Sicherheit mobiler Systeme

Ähnliche Dokumente
Sicherheitsfunktionen in GSM-Mobilfunknetzen

GSM: Global System for Mobile Communications

Seminar Mobile Systems

GSM spezifische Abläufe

IT-Sicherheit. Jun.-Prof. Dr. Gábor Erdélyi. Siegen, 26. Januar 2016 WS 2015/2016

Sicherheit mobiler Kommunikation

GSM spezifische Abläufe. Kanalstrukturen auf der Funkschnittstelle Signalisierungsabläufe

Netzsicherheit Teil 1 - Mobilfunk Prof. Dr. Jörg Schwenk

Mobility Management in Wireless Networks

Fakultät Informatik, Proseminar Technische Informationssysteme Sind Handyverbindungen abhörsicher?

Handshake von SIM und GSM Basisstation

Teil 3: Mobilfunk. Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit

Jacek Biala. Mobilfunk und Intelligente Netze. Grundlagen und Realisierung mobiler Kommunikation. 3vieweg

GSM Systemstruktur. Grundlagen des Zellularfunks Systemarchitektur Funktionsprinzip

Sicherheit in der Mobilkommunikation. Sicherheit in der Mobilkommunikation

Kodierung. Ziele. Spielarten des GSM. Luftschnittstelle Macht die Nordic PPT der CEPT einen Vorschlag kompatiblilität mit ISDN roaming

Moderne Kryptosysteme

Aspekte zur Aufklärung von Mobilfunksystemen der 2. und 3. Generation. H.P. Stuch. Fraunhofer FKIE

IT-Sicherheit. Jun.-Prof. Dr. Gábor Erdélyi. Siegen, 24. Januar 2018 WS 2017/2018

IT Sicherheit für Daten und Sprache in mobiler Vernetzung am Beispiel TopSec GSM

GSM. Global System for Mobile Communication. André Grüneberg Friedemar Blohm 15. Oktober 2002

GSM Protokoll für Mobiltelefone

GSM für die Lehre Basisstation, IMSI-Catcher und Monitordevices aus Standardkomponenten selbst gebaut

Sicherheit in der Mobilkommunikation

Kryptographie in Mobilfunknetzen

Mobilkommunikationsnetze - GSM/UTMS/LTE -

Technik der digitalen Netze Teil 2 - Mobilität.

Der wesentliche Unterschied eines Mobilfunknetzes zum Festnetz besteht darin, daß seine Endgeräte mobil sind.

GSM. Grundlagen zu GSM. Gerhard, Dimi, Marc. Hochschule für Technik und Wirtschaft Aalen, ACC Akut. 7. April 2013

Grundkurs Mobile Kommunikationssysteme

Grundkurs Mobile Kornrnuni kationssysterne

GSM Global System for Mobile

Mobilfunksysteme: GSM/SMS/EDGE/MMS

Nach Hause telefonieren

Gunnar Heine. GSM- Signalisierung. verstehen und praktisch anwenden. Grundlagen, Meßtechnik, Meßbeispiele. Mit 250 Abbildungen 2., verbesserte Auflage

Entstehung und Historie von GSM

Einleitung Grundlagen GSM Versuchsnetz Implementierung Zusammenfassung. Studienarbeit

Die GSM-Dm-Kanäle im Dialog 7 Einstieg in die Mobilfunk-Signalisierung

Überblick über Mobilfunk-Standards. Roland Pfeiffer 5. Vorlesung

Perspektiven der Sicherheit kryptographischer Verfahren gegen starke Angreifer

Kommunikationssysteme Teil Mobilkommunikation

EP A2 (19) (11) EP A2 (12) EUROPÄISCHE PATENTANMELDUNG. (43) Veröffentlichungstag: Patentblatt 2000/37

SIM-Karten 1.0 Inhaltsverzeichnis 1.0 Inhaltsverzeichnis 2.0 Einleitung 3.0 Die SIM im GSM-Netz

Mobilfunknetze nach dem GSM- Standard

Mobile Netzwerkapplikationen

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

Mobilkommunikationsnetze - GSM/UMTS -

UMTS - Ein Kurs. Universal Mobile Telecommunications System

Grundkurs Mobile Kommunikationssysteme

Security Architektur (TS )

Mobilkommunikationsnetze - GSM/UMTS -

Schnittstellen und Protokolle. Bitübertragung/Codierung LAPD m Verbindungssteuerung Zeichengabe

Sicherheitsanforderungen in naher Zukunft

Arbeitstitel: Universität Koblenz Arbeitsgruppe Steigner. Prof. Dr. Christoph Steigner, Frank Bohdanowicz

Inhalt. 6 Verkehrsarten Duplex oder Halb-Duplex Aufgaben des BOS-Funks 11

Datenübertragung in Mobilnetzen HSCSD, GPRS, EDGE, HSDPA

IPsec. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Sicherheit bei Mobiltelefonen

3 GSM - Global System for Mobile Communications

Hannes Federrath. Sicherheit mobiler Kommunikation

UMTS. Referat 7 Seiten INHALT. 1 Aufgabenstellung Beurteilungskriterien...2

RRC Connection Management Procedures (TS , S. 57 ff)

KEY AGREEMENT IN DYNAMIC PEER GROUPS

Privatheit in Location Based Services

Masterarbeit OCRA Challenge/Response - Framework. Sideris Minovgioudis

Mobilitätsmanagement in GSM, GPRS und UMTS

Adaption eines Conditional Access Systems für Eureka 147 DAB

Einführung in HSDPA und HSUPA

>Schwachstelle Schnittstelle Angriffspunkt für Datenspione?

Drahtlose Kommunikation Teil 3. Dipl.-Inf. J. Richling Wintersemester 2003/2004

Grundlagen WLAN. René Pfeiffer 18. Juni CaT. René Pfeiffer (CaT) Grundlagen WLAN 18.

Löschen im Internet. Erhebliche Diskrepanz zwischen Erwartung und Realität

Open Source GSM BTS Setup und Analyse für Demo-Zwecke

Geschichte des Mobilfunks, GSM- Netzwerkarchitektur, Technik und Prozeduren

Klassifikation der Systeme zur drahtlosen Kommunikation

GSM - Referat. Praktikumsgruppe 10 Andreas Falter,

Drahtlose Netze. Veranstaltung. Sicherheit in Rechnernetzen

Einleitung UMTS Grundlagen UMTS Sicherheitsarchitektur. UMTS-Sicherheit. Manuel Leupold / Christian Polt. 30. Mai 2011

FACHHOCHSCHULE WEDEL SEMINARARBEIT

Proseminar Schlüsselaustausch (Diffie - Hellman)

Vorlesung Implications of Digital Life and Business (SS 2015)

GSM spezifische Abläufe

Systemsicherheit 4: Wireless LAN

14 Sicherheitsaspekte der Mobilkommunikation

Mobile Commerce. Sicherheit, Anwendungen und Perspektiven Dr. Bernd Dusemund Institut für Telematik

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung

Sicherheit in mobilen Netzen. Vaida Klimmek 14. Dezember 2004

Mobilkommunikation ohne Spuren

2.4 Hash-Prüfsummen Hash-Funktion message digest Fingerprint kollisionsfrei Einweg-Funktion

Kryptographische Protokolle

Mobilkommunikation. Vortrag zur Vorlesung Kommunikationsnetze für Medientechnologie

Mobilkommunikationsnetze - GSM/UMTS -

MT-SM Mobile Terminated Short Message

GSM Global System for Mobile communications

Open Source IMSI-Catcher

Grundlagen der entfernten Authentifizierung und Autorisierung: Kerberos

Das Internet vergisst nicht

Transkript:

Sicherheit mobiler Systeme Hannes Federrath Universität Regensburg http://www-sec.uni-regensburg.de 1

Mobilkommunikation Einführung Unterschiede Festnetz- und Mobilkommunikation Teilnehmer bewegen sich Bandbreite auf der Luftschnittstelle knapp Luftschnittstelle störanfälliger als Leitungen des festen Netzes: zeitweilige Diskonnektivität Luftschnittstelle bietet neue Angriffsmöglichkeiten: erleichterte Abhörmöglichkeit Peilbarkeit 3

Mobilkommunikation am Beispiel GSM Ursprünglich: Groupe Spéciale Mobilé der ETSI Sicherheitsfunktionen des Global System for Mobile Communication Zugangskontrolldienste (PIN, Chipkarte) Authentikations- und Identifikationsdienste Unterstützung von temporären Identifizierungsdaten (Pseudonymen) Abhörsicherheit für Outsider auf der Funkschnittstelle priorisierter Notrufdienst 4

Struktur von GSM Logischer Netzaufbau HLR AuC EIR MSC VLR MSC VLR MSC BSC VLR MS HLR: Home Location Register AuC: Authentication Center EIR: Equipment Identity Register MSC: Mobile Switching Center VLR: Visitor Location Register BSC: Base Station Controller BTS: Base Transceiver Station MS : Mobile Station LA : Location Area BTS LA 5

Location Management im GSM Grundprinzip verteilte Speicherung Verteilte Speicherung über Register Home Location Register und Visitor Location Register Netzbetreiber hat stets globale Sicht auf Daten Bewegungsprofile sind erstellbar incoming call: A HLR Adresse des VLR: A VLR VLR Adresse des LA: LAI BTS besuchtes LA MS B MSISDN enthält Nummer des HLR weit entfernt vom LA Datenbankabfrage Datenbankabfrage Rufs ins LA Vermittlung des in der Nähe des LA Broadcast im LA 6

Sicherheitsrelevante Funktionen des GSM Überblick Subscriber Identity Module (SIM, Chipkarte) Zugangskontrolle und Kryptoalgorithmen einseitige Authentikation (Mobilstation vor Netz) Challenge-Response-Verfahren (Kryptoalgorithmus: A3) Pseudonymisierung der Teilnehmer auf der Funkschnittstelle Temporary Mobile Subscriber Identity (TMSI) Verbindungsverschlüsselung auf der Funkschnittstelle Schlüsselgenerierung: A8 Verschlüsselung: A5 7

Subscriber Identity Module (SIM) Spezielle Chipkarte mit Rechenkapazität Gespeicherte Daten: IMSI (interne Teilnehmerkennung) teilnehmerspezifischer symmetrischer Schlüssel Ki (Shared Secret Key) PIN (Personal Identification Number) für Zugangskontrolle TMSI LAI Krypto-Algorithmen: Algorithmus A3 für Challenge-Response-Authentikationsverfahren Algorithmus A8 zur Generierung von Kc (Session Key) 8

Sicherheitsrelevante Funktionen des GSM Überblick Subscriber Identity Module (SIM, Chipkarte) Zugangskontrolle und Kryptoalgorithmen einseitige Authentikation (Mobilstation vor Netz) Challenge-Response-Verfahren (Kryptoalgorithmus: A3) Pseudonymisierung der Teilnehmer auf der Funkschnittstelle Temporary Mobile Subscriber Identity (TMSI) Verbindungsverschlüsselung auf der Funkschnittstelle Schlüsselgenerierung: A8 Verschlüsselung: A5 9

Challenge-Response-Authentikation Wann vom Netz initiiert? Aufenthaltsregistrierung (Location Registration) Aufenthaltswechsel (Location Update) mit VLR-Wechsel Call Setup (in beiden Richtungen) Kurznachrichtendienst SMS (Short Message Service) Protokoll MS MSC/VLR/AuC max. 128 Bit 128 Bit Random Generator Ki Authentication Request RAND Ki A3 32 Bit A3 Authentication Response SRES = Authentication Result 10

Challenge-Response-Authentikation Algorithmus A3 auf SIM und im AuC untergebracht mit Ki parametrisierte Einwegfunktion nicht (europaweit, weltweit) standardisiert kann vom Netzbetreiber festgelegt werden: Authentikationsparameter werden vom Netzbetreiber an das prüfende (d.h. das besuchte) MSC übermittelt dort lediglich Vergleichsoperation besuchtes MSC muß der Güte von A3 vertrauen Schnittstellen sind standardisiert MS MSC/VLR/AuC max. 128 Bit 128 Bit Random Generator Ki Authentication Request RAND Ki A3 32 Bit A3 Authentication Response SRES = 11 Authentication Result

Sicherheitsrelevante Funktionen des GSM Überblick Subscriber Identity Module (SIM, Chipkarte) Zugangskontrolle und Kryptoalgorithmen einseitige Authentikation (Mobilstation vor Netz) Challenge-Response-Verfahren (Kryptoalgorithmus: A3) Pseudonymisierung der Teilnehmer auf der Funkschnittstelle Temporary Mobile Subscriber Identity (TMSI) Verbindungsverschlüsselung auf der Funkschnittstelle Schlüsselgenerierung: A8 Verschlüsselung: A5 12

Pseudonymisierung auf der Funkschnittstelle TMSI (Temporary Mobile Subscriber Identity) soll Verkettung von MS alte TMSI im SIM (beliebige Nachricht, in der TMSI verwendet wird) LAI old, TMSI old Netz Teilnehmeraktionen verhindern Algorithmus zur Generierung der TMSI legt Netzbetreiber fest bei erster Meldung (oder nach Fehler) wird IMSI aus SIM Identity Request Identity Response IMSI Authentikation VLR: keine Zuordnung TMSI IMSI möglich IMSI übertragen VLR: Neuvergabe TMSI Neuvergabe einer TMSI bei unbekannter alter Speicherung TMSI new TMSI Identity Request... kann jederzeit von Netz gesendet werden Kc A5 TMSI Reallocation Command cipher(tmsi new) BSC: Chiffr. A5 13

Pseudonymisierung auf der Funkschnittstelle TMSI (Temporary Mobile Subscriber Identity) soll Verkettung von Teilnehmeraktionen verhindern Algorithmus zur Generierung der TMSI legt Netzbetreiber fest bei erster Meldung (oder nach Fehler) wird IMSI übertragen MS alte TMSI im SIM Kc (beliebige Nachricht, in der TMSI verwendet wird) LAI old, TMSI old Authentikation TMSI Reallocation Command cipher(tmsi new) Netz VLR: Zuordnung TMSI IMSI VLR: Neuvergabe TMSI Speicherung TMSI new BSC: Chiffr. A5 A5 Speicherung TMSI new TMSI Reallocation Complete Löschung TMSI old neue TMSI im SIM 14

Sicherheitsrelevante Funktionen des GSM Überblick Subscriber Identity Module (SIM, Chipkarte) Zugangskontrolle und Kryptoalgorithmen einseitige Authentikation (Mobilstation vor Netz) Challenge-Response-Verfahren (Kryptoalgorithmus: A3) Pseudonymisierung der Teilnehmer auf der Funkschnittstelle Temporary Mobile Subscriber Identity (TMSI) Verbindungsverschlüsselung auf der Funkschnittstelle Schlüsselgenerierung: A8 Verschlüsselung: A5 15

Verschlüsselung auf der Funkschnittstelle Schlüsselgenerierung: Algorithmus A8 auf SIM und im AuC untergebracht mit Ki parametrisierte Einwegfunktion nicht (europaweit, weltweit) standardisiert kann vom Netzbetreiber festgelegt werden Schnittstellen sind standardisiert Kombination A3/A8 bekannt als COMP128 MS Netz max. 128 Bit 128 Bit Random Generator Ki (Authentication Request) RAND Ki A8 A8 64 Bit Kc in SIM gespeichert in MS benutzt Kc in HLR gespeichert in BSC benutzt 16

Verschlüsselung auf der Funkschnittstelle Datenverschlüsselung: Algorithmus A5 in der Mobilstation (nicht im SIM!) untergebracht europa- bzw. weltweit standardisiert schwächerer Algorithmus A5* oder A5/2 für bestimmte Staaten MS Netz Kc TDMA- Rahmennummer Ciphering Mode Command (Verschlüsselungsmodus) TDMA- Rahmennummer 22 Bit Kc 64 Bit A5 A5 114 Bit Schlüsselblock Schlüsseltext Klartextblock (Ciphering Mode Complete) Verbindungsverschlüsselung Klartextblock 17

Verschlüsselung auf der Funkschnittstelle Ciphering Mode Command (GSM 04.08) Informationselement Länge in Bit Protocol discriminator Transaction discriminator 16 Message type Ciphering mode setting 8 Cipher mode setting information element 8 7 6 5 4 3 2 1 1 0 0 1 0 0 0 SC=0 No chiphering Ciph mode set IEI Spare Spare Spare SC=1 Start ciphering 18

Zusammenspiel der Sicherheitsfunktionen MS Ki, IMSI, TMSI Location Updating Request TMSI old, LAI old Netz RAND, SRES, Kc, IMSI, TMSI Ki Kc A3 + A8 Kc Authentication Request RAND Authentication Response SRES Ciphering Mode Command SRES = A5 Ciphering Mode Complete A5 A5 TMSI Reallocation Command A5 A5 Location Updating Accept A5 A5 TMSI Reallocation Complete A5 19

Angriffe Kritik kryptographische Mechanismen geheim, also nicht «wohluntersucht» Folge: Schwächen nicht auszuschließen Angriff: SIM-Cloning symmetrisches Verfahren Folge: Speicherung nutzerspezifischer geheimer Schlüssel beim Netzbetreiber erforderlich Angriff: «Abfangen» von Authentication Triplets keine gegenseitige Authentikation vorgesehen Folge: Angreifer kann ein GSM-Netz vortäuschen Angriff: IMSI-Catcher 20

«SIM-Cloning» Angriffsziel Telefonieren auf Kosten anderer Teilnehmer beschrieben von Marc Briceno (Smart Card Developers Association), Ian Goldberg und Dave Wagner (beide University of California in Berkeley) http://www.isaac.cs.berkeley.edu/isaac/gsm.html Angriff bezieht sich auf Schwäche des Algorithmus COMP128, der A3/A8 implementiert SIM-Karte (incl. PIN) muß sich in zeitweiligem Besitz des Angreifers befinden Aufwand ca. 150.000 Berechnungsschritte, um Ki (max. 128 Bit) zu ermitteln derzeit ca. 8-12 Stunden 21

Angriffe Kritik kryptographische Mechanismen geheim, also nicht «wohluntersucht» Folge: Schwächen nicht auszuschließen Angriff: SIM-Cloning symmetrisches Verfahren Folge: Speicherung nutzerspezifischer geheimer Schlüssel beim Netzbetreiber erforderlich Angriff: «Abfangen» von Authentication Triplets keine gegenseitige Authentikation vorgesehen Folge: Angreifer kann ein GSM-Netz vortäuschen Angriff: IMSI-Catcher 22

«Abfangen» von Authentication Sets Angriffsziel Telefonieren auf Kosten anderer Teilnehmer beschrieben von Ross Anderson (Universität Cambridge) Abhören der unverschlüsselten netzinternen Kommunikation bei Anforderung der Authentication Triples vom AuC durch das besuchte VLR/MSC Angriff beruht auf folgender «Schwäche» GSM-Standard beschreibt größtenteils Implementierung von Schnittstellen zwischen den Netzkomponenten Verschlüsselung der Authentication Sets bei Übermittlung vom AuC zum VLR/MSC nicht vorgesehen 23

Verschlüsselung auf der Funkschnittstelle Richtfunkstrecke (unverschlüsselt) Mobilstation (verschlüsselt) BTS Gateway-MSC HLR/ VLR Mobilstation (verschlüsselt) BTS 24

«Abfangen» von Authentication Sets 25

Angriffe Kritik kryptographische Mechanismen geheim, also nicht «wohluntersucht» Folge: Schwächen nicht auszuschließen Angriff: SIM-Cloning symmetrisches Verfahren Folge: Speicherung nutzerspezifischer geheimer Schlüssel beim Netzbetreiber erforderlich Angriff: «Abfangen» von Authentication Triplets keine gegenseitige Authentikation vorgesehen Folge: Angreifer kann ein GSM-Netz vortäuschen Angriff: IMSI-Catcher 26

IMSI-Catcher Angriffsziele Welche Teilnehmer halten sich in der Funkzelle auf? Gespräche mithören Man-in-the-middle attack (Maskerade) Abwehr: Gegenseitige Authentikation: MS Netz und Netz MS 27

IMSI-Catcher Angriffsziele Welche Teilnehmer halten sich in der Funkzelle auf? Gespräche mithören Man-in-the-middle attack (Maskerade) Abwehr: Gegenseitige Authentikation: MS Netz und Netz MS Quelle: Verfassungsschutz, http://www.datenschutz-und-datensicherheit.de/jhrg26/imsicatcher-fox-2002.pdf 28

Zusammenfassung Datenschutzdefizite (Auswahl) geheimgehaltene symmetrische Kryptoverfahren schwacher Schutz des Ortes gegen Outsider kein Schutz gegen Insiderangriffe (Inhalte, Aufenthaltsorte) keine Ende-zu-Ende-Dienste (Authentikation, Verschlüsselung) Vertrauen des Nutzers in korrekte Abrechnung ist nötig keine anonyme Netzbenutzung möglich Fazit: Stets werden externe Angreifer betrachtet. GSM soll lediglich das Sicherheitsniveau existierender Festnetze erreichen. 29

Sicherheit mobiler Systeme Ausblick Konzepte zur anonymen und unbeobachtbaren Kommunikation Bezahlung mobiler Dienstleistungen Sicherheit von Location-Based Services http://www-sec.uni-regensburg.de Intelligent Network... Access Network Core Network Anonymous Network 30

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback