CryptoCall OpenPGP Based VoIP System Using Existing Mobile Phone Numbers. Sergej Dechand, Dominik Schürmann

Transkript

1 CryptoCall OpenPGP Based VoIP System Using Existing Mobile Phone Numbers Sergej Dechand, Dominik Schürmann 11. April 2013

2 CryptoCall Ziel Ende-zu-Ende-Sicherheit auf Mobiltelefonen ohne Einschränkung der Usability Bedingungen keine Verwendung von zusätzlicher Infrastruktur So wenig zusätzliche Kosten wie möglich Keine neue Hardware Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 1

3 Ist GSM sicher? GSM in den 1990 entwickelt mit einem Fokus auf Funktionalität Oft wird gar nicht verschlüsselt Keine Authentifizierung der Basisstationen Schwache Verschlüsselung (Security by Obscurity) Angriffe mit handelsüblichen Geräten praktikabel durchführbar 1 Keine Ende-zu-Ende-Sicherheit GSM Sicherheit existiert praktisch nicht 1 K. Nohl et al. Wideband gsm sniffing. In: 27th Chaos Communication Congress, Berlin Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 2

4 Mit UMTS soll alles besser werden Verbesserungen Authentifizierung von Basisstationen eingeführt Stärkere Verschlüsselung (Algorithmus geheim gehalten) Realität Immer noch keine Ende-zu-Ende-Sicherheit Man-in-the-Middle-Angriff (MitM) bei der Authentifizierung Erste Schwächen bei der Verschlüsselung entdeckt Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 3

5 Voice over IP Alternativen Durch die Verbreitung des Internets entstand VoIP Anbieter wie Skype, Google Talk und andere sind frei verfügbar Aber Datenweitergabe bekannt geworden Closed Source Oft wird der gesamte Traffic durch die Server geleitet Braucht zusätzliche Infrastruktur Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 4

6 SIP(S)/SRTP Session Initiation Protocol Signaling-Protokoll mit Verwendung von TLS X.509 Zertifikate garantieren nur die Sicherheit von Knoten zu Knoten Secure Real Time Protocol Master Key Austausch auf der Signaling-Schicht Integrität durch HMAC-SHA1 Hashing Verschlüsselung durch AES (128 Bit Key, 112 Bit Session Salt) mit Segmented Integer Counter Mode Key Derivation für Master Key und Salts Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 5

7 SRTP Key Derivation i Key Exchange k m s m Key Derivation Function k e k a k s k m s m Diffie-Hellman-Schlüssel Salt i Paketnummer k e k a k s Verschlüsselung Authentifizierung Salt (Teil des IV) Nachteil Obwohl die Verschlüsselung als sicher gilt, ist eine Ende-zu-Ende-Sicherheit nicht garantiert, da Schlüsselaustausch auf der Signaling-Ebene passiert Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 6

8 ZRTP Idee Schlüsselaustausch für SRTP was eine MitM Attacke erkennbar macht (ZRTP, Z für Phil Zimmermann) Verwendet den klassischen Diffie-Hellman-Schlüsselaustausch Man kann die Diffie-Hellman-Werte hashen und den Hash im Gespräch vergleichen Kein vorheriger Schlüsselaustausch notwendig da wir die Stimme bereits kennen Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 7

9 A r = Hello rand h B B y B = g x B mod p h B = H(y B r) B A A y A = g x A mod p Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 8

10 A r = Hello rand B y B = g x B mod p h B = H(y B r) h B B A y A = g x A mod p A y A y B s = y x B A mod p B B A s = y x A B mod p SAS = h(h B y A y B ) SAS = h(h b y A y B ) A B Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 8

11 A r = Hello rand B y B = g x B mod p h B = H(y B r) h B B A y A = g x A mod p A y A y B s = y x B A mod p B B A s = y x A B mod p SAS = h(h B y A y B ) SAS = h(h b y A y B ) A SAS verbal vergleichen B Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 8

12 ZRTP - Nachteile Stimmen klingen bei Telefonaten oft anders Aufnahme der Stimme Stimmenimmitation Benutzer müssen geschult werden und können viel falsch machen Wie soll man die SAS vorlesen? Was tun bei ähnlicher Stimme? Was tun bei schlechter Verbindung? Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 9

13 CryptoCall Ende-zu-Ende-Verbindung Keine zentralen SIP-Server, die als Proxy fungieren Signaling findet direkt statt Ende-zu-Ende-Sicherheit Authentisierung durch OpenPGP-Schlüsselringe Verschlüsselung des Signaling-Protokolls durch TLS Client-/Server-Zertifikate, generiert aus OpenPGP-Schlüsselringen Verschlüsselung der Sprachkommunikation durch SRTP Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 10

14 CryptoCall Usability Keine zusätzliche Account-Registrierung, da OpenPGP Benutzer-IDs aus Telefonnummern generiert werden Neuartige Initialisierung/IP-Discovery über SMS Intuitives User Interface, Komplexität wird vor dem Benutzer versteckt Praktikabler Schlüsselaustausch durch Übertragung der öffentlichen Teile des OpenPGP-Schlüsselrings über Near Field Communication (NFC), QR-Codes Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 11

15 Schlüsselgenerierung Automatisierte Generierung des OpenPGP-Schlüsselrings mit festen Parametern 2048 bit RSA-Schlüssel, Separate Signatur/Chiffrierschlüssel Optional: ElGamal (Verschlüsselung) DSA (Signatur) Benutzer-ID (genauer ) des Schlüsselrings basiert auf Telefonnummer Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 12

16 Nutzung von Telfonnummern als OpenPGP-Benutzer-ID Naive Idee -Feld der Benutzer-ID für Telefonnummer nutzen und Domainteil für unsere Anwendung fixieren: Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 13

17 Nutzung von Telfonnummern als OpenPGP-Benutzer-ID Naive Idee -Feld der Benutzer-ID für Telefonnummer nutzen und Domainteil für unsere Anwendung fixieren: Problem: Durch das Hochladen des Schlüsselrings veröffentlicht man auch seine eigene Telefonnummer im Internet! Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 13

18 Nutzung von Telfonnummern als OpenPGP-Benutzer-ID Naive Idee -Feld der Benutzer-ID für Telefonnummer nutzen und Domainteil für unsere Anwendung fixieren: Problem: Durch das Hochladen des Schlüsselrings veröffentlicht man auch seine eigene Telefonnummer im Internet! Lösung Verschleierung der Telefonnummer durch ein Passworthashing-Verfahren PBKDF2 (PKCS #5-Standard, verwendet in WPA, WPA2, LUKS) PBKDF2 mit SHA1 und HMAC (Parameter: 1000 Iterationen, 64 bit Salt-Länge, and 256 bit Schlüssellänge) Kein perfekter Schutz gegen Angreifer mit ausreichender Rechenleistung Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 13

19 Verschleierung der Telefonnummer Vorgehen 1. Generiere 64 bit salt unter Nutzung einer Zufallsquelle 2. Hash der Telefonnummer hashednumber = Pbkdf 2(salt, telephonenumber) 3. Lokaler Teil der version + Base64(salt) + Base64(hashedNumber) 4. Domainteil der 5. Ausgabe: 1+ Base64(salt) + Beispiel 1+-XCSR60IhmY+Z_dQJBcXGQOa7m37ApMZ8RbZk8J9alwB69ToEGGz7Mc@cryptocall.org Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 14

20 Schlüsselaustausch Near Field Communication (NFC) Androids Beam-API Man-in-the-Middle-Angriffe auf NFC sind praktisch unmöglich 2 QR-Codes Enkodierung der Informationen als zweidimensionaler Code (Fehlerkorrektur durch Reed-Solomon-Codes) Enthält kompletten OpenPGP-Schlüsselring, der mit einer Smartphonekamera gelesen werden kann 2 Ernst Haselsteiner et al. Security in near field communication (NFC). In: Workshop on RFID Security RFIDSec Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 15

21 Anruf :Alice sipalice:sipstack sipbob:sipstack :Bob startstack() send SMS accept() Direkter Verbindungsaufbau: Teilnehmer ist selber Server, keine weiteren SIP-Server involviert VoIP make call startstack() Nutzung von SMS um IP, Port basierend auf der Telefonnummer zwischen den Teilnehmern auszutauschen autoacceptcall() OpenPGP-Schlüsselring wird anhand der Telefonnummer herausgesucht close call Erst nach dem Empfang der SMS und dem Annehmen des Anrufs wird der SIP-Stack genutzt Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 16

22 Konvertierung von OpenPGP-Schlüsselringen Problem TLS unterstützt keine OpenPGP-Schlüsselringe 3 D. Cooper et al. Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. RFC 5280 (Proposed Standard). Updated by RFC Internet Engineering Task Force, May url: Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 17

23 Konvertierung von OpenPGP-Schlüsselringen Problem TLS unterstützt keine OpenPGP-Schlüsselringe Konvertierung von OpenPGP-Schlüsselringen zu X.509-Zertifikaten 1. Der öffentliche und private Teil des Signaturschlüssels werden aus dem OpenPGP-Schlüsselring extrahiert 2. Ein X.509-Zertifikat wird generiert wobei der öffentliche Schlüssel vom privaten signiert wird. 3. Die Gültigkeit der Zertifikate wird basierend dem OpenPGP-Schlüsselring gesetzt 3. Unsere Konvertierung unterstützt DSA und RSA OpenPGP-Schlüssel, wobei SHA-1 als Signaturverfahren genutzt wird 3 Cooper et al., Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 17

24 Verifikation der Zertifikate Verifikation der generierten TLS-Zertifikaten 1. Öffentliche Teile der OpenPGP-Schlüsselringe der Teilnehmer wurden a priori über einen sicheren Kanal (z. B. NFC) ausgetauscht 2. Die rohen RSA/DSA Parameter werden aus dem Schlüsselring extrahieren RSA: Modulus N DSA: öffentlicher Teil y (y = g x mod p) 3. Bei der Initialisierung des TLS-Handshake: Parameter werden mit den erwarteten Werten im Zertifikat des Teilnehmers verglichen, Zertifikatssignatur wird verifiziert (selbstsigniert) Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 18

25 Angriffszenario: Man-in-the-Middle Sicherheit der Kommunikation Authentifizierung der OpenPGP-Schlüsselringe direkt zwischen zwei Personen Übertragung dieser Authentifizierung auf TLS durch Client-/Serverzertifikate und Verifikation dieser durch den jeweils anderen Ende-zu-Ende TLS-Verbindung SRTP-Session-Schlüssel wird (mit Diffie-Hellman) über TLS ausgehandelt SRTP mit AES im Integer Counter Mode und HMAC-SHA1 (Authenticated Encryption) Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 19

26 Drawbacks: Symmetric NAT NAT: Mehrere Geräte hinter einer IP Mobilfunkprovider setzen Symmetric NAT ( = Firewall) ein NAT traversal fast unmöglich Einziger praktikabler Ausweg: TURN-Server ( = Proxy) Zukünftige Lösung: IPv6 ohne NAT Client NAT Server 1 Server 2 Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 20

27 Zusammenfassung und Ausblick Contribution IP-Discovery über SMS MitM-sicher durch Verwendung von OpenPGP Authentifizierung in TLS Leichter Schlüsselaustausch durch NFC und QR-Codes Praktisch sicherer als ZRTP-Produkte Ausblick In Mobilfunknetzen nur bedingt nutzbar, da Symmetric NAT verwendet wird OpenPGP mit Fallback zu ZRTP durch Fork von Redphone Web-Of-Trust Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 21

28 Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 22

29 Audio-Codec Attacken auf Codecs mit variabler Bitrate (VBR) VBR erlaubt Änderungen der Bitrate pro Timeframe VBR kann unabhängig von der Verschlüsselung aktiviert werden und teilt Audiostream in verschieden lange Pakete auf Korrelation zwischen gesprochenen Phrasen und Paketlängen Rekonstruktion von dieser Phrasen mit einer Genauigkeit von bis zu 90 % 4 Überlegungen dazu auch im RFC Charles V. Wright et al. Uncovering Spoken Phrases in Encrypted Voice over IP Conversations. In: ACM Trans. Inf. Syst. Secur (Dec. 2010), 35:1 35:30. 5 C. Perkins et al. Guidelines for the Use of Variable Bit Rate Audio with Secure RTP. RFC 6562 (Proposed Standard). Internet Engineering Task Force, Mar url: Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 23

30 OpenPGP s Web-of-Trust Authentifizierung ohne vorheriges Treffen Key-Signing-Parties Vertrauensverhältnis festlegen Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 24

31 Angriffszenarien: SMS Flooding Angriffsidee Angreifer fälscht durch geeignetes GSM-Equipment den Absender einer SMS (IP, Port) um andere Person zu imitieren Was passiert? CryptoCall empfängt die SMS und lässt das Telefon klingeln Bei der Annahme wird der OpenPGP-Schlüsselring zur Telefonnummer herausgesucht Der TLS-Handshake schlägt fehl, weil die Signatur des Zertifikats nicht zum Schlüsselring passt Sergej Dechand, Dominik Schürmann CryptoCall - OpenPGP Based VoIP System 25