Die Kryptographie-Algorithmen verwenden elektronische Schlüssel (also letztlich Nummern)
Sicherstellen, dass derjenige, welcher ein Gespräch führt, auch wirklich der ist, der er zu sein vorgibt.
→ Ländercodeteil, Netz- und Teilnehmerkennung. Kopie davon im HLR/VLR-Register bzw. im AUC.
Klassisches Problem der Kryptographie:
→ Information zwischen A und B kann beliebig abgehört und / oder verfälscht werden
→ GSM-Funktion A3 als für alle einheitlicher Algorithmus, der durch den Teilnehmerschlüssel zu einer einmaligen Funktion parametrisiert wird.
Frage von B: Kennt A den Schlüssel?
→Zusätzliche Sicherheit: TMSI (Temporary Mobile Subscriber Identity) generierte Teilnehmernummer anstelle der IMSI-Daten (VLR generiert mit kurzer Gültigkeit, teilweise kleiner Gesprächsdauer)
→Zeit: Authentisierungsprozedur in weniger als 0,5s.
Zur Verschlüsselung aller Nutzdaten des Gespräches wird während des Authentisierungsprozesses mit der Funktion A8 (analog zu A3) ein 64 Bitwert Schlüssel (Ciphering Key, Verschlüsselungsschlüssel) generiert und nicht übertragen.
Die International mobile subscriber identity ist dies eine (höchstens fünfzehnstellige) Nummer zur eindeutigen Kennzeichnung des Tln..
→ 3 Stellen Mobillandeskennzahl, 2 Stellen Netzwerkcode und max. 10 Stellen zur eindeutigen Identifizierung des Tln.
Diese Geräte (z.B. von der Firma Rohde & Schwarz, Typen GA900 und GA901) erlauben das Abhören von GSM-Handys.
→ Klassische man-in-the-middle-Methode der Kryptoanalyse, in dem sie sich dem Handy gegenüber als Basisstation ausgeben und dem Netz gegenüber das Handy simulieren.
→ Erfassen der IMSI-Nummern aller im Umkreis befindlichen Mobiltelefonierer
→ Die R&S-Geräte besitzen keine Zulassung für einen Betrieb in Deutschland, so dass zwar Produktion und Export, nicht aber ihr Einsatz erlaubt sind.
Wie man 2013 erfahren hat braucht man auch keine aufwendige Technik zum Abhören von Daten, wenn man an der Übertragung der Daten beteiligt ist
→ PRISM und TEMPORA