SIM-kortit turvallisiksi

Turun Sanomat Suomalaiset operaattorit käyttävät Gemalton sim-kortteja http://www.ts.fi/uutiset/kotimaa/737418/Suomalaiset +operaattorit+kayttavat+Gemalton+simkortteja

Operaattori käyttää samaa symmetristä salausavainta kaikissa SIM-korteissaan. NSA on maailman pätevin taho tähystämään SIM-kortteja tunnelielektronimikroskoopeilla, ja hyökkäämään siruja vastaan edistyneillä hyökkäyksillä kuten differentiaalinen virta-analyysi. Gemalton tuotteet eivät takuulla menisi läpi NSA:n Type 1 sertifioinnista; Sivukanavia sirussa on suurella varmuudella ja avaimen ulos kaivaminen veisi kryptanalyytikoilta ehkä iltapäivän tai kaksi. Suomi palaisi nykyiseen pisteeseen viikossa ja kansalaiset luottaisivat taas turvattomaan teknologiaan. Parempi tietoturva saadaan kampanjoimalla päästä päähän salattujen ilmaisten sovellusten puolesta: Ilmaiset, yksityiset puhelut myy paremmin kuin SIM-korttien jonottaminen operaattorin puodissa.

Esimerkiksi 2010 tutkija reverse-engineerasi TPM sirun (tietokoneissa käytettävä sivukanavaresistentti kryptoprosessori)
Uutinen: http://gcn.com/Articles/2010/02/02/Black-Hat-chip-crack-020210.aspx
Blackhat luento: https://www.youtube.com/watch?v=Qk73ye2_g4o&index=12&list=PL5A74142D9F317F5A

Pahaa pelkään että liian moni luulee valvonnan käyneen mahdottomaksi kun avaimet vaihtuvat vaikka todellisuudessa vain naurettavan helppo hyökkäysvektori on suljettu. Addressilla ei saada yhtäkkiä kaikkia maailman älypuhelimia ja SIM-kortteja käyttämään turvallisia salausalgoritmeja ja vaikka koko mobiilimaailma löisi hynttyyt yhteen, se ei sittenkään olisi käytännöllistä:

Avaimia pitäisi kierrättää säännöllisin väliajoin ja joka kerta pitäisi käydä henkilökohtaisesti operaattorilla näyttämässä oman SIM-kortin allekirjoitusavain ja varmistamassa, että puhelimella on operaattorin aito allekirjoitusavain: vasta tämän jälkeen nykypäivän vaatimus salaukselle, Diffie-Hellman avaintenvaihto ( https://www.youtube.com/watch?v=YEBfamv-_do ) joka luo kertakäyttöisiä sessioavaimia, onnistuu luotettavasti.

Paljon helpompaa on vaihtaa Redphonessa keskustelun aluksi ruudulla näkyvät kaksi sanaa jolloin toisen äänestä tunnistaa, että väliaikainen salausavain on molemmilla sama eikä välissä ole hyökkääjää.