Gemalto i SIM-skandale: NSA fik ikke så mange nøgler

Efter en intern undersøgelse hos Gemalto, har de konkluderet at der var et brud, men at det ikke var så slemt som først antaget.

Gemalto i SIM-skandale: NSA fik ikke så mange nøgler

I kølvandet af de oplysninger omkring stjålne krypteringsnøgler fra selskabet Gemalto, har de foretaget en intern undersøgelse som for et par dage siden endte med en officielt forklaring. Humlen i historien var, at lækkede dokumenter fra Edward Snowden, påviste at amerikanske NSA og britiske GCHQ gennem et koordineret angreb havde stjålet millioner af krypteringsnøgler fra det hollandske selskab – et tyveri der fik ganske meget opmærksomhed idet de to efterretningstjenester derfor havde mulighed for at dekryptere data fra mange millioner SIM kort.

Gemalto indrømmer at der tilbage i 2010/2011 forekom en sofistikeret indtrængen med det formål at stjæle krypteringsnøgler. Angrebet var en kombination af phishing-angreb og decideret overvågning af netværk – samt gentagne forsøg på at komme ind på medarbejdernes computere.

Dog mener Gemalto ikke, at disse angreb kunne have resulteret et massivt udbytte af krypteringsnøgler. Blandt andet fordi man i 2010 begyndte at benytte et sikkert framework til at fordele nøglerne og det kun “i sjældne tilfælde” var sårbart.

Gemalto påpeger at Edward Snowden tog fejl på andre punkter, blandt andet ved at sige at Gemalto leverede SIM kort til operatører som de faktisk ikke handler med, og at Gemalto opererede i lande som de ikke gør. Til sidst fortæller Gemalto, at hvis NSA og GCHQ havde fået fat på nogle nøgler, ville de kun kunne bruge dem til noget i 2G netværk som jo var væsentligt mere udbredt dengang. 3G og 4G netværk “er ikke sårbare over for denne type angreb” fortælles der.

Man kunne vel kun forvente at et selskab med så meget at miste, bagatelliserer omfanget af ødelæggelser. Men uagtet hvad den fulde sandhed er, vil jeg fortsat påpege at man i så høj grad som muligt, selv forsøger at kryptere sine opkald og tekstbeskeder ved hjælp af tredjepartsapplikationer.

Gemaltod egen forklaring kan læses her.

Kilde: Engadget