschlüsselungverschlüsselt die Signalisierung auf der Luftschnittstelle, was bedeutet, dass alle Informationen verschlüsselt sind – vom Rufaufbau an bis hin zum Empfang an der Sendeanlage. Da der Rufaufbau verschlüsselt ist, ist das System gegen unbefugten Zugriff geschützt und die Datenverbindung kann nicht angezapft werden. Anders ausgedrückt: es ist nicht länger möglich, die Rufart und die Rufkennung der am Ruf beteiligten Funkgeräte abzuhören. Funkgeräte von Drittanbietern können Ihren Repeater nicht verwenden, da alle Teilnehmer die entsprechenden Zugriffsrechte benötigen, um an der Funkkommunikation teilzunehmen.
Die Luftschnittstellenverschlüsselung schützt daher die Funkkommunikation auf DMR-Repeatern und DMR-Funkgeräten gegen unbefugten Zugriff vom Moment der Signalisierung zum Rufaufbau an. Dieser umfassende Schutz gegen Abhören von Hytera ist auf dem DMR-Markt einzigartig. Bei der Luftschnittstellenverschlüsselung von Hytera handelt es sich um eine optionale Funktion, die ab DMR Firmware Release 8.0 verwendet werden kann. Sie ist verfügbar für Handfunkgeräte von Hytera der Serien PD6, PD7 und X1, sowie für DMR-Fahrzeugfunkgeräte und alle Repeater. Funkgeräte und Repeater von Hytera werden mithilfe der Customer Programming Software (CPS) konfiguriert. Die Luftschnittstellenverschlüsselung kann mit diesem Tool einfach aktiviert und konfiguriert werden. Anwender mit älterem Equipment können auf neue Firmware Releases hochrüsten und dann die Luftschnittstellenverschlüsselung nutzen.