J. Eberspächer; H.-J. Vögel: GSM Global System for Mobile Communication, 1999 Jochen Schiller: Mobilkommunikation. München 2003

Transkript

1 Kapitel 3 Mobilkommunikation Meilensteine Technische Universität München 1984: C-Netz: analoge Sprachübertragung, digitale Signale 1991: 1. Generation: DECT: Digital European Cordless Telephone 1991: 2. Generation: GSM (Europa),USA, Japan eigene Standards 1994: GPRS/EDGE (Enhanced Data Rates for GSM), value added ab 2006: 3. Generation: UMTS (ABC Paradigma), All-IP seit 2004 SAE/LTE (Long Term Evolution) in Entwicklung, ab 2010 Netzaufbau in Deutschland, erste LTE-Endgeräte verfügbar Literatur zu GSM/UMTS, zellulare Netze: J. Eberspächer; H.-J. Vögel: GSM Global System for Mobile Communication, 1999 Jochen Schiller: Mobilkommunikation. München 2003 Magnus Olsson: System Architecture Evolution (SAE): Evolved Packet Core for LTE, Fixed and other Wireless Accesses,

2 GSM outdated? Nein! GSM-Modul im Fahrzeug Kommunikation zwischen Fahrzeug und Backend beim OEM GPS und GSM: Auto-Tracking GSM-R Standard (rail) Zugsicherung, Zugfernsteuerung, Stellwerkskommunikation, Überwachung des Zuglaufs GSM-R-Station 2

3 3.1 2G Mobilfunk: GSM (Global System for Mobile Communication) Eigenschaften, Dienste Mobilfunknetz: Pan-Europäischer Standard (ETSI) Übernahme durch 210 Drittländer (u.a. in Asien, Afrika, Amerika) über 3,4 Milliarden GSM-Teilnehmer in Q Zellular strukturiertes Funknetz: Zelle als kleinste geographische Einheiten zur Kommunikation, Zellen können unterschiedliche Größen haben: z.b. 20m im Gebäude, 200m im Stadtgebiet, 35km über Land jede Zelle verwendet eigene Frequenzen pro Zelle: mehrere mobile Stationen gleichzeitig: Zugriffe sind zu regulieren (Verfahren zum Vielfach-Medien-Zugriff) 3

4 Zellulare Netzstruktur eines GSM-Systems (Architektur später noch genauer) BSC BTS Base Transceiver Station: Schnittstelle zur mobilen Station BSC Base Station Controller, BTS BTS BSC verwaltet mehrere BTS MS BTS BTS MS mobile Station: Handy etc. Zellstruktur: Vorteil? Nachteil? 4

5 Beispiele: GSM-Antennen und BTS-Kästen 5

6 Frequenzen: GSM arbeitet mit unterschiedlichen Frequenzen für den Uplink (vom Mobiltelefon zum Netz) und den Downlink (vom Netz zum Mobiltelefon) In Deutschland: Frequenzbereiche MHz, MHz, MHz und MHz Datenübertragung bis 9600 Bit/s bzw. 14,4 kbit/s, Circuit-Switched Gute Übertragungsqualität (Fehlererkennung und -korrektur) GSM-Systemarchitektur im Überblick: 6

7 Sicherheit: SIM-Karte: Smartcard als vertrauenswürdiger Schlüsselspeicher Hersteller u.a. G&D (München), gemalto (Frankreich, Ismaning) Authentifikation des mobilen Geräts mit Challenge-Response Generieren eines symmetrischen Verbindungs-Schlüssels Verschlüsselte (symmetrische) Kommunikation über Datenkanäle Größte Sicherheitsinfrastruktur weltweit Erreichbarkeit: Grenzübergreifend: Roaming zwischen verschiedenen Providern Weiterreichen zwischen Zellen: Handover von BTS zu BTS Netz übernimmt die Erreichbarkeitsaufgabe transparent 8

8 Bem.: Unterschied: Handover und Roaming Handover Zw. Funkzellen MSC Roaming: Zwischen verschiedenen Netz-Betreibern MSC HLR HLR VLR AC VLR AC 9

9 3.2 Grobarchitektur eines GSM-Netzes Die GSM-Systemarchitektur gliedert sich in 3 Teile. Das Radio-Sub-System (RSS), das Switching-Sub-System (SSS) und das Operation & Maintenance-Sub-System (OMC-B) Radio-Sub-System Switching-Sub-System Funkzellen MS SIM U m - Schnittstelle MS SIM U m - Schnittstelle BTS A bis MSC VLR GMSC HLR AuC EIR Datennetze Festnetz Andere Mobilfunknetze BTS BSC TRAU MSC VLR OMC-B EIR OMC-S Operation and Maintenance-Sub-System 10

10 Aufgabenverteilung zwischen den Subsystemen: Radio-Sub-System (RSS): funktechnische Aspekte Switching-Sub-System (SSS): Vermittlungs-technische Vorgänge Operation & Maintenance (OMC-B) Betrieb und Wartung Radio-Sub-System MS Funkzellen SIM MS SIM U m - Schnittstelle BTS Luftschnittstelle Radio-Sub-System U m - Schnittstelle A bis BTS BSC TRAU OMC-B MSC 11

11 Mobile Station (MS) Mobilfunktelefon, Datenkarte/Surfstick oder ein GSM-Modem MS ermöglicht dem Nutzer den Zugang zum Mobilfunknetz Hauptaufgaben: Empfangen und Senden von Nutz- und Steuerdaten Zusätzliche Schnittstellen ermöglichen die Kommunikation mit anderen Geräten In der MS befindet sich die SIM-Karte (Subscriber Identity Module) SIM-Karte ist eine Chip-Karte, die als Zugangsberechtigung zum Mobilfunknetz dient Bem.: SIM-Karte wird noch genauer behandelt 12

12 Base-Transceiver-Station (BTS) Aufgabe: Versorgung der Funkzelle Signalverarbeitung für die Funkzelle und Kommunikation über die Luft-Schnittstelle (U m ) mit den Mobilen Stationen (MS) 10 bis 100 Basisstationen sind an einem Base-Station-Controller (BSC) angeschlossen Nicht jede BTS hat eine direkte BSC-Verbindung, ggf. wird eine Basisstation über eine andere geleitet, über gemietete Leitungen (z. B. PCM30 / 2 MBit/s) oder Richtfunkstrecken (7 GHz) mit ihrer BTS verbunden. 13

13 Aufgaben der BTS und BSC im Überblick 14

14 Base-Station-Controller (BSC) Verwaltung mehrerer BTS Aufgabe: Auswahl eines Funkkanals für Verbindung Entscheidung über Handover (wann: Signalstärke etc.), ggf. erfolgt Handover aber auch in der BTS Bündelung des Mobilfunkverkehrs im BSC, um auf dem Weg zur Vermittlungsstelle Leitungskosten zu sparen Transcoding und Rate-Adaption-Unit (TRAU) Umwandlung des GSM-Sprachsignals von 13 kbit/s in 64 kbit/s Datenratenanpassung für die Datendienste häufig in die Vermittlungsstelle integriert 15

15 Switching-Subsystem MSC TRAU VLR Mobile-Switching-Center (MSC) Aufgabe: Vermittlungsstelle Verbindungs-, Mobilitätsverwaltung GMSC HLR Home-Location-Register - Speicherung der Kundendaten, u.u. MSC VLR - auch Rufumleitungen, Billingdaten VLR Visitor-Location-Register: OMC-S - Verwaltung von Gastnutzern, - Ermittlung des Standorts eines Handys AuC: Authentication-Center: Verwaltung sicherheitsrelevanter Daten Gateway-MSC (GMSC): Übergang in andere Netze Switching-Sub-System Technische Universität München HLR AuC EIR Datennetze Festnetz Andere Mobilfunknetze 16

16 Operation- and Maintenance-Center (OMC) Betriebs- und Wartungszentrale eines GSM-Netzes. Aufgabe: Überwachung eines Teils des Gesamtmobilfunknetzes Fehler lokalisieren und beheben Netzelemente konfigurieren und neue Software einspielen Teilnehmer einrichten und Erstellung der Gebührenabrechnung idr. unterhält ein Netzbetreiber eine Zentrale, die auf 10 oder mehr OMCs zugreift BSC MSC HLR OMC-B EIR OMC-S AuC Operation and Maintenance-Sub-System 17

17 Rufende Station Ablauf eines Gesprächsaufbaus: 1. Ruf eines GSM-Teilnehmers 2. Weiterleitung zum GMSC 3. Verbindungsaufbaunachricht zum HLR 4. und 5. Anfrage der Daten vom VLR 6. Meldung des aktuellen MSC an GMSC 7. Anrufweiterleitung zum derzeitigen MSC 8. und 9 Statusabfrage der MS 10. und 11. Ruf der MS 12. und 13. MS antwortet 14. und 15. Sicherheitsüberprüfung 16. und 17. Verbindungsaufbau 1 PSTN (Festnetz) 2 Technische Universität München GMSC HLR BSS 4,5 MS MSC VLR 3, 6 8, 9 14, , , 12, 17 BSS 18

18 3.3 GSM-Sicherheitsarchitektur Sicherheitsanforderungen, mehrseitige Sicherheit Sicht der Netzbetreiber: Korrektes Billing (Abrechnungen): dafür notwendig: korrekte Authentizität der Teilnehmer kein Dienste-Missbrauch, korrekte Abrechnung von Content-Nutzung Bem.: offenes Problem, Operator haben keinen Einblick in die tatsächlich genutzten Dienste (Content), nur wer mit wem wie lange kommuniziert ist leicht erfassbar effizienter Einsatz: keine Erhöhung der benötigten Bandbreite, keine langen Delays (Benutzerakzeptanz), preiswert 19

19 Sicht der Nutzer (Kunden): Vertraulichkeit der Kommunikation (Sprache und Daten) Privatheit: Vertrauliche Lokalisierungsinformation keine Erstellung von Bewegungsprofilen Authentizität: Kommunikationsverbindung mit authentischer Basisstation/Netz Korrektes Billing, Accounting: Bezahlung nur für in Anspruch genommener Dienste Sicht der Content-Anbieter: Zuverlässige, korrekte Abrechnung der angebotenen Dienste 20

20 3.3.2 GSM-Sicherheitsarchitektur im Überblick Technische Universität München 21

21 Subscriber Identity Module (SIM) Chipkarte in der MS Trennung von Geräte- und Teilnehmermobilität Vertrauenswürdiger Datenspeicher und Ausführungsplattform IMSI (International Mobile Subscriber Number), 15 Ziffern lang LAI (Location Area Identification) PIN (Personal Identification Number) PUK (PIN unblocking Key) TMSI (Temporary Mobile Subscriber Number) 128-Bit Schlüssel K i (Individueller Subscriber Identification Key) Algorithmus A3 für Challenge-Response-Authentifikation Algorithmus A8 zur Generierung von K C (Sitzungsschlüssel) Beliebige weitere Funktionen und Daten 22

22 Drei Algorithmen in GSM spezifiziert: A3 zur Authentifikation ( geheim, Schnittstelle offengelegt) A5 zur Verschlüsselung (standardisiert) A5/0 (=keine), A5/1 (schwach), A5/2 (seit 2007 verboten), A5/3 (Juli 2002 von ETSI; stark), A8 zur Schlüsselberechnung ( geheim, Schnittstelle offengelegt) A3 und A8 sind proprietäre Verfahren: vom Netzprovider festgelegt Bem.: Implementierungen von A3 und A8 sind im Internet verfügbar Betreiber können auch stärkere Verfahren einsetzen A5/3 ist offen gelegt 23

23 Verwaltung sicherheitskritischer Daten Datenbanken mit sicherheitskritischen Daten, die vom Netzbetreiber verwaltet werden: (1) Heimatortregister HLR (Home-Location-Register): verwaltet registrierte Teilnehmer u. frei geschaltete Services verwaltet aktuelle Aufenthaltsorte LAI der Teilnehmer verwaltet Statusinfos: in-service, making-a-call, ready-to-receive-a-call,... erhält vom AuC Authentifizierungs-Triplets (RAND, SRES, K c ), mit RAND: Challenge, SRES: korrekte Antwort auf Challenge, K c : Kommunikationsschlüssel Handover: Weitergabe von Triplets an nächste MSC/VLR 24

24 (2) Besuchsortregister VLR (Visitor-Location-Register): Verwaltung von Teilnehmern, die sich temporär in dem geographischen Bereich der Funkzelle aufhalten Erzeugung und verschlüsselte Übertragung von TMSI an MS, Verwaltung der IMSI TMSI Zuordnung Verwaltung der aktuellen Ortsinformation LAI durch VLR Erzeugung u. Weitergabe von MSRN an MSC: Routen der Anrufe MSRN = Mobile Station Roaming Number (3) Geräte-Identifikationszentrum EIR (Equipment-Identification-Register): schwarze Liste: gesperrt, gestohlen, mit technischen Mängel graue: nicht netzkonforme Geräte, ohne negative Auswirkungen weiße: Seriennummern aller zugelassenen Geräte 25

25 (4) Authentification-Center (AuC) Verwaltung der sicherheitsrelevanten Informationen der Teilnehmer Informationen zur Identifikation und Authentifizierung geheimer Identitätsschlüssel K i des Teilnehmers und die Verfahren zur Durchführung der Authentifizierung, A3, A8 Informationen zur Verschlüsselung der übertragenen Daten: Kommunikationsschlüssel K c, Algorithmen-Varianten A5 Erstellen der Authentifikations-Triplets für HLR/VLR: (RAND, A3(RAND, K i ) = SRES, A8(RAND, K i ) = K c ) Bem.: idr ist AuC in speziell zugangskontrollierten Gebäuden untergebracht 26

26 Informationen auf den verschiedenen Level 27

27 3.3.3 GSM Sicherheitsdienste Authentifizierung: 2-Faktor-Authentifikation Benutzer Mobile Station / SIM-Karte PIN (Authentifikation mittels Wissen): vier- bis achtstellige Zahl Nach dreimaliger Falscheingabe wird die Karte gesperrt Mit separater, achtstelligen Geheimzahl, der PUK (PIN Unblocking Key) wieder frei schalten Zehnmaliger Falscheingabe der PUK Karte als unbrauchbar markiert SIM-Karte Netz Challenge-Response-Verfahren mit symmetrischen Schlüssel IMSI, TMSI, K i 28

28 CR-Verfahren: Wann initiiert? beim Einbuchen/Lokationsregistrierung beim Update der Lokation (Wechsel der VLR) beim Call-Setup und beim Short-Message-Service (SMS) eine wiederholte Authentifizierung während eines Gesprächs ist möglich (Policy wird von Netz-Operator festgelegt) Algorithmus A3: für Authentisierung Auf SIM implementiert und im AuC Ein-Weg-Hash-Funktion SRES = A3(RAND, K i ) Interface standardisiert, aber nicht kryptographischer Algorithmus! Wird vom Netzbetreiber festgelegt, proprietär Security by Obscurity 29

29 Schlüsselgenerierung Algorithmus A8 Auf SIM und im AuC Mit K i parametrisierte Einwegfunktion Nicht standardisiert; kann vom Netzbetreiber festgelegt werden Kombination von A3/A8 bekannt als COMP128 schwaches Verfahren! - K c 64 Bit: 54 Bit + 10 Bit mit 0 aufgefüllt Mobilfunknetz K i A8 RAND 128 bit 128 bit K c 64 bit Cipher Key in HLR gespeichert in BSC benutzt Authentication Request RAND MS mit SIM A8 K i 128 bit 128 bit K c 64 bit Cipher Key in SIM gespeichert in MS benutzt 30

30 Verschlüsselung auf der Luftschnittstelle Algorithmus A5 bis zu sieben A5-Varianten Weltweit standardisiert in Hardware realisiert 3 Schieberegister mit linearer Rückkopplung, initialisiert mit K c und der Framenummer Variante: Mobilfunknetz TDMA Rahmennr. Klartextblock 114 Bit A5/0 (keine Verschlüsselung) ermöglicht auch Technische Universität München Sprachkommunikation mit Export-beschränkten Ländern K C 64 Bit 22 Bit A5 Schlüsselblock 114 Bit Verschlüsselungs- Modus Schlüsseltext MS TDMA Rahmennr. A5 K C Klartextblock 31

31 Pseudomisierung Hintergrund: Authentifikation auf Basis der IMSI IMSI ist eineindeutig mit SIM-Karte verknüpft bei wiederholter Authentifikation, z.b. Handover: Privacy-Problem: Erstellung von Bewegungsprofilen Technische Universität München Lösungsidee: TMSI (temporary mobile subscriber identity) nach erstmaliger Identifikation: Nutzen von temporären Pseudonymen: TMSI mit lokaler Gültigkeit TMSI von VLR generiert (proprietäres Verfahren) u. gespeichert, verschlüsselter Transfer zur SIM-Karte, dort gespeichert bei Handover: Generierung einer neuen TMSI 32

32 3.4 GSM-Sicherheitsprobleme Authentifizierung Nur einseitige Authentifikation keine Authentifikation des Netzes bzw. der BTS/MSC MS authentifiziert sich gegenüber jedem Anfrager (RAND): MS antwortet demjenigen, der das stärkste Signal sendet Spoofing-Angriffe z.b. mit IMSI-Catchern IMSI-Catcher: Angreifer maskiert sich als BTS (sendet stärkeres Signal), zwingt MS, ihre IMSI anstelle der TMSI zu übertragen MS liefert dem Catcher regelmäßig aktuelle Aufenthaltsdaten MSI-Catcher für unter 1000 Euro im Eigenbau 33

33 Maskierte BTS: gaukelt ein Fremd-Netz vor, das keine Verschlüsselung kann, maskiertes Netz fordert von MS die Verwendung von A5/0 Mit gespooftem BTS oder durch Abhören der Leitung: Known-Plaintext, Chosen-Plaintext-Angriffe Ziel: Kartenschlüssel K i brechen dazu sendet z.b. die maskierte BTS RAND-Werte an MS und sammelt SRES-Werte, also (RAND, SRES) Paare Marc Briceno, Ian Goldberg und Dave Wagner haben gezeigt, dass mit RAND-Anfragen der Schlüssel K i in ca Stunden berechenbar ist Software-Emulationen von BTS und BSC mit Open-Source 34

34 Maskiertes mobiles Endgerät Abfangen von Auth-Triplets für ein mobiles Endgerät, Nutzung Richtfunk Spoofen einer SIM 35

35 Vertraulichkeit keine Ende-zu-Ende Sicherheit ursprünglicher A5 war offiziell geheim: nachdem er bekannt wurde: innerhalb einer Woche erfolgreiche Angriffe im Umlauf: Lesson learned: Security by Obscurity ist nicht zu empfehlen! COMP128: Implementierung von A3 und A8 ursprünglich geheim, seit 1998 durch Reverse -Engineering offen 128 Bit Hashfunktion für 256 Bit Eingabeblöcke (Rand,K i ). COMP128 berechnet 32 Bit SRES, 54 Bit K c (aufgefüllt mit 0) Problem: schwache Hashfunktion, anfällig für Angriffe, durch Seitenkanalattacken sehr schnell brechbar Schlechte Designentscheidung: Vermischung von Aufgaben 36

36 Rainbow-Tables zum schnellen Knacken von A5/1-Schlüsseln Bem.: Rainbow-Tables: Lookup-Tabelle: Vorabberechnete Werte schneller als Brute-Force, aber viel Speicher (Time/Memory) Jan 2010: Verteilter Angriff auf A5/1 Brechen des Schlüssels in drei Monaten mit 40 Rechnern effizientere Angriffe: Verteilung der Tables mit File-Sharing SW Juli 2002 ETSI hat Spezifikation von A5/3 veröffentlicht A5/3: basiert auf KASUMI-Chiffre, Spezifikation ist offengelegt A5/3 wird auch für GPRS unter dem Namen GEA3 verwendet Probleme: Verschlüsselung der Daten nur auf der Luftschnittstelle MS ver- und entschlüsselt Datenstrom und BTS ebenfalls, beide müssen synchronisiert sein (Stromchiffre) Daten liegen nach der Verarbeitung durch BTS im Klartext vor 37

37 Sonstige GSM-Probleme: geklonte SIM-Karte: Technische Universität München Entschlüsseln der Kommunikation des Originals möglich Unverschlüsselte Datenübertragung über Signalisierungskanal: genutzt z.b. durch SMS-Dienst SMS Verschlüsselung ist optional, entscheidet der Provider Verbindungsschlüssel in Triplets: Transport zwischen Netzbetreibern im Core-Netz häufig über unverschlüsselte Richtfunkstrecken ggf. IP-Netze zur Triplet-Übertragung (sicher?) Peilbarkeit der Mobilstationen möglich: Privacy-Probleme Keine Datenintegrität (war bei Sprachdiensten nicht erforderlich) 38

38 Beispiel: GSM Test Labor am Fraunhofer AISEC, Garching Betrieb eines eigenen GSM-Test-Netz Analyse der Aktivitäten und übertragenen Daten Gezielte Injektion und Manipulation von GSM-Paketen (Fuzzing) Analyse von GSM-Stacks Bedrohungsanalysen Durchführen von Angriffen auf GSM Cipher (A3, A5, A8) Brechen von A5/1 in < 3 Minuten 39

39 Fazit: Pros/Cons GSM-Sicherheitsarchitektur, Lessons-learned? 41

40 3.5 GSM-R (Rail) Drahtlose Übertragung von Nachrichten im Bahnverkehr Basisstationen (BTS) an der Schienenstrecke MS sind die Züge Kosteneffiziente und europaweit standardisierte Technologie Teil des European Rail-Traffic-Management-Systems (ERTMS) GSM-R auf der Basis der GSM-Technologie Zur Erhöhung der Sicherheit : EURORADIO als Overlay: Für eine Nachricht M wird ein CBC-MAC berechnet MAC(M) Basis ist Pre-shared Key K i zwischen MS und BSC Entitäten werden über MAC und K i authentisiert Verschlüsselungsverfahren: 3DES mit 168-Bit-Schlüssel Integritätsschutz, Authentisierung nur von User-Daten 42

41 Integration von EURORADIO in GSM 43

42 GSM-R-Dienste und -Funktionen Railway signalling requirements Operational voice communication Automatic Train Control Remote Control Train Controller-Driver Operational Communication Emergency Area Broadcast Shunting Communication Driver-Driver operational communication Trackside Maintenance Communication Train Support Communication Local and wide area (non operational) voice and data communication Passenger oriented communication Local Communication at Stations and Depots Wide Area Communication Passenger Services 44

43 European Train-Control-System (ETCS) Technische Universität München Komponente des Europäischen Eisenbahnverkehrsleitsystems Basistechnologie ist GSM-R seit 2006 im Betrieb in Italien, in Zukunft auch in Deutschland Unterschiedliche ETCS Stufen: ETCS Level 0 3 ETCS1: nutzt iw Eurobalisen als Übertragungsmedium Übermittelte Informationen: Streckengradienten, Streckenhöchstgeschwindigkeiten, Haltepunkt Überwachung der Geschwindigkeiten, Zwangsbremsung, etc. im ETCS-Rechner 45

44 ETCS 2 Austausch von Streckendaten zwischen Zug und Streckenzentrale (Radio Block Center, RBC) Positionsübermittlung des Zuges an die Streckenzentrale zur Erhöhung der Streckenauslastung Positionsermittlung mittels Referenzpunkte (Eurobalisen) auf der Strecke und Sensoren (Dopplerradar, Radimpulsgeber, Beschleunigungssensoren) Übermittlung der Informationen über GSM-R 46

45 Sicherheit der ETCS-Rechner im Zug? ETCS-Rechner im Zug übermittelt Zuginformationen an Streckenzentrale Kein Hinweis über zusätzlichen kryptographischen Mechanismen Security-Annahme beruht auf isoliertem GSM-R Netz Manipulation des Rechners möglich (Malware) Einschleusen von manipulierten Nachrichten, die auf gefälschten Vorkommnissen beruhen Aktive Eingriffe in sicherheitskritische Kommunikation Resultat: Falsche Positionsbestimmung des Zugs, falsche Höchstgeschwindigkeiten, falsche Streckeninformationen Ähnliche Problematik bei Fahrzeug-Fahrzeug-Kommunikation über offene Netze 47

46 Fazit: GSM-R und Euroradio GSM-R keine zusätzlichen Sicherheitsfeatures, Angriffsmöglichkeiten bestehen auch in GSM-R Verwendung von EURORADIO: deutliche Erhöhung der Sicherheit, aber GSM-Schwachstellen nur teilweise durch EURORADIO behoben EURORADIO Keine vollständige Authentisierung / Verschlüsselung aller GSM-Nachrichten Eingespielte nicht-konforme Steuerungsnachrichten können trotz EURORADIO den GSM-Stack zum Absturz bringen Verwendete Verfahren und Sicherheitsprotokolle entsprechen nicht dem Stand der Technik 48

47 3.6 Mobilfunk der dritten Generation (3G) Technische Universität München in Europa: UMTS-Standard (ab 1998) basierend auf GSM UMTS = Universal Mobile Telecommunication System Paket-orientiert, all-ip-paradigma hohe Datenrate 2 MBit/s (bis zu 50 m), 144 kbit/s (über 10 km) Audio-, Video-Streaming (Filme etc.), Video-Conferencing, UMTS-Zellstruktur GSM 9,6 kbit/s GPRS 115 kbit/s UMTS 2 MBit/s HSDPA 7,2 MBit/s 49

48 UMTS-Erweiterungen gegenüber GSM: Erweiterte UMTS-Authentifikation und Schlüsselvereinbarung: Heimatnetz authentifiziert sich gegenüber dem Benutzer Wiedereinspielung von Authentifizierungsdaten verhindern: Nutzung von Sequenznummern Vertraulichkeit der Kommunikationsdaten: 128-Bit Kommunikationsschlüssel Integrität der Kontrollsignale: Sichern der Kontrollsignale beim Verbindungsaufbau (MAC) USIM-kontrollierte Nutzung von Schlüsseln: erneute Authentifikation, falls das Datenaufkommen einen bestimmten Wert übersteigt 50

49 UMTS-Sicherheitsarchitektur RNC USIM (UMTS Subscriber Identity Module) 51

50 3.6.1 UMTS-AKA (Authentication and Key-Agreement) Basis: zwischen dem Authentifizierungs-Zentrum (AuC), der Heimatumgebung des mobilen Benutzers und dessen USIM ist ein geheimer Schlüssel K vereinbart (pre-shared key) und beide Parteien verwenden die Authentifizierungsfunktionen f1, f2, sowie die Schlüsselgenerierungsfunktionen f3, f4 und f5 Bem.: Die genauen Verfahren sind nicht vorgeschrieben, 3GPP hat jedoch Anforderungen festgelegt, z.b. Stark gegen Known-Plaintext und Seiten-Kanal-Angriffe Netzwerk-Provider bestimmt die zu verwendeten Verfahren f1,..., f5 52

51 Authentisierung Verfahren befinden sich auf der USIM und im AuC des Heimnetzes symmetrische Challenge-Response mit Pre-shared Keys Szenario: Einbuchen eines mobilen Teilnehmers bei einem Service-Netzwerk Netzwerk muss sich selbst und den Teilnehmer authentifizieren dazu verwendet UMTS die Authentifizierungs-Vektoren (AV) Liegen dem Netzwerk keine Vektoren für den Teilnehmer vor: Netz sendet Anfrage an das AuC des Heimatnetzes der MS beim Empfang einer solchen Anfrage generiert das AuC eine Menge von n (idr. n = 5) AVs, die AVs werden an das Service-Netzwerk zurück gesendet 53

52 Erzeugen/Zusammensetzung eines AV: Technische Universität München Authentifizierungsvektor AV = RAND XRES CK IK AUTN 54

53 Erzeugen/Zusammensetzung eines AV: Basis: vereinbarter geheimer Schlüssel K: in USIM und Heimatnetz (HE) HE erzeugt n Authentifizierungs-Vektoren (AV) 1. Für jede Verbindung: HE erzeugt neue Sequenznummer SQN und 128 Bit Zufallszahl RAND Berechnung des 64 Bit MAC = f1(k, (SQN RAND AMF)) 2. Berechnung der erwarteten Antwort XRES = f2(k, RAND) 3. Erzeugung des 128 Bit Schlüssels CK = f3(k, RAND) (Communication-Key) 4. Erzeugung des 128 Bit Schlüssels IK = f4(k, RAND) (Integrity-Key) 5. Erzeugung des 48-Bit langen Anonymitätsschlüssels AK = f5(k, RAND) 6. Erstellen des Authentifikationstokens AUTN = (SQN XOR AK) AMF MAC 7. Authentifizierungs-Vektor AV = RAND XRES CK IK AUTN 8. AVs werden an Service-Netzwerk weitergereicht 55

54 Authentisierungsablauf Mobiles Gerät sendet seine IMSI an Netzwerk Netzwerk verwendet AV der MS und sendet RAND, AUTN Die USIM authentifiziert das Netz (den Provider): 1. USIM des Geräts berechnet AK = f5(k, RAND) und extrahiert damit die Sequenznummer SQN aus dem Token AUTN. 2. USIM berechnet MAC = f1(k, (SQN RAND AMF)), Vergleich mit dem in AUTN enthaltenen MAC bei Fehler: senden einer Reject-Nachricht an VLR bzw. SGSN 3. USIM überprüft die Gültigkeit der Sequenznummer SQN, Falls ungültig: Synchronisationsfehler Netzwerk fordert von HE frische Authentifizierungsvektoren an 56

55 3.6.2 Integritätsschutz für Signalisierungsnachrichten f8, f9 (im MS, RNC) zur Verschlüsselung und Integritätsprüfung, verwendet zw. USIM und den Netzwerk-Controllern (RNC) Beide werden u.u. von verschiedenen Service-Netzwerk-Providern verwaltet: mit AKA werden die Verfahren abgestimmt USIM / RNC berechnet Code auf Senderseite, Input (Message, Counter, IK) 128 Bit IK Schlüssel Code wird der Message angehängt Empfänger verifiziert den angehängten Code 57

56 3.6.3 Vertraulichkeit Symmetrische Stromchiffre f8 mit 128-Bit-Schlüssel CK f8 wird auch als UEA (UMTS-Encryption-Algorithm) bezeichnet Verschlüsselung der Funkschnittstelle zwischen MS und RNC Verschlüsselung erfolgt auf MAC- oder RLC- (Radio-Link-Control) Schicht im UMTS-Stack, abhängig vom Übertragungsmodus UEA erzeugt einen Schlüsselstrom in Abhängigkeit von: Verschlüsselungsschlüssel CK, der Übertragungsrichtung, der Träger-ID, und der Framenummer Frames (Daten oder Kontrollframes) werden sequentiell nummeriert die Stromchiffre UEA wird bei jedem MAC- bzw. RLC-Frame re-synchronisiert 58

57 UEA1 ist standardisiert: basiert auf KASUMI (jap. für Nebel) UEA1, befindet sich im MS, (nicht auf der USIM), und im RNC Es handelt sich um eine Feistel-Chiffre mit 8 Durchgängen 64-bit Input, 128-bit Schlüssel, 64-bit Output Die Chiffre ist beweisbar sicher gegen differentielle und lineare Kryptoanalyse UEA2 bzw. UIA2: basiert auf Stromchiffre SNOW UIA2: erzeugt 32-Bit MAC-Wert 59

58 Fazit UMTS-Sicherheit: (1) Verbesserungen gegenüber GSM/GPRS: Übergang von 64-Bit auf 128-Bit-Verschlüsselungsschlüssel Übergang zu wechselseitiger Authentifikation Aber: Nutzer muss Service-Netz vertrauen Hinzunahme von Integritätsüberprüfungen: aber nur für kritische Signalisierungsnachrichten beim Verbindungsaufbau Ziel: Abwehr von Angriffen, die z.b. bei Verbindungsaufbau einen zu schwachen Verschlüsselungsalgorithmus postulieren Erkennen von Wiedereinspielungen von Authentifizierungsdaten Alle Spezifikationen und Evaluationsberichte sind öffentlich zugänglich: no Security by Obscurity, Vertrauensbildung 60

59 (2) Bestehende Sicherheitsprobleme keine Ende-zu-Ende-Sicherheit, Angriffe z.b. Camp on a false BS: Paging-Signale realer Basisstationen nicht empfangbar Hijacking von Anrufen in Netzen mit abgeschalteter Verschlüsselung Austausch der AVs über UMTS-Core-Netz, unsichere IP-Netze! sichere Kanäle notwendig, wechselseitige Authentifikation der Netzbetreiber? Trust! übliche Internet-Attacken gegen Rechner der Betreiber Interoperabilität: Secure Seamless Roaming? GSM/GPRS und UMTS: Sicherheitsdienste sind unterschiedlich! weitere Probleme? Lösungsvorschläge? 61

60 3.7 SAE/LTE SAE: System-Architecture-Evolution Technische Universität München LTE: Long-Term-Evolution: zukunftssicher über alle Technologien Seit 2008 im Rahmen des 3GPP (3rd Generation Partnership Project) entwickelte Standards und Spezifikationen Ziel: Weiterentwicklung von 2G/3G Netzen zu sehr leistungsfähigem All-IP-Netz, hohe Bandbreite Bereitstellung mobiler Breitbanddienste, die Vereinheitlichung unterschiedlicher paket-basierter Dienste, Konvergenz von 3GPP- und Nicht-3GPP-Netzen einheitliches Sicherheitsframework mit einheitlichen Accountingund Billing-Konzepten 62

61 3.7.1 EPS: Evolved Packet-System (1) Zwei Kern-Netze: 2G/3G-Core, wie GSM, GPRS oder UMTS EPC (Evolved Packet-Core), 3GPP Release 8 seit 2008 (2) Nicht-3GPP-Zugang: wie WLAN, WiMAX (3) Weiter entwickeltes Funk-Zugangsnetz: LTE LTE: seit 2004 entwickelt Downlink: ca. 100 MBit/s Uplink: bis zu 50 MBit/s Frequenzspektrum von 1,4 MHz 29 MHz vollständig IP-basiert, Reichweite bis zu 100 km 63

62 EPC und LTE Komponenten enodeb (enb): LTE-Basisstation, Zugang zu Mobilfunknetz, Endpunkt für Verschlüsselung und Integritätsschutz MME: Mobile Management-Entity (entspricht BSC) Steuerung der enodebs Tracking-Area-Update Mobilitäts- und Sicherheitsmanagement HSS: Home-Subscriber-Service Analogon zu HLR/AuC Service-Gateway: Handover, Routing, Accounting Packet-Data-Network-Gateway: IP-Verbindungen, IP-Adressvergabe 64

63 IP-Verbindung IP-Verbindung zwischen Endgerät und PDN-Gateway Verschiedene IP-Verbindungen zu verschiedenen Providern sind zu einem Zeitpunkt möglich 65

64 Konvergenz und Interworking: 3GPP und Nicht-3GPP 66

65 3.7.2 Sicherheitsarchitektur und Sicherheitsdienste SAE/LTE orientiert sich an dem 3GPP Sicherheits- Domänenkonzept (vgl. Vier der fünf Domänen sind unten für SAE/LTE dargestellt (1) Netzzugang durch MS, (2) interne Netzwerkdomäne, (3) Nutzerzugang, (4) Anwendungsebene mit ggf. E2E-Sicherheit Interessant ist der Bereich (1) des LTE-Netzzugangs 67

66 Schlüsselhierarchie 5 Schlüssel für unterschiedliche Aufgaben Verfahren: Verschlüsselung: 128 EEA1 128 EEA2 Integrität: 128 EIA1 128 EIA2 68

67 Netz-Zugang (E-UTRAN Access) wechselseitige Authentisierung von UE und Netz Schutz der Signalisierungsdaten: KNAS int, KNAS enc Schutz der Signalisierungsdaten auf Luftschnittestelle: KRRC int, KRRC enc Schutz der Nutzdaten auf Luftschnittstelle: KUP enc 69

68 EPS-AKA Wechselseitige Authentisierung: UE und MME Basis: HSS und Auc: Berechnung des gemeinsamen Schlüssels K ASME Bem. UMTS Schlüssel CK, IK bleiben im HSS LTE nutzt K ASME 70

69 EAP-AKA: Protokollschritte (1) UE sendet IMSI zu epdg (2) epdg senden IMSI weiter zu AAA (3) AAA stellt AV Anfrage an HSS (4) HSS sendet an AV: XRes, Rand, Autn, Mac an AAA (5) AAA sendet Rand, Autn, Mac an epdg (6) epdg sendet Daten weiter an UE (7) UE prüft MAC und berechnet Res (8) UE sendet Res über epdg an AAA (9) AAA prüft: Res = XRes? 71

70 3.7.3 Sicheres Interworking Ziel: möglichst wenig Delay bei Technologie-Übergängen (a) Zwischen GERAN/UTRAN und E-UTRAN Verwendung des E-UTRAN-Sicherheitskontexts Szenario: UE in LTE eingebucht, K ASME existiert, Wechsel in GERAN und wieder zurück: K ASME ist gecacht und kann wiederverwendet werden Mapping zwischen Sicherheitskontexten: Von GERAN/UTRAN zu LTE: (1) SGSN übertragt CK, IK, zu MME (2) MME berechnet f(ck, IK) = K ASME Von LTE zu GERAN (1) MME berechnet aus K ASME CK, IK, (2) Übertragung von CK, IK an SGMS beim Handover 72

71 (b) Zwischen Nicht-3GPP und E-UTRAN: z.b. Zugriff des UE aus Untrusted WLAN (1) UE aus WLAN zu epdg über IPSEC-Tunnel (2) Authentisierung von UE (USIM) und AAA-Server (mit Zertifikat) PDNGateway 73

72 Fazit: Lessons learned Positiv: bewährte 3G-Konzepte übernommen bzw. adaptiert: Wechselseitige Authentisierung und sicherer Schlüsselaustausch AKA Nutzung von temporären Identitäten, Pre-Shared Secrets in USIM-Chipkarten Aufgabenspezifische Schlüssel, Schlüsselhierarchie, Schlüsselerneuerung: Abwehr maskierter Basisstationen Schlüssellängen: 128 Bit, bereits für 256 Bit vorbereitet Verfahren: Integrität und Verschlüsselung: Snow, AES Integritäts- und Vertraulichkeitsschutz für Signalisierungsdaten: Schutz vor Tracking und Tracing Weiteres? 74

73 Negativ: Das Fehlen von verbindlichen Anforderungen in der Spezifikation zur Absicherung der Nutz-Daten im Kernnetz oder auch beim Austausch von Signalisierungs- und Managementdaten im Kernnetz. Nutz-Daten auf der Luftschnittestelle aus Performanzgründen nach wie vor ohne Integritätsschutz Handover zwischen 2G/3G und E-UTRAN: Abschwächung der Authentisierung Weiteres? 75