Det er kun to uger siden, at den tyske krypterings-ekspert Karsten Nohl meddelte, at han ved hjælp af et "rainbow table" havde brudt den algoritme, A5/1, der anvendes til kryptering af GSM-kommunikation.
Det har i den forbindelse flere gange været fremhævet, at A5/3, der er en 128-bit efterfølger til GSM-algoritmen (64 bit) og anvendes til 3G-kryptering, skulle være mere modstandsdygtig.
Ikke desto mindre skriver flere bloggere nu, at den version af A5/3, der kaldes Kasumi, nu også er luret af.
Det hævdes, at nogle krypteringseksperter fra "International Association for Cryptologic Research" (IACR) har frigivet et stykke papir, hvor det dokumenteres, at A5/3 kan brydes.
Sårbarheden skyldes ifølge gruppe-bloggen Emergent Chaos, at Kasumi minder så meget om den oprindelige A5/3-algoritme, Misty, at der kan udføres et såkaldt " related key attack".
"Det bliver interessant at se reaktionen fra GSM Association (tele-brancheorganisation, red.). De har muligheden for at vise lederskab. Hvis de anerkender, at dette er et reelt problem, forsikrer os om, at det ikke er nogen katastrofe, og viser os, at de tager det seriøst, kan dette i det store hele være en god ting for dem og os," lyder det på Emerging Chaos, der skrives af folk fra sikkerheds-branchen.
Hvem skal man tro på?
Efter at GSM-krypteringen blev brudt i juleferien, lød reaktionen fra netop GSM Association, at GSM-kommunikation generelt er sikkert.
"Over de seneste år er der blevet publiceret en række akademiske rapporter, der forklarer, hvordan A5/1-algoritmen i teorien kan blive brudt. Ikke desto mindre har ingen af dem indtil videre ført til udviklingen af et egentligt angreb imod A5/1, der kan bruges på virkelige, kommercielle GSM-netværk," beroligede GSM Association blandt andet.
Det fik dog flere sikkerhedsbranchen til at svare igen.
"Sandheden om kryptografi er, at angrebene altid bliver bedre, aldrig dårligere, udtalte den internationalt anerkendte sikkerhedsekspert Bruce Schneier.
Danske Carsten Jørgensen, sikkerhedskonsulent hos Devoteam Consultning, der rådgiver større virksomheder om it, bakkede op og sagde, at "GSM-kommunikation på ingen måder er sikkert."
"Jo mere vi bruger telefonerne, jo større bliver risikoen, og jo flere angreb vil der også komme," lød det blandt andet fra Carsten Jørgensen.
Ikke desto mindre kunne Computerworld fortælle, at Dansk IT's Råd for It- og Persondatasikkerhed fortsat ikke vurderer GSM-aflytning som nogen alvorlig trussel.
