Netzsicherheit Teil 1 - Mobilfunk Prof. Dr. Jörg Schwenk

Transkript

1 Netzsicherheit Teil 1 - Mobilfunk Prof. Dr. Jörg Schwenk

2 Kurze Geschichte Erstes kommerzielles Mobilfunksystem: AT&T 1946 in St. Louis 1980er Jahre: Entwicklung mehrerer zueinander inkompatibler Mobilfunksysteme in Europa 1982: Gründung der Groupe Spéciale Mobile (GSM) durch die CEPT (Conférance Européenne des Administrations des Postes et des Télécommunications) 1987: Unterzeichnung des MoU zum GSM-System 1988: GSM wird ETSI-Standard 1992: Offizielle Einführung von GSM-Systemen Quelle: Einführung in GSM. Stefan Eglauf, Samuel Frempong, Hochschule Rapperswil 2

3 Kurze Geschichte 3

4 Systemüberblick Das GSM-Netz lässt sich am besten als hierarchisch gegliedertes System verschiedener Netzelemente verstehen. Am unteren Ende steht die Mobile Station (MS), die über Funk mit der nächstgelegenen Base Tranceiver Station (BTS) kommuniziert. Zur Lenkung und Kontrolle der BTS werden sie gebietsweise von einem Base Station Controller (BSC) zusammengefasst. Das den BSC wiederum übergeordnete Netzelement, sind die Mobile Switching Centers (MSC), sie sind unter anderem für den Übergang in andere (in- und ausländische) Telefonnetze verantwortlich. 4

5 Systemübersicht Um die anfallenden Vermittlungs- und Verwaltungsaufgaben bewältigen zu können, wird eine Reihe von Datenbanken benötigt. Diese sind meist auf der MSC-Ebene angesiedelt. Dies sind: Home Location Register (HLR): Hier werden die persönlichen Informationen des Benutzers wie Telefonnummer, freigeschaltete Dienste und so weiter gespeichert. Pro GSM-Netz gibt es nur ein HLR. Visitor Location Register (VLR). Das VLR enthält die dynamischen Teilnehmerdaten. Es handelt sich um lokale, einem Gebiet zugeordnete Datenbanken, welche Kopien der HLR-Datenbestände für die Benutzer führen, die sich momentan in ihrem Zuständigkeitsbereich befinden. Authentication Center (AuC). Das AuC enthält die Zugangsdaten der einzelnen Benutzer, insbesondere der persönlichen, geheimen SIM-Karten- Schlüssel, die zum Zugang ins Mobilfunknetz und anschliessend für die codierte Übertragung der Gesprächsdaten über das Netz notwendig sind. Equipment Identity Register (EIR). Im EIR werden die MS spezifischen Daten, insbesondere eine Liste der IMEI-Nummern, geführt. 5

6 Systemübersicht Subscriber Identification Module (SIM, Chipkarte): IMSI (International Mobile Subscriber Identity) Authentifizierungsalgorithmus A3 Schlüsselerzeugungsalgorithmus A8 Schlüssel Ki PIN, PUK Mobile Station (Handy): IMEI (International Mobile Equipment Identity) Verschlüsselungsalgorithmus A5 (standardisiert) Stromchiffre, Initialisierung mit Kc und FN (TDMA Frame Number) 6

7 GSM - Sicherheit SIM RAND A3 Ki SRES A3 SRES SRES = SRES? A8 Ki A8 Ki Kc Kc A5 A5 Kc (Sprache) A5 7

8 Weitere Sicherheitsmechanismen Schutz der Teilnehmeridentität IMEI soll nicht im Klartext übertragen werden VLR weist der MS eine TMSI (Temporary Mobile Subscriber Identity) zu, und teilt die Zuordnung dem HLR mit Roaming Authentifizierung im fremden Netz durch vorproduzierte Triplets (RAND, Kc, SRES) 8

9 GSM - Sicherheit SIM RAND 1 RAND i A3 A8 Ki Ki Kc SRES 1 SRES = SRES? RAND 1, SRES 1,Kc 1 RAND 2, SRES 2,Kc 2 RAND 3, SRES 3,Kc 3 RAND 4, SRES 4,Kc 4... A3 SRES i A8 Kc i Ki A5 A5 Kc1 (Sprache) A5 9

10 Weitere Sicherheitsmechanismen IMSI-Catcher Zugriffsmöglichkeit auf gespeicherte Bewegungsdaten Schlechte Varianten von A3/A8 A5 musste 1991 exportierbar sein! Bedarfsträger dürfen abhören 10

11 GSM Datenübertragung Ein Gespräch wir in einer Reihe von Frames alle 4.8 ms über GSM übertragen Jeder Frame besteht aus 114 Bits der Kommunikation von A nach B und 114 Bits der Kommunikation von B nach A Jedes Gespräch wird mit einem neuen Session-Key K verschlüsselt Aus der Kombination des Schlüssels K C und einem öffentlich bekannten Framecounter F n werden 228 pseudo zufällige Bits generiert (A5) Die Bits Plaintext werden zu Bit Chiphertext via XOR mit den pseudo zufälligen Bits verschlüsselt. 11

12 Die Algorithmen A5 Es gibt drei standardisierte Algorithmen für A5 A5/1 (geheim, bis 1999 von Briceno revere engineered) A5/2, eine schwächere Exportvariante von A5/1 (wie A5/1 bis 1999 geheim) A5/ veröffentlicht, basiert auf einer (bis heute ungebrochenen) Stromchiffre, die in der Variante von A5/3 jedoch Schwächen aufweist Sicherheit der Algorithmen A5/1 A5/ Precomutations und dann Rekonstruktion des Schlüssels K in wenigen Sekunden auf einem PC [Biryukov, Shamir, Wagner; FSE2000] Ein paar Millisekunden verschlüsseltes Gespräch reichen aus, um in wenigen Sekunden den Schlüssel K zu berechnen [Barkan, Biham; Journal of Cryptology 2008] 12

13 Die Algorithmen A5 Sicherheit der Algorithmen A5/3 (KASUMI) Kryptanalyse des geheimen 128 Bit Keys K innerhalb von wenigen Stunden auf einem PC 4 related Keys 2 26 Daten 2 30 Bytes Speicher 2 32 Zeit Ist nicht anfällig gegen Echtzeit Angriffe Aufgrund der Abwärtskompatibilität sind jedoch downgrade Angriffe mit einem Man-in-the-Middle Angriff möflich 13

14 Man in the Middle Angriff auf GSM RAND RAND SRAND CIPHERMODCMD: A5/2 CIPHERMODCMD (Enc) Find A5/2 key SRAND CIPHERMODCMD: A5/3 CIPHERMODCMD (Enc) 14

15 Der Algorithmus A5/1 A5/1 besteht aus 3 LFSRs R1, 19 Bit interner Zustand R2, 22 Bit interner Zustand R3, 23 Bit interner Zustand Alle Register haben maximale Periode 2 l - 1 Wenn ein Register getaktet wird, werden die taps (grau) ge XORed und als äußerstes rechtes Bit der links geschifteten Register gesetzt Alle Register werden den in einem STOP/GO Modus betrieben Jeder Register hat ein clocking tap (dunkel grau) [Biryukov, Shamir, Wagner; FSE2000] Jeder clock-cycle wird durch eine majority Funktion über C1, C2 und C3 berechnet In Jeder Runde werden entweder 2 oder 3 Register getaktet. D.h. jeder Register wird mit WS ¾ getaktet und steht mit WS ¼ 15

16 Der Algorithmus A5/1 Alle Register werden auf null gesetzt und 64 mal (ohne STOPs) getaktet. Hierbei werden alle 64 Bits von K C vom lsb zum msb gleichzeitig auf das lsb der Register ge XORed Anschließend werden alle Register 22 mal (nonstop) getaktet, während alle Bits von F n (vom lsb zum msb) auf das lsb der Register ge XORed. Danach befinden sich alle Register im Initialstate für den Frame Die Register werden 100 mal im STOP/GO Modus getaktet ohne eine Ausgabe zu erzeugen. Die Register werden 228 mal im STOP/GO Modus getaktet um die 228 Ausgabebits zu erzeugen. Jedes Ausgabebit ist das XOR der msbs der Register pro Takt. 16

17 UMTS - Sicherheit Die bewährten Sicherheitsfeatures von GSM sollen beibehalten werden, und die Rückwärtskompatibilität so groß wie möglich sein. Beibehalten werden also: Vertraulichkeit der Identität eines Teilnehmers (keine Erstellung von Bewegungsprofilen). Authentisierung des Kunden gegenüber dem Netzwerk. Verschlüsselung der Luftschnittstelle. Verwendung einer SIM als vom Handy unabhängiges Sicherheitsmodul (jetzt USIM genannt). Authentisierungsmöglichkeit eines Kunden gegenüber der SIM (Eingabe eines Passwortes als Schutz gegen Diebstahl). Für den Kunden transparente Sicherheitsmechanismen (außer der PIN- Eingabe). Eine Authentikation auch in fremden Netzwerken ( Serving Network im Gegensatz zum Home Environment ). Die Möglichkeit, dass jeder UMTS-Betreiber eigene Authentisierungsverfahren einsetzt. 17

18 UMTS - Sicherheit Serving Network USIM Handy Base Station SN-Server HE-Server Vertraulichkeit durch f8 CK () Integrität durch f9 IK () Authentikation USIM Authentikation Netzwerk 18

19 UMTS - Sicherheit Die Sicherheitsarchitektur von 3GPP erweitert das Challenge-and- Response-Protokoll von GSM um einen MAC, mit dem sich das Home Environment gegenüber der USIM authentisiert, eine Sequenznummer SQN, die die Frische der Protokolldaten garantiert, das USIM-Steuerfeld AMF und einen Integritätsschlüssel IK. 19

20 UMTS - Sicherheit USIM SN HE RAND, AUTN? AK = f5 K (RAND) SQN = (SQN AK) AK) XMAC = f1 K (SQN RAND AMF) XMAC = MAC? SQN Okay? RES = f2 K (RAND) CK = f3 K (RAND) RES IK = f4 K (RAND) Verschlüsselung mit CK? Authentikation mit IK RES = XRES? MAC = f1 K (SQN RAND AMF) XRES = f2 K (RAND) CK = f3 K (RAND) IK = f4 K (RAND) AK = f5 K (RAND) AUTN = (SQN AK) AMF MAC RAND, XRES, CK,?, IK, AUTN? 20

21 UMTS - Sicherheit e 1: B,r A mod N 4: r A r B (N,e,d) 2: B 3: r B e mod N A Verschlüsselte Kommunikation mit k=r B B Das TNM - Protokoll 21

22 UMTS - Sicherheit 5: Vereinbaren Zahl r C 9: r C r B r 6: D, r C e (r B e mod N)mod N 8: r e mod N 7: C D 1: B,r A e mod N 4: r A r B (N,e,d) 2: B 3: r B e mod N A Verschlüsselte Kommunikation mit k=r B B Simmons Angriff auf das TNM - Protokoll 22

23 UMTS - Sicherheit 5: Vereinbaren Zahl r C 9: f(r C, r r A ) 6: D, r C e mod N 8: r e e r A mod N 7: C D e 1: B,r A mod N 4: f(r A, r B ) (N,e,d) 2: B 3: r B e mod N A Verschlüsselte Kommunikation mit k=r B B Simmons Angriff auf das TNM - Protokoll 23

24 Dolev Yao Modelle Dolev, D. & Yao, A. C.-C. On the security of public key protocols IEEE Transactions on Information Theory, 1983, 29, Kryptographische Bausteine (Verschlüsselung, digitale Signatur,...) werden als Black Box mit idealen Sicherheitseigenschaften aufgefasst Angreifer darf alle Nachrichten im Netzwerk lesen, löschen, umordnen, in ihre Bestandteile zerlegen, selbst Nachrichten senden, an andere als die intendierten Teilnehmer weiterleiten, mehrere Instanzen eines Protokolls mischen,... Computer-unterstützte Verifikation möglich... daher große Forschungscommunity Am HGI nicht vertreten... wir schauen tiefer in die Black Box hinein 24

25 BAN Logik M. Burrows, M. Abadi, and R. M. Needham, Authentication: A Practical Study in Belief and Action. Proc. 2nd Conf. on Theoretical Aspects of Reasoning about Knowledge, M. Vardi (Ed.), 1987, pp Erster Ansatz zur halbautomatischen (computerunterstützten) Verifikation der Korrektheit von Protokollen Aufdeckung von Protokolllücken in den 1990ern Ziele: Vollautomatische Untersuchung von Protokollen, ähnlich den statistischen Analysen von Verschlüsselungsalgorithmen Beweis der Sicherheit eines Protokolls Ziele wurden (bisher) nicht erreicht: Suchbaum ist zu groß! Die zur Standardisierung vorgeschlagenen UMTS-Protokolle wurden mittels BAN-Logik (manuell!) verifiziert! 25