WAP i all ära men hur är det med säkerheten egentligen?
WAP innebär kort och gått att man kan surfa från mobiltelefonen. Det kräver speciella mobiltelefoner och de sajter man surfar till måste anpassas för WAP. Kodningen av sidorna är inte riklig HTML utan bantad kod i formen av WML. Mycket fokus läggs just på dessa två punkter, WAP-stödet i telefonen och anpassade sajter. Men, det verkar som om bäraren av informationen har glömts bort.
För att kunna nyttja WAP fullt ut så krävs GPRS, slarvigt uttryckt GSM version 2. GPRS innebär att mobilnätet blir paketförmedlat i stället för kretskopplat och att IP kommer att vara bäraren av information. Hastigheter upp mot 115kb/s är möjlig. Men notera att den kretskopplade trafiken (dagens GSM) kommer att leva parallellt och att den har förtur i nätet. GPRS är en realitet tidigast hösten 2000, mer troligt under 2001.
I väntan på GPRS är det SMS och/eller DATA-överföring via GSM som gäller vid användning av WAP tillämpningar från mobilen. SMS hanterar max 160 tecken information per transaktion och DATA-överföring tar minimum 20 sekunder att koppla upp. Räkna inte med allt för snabba svarstider.
Jag nämnde inledningsvis att fokus för utvecklarna just nu är telefonerna och sajterna. Bäraren har fallit i glömska. Det finns specifikationer för hur man kan hantera stark identifiering och kryptering via WAP, benämns WTLS (Wireless Transport Layer Security), men jag har inte noterat någon som fokuserat på det ännu. Tilltron till den kryptering och identifiering som finns i GSM-nätet är stor.
Förenklat så finns det fyra komponenter som hanterar identifiering och kryptering i GSM-nätet, Ki, A3, A8, och A5. SIM-kortet och GSM-operatörens databas innehåller information som benämns Ki (Individual Subscriber Authentication). Denna information används för att identifiera mobiltelefonen. Ett slumptal genereras av GSM-operatören och skickas över till mobilen. Slumptalet behandlas av en algoritm som benämns A3 (Authentication Algorithm) som i sin tur använder Ki som indata. En 32 bit signatur skapas och denna skickas över till GSM-operatören. GSM-operatören har bearbetat slumptalet på samma sätt och jämför nu den signaturen som mobilen skickade över med den signatur som GSM-operatören skapade. Är dessa lika, då är mobilen identifierad.
Vid tal, DATA eller SMS sessioner mellan mobilen och GSM-operatören krypteras dessa med krypteringsalgoritmen A5. Nyckeln till algoritmen har skapats med hjälp av en algoritm som benämns A8 (Key Generatin Algorithm) där slumtalet som nämndes ovan kombineras med Ki. På så sätt behöver aldrig några nycklar överföras mellan mobilen och GSM-operatören.
Den symetriska krypteringsalgoritmen A5 har utvecklats i Storbritannien utan allmän insyn. Det sistnämnda innebär att omvärlden inte har haft möjlighet att nagelfara algoritmen på samma sätt som med andra algoritmer, exempelvis DES. Algoritmen krypterar tecken för tecken och även om nyckellängden är 64 bitar, så anses den inte vara starkare än motsvarande symetrisk algoritm med 40 bitar.
Jag skulle inte rekommendera att använda en kritiserad symetrisk krypteringsalgoritm där den aktiva nyckeln enbart är 40 bitar till att utföra exempelvis penningtransaktioner. Dessa typer av tillämpningar måste förses med andra rutiner för starkidentifiering och kryptering.
PS! Glömde nämna att WAP står för Wireless Applikation Protocol och det är inte ett protokoll utan snarare en arkitektur.
Thomas Nilsson
