urze Geschichte Systemsicherheit Teil 6: Prof. Dr. Erstes kommerzielles system: AT&T 1946 in St. Louis 1980er Jhre: Entwicklung mehrerer zueinnder inkomptiler systeme in Europ 1982: Gründung der Groupe Spécile Moile (GSM) durch die CEPT (Conférnce Européenne des Administrtions des Postes et des Télécommunictions) 1987: Unterzeichnung des MoU zum GSM-System 1988: GSM wird ETSI-Stndrd 1992: Offizielle Einführung von GSM-Systemen Quelle: Einführung in GSM. Stefn Egluf Smuel Frempong Hochschule Rpperswil 2 urze Geschichte : Systemüerlick 3 4 : Systemüerlick Um die nfllenden Vermittlungs- und Verwltungsufgen ewältigen zu können wird eine Reihe von Dtennken enötigt. Diese sind meist uf der MSC-Eene ngesiedelt. Dies sind: Home Loction Register (HLR): Hier werden die persönlichen Informtionen des Benutzers wie Telefonnummer freigeschltete Dienste und so weiter gespeichert. Pro GSM-Netz git es nur ein HLR. Visitor Loction Register (VLR). Ds VLR enthält die dynmischen Teilnehmerdten. Es hndelt sich um lokle einem Geiet zugeordnete Dtennken welche opien der HLR-Dtenestände für die Benutzer führen die sich momentn in ihrem Zuständigkeitsereich efinden. Authentiction Center (AuC). Ds AuC enthält die Zugngsdten der einzelnen Benutzer insesondere der persönlichen geheimen SIM- rten-schlüssel die zum Zugng ins netz und nschliessend für die codierte Üertrgung der Gesprächsdten üer ds Netz notwendig sind. Equipment Identity Register (EIR). Im EIR werden die MS spezifischen Dten insesondere eine Liste der IMEI-Nummern geführt. : Systemüerlick Suscrier Identifiction Module (SIM Chipkrte): IMSI (Interntionl Moile Suscrier Identity) Authentifizierungslgorithmus A3 Schlüsselerzeugungslgorithmus A8 Schlüssel i PIN PU Moile Sttion (Hndy): IMEI (Interntionl Moile Equipment Identity) Verschlüsselungslgorithmus A5 (stndrdisiert) Stromchiffre Initilisierung mit c und FN (TDMA Frme Numer) 5 6
: GSM-Sicherheit i i c A5(c Gespräch) A3 A8 A5 A3 A8 c A5 Vergleich i : Weitere Sicherheitsmechnismen Schutz der Teilnehmeridentität IMEI soll nicht im lrtext üertrgen werden VLR weist der MS eine TMSI (Temporry Moile Suscrier Identity) zu und teilt die Zuordnung dem HLR mit Roming Authentifizierung im fremden Netz durch vorproduzierte Triplets ( c ) 7 8 : Sicherheitsproleme IMSI-Ctcher Zugriffsmöglichkeit uf gespeicherte Bewegungsdten Schlechte Vrinten von A3/A8 A5 musste 1991 exportierr sein! Bedrfsträger dürfen hören : UMTS-Sicherheit Die ewährten Sicherheitsfetures von GSM sollen eiehlten werden und die Rückwärtskomptiilität so groß wie möglich sein. Beiehlten werden lso: Die Vertrulichkeit der Identität eines Teilnehmers (keine Erstellung von Bewegungsprofilen). Die Authentisierung des unden gegenüer dem Netzwerk. Die Verschlüsselung der Luftschnittstelle. Die Verwendung einer SIM ls vom Hndy unhängiges Sicherheitsmodul (jetzt USIM gennnt). Die Authentisierungsmöglichkeit eines unden gegenüer der SIM (Einge eines Psswortes ls Schutz gegen Diesthl). Für den unden trnsprente Sicherheitsmechnismen (ußer der PIN-Einge). Eine Authentiktion uch in fremden Netzwerken ( Serving Network im Gegenstz zum Home Environment ). Die Möglichkeit dss jeder UMTS-Betreier eigene Authentisierungs-verfhren einsetzt. 9 10 : UMTS-Sicherheit : UMTS-Sicherheit Die Sicherheitsrchitektur soll neue Gegeenheiten erücksichtigen und die drus resultierenden eknnten Schwächen von GSM eheen er uch neue Sicherheitsfetures nieten. Ds sind: Authentisierung des Home Environment (HE) gegenüer der USIM. Ein Sequenznummermngement um die Wiederverwendung von lten Authentisierungsdten zu eschränken. Üertrgung eines Authenticted Mngement Field (AMF) dmit der Betreier die USIM üer einen sicheren nl steuern knn. Einführung eines Integritätsschlüssels um Steuerefehle uthentisieren zu können. Einführung von Sicherheitsfunktionlitäten für den Signlisierungsverkehr im Festnetz (so gennnte Core Network Signlling Security) so dss z.b. die esonders sensitiven Authentisierungsdten der Teilnehmer verschlüsselt zwischen den Netzetreiern usgetuscht werden; dieses Feture ist jedoch z. Zt. nur optionl Serving Network USIM Hndy Bse Rdio SN- Sttion Network Server Controlle r Vertrulichkeit durch f8 C() Integrität durch f9 I () Authentiktion USIM Authentiktion Netzwerk Home Environment HE- Server 11 12
: UMTS-Sicherheit Die Sicherheitsrchitektur von 3GPP erweitert ds Chllenge-nd- Response-Protokoll von GSM um einen MAC mit dem sich ds Home Environment gegenüer der USIM uthentisiert eine Sequenznummer SQN die die Frische der Protokolldten grntiert ds USIM-Steuerfeld AMF und einen Integritätsschlüssel I. : UMTS-Sicherheit USIM SN HE MAC = f1 (SQN AMF) XRES = f2 () C = f3 () I = f4 () A = f5 () AUTN = (SQN A) AMF MAC XRES C I AUTN AUTN A = f5 () SQN = (SQN A) A) X MAC = f1 (SQN AMF) XMAC = MAC? SQN Oky? RES = f2 () C = f3 () RES I = f4 () RES = XRES? Verschlüsselung mit C Authentiktion mit I 13 14 : UMTS-Sicherheit : UMTS-Sicherheit 15 16 : UMTS-Sicherheit M. Burrows M. Adi nd R. M. Needhm Authentiction: A Prcticl Study in Belief nd Action. Proc. 2nd Conf. on Theoreticl Aspects of Resoning out nowledge M. Vrdi (Ed.) 1987 pp 325-342. Hlutomtische (Computer-unterstützte) Verifiktion der orrektheit von Protokollen Aufdeckung von Protokolllücken in den 1990ern große Forschungsktivitäten unterstützt von Gus Simmons (komplettes J. Cryptology 7 zu diesem Them Artikel in Comm. ACM) Ziele: Vollutomtische Untersuchung von Protokollen ähnlich den sttistischen Anlysen von Verschlüsselungslgorithmen Beweis der Sicherheit eines Protokolls Anzhl der Google-Treffer zu BAN logic : 174.000 17 18
Formlismus sierend uf mthemtische (Modl-)Logik Principls (hndelnde Teilnehmer): A B S P Q R Schlüssel s s symmetrische Schlüssel öffentlicher Schlüssel -1 privter Schlüssel Nonces (Zufllszhlen Timestmps): N N N c Sttements: X Y oder zusmmengesetzte Sttements Einzige verwendete logische Verknüpfung: AND Spezielle onstrukte: P X (P elieves X): Ziel ist es solche Sttements zu eweisen. Wenn diese Aussge gilt dnn ist P ereit so zu hndeln ls o X whr wäre. P X (P sees X): P ht X empfngen P knn X lesen (ggf. nch Entschlüsselung) und P knn X weiterverwenden. Spezielle onstrukte: P X (P once sid X): X stmmt von P es ist er nicht klr o es sich um eine ktuelle Nchricht (Gegenwrt) oder einen Reply-Angriff hndelt. P X (P hs jurisdiction over X): P knn in Allem ws X etrifft vertrut werden d P die ontrolle üer X ht (z.b. knn X ein von P signierter Dtenstz sein). #(X) (fresh X): X wurde im ktuellen Protokollluf (Gegenwrt) erzeugt ist lso kein Reply-Angriff P Q (P nd Q shre secret key ): ist nur P und Q eknnt. P (P hs pulic key ) {X} (X is encrypted under ey ) 19 20 Logische Aleitungsregeln: Messge Mening Rule: P ( Q P) P < { X} P ( Q ~ X ) Nonce-verifiction Rule: X ) P ( Q ~ X ) P ( Q X ) Logische Aleitungsregeln: Zerlegung und Zusmmensetzen von Nchrichten: P ( X Y ) P [ Q ( X Y )] P X P Y P ( Q ~ ( X Y )) P X P [ Q X ] P ( X Y ) P ( Q ~ X ) Sichtrkeit von Teilen einer Formel: P < ( X Y ) P ( Q P) P < { X} P < X P < X Jurisdiction Rule: P ( Q X ) P ( Q X ) P X Freshness Rule: X ) X Y ) 21 22 Ds Needhm-Schroeder-Protokoll S Nchricht 1: A S Ds Needhm-Schroeder-Protokoll Needhm Schroeder A B N IdelisiertesProtokoll N 1: A B N A 2: {N A B { A} s } s 2: S A { N B { A} } s s { N ( A B)#( A B){ A B} } s s 3 : A B { A} s { A B} s A 3: { A} s 4: {N B } B 4 :B A { N } { N ( A B)} signed B 5: {N B 1} 5 : A B { N 1} { N ( A B)} signed A 23 24
Ds Needhm-Schroeder-Protokoll Idelisierung des Needhm-Schroeder-Protokolls: Wegfll der lrtext-adressen A und B In den Nchrichten 2 4 und 5 wird ds Protokoll um Sttements zum Schlüssel ergänzt. In Nchricht 2 grntiert der Server dss der Schlüssel frisch ist In Nchricht 4 und 5 teilen A und B der jeweils nderen Prtei mit dss sie gluen dss ein guter Schlüssel für eide ist. Wenn sie dies nicht gluen würden hätten sie die Nchrichten nie gesendet. Ds signed A in Nchricht 5 eruht druf dss A den Wert N -1 verschlüsselt ht. Ds signed B in Nchricht 4 sehe ich kritisch. Hier muss der Stz Ech encrypted messge contins sufficient redundncy to e recognized s such nd to e decrypted unmigiously. emüht werden. 25