Do posty mi od jednoho nejmenovaneho zajemce prisel tento dotaz, myslim ze se jedna o dotaz pomerne genericky, a proto ho spolu s odpovedi uverejnim:

cuz jedna vec by me zajimala. fizlove si u vas muzou koupit licenci taky, takze je nutny posilani sifrovacich klicu .. tzn. to funguje tak, ze si to u vas koupim, nainstaluju a pak se musim s kazdym s kym si chci psat sejit a vymenit si sifrovaci klic, nebo ho poslat njakym bezpecnym zpusobem..
je to tak?

Odpoved:

S kazdym si musis klic domluvit a zanest do programu(dal si ho pamatovat nemusis), veskere ulozene klice jsou ulozeny sifrovane pomoci hesla aplikace (to si pamatovat musis).
Jako klice jsou voleny retezce tisknutelnych znaku (case sensitive) z kterych se spocte pomoci SHA-2 klic, ktery je pouzivan pri sifrovani.
Takze si to myslis dobre. Je to jedine spravne reseni narozdil od "bezpeci", ktere nabizi treba Probin a to podstatne draz ;) (napr. ten komicky Samsung s neznamou sifrou a klicem o delce 128b, nepouzival bych to ani zadarmo :)))

Drobna poznamka k ustrednam pouzivanym operatory GSM a k jejich mozne vazbe na Echelon.
a/ Koupite-li ustrednu ma k ni dodavatel natazen link ke sprave, na ktery jako vlastnik(operator) nevidite
b/ Comverse(Izrael) Vam doda soft (velmi drahy, radu 100mil Kc) a ma k nemu samozrejme vzdaleny pristup (a opensource to neni :) ).

Tolik k dalsim jeste nezminenym rizikum a mozna odpoved k propojeni GSM --- Echelon.
Zdroj: Vysoko postaveny insider u jednoho nejmenovaneho operatora

ten komix, bomba :)

i kdyz to sifrovanou sms + sfrovane cislo prijemce je hovadina ... protoze pokud by se sledovalo co prichazi a co odchazi na nas trusted telefon dalo by se podle stejnych paznaku poznak kdo odesila a kdo prijima... takze sifrovanou zpravu + cislo primce celou zasifrovat

Jezis ja uz nemuzu :) To intro u Huli me docela rozebralo, protoze uz se par tehle sms poslal :)
Mno ono by to mozne bylo utajit kdo s kym komunikuje ... byl by nejakej trusted mobil pripojenej ke kompu .... na ten telefon by si zaslal sifrovanou sms + sifravane cislo prijemce .. komp pripojenej ke mobilu by rozsifroval cislo a poslal sifrovanou zpravu dale prijemci ... a takze pokud by pres tento nas trusted mobil komunikovalo hodne lidi stal by se defakto prijemce a odesilatel nezjistitelnej.

Navic budou uvolneny dve velmi levne verze, podle gusta
Huli007 - Huli rika:"Sifrujte"
http://sms007.cz/index.php?lang=cs&type=huli&page=intro
CzechTek007 - Ministerstvo vnitra varuje:"SMS007 zabranuje odposlechu :)"
http://sms007.cz/index.php?lang=cs&type=czechtek&page=intro

Me se zda Jabber super, ale bezpecny tj. sifrovany klient pro MIDP neexistuje.
Co se Ti zda na sifrovanych smskach nebezpecneho?To, ze neutajis kdo s kym komunikuje, ale pouze obsah zpravy? Obavam se, ze kdo s kym neutajis ani u jabberu a navic jak jsem jiz zminil neexistuje mobilni klient se sifrovanim. Nic Ti nebrani se pokusit ho vytvorit.
V blizke dobe uvolnime velmi rychly a usporny XMLparser pro mobily jako opensource ;)

Diky za pochvaleni komixu ;)

OT: [hehe ted sem si vsim toho komiiksu na sms007 je fakt suprovej]

JDEE: A co ze se ti to konkretne zda na jbber serveru nebezpecneho?
Mno ja SMS celkem rad mam .... rozhodne v castych chvilich lepsi nez telefonovani ... s clovekem se proste nemusis bavit :)) Ale pro nejakou bezpecnou komunikaci ... fakt ne :)

Myslim, ze TipicME sifrovat neumi :) .
Navic bych ho rad videl bezet na uvadenych telefonech.
Dale prirozene plati ma namitka vuci bezpecnosti jabber serveru.
Ja proti open resenim nic nemam, jen v teto oblasti neexistuje.
SMSky nemam rad, ale lepe to dnes pro mobily (MIDP platformu) udelat neumime a zda se,ze nejsme sami.
Pres SMSky, protoze jiny system neexistuje ;)

JDEE: myslim, ze TipicME umi
Umrime nemam zadne dukazy na to, ze se tak deje, ale zase nemam, ze se tak nedeje. Ale vim, ze to na 100% jde.
Ja bohuzel, ze vzduchu neziju, ale proste v takovych vecech sem pro open reseni.... proste LIDI SOBE :)

Prispevkem sem chtel naznacit jen to, ze pokud uz musite posilat nejake super extra dulezite textove veci, tak proc zrovna pres SMS.

REDTIME: Znas snad nejakeho klienta pro Jabber pro J2ME, ktery to umi? Rad ho budu pouzivat.
Chces snad naznacit, ze se nemonitoruje obsah SMSek? Nebo, ze to snad dokonce najde?
K jeste komercnimu fujky fujky. Mozna, ze zijes ze vzduchu, my ne :).
V zadnem pripade Ti nebranime napsat sifrovaneho jabber klienta pro J2ME a mit jabber server s logy namirenymi do /dev/null :)))

JDEE: Mno komercniiii fujky fujky. Sice je pekne sifrovat, ale myslim, ze to moc vecem nepomuze. Navic EU chce schvalit, ze bude monitoravana komunikace sms .... ale jen KDO, KDY a KOMU, ale ne obsah. Takze dejme tomu i kdyby se velkej bratr rozhodnul pouzit veci, co zjistil diky komunikaci po sms, tak ma velkou smulu a nemuze je pouzit. A zpet k tomu obsahu, pokud bych chtel posilat nejake super extra dulezite veci, tak je rozhodne nebudu posilat pres SMS :) ale vezmu si mobil PDA nebo cokoliv podobneho a poslu to sifrovane cez jabbera nebo ja nevim pres co.

Z jineho soudku. Prece jen je tato diskuse zamerena spise na obranu proti odposlechu nez na konstrukci zarizeni pro odposlech:))).
Nejake dotazy k systemu SMS007?

www.sms007.cz

MINISTERSTVO VNITRA VARUJE: SMS007 zabranuje odposlechu!

Sifrovane velmi slabe viz http://en.wikipedia.org/wiki/A5/1 .

Ano, lepe je hovorit o interface mezi MT a BTS operatora, ackoliv vuci Tobe se tvari jako BTS.

Nevim, jestli je zde vhodne misto na podrobnosti, ktere Te zajimaji.

Ta zarizeni opravdu existuji.

jdee> co analyzovat, kdyz nevis kdo a co vysila a vse je sifrovane? navic v prubehu casu variabilni. dnes uz nejdou SIM ani klonovat, natoz vycist Ki (ta "magicka" konstanta), coz neslo nikdy. pri brutalforce brzy vycerpas cteci cykly SIM a tim ji "znicis". jak kontrolovane pouzit? co budes odposlouchavat, kdyz budes mit SIM ty a ne odposlouchavany?

takze nejde o skutecnou falesnou BTS, ale o interface (IF) mezi BTS operatora a MT? jak zaridis, ze se na ten IF chytne jen ten, koho chces odposlouchavat?

nechci Ti odporovat, uz jsem o takovych zarizenich taky neco zaslechl, proto by me zajimalo, kolik na tom muze byt pravdy...

Udaje pro identifikaci konkretniho MT ziskam napr. pomoci smerove anteny a analyzy vysilani,pripadne dostanu-li se k SIM neni, co resit a nemusim ji pritom znicit, pouze kontrolovane pouzit ;). Prednaska byla pouze pro velmi omezenou skupinu lidi a na netu neni.
MT prinutim k prihlaseni na mou "BTSku" pomoci sily signalu (zjednodusene). Ma falesna BTSka se do site operatora tvari jako mobil odposlouchavaneho :)

jdee> vse, co jsi popsal vychazi z toho, ze mas identifikovany konkretni MT, ktery chces odposlouchavat, coz mi neni jasne jak se provede, bez pristupu do HLR operatora, kdyz MT vystupuje v siti pod IMSI (ktere nema zadnou vazbu na tel. cislo, jen na IMEI, ale pres unikatni konst., jenz ze SIM nikdy vycist nejde (bez jejiho zniceni)). take by me napr. zajimalo, jak donutis prislusny MT (pokud uz ho mas tedy identifikovany) se prihlasit prave na odposlouchavaci BTS? a jak tuto BTS pripojic do BSC operatora? nemas nejaky blizsi odkaz nebo napr. tu prednasku, co zminujes?

SIL_NA_SAN: Prirozene, ale notebook staci na desifrovani.
Dodatecny hardware musi byt schopen schopen zachytit(musi umet frekvencni hopping)(a zesilit) vybrany signal.
Nevyhodou proti aktivnimu bude nutnost byt blize odposlouchavanemu.

JDEE: muzes bliz vysvetlit ten pasivni utok? nebo vychazi z principu aktivniho? krom notebooku asi potrebujes nejak zachytit signal ne?