Klassifikation der Systeme zur drahtlosen Kommunikation

Transkript

1 Klassifikation der Systeme zur drahtlosen Kommunikation Systeme der drahtlosen Kommunikation Mobiltelefonie Drahtlose lokale Netze (WLANs) Wireless Personal Area Networks (PANs) Zellularer Mobilfunk Schnurlose Telefonie Wireless LAN Hiperlan Funk Infrarot GSM UMTS DECT Wireless ATM HomeRF Bluetooth IrDA 1

2 Reichweite/Datenrate wichtiger Technologien im Vergleich Mobilfunktechnik (GSM, GPRS, UMTS) Anforderungen an die Datenrate waren früher eher gering, dafür spielt die Reichweite eine große Rolle (Stichwort Erreichbarkeit) Abstriche bei der Sprachqualität waren verkraftbar Konvergenz: Verschmelzung von Sprach- u. Datenkommunikation: Reichweite in Meter Global Anforderungen ändern sich! 1000 GSM/ GRPS UMTS DECT Bluetooth WLAN/IEEE g 1 0 0, Datenrate in MBit/s 2

3 Kapitel 3 Sicherheit in der Mobilkommunikation Ziel des Kapitels: Überblick über die Architekturen und Sicherheitsdienste der Standard-Netze: GSM, GPRS, UMTS für tiefer gehenden technischen Background siehe Literatur Literatur zu GSM/UMTS, zellulare Netze: J. Eberspächer; H.-J. Vögel: GSM Global System for Mobile Communication, Verlag B.G. Teubner, Stuttgart, 1999 Walke, Bernhard: Mobilfunknetze und ihre Protokolle Band 1 Verlag Teubner, Stuttgart ISBN Jochen Schiller: Mobilkommunikation. München

4 3.1 2G Mobilfunk: GSM (Global System for Mobile Communication) Eigenschaften, Dienste Mobilfunknetz: Pan-Europäischer Standard (ETSI) Übernahme durch 210 Drittländer (u.a. in Asien, Afrika, Amerika) über 3,4 Milliarden GSM-Teilnehmer in Q Zellular strukturiertes Funknetz: Zelle als kleinste geographische Einheiten zur Kommunikation, Zellen können unterschiedliche Größen haben, jede Zelle verwendet eigene Frequenzen pro Zelle: mehrere mobile Stationen gleichzeitig: Zugriffe sind zu regulieren (Verfahren zum Vielfach-Medien-Zugriff) 4

5 Zellulare Netzstruktur eines GSM-Systems (Architektur später noch genauer) BSC BTS Base Transceiver Station: Schnittstelle zur mobilen Station MS BTS BTS BTS BTS BSC BSC Base Station Controller, verwaltet mehrere BTS MS mobile Station: Handy etc. 5

6 Beispiele: GSM-Antennen und BTS-Kästen 6

7 Reichweiten: starke Schwankung bei erzielbaren Reichweiten abhängig vom Geländeprofil und der Bebauung Im Freien sind bei Sichtkontakt teilweise bis zu 35 km, in den Städten dagegen teilweise nur 200 Meter erreichbar Entsprechend der Reichweite wird die Zellengröße festgelegt, Berücksichtigung der pot. Nutzung, um Überlastung zu vermeiden Frequenzen: GSM arbeitet mit unterschiedlichen Frequenzen für den Uplink (vom Mobiltelefon zum Netz) und den Downlink (vom Netz zum Mobiltelefon) In Deutschland: Frequenzbereiche MHz, MHz, MHz und MHz 7

8 Technische Universität München Datenübertragung bis 9600 Bit/s bzw. 14,4 kbit/s, Circuit-Switched Gute Übertragungsqualität (Fehlererkennung und -korrektur) Dienste: 3 Klassen Trägerdienste (Bearer): - Datenübertragung zwischen Benutzer und Netzschnittstellen, - Dienste entsprechend OSI-Schichten 1-3 Teleservices (Telematic): - Dienste zur Kommunikation über Telefon-Endgeräte - Mobilfunktelefonie, Notfallnummer, - SMS: Nachrichtenübertragung über Signalisierungskanäle Zusatzdienste: u.a. - Non-Voice Teledienste: u.a. FAX, Videotext - Rufumleitung, Conferencing 8

9 Sicherheit: SIM-Karte: Smartcard als vertrauenswürdiger Schlüsselspeicher Hersteller u.a. G&D (München), gemalto (Frankreich, Ismaning) Authentifikation des mobilen Geräts mit Challenge-Response Generieren eines symmetrischen Verbindungs-Schlüssels Verschlüsselte (symmetrische) Kommunikation über Datenkanäle Größte Sicherheitsinfrastruktur weltweit Erreichbarkeit: Grenzübergreifend: Roaming zwischen verschiedenen Providern Weiterreichen zwischen Zellen: Handover von BTS zu BTS Netz übernimmt die Erreichbarkeitsaufgabe transparent 9

10 Bem.: Unterschied: Handover und Roaming Handover Zw. Funkzellen MSC Roaming: Zwischen verschiedenen Netz-Betreibern MSC HLR HLR VLR AC VLR AC 10

11 3.2 Grobarchitektur eines GSM-Netzes Die GSM-Systemarchitektur gliedert sich in 3 Teile. Das Radio-Sub-System (RSS), das Switching-Sub-System (SSS) und das Operation & Maintenance-Sub-System (OMC-B) Radio-Sub-System Funkzellen MS SIM RSS: funktechnische Aspekte MS SIM U m - Schnittstelle U m - Schnittstelle BTS A bis Luftschnittstelle SSS: Vermittlungstechnische Vorgänge BTS BSC TRAU OMC: Betrieb und Wartung OMC-B MSC 11

12 Mobile Station (MS) Mobilfunktelefon, Datenkarte (PCMCIA) oder ein GSM-Modem MS ermöglicht dem Nutzer den Zugang zum Mobilfunknetz Hauptaufgaben: Empfangen und Senden von Nutz- und Steuerdaten Zusätzliche Schnittstellen ermöglichen die Kommunikation mit anderen Geräten In der MS befindet sich die SIM-Karte (Subscriber Identity Module). SIM-Karte ist eine Chip-Karte, die als Zugangsberechtigung zum Mobilfunknetz dient Bem.: SIM-Karte wird noch genauer behandelt 12

13 Base-Transceiver-Station (BTS) bzw. Basisstation Aufgabe: Versorgung der Funkzelle Signalverarbeitung für die Funkzelle und Kommunikation über die U m -Schnittstelle (Luftschnittstelle) mit den Mobilen Stationen (MS) Je nach Netzkonfiguration sind 10 bis 100 Basisstationen an einem Base-Station-Controller (BSC) angeschlossen Nicht jede Basisstation hat eine direkte Verbindung zu ihrem BSC, - ggf. wird eine Basisstation über eine andere geleitet, - diese sind über gemietete Leitungen (z. B. PCM30 / 2 MBit/s) oder Richtfunkstrecken (7 GHz) mit ihrer BTS verbunden. 13

14 Aufgaben der BTS und BSC im Überblick 14

15 Base-Station-Controller (BSC) Verwaltung mehrerer BTS Aufgabe: Auswahl eines Funkkanals für Verbindung Entscheidung über Handover (wann: Signalstärke etc.), ggf. erfolgt Handover aber auch in der BTS Bündelung des Mobilfunkverkehrs im BSC, um auf dem Weg zur Vermittlungsstelle Leitungskosten zu sparen Transcoding und Rate-Adaption-Unit (TRAU) Umwandlung des GSM-Sprachsignals von 13 kbit/s in 64 kbit/s Datenratenanpassung für die Datendienste häufig in die Vermittlungsstelle integriert 15

16 Switching-Subsystem Mobile-Switching-Center (MSC) TRAU Aufgabe: Vermittlungsstelle Verbindungsverwaltung, Mobilitätsverwaltung HLR Home-Location-Register - Speicherung der Kundendaten, u.u. - auch Rufumleitungen, Billingdaten VLR Visitor-Location-Register: - Verwaltung von Gastnutzern, Technische Universität München - Ermittlung des Standorts eines eingeschalteten Handys AuC: Authentication-Center: Verwaltung sicherheitsrelevanter Daten Gateway-MSC (GMSC): Übergang in andere Netze MSC VLR GMSC MSC VLR OMC-S Switching-Sub-System HLR AuC EIR Datennetze Festnetz Andere Mobilfunknetze 16

17 Operation and Maintenance-Center (OMC) Betriebs- und Wartungszentrale eines GSM-Netzes. Aufgabe: Überwachung eines Teils des Gesamtmobilfunknetzes Fehler lokalisieren und beheben Netzelemente konfigurieren und neue Software einspielen Teilnehmer einrichten und Erstellung der Gebührenabrechnung idr unterhält ein Netzbetreiber eine Zentrale, die auf 10 oder mehr OMCs zugreift BSC MSC HLR OMC-B EIR OMC-S AuC Operation and Maintenance-Sub-System 17

18 Radio-Sub-System (RSS), das Switching-Sub-System (SSS), Operation & Maintenance-Sub-System (OMC-B) Radio-Sub-System Switching-Sub-System Funkzellen MS SIM MSC VLR HLR AuC EIR U m - Schnittstelle MS SIM U m - Schnittstelle BTS A bis GMSC Datennetze Festnetz Andere Mobilfunknetze BTS BSC TRAU MSC VLR OMC-B EIR OMC-S Operation and Maintenance-Sub-System 18

19 Zusammenfassung: GSM-Architektur Technische Universität München 19

20 Rufende Station Ablauf eines Gesprächsaufbaus: 1. Ruf eines GSM-Teilnehmers 2. Weiterleitung zum GMSC 3. Verbindungsaufbaunachricht zum HLR 4. und 5. Anfrage der Daten vom VLR 6. Meldung des aktuellen MSC an GMSC 7. Anrufweiterleitung zum derzeitigen MSC 8. und 9 Statusabfrage der MS 10. und 11. Ruf der MS 12. und 13. MS antwortet 14. und 15. Sicherheitsüberprüfung 16. und 17. Verbindungsaufbau 1 PSTN (Festnetz) 2 Technische Universität München GMSC HLR BSS 4,5 MS MSC VLR 3,6 8,9 14, , BSS 11, 12, 17 20

21 3.3 GSM-Sicherheitsarchitektur Sicherheitsanforderungen Sicht der Netzbetreiber: Korrektes Billing (Abrechnungen): dafür notwendig: korrekte Authentizität der Teilnehmer kein Dienste-Missbrauch, korrekte Abrechnung von Content-Nutzung Bem.: offenes Problem, Operator haben keinen Einblick in die tatsächlich genutzten Dienste (Content), nur wer mit wem wie lange kommuniziert ist leicht erfassbar effizienter Einsatz: keine Erhöhung der benötigten Bandbreite, keine langen Delays (Benutzerakzeptanz), preiswert 21

22 Sicht der Nutzer (Kunden): Vertraulichkeit der Kommunikation (Sprache und Daten) Privatheit: Vertrauliche Lokalisierungsinformation keine Erstellung von Bewegungsprofilen Authentizität: Kommunikationsverbindung mit authentischer Basisstation/Netz Korrektes Billing, Accounting: Bezahlung nur für in Anspruch genommener Dienste Sicht der Content-Anbieter: Zuverlässige, korrekte Abrechnung der angebotenen Dienste Was noch? 22

23 3.3.2 GSM-Sicherheitsdienste im Überblick Technische Universität München 23

24 Drei Algorithmen in GSM spezifiziert: A3 zur Authentifikation ( geheim, Schnittstelle offengelegt) A5 zur Verschlüsselung (standardisiert) A5/0 (=keine), A5/1 (stark), A5/2 (schwächstes Verfahren), A5/3 (Juli 2002 von ETSI; stark) A8 zur Schlüsselberechnung ( geheim, Schnittstelle offengelegt) Bem.: A3 und A8 inzwischen im Internet verfügbar Betreiber können auch stärkere Verfahren einsetzen A5/3 ist offengelegt 24

25 3.3.3 Subscriber Identity Module (SIM) Chipkarte in der MS Trennung von Geräte- und Teilnehmermobilität Vertrauenswürdiger Datenspeicher und Ausführungsplattform IMSI (International Mobile Subscriber Number), 15 Ziffern lang LAI (Location Area Identification) PIN (Personal Identification Number) PUK (PIN unblocking Key) TMSI (Temporary Mobile Subscriber Number) 128-Bit Schlüssel K i (Individueller Subscriber Identification Key) Algorithmus A3 für Challenge-Response-Authentifikation Algorithmus A8 zur Generierung von K C (Sitzungsschlüssel) Beliebige weitere Funktionen und Daten 25

26 3.3.4 Zugangskontrolle und Authentifizierung 2-Faktor-Authentifikation Benutzer Mobile Station / SIM-Karte PIN (Authentifikation mittels Wissen): vier- bis achtstellige Zahl Nach dreimaliger Falscheingabe wird die Karte gesperrt Mit separater, achtstelligen Geheimzahl, der PUK (PIN Unblocking Key) wieder frei schalten Zehnmaliger Falscheingabe der PUK Karte als unbrauchbar markiert SIM-Karte Netz (vgl. Folie 20) Challenge-Response-Verfahren mit symmetrischen Schlüssel IMSI, TMSI, K i 26

27 CR-Verfahren: Wann initiiert? beim Einbuchen/Lokationsregistrierung beim Update der Lokation (Wechsel der VLR) beim Call-Setup und beim Short-Message-Service (SMS) eine wiederholte Authentifizierung während eines Gesprächs ist möglich (Policy wird von Netz-Operator festgelegt) Algorithmus A3 Auf SIM implementiert und im AuC Ein-Weg-Hash-Funktion SRES = A3(RAND, K i ) Interface standardisiert, aber nicht kryptographischer Algorithmus! Wird vom Netzbetreiber festgelegt, Geheim Security by Obscurity 27

28 3.3.5 Schlüsselgenierung: A8 Technische Universität München Algorithmus A8 Auf SIM und im AuC Mit K i parametrisierte Einwegfunktion Nicht standardisiert; kann vom Netzbetreiber festgelegt werden Kombination von A3/A8 bekannt als COMP128 - K c 64 Bit: 54 Bit + 10 Bit mit 0 aufgefüllt Mobilfunknetz K i A8 RAND 128 bit 128 bit K c 64 bit Cipher Key in HLR gespeichert in BSC benutzt Authentication Request RAND MS mit SIM A8 K i 128 bit 128 bit K c 64 bit Cipher Key in SIM gespeichert in MS benutzt 28

29 3.3.6 Verschlüsselung auf der Luftschnittstelle Algorithmus A5 bis zu 7 A5-Varianten Weltweit standardisiert Mobilfunknetz in Hardware realisiert TDMA K C Rahmennr. 3 Schieberegister mit 64 Bit 22 Bit linearer Rückkopplung, A5 initialisiert mit Kc Schlüsselblock 114 Bit und der Framenummer Technische Universität München Klartextblock Variante: Schlüsseltext 114 Bit A5/0 (keine Verschlüsselung) ermöglicht auch Sprachkommunikation mit Export-beschränkten Ländern Verschlüsselungs- Modus MS TDMA Rahmennr. A5 K C Klartextblock 29

30 3.3.7 Pseudomisierung Hintergrund: Authentifikation auf Basis der IMSI IMSI ist eineindeutig mit SIM-Karte verknüpft bei wiederholter Authentifikation, z.b. Handover: Privacy-Problem: Erstellung von Bewegungsprofilen Lösungsidee: TMSI (temporary mobile subscriber identity) nach erstmaliger Identifikation: Nutzen von temporären Pseudonymen: TMSI mit lokaler Gültigkeit TMSI von VLR generiert (proprietäres Verfahren) u. gespeichert, verschlüsselter Transfer zur SIM-Karte, dort gespeichert bei Handover: Generierung einer neuen TMSI 30

31 3.3.8 Verwaltung sicherheitskritischer Daten Datenbanken mit sicherheitskritischen Daten, die vom Netzbetreiber verwaltet werden: (1) Heimatortregister HLR (Home-Location-Register): verwaltet registrierte Teilnehmer u. frei geschaltete Services verwaltet aktuelle Aufenthaltsorte LAI der Teilnehmer verwaltet Statusinfos: in-service, making-a-call, ready-to-receive-a-call,... erhält vom AuC Authentifizierungs-Triplets (RAND, SRES, K c ), mit RAND: Challenge, SRES: korrekte Antwort auf Challenge, K c : Kommunikationsschlüssel Handover: Weitergabe von Triplets an nächste MSC/VLR 31

32 (2) Besuchsortregister VLR (Visitor-Location-Register): Verwaltung von Teilnehmern, die sich temporär in dem geographischen Bereich der Funkzelle aufhalten Erzeugung und verschlüsselte Übertragung von TMSI an MS, Verwaltung der IMSI TMSI Zuordnung Verwaltung der aktuellen Ortsinformation LAI durch VLR Erzeugung u. Weitergabe von MSRN an MSC: Routen der Anrufe (3) Geräte-Identifikationszentrum EIR (Equipment-Identification-Register): schwarze Liste: gesperrt, gestohlen, mit technischen Mängel graue: nicht netzkonforme Geräte, ohne negative Auswirkungen weiße: Seriennummern aller zugelassenen Geräte 32

33 (4) Authentification-Center (AuC) Verwaltung der sicherheitsrelevanten Informationen der Teilnehmer Informationen zur Identifikation und Authentifizierung geheimer Identitätsschlüssel K i des Teilnehmers und die Verfahren zur Durchführung der Authentifizierung, A3, A8 Informationen zur Verschlüsselung der übertragenen Daten: Kommunikationsschlüssel K c, Algorithmen-Varianten A5 Erstellen der Authentifikations-Triplets für HLR/VLR: (RAND, A3(RAND, K i ) = SRES, A8(RAND, K i ) = K c ) Bem.: idr ist AuC in speziell zugangskontrollierten Gebäuden untergebracht 33

34 Informationen auf den verschiedenen Levels 34

35 3.4 GSM-Sicherheitsprobleme Authentifizierung Nur einseitige Authentifikation keine Authentifikation des Netzes bzw. der BTS/MSC MS authentifiziert sich gegenüber jedem Anfrager (RAND): MS antwortet demjenigen, der das stärkste Signal sendet Spoofing-Angriffe z.b. mit IMSI-Catchern IMSI-Catcher: Angreifer maskiert sich als BTS (sendet stärkeres Signal), zwingt MS, ihre IMSI anstelle der TMSI zu übertragen MS liefert dem Catcher regelmäßig aktuelle Aufenthaltsdaten MSI-Catcher für unter 1000 Euro im Eigenbau 35

36 Maskierte BTS: gaukelt ein Fremd-Netz vor, das keine Verschlüsselung kann, Konsequenz: MS setzt A5/0 ein Mit gespooftem BTS oder durch Abhören der Leitung: Known-Plaintext, Chosen-Plaintext-Angriffe Ziel: Kartenschlüssel K i brechen dazu sendet z.b. die maskierte BTS RAND-Werte an MS und sammelt SRES-Werte, also (RAND, SRES) Paare Marc Briceno, Ian Goldberg und Dave Wagner haben gezeigt, dass mit RAND-Anfragen der Schlüssel K i in ca Stunden berechenbar ist Software-Emulationen von BTS und BSC mit Open-Source 36

37 Maskiertes mobiles Endgerät Abfangen von Auth-Triplets für ein mobiles Endgerät, Nutzung 37

38 3.4.2 Vertraulichkeit keine Ende-zu-Ende Sicherheit ursprünglicher A5 war offiziell geheim: nachdem er bekannt wurde: innerhalb einer Woche erfolgreiche Angriffe im Umlauf: Lesson learned: Security by Obscurity ist nicht zu empfehlen! Rainbow-Tables zum schnellen Knacken von A5/1-Schlüsseln Jan 2010: Mit verteiltem Angriff auf den A5/1-Verschlüsselungsalgorithmus: Brechen des Schlüssels in drei Monaten mit 40 Rechnern unter Nutzung vorhandener Rainbow Tables; noch deutliche Beschleunigung möglich, z.b. durch Verteilung der Tables mittels File-Sharing-Software 38

39 Juli 2002 ETSI hat Spezifikation von A5/3 veröffentlicht A5/3: basiert auf KASUMI-Chiffre, Spezifikation ist offengelegt A5/3 wird auch für GPRS unter dem Namen GEA3 verwendet Probleme: Verschlüsselung der Daten nur auf der Luftschnittstelle MS ver- und entschlüsselt Datenstrom und BTS ebenfalls, beide müssen synchronisiert sein (Stromchiffre) Daten liegen nach der Verarbeitung durch BTS im Klartext vor 39

40 3.4.3 Sonstige GSM-Probleme: geklonte SIM-Karte: Entschlüsseln der Kommunikation des Originals möglich Unverschlüsselte Datenübertragung über Signalisierungskanal: genutzt z.b. durch SMS-Dienst Verbindungsschlüssel in Triplets: Transport zwischen Netzbetreibern im Core-Netz häufig über unverschlüsselte Richtfunkstrecken ggf IP-Netze zur Triplet-Übertragung (sicher??) Peilbarkeit der Mobilstationen möglich: Privacy-Probleme Keine Datenintegrität (war bei Sprachdiensten nicht erforderlich) 40

41 Fazit: viele klassische Sicherheitsfehler Einseitige Vertrauen: Sicherheitsdienste von Betreibern vorgegeben Nutzer muss Betreibern vertrauen Design der Sicherheitsarchitektur hat Schwachstellen Implementierungen haben Schwachstellen, Verbesserung der Kommunikationssicherheit? Lösungsmöglichkeit: z.b. End-to-End-VPN (IPsec) MS GSM-Netz Internet VPN-Client VPN-Server Intranet 41

42 3.5 General Packet Radio Service (GPRS) Einführung Nachteile von GSM (technisch): geringe Datenrate 9,6 kbit/s, leitungsvermittelnd (circuit switched): gesamter Kommunikationskanal wird von nur einem Benutzer belegt gut für Sprachübertragung, schlecht für Datenübertragung z.b. Download Datenübertragung Paketweise Übermittlung (ggf. auch QoS) ist gefordert GPRS: Anpassung der Mobilkommunikation an verbindungslose, paketvermittelnde Internetdienste Brückenschlag zwischen 2G (GSM) und 3G (UMTS): 2.5G GPRS benötig zusätzliche Komponenten (wie auch UMTS) 42

43 GPRS: ETSI (European Telecommunication Standards Institute) Standard Paketvermittelnde Technologie: Konsequenzen u.a. Belegung von Time-Slots nur dann, wenn Daten vorhanden Billing: Abrechnung nach Datenvolumen, nicht nach Zeit Pakete können direkt in IP-Netze weitergeleitet werden Internet-Anbindung von GPRS-Geräten über IP-Adresse Kanäle einer Zelle: von GSM und GPRS-Nutzern verwendbar QoS Anforderungen spezifizierbar: z.b. Realzeitanforderungen für Multi-Media, Best-Effort für , effektive Rate max. 115 kbit/s, Bündelung von max. 8 GSM-Kanälen (1) für einen Benutzer (parallele Übertragung von Paketen) oder (2) gemeinsame Nutzung durch mehrere Benutzer (Multiplexing) 43

44 SGSN (Service-GPRS-Support-Node) Routing von Paketen auch über verschiedene GGSN zur MS Mobilitätsmanagement (u.a. Weitergabe von Lokalitätsinfos) Authentifikation, Charging/Billing, Lokalisierung Registrieren einer Mobilen Station (MS) im GPRS-Netz (attach): MS initiiert die Verbindung: sendet seine IMSI SGSN leitet an das zuständiges Netz die erforderliche Authentisierungs-Informationen (vgl. GSM) SGSN erzeugt Temporary Logical-Link-Identifier (Lokalisierung) 44

45 3.5.2 GPRS-Architektur (GSM-Erweiterung) Technische Universität München Bsp.: Datentransfer von MS zu Host PLMN: Public Land Mobile Network 45

46 GGSN (Gateway GPRS Support Node): Aufgaben Verbindung zum Internet herstellen Transformiert ausgehende GPRS-Pakete in korrekte PDP (Packet Data Protocol) Pakete (z.b. X.25) Transformiert eingehende PDP-Pakete und leitet sie an zuständige SGSN (Service GPRS Support Node) weiter verwaltet Lokalisierungsinformationen: Adresse des aktuellen SGSN des Benutzers und dessen aktuelles Benutzerprofil (z.b. abonnierte Dienste) die GGSNs sind über ein GPRS IP-Backbone-Netz verbunden: Transport der PDP-Pakete mit dem GPRS-Tunneling Protocol (GTP) 46

47 Beispiel: Datentransfer im GPRS-Netz die MS in PLMN1 sendet IP-Pakete (s. nächste Folie) zu einem Host (1)der SGSN, bei der die MS registriert ist, kapselt Pakete von MS und (2) routet sie durch das GPRS-Backbone zum korrekten GGSN (3) der GGSN entpackt Pakete und sendet sie ins IP-Netz Annahme: Heimat-PLMN der MS sei PLMN2, d.h. der GGSN_2 hat eine IP-Adresse an MS zugewiesen, dann sendet der Host Pakete an GGSN_2 zurück, (4) derggsn_2 befragt HLR nach Aufenthaltsort von MS, und (5) tunnelt Pakete dorthin (im Beispiel zu SGSN_1) (6) dersgsn entpackt Pakete und reicht sie an MS weiter 47

48 Versenden von IP-Paketen: Vor dem Versenden: Aufteilung des Pakets (wie üblich) in eine Folge von Datenframes beim Empfänger werden die einzelnen Frames wieder zum Paket zusammengefügt Zur Erzielung eines hohen Datendurchsatzes: sendet mobiles Gerät Datenframes in parallelen Zeitslots an BTS Frames werden erst vom SGSN wieder zum Paket vereinigt Konsequenz: erst SGSN kann Daten entschlüsseln (nicht schon BTS) 48

49 3.5.3 Sicherheitsdienste Dienste sind eng an GSM angelehnt: Authentisierung: Einseitig durch SGSN wie bei GSM, aber keine Authentifikation von Signalling-Nachrichten von SGSN/GGSN Verwendung temporärer Identitäten (von SGSN verwaltet) Vertraulichkeit: Schlüsselgenerierung, Verwaltung wie bei GSM Verschlüsselungsalgorithmus A5/3 (GEA3) SGSN verschlüsselt Frames, aber keine Ende-zu-Ende Sicherheit keine Vertraulichkeit der Daten innerhalb des Signalisierungsnetzes 49

50 Mögliche Angriffspunkte Technische Universität München Angriffe: Öffnung der Signalisierungsnetze Geräte im IP-Netz sichtbar,. 50

51 3.6 Mobilfunk der dritten Generation (3G) in Europa: UMTS Standard (ab 1998) basierend auf GSM UMTS = Universal Mobile Telecommunication System Standardisierungsgremium: 3GPP (3rd Generation Partnership Projekt) neue Zugangstechnologie: Wideband Code-Division-Multiple-Access (W-CDMA) Zell-Struktur 51

52 Übergang 2G zu 3G: 2G: Circuit-switched: Sprache, SMS, Fax, geringe Datenrate, 9,6 kbit/s 2.5G: Paket und Circuit-switched: Sprache und Daten, , MMS (Bilder, kleine Audio-, Video Clips), mittlere Datenrate: GPRS 14,4 kbit/s (Up), 40 kbit/s (down) Edge kbit/s 3G: UMTS, cdma2000, FOMA (Freedom of Multimedia Access) von NTTDoCoMo Paket-orientiert, all-ip-paradigma hohe Datenrate 2 MBit/s (bis zu 50 m), 144 kbit/s (über 10 km) Audio-, Video-Streaming (Filme etc.), Videoconferencing, höherer QoS,. 52

53 Vergleich der Datenraten 2G, 2.5G und 3G Daten GSM GPRS UMTS Web-Seite (9KB) 8s 0.6s 0.04s Kleine Textdatei (40KB) 33s 3s 0.2s Große Textdatei (2MB) 28min 2min 2s 53

54 3.6.1 UMTS-Sicherheitsarchitektur Technische Universität München RNC USIM (UMTS Subscriber Identity Module) 54

55 UMTS-Erweiterungen gegenüber GSM: Erweiterte UMTS-Authentifikation und Schlüsselvereinbarung: Heimatnetz authentifiziert sich gegenüber dem Benutzer Wiedereinspielung von Authentifizierungsdaten verhindern: Nutzung von Sequenznummern Vertraulichkeit der Kommunikationsdaten: 128-Bit Kommunikationsschlüssel Integrität der Kontrollsignale: Sichern der Kontrollsignale beim Verbindungsaufbau (MAC) USIM kontrollierte Nutzung von Schlüsseln: erneute Authentifikation, falls das Datenaufkommen einen bestimmten Wert übersteigt 55

56 Fünf Sicherheitsbereiche der 3G-Architektur (gemäß Spez.) Network access security (I): the set of security features that provide users with secure access to 3G services, and which in particular protect against attacks on the (radio) access link. Protokolle: AKA, UEA mit f8, Integritätsschutz mit f9 Network domain security (II): the set of security features that enable nodes in the provider domain to securely exchange signalling data, and protect against attacks on the wireline network. Protokolle: VPN mit IPSec, Firewalls, Intrusion Detection 56

57 User domain security (III): the set of security features that secure access to mobile stations Konzepte: PIN-Authentisierung Application domain security (IV): the set of security features that enable applications in the user and in the provider domain to securely exchange messages. Visibility and configurability of security (V): the set of features that enables the user to inform himself whether a security feature is in operation or not and whether the use and provision of services should depend on the security feature. Konzepte: Anzeige der verwendeten Verfahren, Zertifikate etc. 57

58 3.6.2 AKA (Authentication and Key-Agreement) Basis: zwischen dem Authentifizierungs-Zentrum (AC), der Heimatumgebung des mobilen Benutzers und dessen USIM ist ein geheimer Schlüssel K vereinbart (pre-shared key) und beide Parteien verwenden die Authentifizierungsfunktionen f1, f2, sowie die Schlüsselgenerierungsfunktionen f3, f4 und f5 Bem.: Die genauen Verfahren sind nicht vorgeschrieben, 3GPP hat jedoch Anforderungen festgelegt, z.b. Stark gegen Known-Plaintext und Seiten-Kanal-Angriffe Netzwerk-Provider bestimmt die zu verwendeten Verfahren f1,..., f5 58

59 Authentisierung Verfahren befinden sich auf der USIM und im AuC des Heimnetzes symmetrische Challenge-Response mit Pre-shared Keys Szenario: Einbuchen eines mobilen Teilnehmers bei einem Service-Netzwerk Netzwerk muss sich selbst und den Teilnehmer authentifizieren dazu verwendet UMTS die Authentifizierungs-Vektoren (AV) Liegen dem Netzwerk keine Vektoren für den Teilnehmer vor: Netz sendet Anfrage an das AuC des Heimatnetzes der MS beim Empfang einer solchen Anfrage generiert das AuC eine geordnete Menge von n (idr n = 5) AVs, die AVs werden an das Service Netzwerk zurück gesendet 59

60 Erzeugen/Zusammensetzung eines AV: Basis: vereinbarter geheimer Schlüssel K: in USIM und Heimatnetz (HE) HE erzeugt n Authentifizierungs-Vektoren (AV) 1. Für jede Verbindung: HE erzeugt neue Sequenznummer SQN und 128 Bit Zufallszahl RAND Berechnung des 64 Bit MAC = f1(k, (SQN RAND AMF)) 2. Berechnung der erwarteten Antwort XRES = f2(k, RAND) 3. Erzeugung des 128 Bit Schlüssels CK = f3(k, RAND) (Communication-Key) 4. Erzeugung des 128 Bit Schlüssels IK = f4(k, RAND) (Integrity-Key) 5. Erzeugung des 48-Bit langen Anonymitätsschlüssels AK = f5(k, RAND) 6. Erstellen des Authentifikationstokens AUTN = (SQN XOR AK) AMF MAC 7. Authentifizierungs-Vektor AV = RAND XRES CK IK AUTN 8. AVs werden an Service-Netzwerk weitergereicht 60

61 Authentisierungsablauf Mobiles Gerät sendet seine IMSI an Netzwerk Netzwerk verwendet AV der MS und sendet RAND, AUTN Die USIM authentifiziert das Netz (den Provider): 1. USIM des Geräts berechnet AK = f5(k, RAND) und extrahiert damit die Sequenznummer SQN aus dem Token AUTN. 2. USIM berechnet MAC = f1(k, (SQN RAND AMF)), Vergleich mit dem in AUTN enthaltenen MAC bei Fehler: senden einer Reject-Nachricht an VLR bzw. SGSN 3. USIM überprüft die Gültigkeit der Sequenznummer SQN, Falls ungültig: Synchronisationsfehler Netzwerk fordert von HE frische Authentifizierungsvektoren an 61

62 Authentifizierung und Schlüsselvereinbarung (Phase II) MS berechnet Schlüssel CK und IK Netz authentifiziert USIM USIM berechnet RES(i) Netz überprüft extrahiert Schlüssel CK, IK aus AUTN 62

63 Integritätsschutz für Signalisierungsnachrichten f8, f9 (im MS, RNC) zur Verschlüsselung und Integritätsprüfung, verwendet zw. USIM und den Netzwerk-Controllern (RNC) Beide werden u.u. von verschiedenen Service-Netzwerk-Providern verwaltet: mit AKA werden die Verfahren abgestimmt USIM / RNC berechnet Code auf Senderseite, Input (Message, Counter, IK) 128 Bit IK Schlüssel Code wird der Message angehängt Empfänger verifiziert den angehängten Code 63

64 Vertraulichkeit Symmetrische Stromchiffre f8 mit 128 Bit CK Schlüssel f8 wird auch als UEA UMTS-Encryption-Algorithm bezeichnet Verschlüsselung der Funkschnittstelle zwischen MS und RNC Verschlüsselung erfolgt auf MAC oder RLC (Radio-Link-Control) Schicht im UMTS-Stack, abhängig vom Übertragungsmodus UEA erzeugt einen Schlüsselstrom in Abhängigkeit vom: Verschlüsselungsschlüssel CK, der Übertragungsrichtung, der Träger-ID, und der Framenummer Frames (Daten oder Kontrollframes) werden sequentiell nummeriert die Stromchiffre UEA wird bei jedem MAC bzw. RLC Frame re-synchronisiert 64

65 UEA1 ist standardisiert: basiert auf KASUMI (jap. für Nebel) UEA1, befindet sich im MS, (nicht auf der USIM), und im RNC Es handelt sich um eine Feistel Chiffre mit 8 Durchgängen 64-bit Input, 128-bit Schlüssel, 64-bit Output Die Chiffre ist beweisbar sicher gegen differentielle and lineare Kryptoanalyse Ju-Sung Kang, Sang-Uk Shin, et al Provable Security of KASUMI and 3GPP Encryption Mode f 8, LNCS 2248/200,

66 Fazit UMTS-Sicherheit: (1) Verbesserungen gegenüber GSM/GPRS: Übergang von 64-Bit auf 128-Bit-Verschlüsselungsschlüssel Übergang zu wechselseitiger Authentifikation Aber: Nutzer muss Service-Netz vertrauen Hinzunahme von Integritätsüberprüfungen: aber nur für kritische Signalisierungsnachrichten beim Verbindungsaufbau Ziel: Abwehr von Angriffen, die z.b. bei Verbindungsaufbau einen zu schwachen Verschlüsselungsalgorithmus postulieren Erkennen von Wiedereinspielungen von Authentifizierungsdaten Alle Spezifikationen und Evaluationsberichte sind öffentlich zugänglich: no Security by Obscurity, Vertrauensbildung 66

67 (2) Bestehende Sicherheitsprobleme immer noch keine Ende-zu-Ende Sicherheit, Angriffe z.b. Camp on a false BS: Paging-Signale realer Basisstationen nicht empfangbar Hijacking von Anrufen in Netzen mit abgeschalteter Verschlüsselung Austausch der AVs über UMTS-Core-Netz, unsichere IP-Netze! sichere Kanäle notwendig, wechselseitige Authentifikation der Netzbetreiber? Trust! übliche Internet-Attacken gegen Rechner der Betreiber Interoperabilität: Secure Seamless Roaming? GSM, GPRS und UMTS: Sicherheitsdienste sind unterschiedlich! weitere Probleme? Lösungsvorschläge? 67