1 Sicherheit in der Mobilkommunikation 1 Mobilkommunikation und mehrseitige Sicherheit 1.1 Mobilkommunikation 1.2 Mehrseitige Sicherheit 1.3 Angreifermodell 1.4 Abgeleitete Sicherheitsmaßnahmen 2 Mobilkommunikation am Beispiel GSM 2.1 Allgemeines 2.2 Struktur von GSM 2.3 Datenbanken des GSM 2.4 Sicherheitsrelevante Prozeduren und Funktionen
137
Embed
1 Sicherheit in der Mobilkommunikation 1Mobilkommunikation und mehrseitige Sicherheit 1.1Mobilkommunikation 1.2Mehrseitige Sicherheit 1.3Angreifermodell.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
2 Mobilkommunikation am Beispiel GSM2.1 Allgemeines2.2 Struktur von GSM2.3 Datenbanken des GSM2.4 Sicherheitsrelevante Prozeduren und
Funktionen
2
3 Mobilitäts- und Verbindungsmanagement am Beispiel GSM3.1 Location Management allgemein3.2 Erstellbarkeit von Bewegungsprofilen allgemein3.3 Location Update Prozeduren3.4 Rufaufbau (Call Setup) im GSM3.5 Erstellbarkeit von Bewegungsprofilen im GSM3.6 Bekannte Angriffe auf GSM-Sicherheitsfunktionen3.7 Zusammenfassung der Sicherheitsprobleme
4 Verfahren zum Schutz von Aufenthaltsinformation4.1 Allgemeines4.1 Systematik
Sicherheit in der Mobilkommunikation
3
Sicherheit in der Mobilkommunikation
5 Methoden mit ausschließlichem Vertrauen in die Mobilstation5.1 Vermeidung von Lokalisierungsinformation5.2 Variable implizite Adressen5.3 Methode der Gruppenpseudonyme
6 Methoden mit zusätzlichem Vertrauen in einen eigenen ortsfesten Bereich
6.1 Adreßumsetzungsmethode mit Verkleinerung der Broadcast-Gebiete
6.2 Explizite Speicherung der Lokalisierungsinformation in einer Trusted Fixed Station
6.3 Pseudonymumsetzung in einer vertrauenswürdigen Umgebung mit der Methode der temporären Pseudonyme
6.4 Sicherheitsbetrachtungen
4
7 Methoden mit zusätzlichem Vertrauen in einen fremden ortsfesten Bereich
7.1 Organisatorisches Vertrauen: Vertrauen in eine Trusted Third Party
7.2 Methode der kooperierenden Chips7.3 Mobilkommunikationsmixe
8 Mobilität im Internet8.1 Mobile IP: Prinzip und Sicherheitsfunktionen8.2 Mobile IP und Schutz von Aufenthaltsorten
9 Zusammenfassung
Sicherheit in der Mobilkommunikation
5
Organisatorisches
• Lehrbeauftragter– Dr.-Ing. Hannes Federrath– E-Mail: [email protected]
• Art der Lehrveranstaltung– Wahlpflichtlehrveranstaltung, 2 SWS Vorlesung– Zuordnung zur Vertiefungsrichtung «Technischer Datenschutz»
• Form des Abschlusses:– Mündliche Prüfung oder Schein
6
Mobilkommunikation – Einführung
• Unterschiede Festnetz- und Mobilkommunikation– Teilnehmer bewegen sich– Bandbreite auf der Luftschnittstelle knapp– Luftschnittstelle störanfälliger als Leitungen des festen Netzes:
• zeitweilige Diskonnektivität– Luftschnittstelle bietet neue Angriffsmöglichkeiten:
• Bsp. f. Sicherheitsanforderungen: Cooke, Brewster (1992)– protection of user data– protection of signalling information, incl. location– user authentication, equipment verification– fraud prevention (correct billing)
• Allgemein– Schutz der Vertraulichkeit– Schutz der Integrität– Zurechenbarkeit– Verfügbarkeit
• Mobiles Umfeld kann nicht alsvertrauenswürdig vorausgesetzt werden
11
Vertraulichkeit, Integrität, Zurechenbarkeit, Verfügbarkeit• Schutz der Inhaltsdaten («Worüber?»)
– vor allen Instanzen außer den Kommunikationspartnern!
• Schutz der Verkehrsdaten («Wer mit wem?»)– Möglichkeit zur anonymen und unbeobachtbaren Kommunikation– auch gegenüber dem Netzbetreiber!
• Schutz des Aufenthaltsorts («Wo?»)– Schutzziel: Verhindern der Erstellbarkeit von Bewegungsprofilen
• Schutz vor (Ver)-Fälschung– Inhalte und Absender
• Sende- und Empfangsnachweise– Digitale Signaturen
• Sichere Abrechnungsverfahren– auch gegenüber dem Netzbetreiber!– Anonymität und Unbeobachtbarkeit muß erhalten bleiben!
• Aktive oder passive Rolle des Angreifers– Was kann der Angreifer maximal passiv beobachten?– Was kann der Angreifer maximal aktiv kontrollieren?– Was kann der Angreifer aktiv verändern?Konkret:
• Angreifer außerhalb des Netzes (Outsider): nur passive (abhörend, beobachtend)
• Angreifer innerhalb den Netzes (Insider):passive und aktive (hier: Daten verändernde Angriffe)
• Generell: Insider und Outsider können Verfügbarkeit auf der Funkschnittstelle stören
15
Angreifermodell
• Mächtigkeit des Angreifers– Wieviel Rechenkapazität besitzt der Angreifer?– Wieviel finanzielle Mittel besitzt der Angreifer?– Wieviel Zeit besitzt der Angreifer?– Welche Verbreitung hat der Angreifer? Oder spezieller: Welche
Leitungen, Kanäle, Stationen kann der Angreifer beherrschen?Konkrete Verbreitung
• Endgerät: sicher gegen Manipulation = Vertrauensbereich• Netzkomponenten: sicher gegenüber Outsidern, unsicher gegenüber
Insidern• Funkschnittstelle: Peilbarkeit sendender Funkstationen (Insider und
Outsider)
16
SicherheitsmaßnahmenVertr. Integr. Verf.
Ende-zu-Ende-Sicherung der Inhalte x xzusätzliche Verschlüsselung der Signalisierdaten x x (x)Schutz vor Peil- und Ortbarkeit:Spread Spectrum x xSchutz der Kommunikationsbeziehungen xSchutz des Aufenthaltsortes / DatenschutzgerechteVerwaltung der Aufenthaltsorte
x
Gegenseitige Authentikation der Teilnehmer, aberauch der Netzkomponenten untereinander
(Hersteller)-Unabhängigkeit der Netzkomponenten x xAnonyme Netzbenutzung (Wertkarten) xMehrseitig sichere, ggf. anonyme Abrechnung x x (x)
17
Mobilkommunikation am Beispiel GSM
– Ursprünglich: Groupe Spéciale Mobilé der ETSI
• Leistungsmerkmale des Global System for Mobile Communication– hohe, auch internationale Mobilität– hohe Erreichbarkeit unter einer (international) einheitlichen Rufnummer– hohe Teilnehmerkapazität– recht hohe Übertragungsqualität und -zuverlässigkeit durch effektive
Fehlererkennungs- und -korrekturverfahren– hoher Verfügbarkeitsgrad (Flächendeckung zwischen 60 und 90%)– als Massendienst geeignetes Kommunikationsmedium– flexible Dienstgestaltung
• Dienstevielfalt• Entwicklungsfähigkeit
18
Mobilkommunikation am Beispiel GSM
– Ursprünglich: Groupe Spéciale Mobilé der ETSI
• Leistungsmerkmale des Global System for Mobile Communication– eingebaute Sicherheitsmerkmale
• Zugangskontrolldienste (PIN, Chipkarte)• Authentikations- und Identifikationsdienste• Unterstützung von temporären Identifizierungsdaten (Pseudonymen)• Abhörsicherheit für Outsider auf der Funkschnittstelle
– relativ niedriges Kostenniveau– priorisierter Notrufdienst– Ressourcenökonomie auf der Funkschnittstelle durch FDMA, TDMA,
Sprachkodierung, Warteschlangentechniken, OACSU (Off Air Call Setup)
19
Struktur von GSM
• Architekturkonzept – die Erste
Operation and Mantainance Center
Location Registers
Mobile Switching
Center
Mobile Switching
Center
Base Station
Controller
Base Station
Controller
Base Transceiver
Station
Base Transceiver
Station
...
MS
MS
MS
MS
MS
Base
Station
Subsystem
20
Struktur von GSM
• Logischer Netzaufbau
BTS
MS
LA
MSC
MSC
HLR AuC EIR
VLR
VLR
BSC
MSC VLR
HLR: Home Location RegisterAuC: Authentication CenterEIR: Equipment Identity RegisterMSC: Mobile Switching CenterVLR: Visitor Location RegisterBSC: Base Station ControllerBTS: Base Transceiver StationMS : Mobile StationLA : Location Area
21
Struktur von GSM
• Architekturkonzept – die Zweite
PSTN/ISDN
Network and switching subsystemFixed network
Datanetworks
BTS
BTS
Base stationsubsystem
OMC
(G)MSC BSC
Call ManagementNetwork Management
MS
MS
Operation subsystem
VLR HLR AuC EIR
22
Location Management im GSM
• Grundprinzip verteilte Speicherung– Verteilte Speicherung über Register
• Home Location Register und Visitor Location Register– Netzbetreiber hat stets globale Sicht auf Daten– Bewegungsprofile sind erstellbar
HLR
Datenbank-
abfrage
Vermittlung des
Rufs ins LA
VLR
Adresse
des VLR:
A
Adresse
des LA:
LAI
Datenbank-
abfrage
weit entfernt vom LA in der Nähe des LA
VLR
MSISDN
enthält
Nummer des
HLR
incoming call:
A
Broadcast
im LA
MS
besuchtes LA
BBTS
23
Defizite in existierenden Netzen am Beispiel GSM
• Bsp. f. Sicherheitsanforderungen: Cooke, Brewster (1992)– protection of user data– protection of signalling information, incl. location– user authentication, equipment verification– fraud prevention (correct billing)
• Datenschutzdefizite (Auswahl)– geheimgehaltene symmetrische Kryptoverfahren– schwacher Schutz des Ortes gegen Outsider– kein Schutz gegen Insiderangriffe (Inhalte, Aufenthaltsorte)– keine Ende-zu-Ende-Dienste (Authentikation, Verschlüsselung)– Vertrauen des Nutzers in korrekte Abrechnung ist nötig– keine anonyme Netzbenutzung möglich
• Fazit: Stets werden externe Angreifer betrachtet.– GSM soll lediglich das Sicherheitsniveau existierender Festnetze erreichen.
24
Datenbanken des GSM
• Home Location Register (HLR)
Semipermanente Daten– IMSI (International Mobile Subscriber Identity): max. 15 Ziffern
• Mobile Country Code (MCC, 262) + Mobile Network Code (MNC, 01/02) + Mobile Subscriber Identification Number (MSIN)
– MSISDN (Mobile Subscriber International ISDN Number): 15 Ziffern• Country Code (CC, 49) + National Destination Code (NDC, 171/172)
+ HLR-Nummer + Subscriber Number (SN)– Bestandsdaten über den Subscriber (Name, Adresse, Kto.-Nr. etc.)– gebuchtes Dienstprofil (Prioritäten, Anrufweiterleitung,
Dienstrestriktionen, z.B. Roaming-Einschränkungen)
• CC + NDC + VLR-Nummer– Authentication Set, bestehend aus mehreren Authentication Triples:
• RAND (128 Bit), • SRES (32 Bit) , • Kc (64 Bit)
– Gebühren-Daten für die Weiterleitung an die Billing-Centres
HLR
26
Datenbanken des GSM
• Home Location Register (HLR)
• Visitor Location Register (VLR)– IMSI, MSISDN– TMSI (Temporary Mobile Subscriber Identity)– MSRN– LAI (Location Area Identification)– MSC-Adresse, HLR-Adresse– Daten zum gebuchten Dienstprofil– Gebühren-Daten für die Weiterleitung an die Billing-Centers
VLR
HLR
27
Datenbanken des GSM
• Home Location Register (HLR)
• Visitor Location Register (VLR)
• Equipment Identity Register (EIR)– IMEI (International Mobile
Station Equipment Identity): 15 Ziffern= Seriennummer der Mobilstation
• white-lists (zugelassene Endgeräte, nur verkürzte IMEI gespeichert)
• grey-lists (fehlerhafte Endgeräte, die beobachtet werden)
• Zugangskontrolle und Kryptoalgorithmen– einseitige Authentikation (Mobilstation vor Netz)
• Challenge-Response-Verfahren (Kryptoalgorithmus: A3)– Pseudonymisierung der Teilnehmer auf der Funkschnittstelle
• Temporary Mobile Subscriber Identity (TMSI)– Verbindungsverschlüsselung auf der Funkschnittstelle
• Schlüsselgenerierung: A8• Verschlüsselung: A5
29
Subscriber Identity Module (SIM)
• Spezielle Chipkarte mit Rechenkapazität
Gespeicherte Daten:– IMSI (interne Teilnehmerkennung)– teilnehmerspezifischer symmetrischer Schlüssel Ki (Shared Secret Key)– PIN (Personal Identification Number) für Zugangskontrolle– TMSI– LAI
Krypto-Algorithmen:– Algorithmus A3 für Challenge-Response-Authentikationsverfahren– Algorithmus A8 zur Generierung von Kc (Session Key)
30
Challenge-Response-Authentikation
• Wann vom Netz initiiert?– Aufenthaltsregistrierung (Location Registration)– Aufenthaltswechsel (Location Update) mit VLR-Wechsel– Call Setup (in beiden Richtungen)– Kurznachrichtendienst SMS (Short Message Service)
• Protokoll
=
MS MSC/VLR/AuC
Authentication Request
RAND
SRES
Authentication Response
Random Generator
A3
Ki
A3
Ki
Authentication Result
max. 128 Bit
32 Bit
128 Bit
31
Challenge-Response-Authentikation
• Algorithmus A3– auf SIM und im AuC untergebracht– mit Ki parametrisierte Einwegfunktion– nicht (europaweit, weltweit) standardisiert– kann vom Netzbetreiber festgelegt werden:
• Authentikationsparameter werden vom Netzbetreiber an das prüfende (d.h. das besuchte) MSC übermittelt
• dort lediglich Vergleichsoperation• besuchtes MSC muß der Güte von A3 vertrauen
– Schnittstellen sind standardisiert
=
MS MSC/VLR/AuC
Authentication Request
RAND
SRES
Authentication Response
Random Generator
A3
Ki
A3
Ki
Authentication Result
max. 128 Bit
32 Bit
128 Bit
32
=
MS MSC/VLR/AuC
Authentication Request
RAND
SRES
Authentication Response
Random Generator
A3
Ki
A3
Ki
Authentication Result
max. 128 Bit
32 Bit
128 Bit
Angriffe
• Kritik– kryptographische Mechanismen geheim, also nicht «wohluntersucht»
• Folge: Schwächen nicht auszuschließen• Angriff: SIM-Cloning
– symmetrisches Verfahren• Folge: Speicherung nutzerspezifischer geheimer Schlüssel beim
Netzbetreiber erforderlich• Angriff: «Abfangen» von Authentication Triplets
– keine gegenseitige Authentikation vorgesehen• Folge: Angreifer kann ein GSM-Netz vortäuschen• Angriff: IMSI-Catcher
33
«SIM-Cloning»
• Angriffsziel– Telefonieren auf Kosten anderer Teilnehmer– beschrieben von Marc Briceno (Smart Card Developers Association), Ian
Goldberg und Dave Wagner (beide University of California in Berkeley)– http://www.isaac.cs.berkeley.edu/isaac/gsm.html – Angriff bezieht sich auf Schwäche des Algorithmus COMP128, der
A3/A8 implementiert– SIM-Karte (incl. PIN) muß sich in zeitweiligem Besitz des Angreifers
befinden
• Aufwand– ca. 150.000 Berechnungsschritte, um Ki (max. 128 Bit) zu ermitteln– derzeit ca. 8 - 12 Stunden
• Angriffsziel– Telefonieren auf Kosten anderer Teilnehmer– beschrieben von Ross Anderson (Universität Cambridge)– Abhören der unverschlüsselten netzinternen Kommunikation bei
Anforderung der Authentication Triples vom AuC durch das besuchte VLR/MSC
• Angriff beruht auf folgender «Schwäche»– GSM-Standard beschreibt größtenteils Implementierung von
Schnittstellen zwischen den Netzkomponenten– Verschlüsselung der Authentication Sets bei Übermittlung vom AuC zum
VLR/MSC nicht vorgesehen
35
Verschlüsselung auf der Funkschnittstelle
originator device radio transmission(encrypted)
BTS fixed network(not encrypted)
Gateway-MSC
database
terminating device radio transmission(encrypted)
BTS fixed network(not encrypted)
domain of network operator 1
domain of network operator 2
Richtfunk-strecke(unverschlüsselt)
36
«Abfangen» von Authentication Sets
fakedmobile station visited network home network
(any message)
air interface
TMSIKiRAND
A5
A3+A8
SRES’
A5
=
auth. res.
Auth. RequestRAND
Auth. ResponseSRES
Ciphering Mode Cmd.Start Ciphering
Ciphering Mode Compl.
Provide Auth. Info
microwave link(not encrypted)
Authentication InformationRAND, SRES, Kc
mappingTMSI–IMSI IMSI
storeauth. info
storeauth. info
Lookup
Kc
Interception of Authentication Triplets
RAND, SRES, Kc
......
...
Kc
37
Pseudonymisierung auf der Funkschnittstelle• TMSI (Temporary Mobile
Subscriber Identity) – soll Verkettung von
Teilnehmeraktionen verhindern
– Algorithmus zur Generierung der TMSI legt Netzbetreiber fest
– bei erster Meldung (oder nach Fehler) wird IMSI übertragen
• Neuvergabe einer TMSI bei unbekannter alter TMSI
– Identity Request– ... kann jederzeit von
Netz gesendet werden
38
Pseudonymisierung auf der Funkschnittstelle• TMSI (Temporary Mobile
Subscriber Identity)– soll Verkettung von
Teilnehmeraktionen verhindern
– Algorithmus zur Generierung der TMSI legt Netzbetreiber fest
– bei erster Meldung (oder nach Fehler) wird IMSI übertragen
39
Verschlüsselung auf der Funkschnittstelle
• Schlüsselgenerierung: Algorithmus A8– auf SIM und im AuC untergebracht– mit Ki parametrisierte Einwegfunktion– nicht (europaweit, weltweit) standardisiert– kann vom Netzbetreiber festgelegt werden– Schnittstellen sind standardisiert– Kombination A3/A8 bekannt als COMP128
MS Netz
(Authentication Request)
RAND
Random Generator
A8
Ki
A8
Ki
Kc
in HLR gespeichert
in BSC benutzt
max. 128 Bit
64 Bit
128 Bit
Kc
in SIM gespeichert
in MS benutzt
40
Verschlüsselung auf der Funkschnittstelle
• Datenverschlüsselung: Algorithmus A5– in der Mobilstation (nicht im SIM !) untergebracht– europa- bzw. weltweit standardisiert– schwächerer Algorithmus A5* oder A5/2 für bestimmte Staaten
MS Netz
(Verschlüsselungsmodus)
A5
Kc
A5
Kc
TDMA-
Rahmen-
nummer
64 Bit
Klartext-
block
22 Bit
TDMA-
Rahmen-
nummer
114 Bit
Schlüssel-
block
Schlüsseltext
Klartext-
block
Ciphering Mode Command
(Ciphering Mode Complete)
Verbindungs-verschlüsselung
41
Verschlüsselung auf der Funkschnittstelle
• Ciphering Mode Command (GSM 04.08)
• Cipher mode setting information element
8 7 6 5 4 3 2 11 0 0 1 0 0 0 SC=0 No chiphering
Ciph mode set IEI Spare Spare Spare SC=1 Start ciphering
Informationselement Länge in BitProtocol discriminatorTransaction discriminator 16Message typeCiphering mode setting 8
42
IMSI-Catcher
knows identities
suppress ciphering
MS IMSI Catcher network
Location Upd. Request (TMSI)
Identity Request
Identity Response (IMSI)
Note: The IMSI Catcher sends its “location area identity” with a higher power than the genuine
Location Upd. Request (IMSI)
Authentication Request (RAND)
Authentication Response (SRES)
Ciph. Mode Cmd. (Start Ciph.)
Ciphering Mode Complete (Fault)
Location Updating Accept
TMSI Reallocation Complete
Authentication Request (RAND)
Authentication Response (SRES)
TMSI Realloc. Cmd. (TMSI new)
Ciph. Mode Cmd. (No Ciphering)
Location Updating Accept
TMSI Reallocation Complete
TMSI Realloc. Cmd. (TMSI new)
Ciph. Mode Cmd. (No Ciphering)
BCCH BCCH• Angriffsziele– Welche Teilnehmer
halten sich in der Funkzelle auf?
– Gespräche mithören
• Man-in-the-middle attack (Maskerade)
• Abwehr:– Gegenseitige
Authentikation:MS — Netz
undNetz — MS
43
Zusammenspiel der SicherheitsfunktionenMS Netz
TMSI Reallocation Command
TMSI old, LAI old
Location Updating Request
RAND, SRES,
Kc, IMSI, TMSI
A5
TMSI Reallocation Complete
KcCiphering Mode Command
=
Authentication Request
RAND
SRES
Authentication Response
A3 + A8
Ki
SRES
Ciphering Mode Complete
Kc
Location Updating Accept
A5
A5
A5
A5
A5
A5
A5
Ki, IMSI, TMSI
44
Location Management allgemein
• Zentral– Jede Aktualisierung, d.h. Wechsel des Location Area (LA), erfordert
Kommunikation mit Home Location Register (HLR)– Ineffizient bei großer Entfernung zwischen HLR und und aktuellem
Aufenthaltsort bzw. hoher Location Update Rate (LUP-Rate)
• Diese Form der Speicherung wird bei Mobile IP verwendet– HLR entspricht dem Home Agent
speichert Adresse
des LA zusammen mit
der MSISDN
HLR
Broadcast
im LA
MSISDN
enthält
Nummer des
HLR
incoming call:
Datenbank-
abfrage
Vermittlung des
Rufs ins LA
MS
besuchtes LA
B
A
BTS
MSISDN, LAI
45
Location Management allgemein
• Zweistufig– Wechsel des LA wird dem Visitor Location Register (VLR) signalisiert– Ein VLR bedient einen begrenzten geographischen Bereich (VLR-Area)– Wechsel des VLR-Area wird dem HLR signalisiert– Zweck: Reduzieren der Signalisierlast im Fernbereich– Tradeoff: Verzögerung des Rufaufbaus (mobile terminated) durch
zusätzliche Datenbankanfrage an VLR
HLR
Datenbank-
abfrage
Vermittlung des
Rufs ins LA
VLR
Adresse
des VLR:
A
Adresse
des LA:
LAI
Datenbank-
abfrage
weit entfernt vom LA in der Nähe des LA
BroadcastMSISDN
VLR
46
Location Management allgemein
• Mehrstufig– Verallgemeinerung des mehrstufigen Falls– Für Systeme der sogenannten 3. Generation vorgesehen (UMTS,
FPLMTS, IMT-2000)– Register sind nicht zwingend hierarchisch, z.B. bei »Forwarding«
Datenbankabfragen/Weitervermittlung
HLR
BroadcastMSISDN
Entfernung vom LA
A
...
R2 R3 Rn
LAIA A
Granularität der Lokalisierungsinformation
grob
groß klein
fein
R2
R3 R4
R1
47
Location Update Situationen
a) Wechsel der Funkzelle b) Wechsel des LA c) Wechsel des VLR/MSC-Bereichs d) Wechsel des MSC-Bereichs
LA 1 (gehört zu MSC 1 und VLR 1)
LA 2 (gehört zu MSC 2 und VLR 2)
LA 3 (gehört zu MSC 2 und VLR 2)
Bewegung der MS
Zeichenerklärung:
Funkzelle
HLR ...
... im Home- PLMN- Bereich
MSC 1 VLR 1
VLR 2
MSC 2
MSC 3
LA 4 (gehört zu MSC 3 und VLR 2)
a
a
b
d
c
48
Location Update: neues LA• Neues LA, aber altes VLR
Sicherheitsmanagement: Authentikation, Verschlüsselungsmodus setzen, Zuweisung TMSI new
Sicherheitsmanagement: Bestätigung TMSI new Löschen TMSI old
De-Allocation TMSI old
51
Mobile Terminated Call Setup im GSM
send routing information
MSC2 (eigentlich MSRN)
incoming call
visited
MSC2
Broadcast-
nachricht im LA1
MSISDN-B enthält
Routing-Information zum
gebuchten GSM-Netz des
Mobilfunkteilnehmers B
Gateway
MSC
HLR
MSISDN/IMSI-A
MSISDN/IMSI-B
...
MSISDN/IMSI-X
MSISDN/IMSI-Y
MSISDN/IMSI-Z
MSC3
MSC2
...
MSC4
MSC1
MSC2
liest den Datenbankeintrag für
MSISDN/IMSI-B und vermittelt
zum entsprechenden MSC
weiter
IMSI-B
VLR2
IMSI-B
IMSI-C
...
LA1, TMSI-B
LA3, TMSI-C
...
liest das LA für
IMSI-B
send info for incoming call
Station erkennt
Verbindungswunschnachricht an
ausgestrahlter TMSI-B
TMSI-B
LA1, TMSI-B
B
LA1
52
Mobile Terminated Call Setup
• Protokoll
MS MSC HLR PSTN/GMSC
Paging Response
Send Routing InformationProvide Routing Info.
MSRN
Send Routing Info. Result
MSRN
Paging Request
Kanalanforderung an BSS (nur
early-TCH-Assignement)
Sicherheitsmanagement:
Authentikation,
Verschlüsselungsmodus
Setup
Kanalzuweisung bei
early-TCH-Assignment
Alert
Connect
Kanalzuweisung bei OACSU
Initial Address Message (MSRN)
Answer Message
Address Complete Message
MSISDNIMSI
Prov. Rout. Info. Result
VLR
Pag. Request
Send Info
LAI, TMSITMSI (evtl. IMSI)
Data
Release
Disconnect
53
Mobile Originated Call Setup
• Protokoll
MS MSC/VLR PSTN/GMSC
CM Service Request
Kanalanforderung an BSS
Setup
Kanalzuweisung bei
early-TCH- Assignment
Alert
Connect
Initial Address Message
Answer Message
Adress Complete Message
Sicherheitsmanagement:
Authentikation,
Verschlüsselungsmodus
Kanalzuweisung bei OACSU
Disconnect
Release
Data
54
Nachrichtenaufbau GSM 04.08
8 7 6 5 4 3 2 1TI flag TI value Protocol discriminator octet 1
0 N(SD) Message type octet 2
Nachrichtenelementoctet 3…
55
Nachrichtenaufbau GSM 04.08
• Protocol discriminator4 3 2 1 bit number0 0 1 1 call control, packet-mode, connection control and call related SS msgs0 1 0 1 mobility management messages0 1 1 0 radio resources management messages1 0 0 1 short message service messages1 0 1 1 non call related SS messages1 1 1 1 reserved for tests proceduresAll other values are reserved
• Transaction identifier (TI)dient zur Unterscheidung paralleler Aktivitäten einer MS
8 bit number = TI flag0 message sent from the originated TI side1 message sent to the originated TI side
• TI valueZahl von 000…110 (bin:0…6)111 reserviert
8 7 6 5 4 3 2 1TI flag TI value Protocol discriminator octet 1
0 N(SD) Message type octet 2
Nachrichtenelementoctet 3…
56
Message type
• Identifiziert die Funktion der Nachricht
• 3 Klassen:– radio ressources management– mobility management– call control
• N(SD) – Sequenznummer bzw. Extension Bit
8 7 6 5 4 3 2 1TI flag TI value Protocol discriminator octet 1
• Krtitk an GSM (I)– Vertraulichkeit des Ortes nur gegen Outsider und dort noch sehr
schwach– Peilbarkeit von mobilen Stationen möglich– keine bittransparenten Sprachkanäle vorhanden, deshalb
keine Ende-zu-Ende-Verschlüsselung möglich.– keine Ende-zu-Ende-Authentikation vorgesehen– keine gegenseitige Authentikation vorgesehen– Kryptoalgorithmen sind teilweise geheim gehalten– Kryptoalgorithmen sind ausschließlich symmetrisch– Schlüsselerzeugung und -verwaltung nicht unter Kontrolle der
Teilnehmer
63
Zusammenfassung der Sicherheitsprobleme
• Krtitk an GSM (II)– keine anonyme Netzbenutzung möglich– Vertrauen in korrekte Abrechnung ist nötig– keine Erreichbarkeitsmanagementfunktionen vorhanden
• Auswege– Modifikation des Location Managements– Verhinderung von Peilung und Ortung durch funktechnische,
informationstechnische und kryptographische Maßnahmen– Definition von Ende-zu-Ende-Diensten– Unterstützung asymmetrischer Kryptographie
64
Verfahren zum Schutz von Aufenthaltsinformation
• Schutzkonflikt– Mobilkommunikationsteilnehmer möchte mit mobilem Endgerät
erreichbar sein, – möchte jedoch nicht, daß irgendwelche Instanzen (Dienstanbieter,
Netzbetreiber) außer ihm selbst ohne seine explizite Einwilligung an Aufenthaltsinformation über ihn gelangen.
– Kein existierendes Netz erfüllt diese Anforderung.
• GSM (Global System for Mobile Communication)– Verteilte Speicherung über Register
• Home Location Register • Visitor Location Register
– Netzbetreiber hat stets globale Sicht auf Daten– Bewegungsprofile sind erstellbar
65
Systematik: Verfahren zum Schutz von Aufenthaltsinfo
A. Vertrauen nur in die MobilstationA.1 Broadcast-MethodeA.2 Methode der Gruppenpseudonyme
B. Zusätzliches Vertrauen in einen eigenen ortsfesten BereichB.1 AdreßumsetzungsmethodeB.2 Methode der Verkleinerung der Broadcast-GebieteB.3 Methode der expliziten vertrauenswürdigen SpeicherungB.4 Methode der Temporären Pseudonyme
C. Zusätzliches Vertrauen in einen fremden ortsfesten BereichC.1 Organisatorisches VertrauenC.2 Methode der kooperierenden ChipsC.3 Methode der Mobilkommunikationsmixe
66
Überblick: Broadcast
• Verzicht auf Datenbanken und globaler Broadcast (keine Speicherung von Lokalisierungsinformation)
HLR
Datenbank-
abfrage
VLR
Datenbank-
abfrage
AMS
B
67
A
Verteildienst
Überblick: Broadcast
• Verzicht auf Datenbanken und globaler Broadcast (keine Speicherung von Lokalisierungsinformation)
• Immenser Aufwand an Bandbreite, falls als Massendienst
68
HLR
Datenbank-
abfrage
VLR
Datenbank-
abfrage
AMS
B
Überblick: Vertrauenswürdige Speicherung
• Ersetze Datenbanken durch individuellen vertrauenswürdigen Bereich
69
• Ersetze Datenbanken durch individuellen vertrauenswürdigen Bereich
• Problem Aufenthaltswechsel: Jede Aktualisierung benötigt Kommunikation mit vertrauenswürdigem Bereich
A
individueller
vertrauenswürdiger
Bereich
Überblick: Vertrauenswürdige Speicherung
70
• Temporäre Pseudonyme (TP-Methode)
• Frage: Geht es auch mit Datenbanken, aber ohne individuellen Vertrauensbereich?
A vertr.
Bereich
HLR VLR
Überblick: Vertrauenswürdige Speicherung
71
HLR VLR
A MS
B
MIX MIX
Überblick: Mobilkommunikationsmixe
• Verdeckte Speicherung von Lokalisierungsinformation
72
Schutz des Empfängers: Verteilung (Broadcast)
• Adressierung– explizite Adressen: Routing– implizite Adressen: Merkmal für Station des Adressaten
• Ziel– Bandbreiteaufwand gegenüber reinem Broadcast reduzieren
• Vorgehen– Implizite Adresse P wird nicht mehr als Ganzes gesendet
• vorher: length(P) = n– Zerlegen von P in k Segmente
• jetzt: length(Pi) = li mit (i=1..k) und sum(li, i=1, k)=n
– Broadcast der Segmente Schritt für Schritt:
implizite Adresse: n Bit
...1 2 3 4 5 k
variable implizite Adresse: k Segmente
77
Variable implizite Adressierung
• Broadcast der Segmente Schritt für Schritt:
10 LET C = alle Funkzellen des Versorgungsgebietes20 LET k = Anzahl der Adreßsegmente30 FOR i = 1 TO k DO
Broadcaste Pi in alle Funkzellen in C IF (Mobilstation besitzt ausgestrahltes Pi AND
Mobilstation hat in allen vorangegangenen Schritten geantwortet)THEN sende "YES"ELSE sende nichts
LET C = alle Funkzellen mit mindestens einer "YES"-Antwort
IF number_of_elements(C) = 1 THEN GOTO 50
40 END FOR
// Zellseparation beendet
78
Variable implizite Adressierung
• Beispiel
Broadcast von P1 (in alle 13 Zellen)
YES-Nachricht aus 10 Zellen
Broadcast von P2 (in diese 10 Zellen)
YES-Nachricht aus 7 Zellen
Broadcast von P3 (in diese 7 Zellen)
YES-Nachricht aus 3 Zellen
Broadcast von P4 (in diese 3 Zellen)
YES-Nachricht aus 1 Zelle
79
Variable implizite Adressierung
• Zellseparation mit Verkleinerung der Segmente– Reduzieren der Broadcastschritte auf log2(n)
• Algorithmus10 LET C = alle Funkzellen des Versorgungsgebietes20 LET r = n30 WHILE (r>1 AND number_of_elements(C)>1) DO
Broadcaste die nächsten ceil(r/2) Bits von P in alle Funkzellen in CIF (Mobilstation besitzt ausgestrahlte Bits AND Mobilstation hat in allen vorangegangenen Schritten
geantwortet) THEN sende "YES"LET C = alle Funkzellen mit mindestens einer "YES"-Antwortr := r - ceil(r/2)
40 END WHILE50 Broadcaste die letzten r Bits von P60 // Zellseparation beendet
Segment 1 Segment 2 4 5 6
implizite Adresse: n Bit
variable implizite Adresse:Halbierung der Segmentgröße von Schritt zu Schritt
Seg 3
Anzahl antwortender Stationen halbert sich im Mittel von Schritt zu Schritt
Banbreitenersparnis von 25% pro Funkzelle (bei geograph. Gleichverteilung der MS)
80
Methode der Gruppen-pseudonyme
• Unschärfe („Überdeckung“) schafft Privacy
• starrer Zusammengang zwischen Gruppen-pseudonym und Identität
send routing information for GMSI-B
VLR2/MSC2, VLR3/MSC3
incoming call MSISDN/IMSI-B - enthält Routing-Information zum gebuchten Netz des Mobilfunkteilnehmers B
vertrauenwsürdiger Bereich des Mobilfunkteilnehmers
TPx
HLR
TPa TPb ... TPx TPy TPz
VLR1 VLR2 ... VLR1 VLR3 VLR2
liest den Datenbankeintrag für TPx und vermittelt in das entsprechende Besuchergebiet weiter
Initial Address Message, TPxVLR
TPa TPx ...
LA2 LA1 ...
liest das LA für TPxTPx
LA1
Station erkennt „ihre“ Nachricht an offener impliziter Adresse TPx
TPx
85
Sicherheitsbetrachtungen …
• Unberechtigte Abfrage der vertrauenswürdigen Umgebung– führt zu Lokalisierung– Erstellung von Bewegungsprofilen mit Granularität der Anrufhäufigkeit– Ausweg: Logging der Zugriffe auf vertrauenswürdigen Bereich und
Vergleich mit zugestellten Verbindungswünschen.
• Verwendung von Pseudonymen– Funkschnittstelle: Implizite Adresse anstelle der TMSI– Datenbankeinträge: Unverkettbarkeit mit Identität
• Beobachtbarkeit der Kommunikationsbeziehungen– Location Update explizite Speicherung: Kommunikationsbeziehung
zwischen vertrauenswürdigem Bereich und MS führt zum Aufdecken des Orts
– aber: Location Update TP-Methode: keine Kommunikation zwischen vertrauenswürdigem Bereich und MS notwendig
86
Vertrauen in einen fremden ortsfesten Bereich
• Vertrauen in eine Trusted Third Party– Abwandlung der Methoden die einen eigenen vertrauenswürdigen
3. In den Mixen wird {LAI} ent- und Setup verschlüsselt
{Setup} := k3 ( k2 ( k1 ( Setup )))
4. Im Aufenthaltsgebiet wird ausgestrahlt
ImpAdr, {Setup}ImpAdr, {Setup}
IMSI: {LAI}
{LAI}, SetupMIX
M1 M2 M3
MIX MIX
99
Mobilkommunikationsmixe dezentralisiert
• Grundidee pseudonymes Location Management
– Register: pseudonyme Speicherung
– Mix-Netz: Unverkettbarkeit der pseudonym gespeicherten Information
– Aufenthaltsgebietsgruppen: Zusammenfassung von Gebieten
incoming call
HLR
VLR P, LAI, ImpAdr
visited MSC
LAI, ImpAdr, Setup
ImpAdr, Setup
Broadcast- nachricht im LA
MSISDN
LAI
Ohne Mixe Mit Mixen
incoming call
HLR
VLR P, {LAI, ImpAdr}
{LAI, ImpAdr}, {Setup}
ImpAdr, {{Setup}}
Broadcast- nachricht im LA
MSISDN
LAI
MSISDN, {VLR, P}
{VLR, P}, Setup
P, {Setup}
MSISDN, VLR, P
VLR, P, Setup
visited MSC
Mix- Kaskade 1
Mix- Kaskade 2
MIX
MIX
MIX
MIX
MIX
MIX
100incoming call
GMSC send routing information
{VLR, P}
...
BTS BTS BTS
HLR
visitedMSC
VLR
Mix-Kaskade vor HLR schützt Aufenthaltsinformation auf der Ebene der visited MSCs, faßt mehrere MSC-Bereiche in einer Aufenthaltsgebietsanonymitäts- gruppe zusammen
Mix-Kaskade vor visited MSC schützt Aufenthaltsinformation auf der Ebene der LAs (bzw. BTS' oder BSCs)
Mix-Kaskade vor VLR schützt Aufenthaltsinformation auf der Ebene der MSCs; nicht erforderlich, falls 1:1-Zuordnung zwischen MSC und VLR
Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der LAs (bzw. BTS' oder BSCs)
Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der VLRs (bzw. MSCs)
Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der MSCs
zu weiteren MSCs des VLR-Gebietes
zu weiteren MSC/VLRs
zu weiteren BTS'
LUP
...
...
{VLR, P}
Aufenthaltsgebietsgruppen
• Zusammenfassung von Gebieten unterschiedlicher Granularität
101
HLR 2HLR 1
GSM
VLR weiss, welcher Teilnehmer sich in welchem Location Area aufhält
HLR weiss, welcher Teilnehmer sich in welchem VLR-Area und Location Area aufhält
VLR 1 VLR 2 VLR 3
• Mehrstufige Speicherung zur Reduzierung der Signalisierlast
• Internet friendly• Schwer beherrschbar• Keine Zusicherungen (Schutz, Verfügbarkeit)• Deutlich geringere Effizienz• VLRs werden obsolet
MIXe
103
HLR 2HLR 1
Mobilkommunikationsmixe: Var. 2: Dedizierte Kaskaden
VLR kennt weder Identität des Teilnehmers, noch das Location Area
HLR kennt zwar Identität des Teilnehmers, besitzt aber keine Information über das VLR
Mix-Kaskade 2
Mix-Kaskade 1
Mix-Kaskade 3 Mix-Kaskade 4
VLR 1 VLR 2 VLR 3
• Pseudonyme Verwaltung des Aufenthaltsortes
• Schutz der Verbindungsdaten• Aufenthaltsgebietsgruppen
104
Mobilkommunikationsmixe: Dedizierte Kaskaden
• Mobile Vermittlungsstelle
• Datenbank• Mix-Kaskade
Mobile Vermittlungsstelle
+ Datenbank??
105
Mobilkommunikationsmixe: Dedizierte Kaskaden
• Mobile Vermittlungsstelle
• Datenbank• Mix-Kaskade
Mix-KaskadeMix-Kaskade
• Mixe physisch gekapselt
• Aufgestellt beim Netzbetreiber
• Jeder Mix hat einen anderen Betreiber
• Netzbetreiber hat keinen administrativen Zugriff auf Mixe
Mobile Vermittlungsstelle
+ Datenbank
Mix-Kaskade
106
Authentisierung wie?• Problem:
– Der besuchte Netzbetreiber soll feststellen können, daß ein Teilnehmer berechtigt ist, das Netz zu nutzen, ohne daß seine Identität aufgedeckt wird, denn das käme einer Lokalisierung gleich.
– Der Teilnehmer soll feststellen können, daß er über einen echten Netzbetreiber kommuniziert.
• Blindes Signaturverfahren– Gegenseitige Authentikation– Verhinderung von Mißbrauch durch unberechtigte Teilnehmer, insbesondere
damit der besuchte Netzbetreiber zu seinem Geld kommt
• Authentikation im GSM:– Besuchter Netzbetreiber bekommt Auth.Triplet und prüft SRES von der
Mobilstation auf Gleichheit.– Besuchter Netzbetreiber vertraut darauf, daß der Heimatnetzbetreiber
vertrauenswürdig ist.
VLR soll Berechtigung checken, darf aber Identiät von MS nicht erfahren.Blinde Signatur zur Auth. der MS
107
Protokoll für (gegenseitige) Authentikation
• Problem: VLR soll Berechtigung checken, darf aber Identiät von MS nicht erfahren.
• Blinde Signatur zur Auth. der MS
108
Blinde Signatur
nblendblends sHLR mod)( HLR=
nzTRandblend t mod)2,2(: HLR•=
( )( )
nzTRand
nzTRand
nzTRandblends
s
sts
stHLR
mod)2,2(
mod)2,2(
mod)2,2()(
HLR
HLRHLRHLR
HLRHLR
•=
•=
•=
.mod)2,2()2,2(
mod)2,2()(HLR
HLR
HLR
11HLR
nTRandTRands
nzzTRandzblendss
s
=
••=• −−
1
2
3
1
2
3 Es gilt:
Entblenden:
Signieren:
Blenden:
109
Abrechnung
• Heute:– Ankommende Anrufe werden berechnet, wenn sich der mobile
Teilnehmer im Ausland (bzw. einem Fremdnetz) aufhält.– Unterschiedliche Tarifierung für abgehende Gespräche:
• lokale Gespräche (vergleichbar mit Ortsgespräch) • Gespräche innerhalb des eigenen Netzes• Gespräche in fremde Netze (Festnetz, Mobilnetze)
• Anwendbare Konzepte:– Anonyme und unbeobachtbare digitale Zahlungssysteme
Abrechnung• Abgehende Rufe (von der MS zu einem beliebigen Teilnehmer)
– Location Management Prozeduren sind nicht involviert– Trotzdem muß Aufenthaltsort geschützt bleiben– Vorausgesetzt wird ein vorhandenes anonymes Zahlungssystem– Teilnehmer T hat eine MS ohne ID und ein dig. Wallet
• Skizze:– MS von T sucht ein Netz (passiver Vorgang)– MS meldet Verbindungswunsch an ( Zielrufnummer)– Netz legt Kosten fest und meldet sie an T ( Kosten)– T bzw. MS entscheidet und übermittelt Geldbetrag ( Geld)– Netz baut Verbindung zum Ziel auf
• Zu klären:– Fehlertoleranz, fehlgeschlagene Verbindung (Ziel besetzt etc.)– Tarifierung in Abhängigkeit der Gesprächsdauer– Netz betrügt (kassiert Geld und verweigert Verbindungsaufbau)
111
Abrechnung
• Ankommende Rufe (zur MS)– Wer bekommt Geld?– Besuchter Netzbetreiber oder Heimatnetzbetreiber oder beide?
• Skizze (beide fordern Geld):– Signalisierung zur MS– Empfangene Signalisiernachricht enthält Geldforderung von Heimatnetz– T erhält mit dem Authentication Request (2) die Forderung des
besuchten Netzes – T schickt mit der Please Check Authentication Nachricht den vom
Heimatnetz geforderten Geldbetrag– Heimatnetz antwortet mit Please Check Authentication Response nur bei
Empfang des Geldes– T schickt mit der Authentication Response (2) den vom besuchten Netz
• Modifikation nötig, damit effizient realisierbar– Effizienzverlust zwischen 1 und 10 % je nach Verfahren:
• Bei maximaler Auslastung ist die versorgbare Teilnehmerzahl maximal 10% geringer.
121
Mobilkommunikationsmixe
• Nachrichtenlängen
• Nachrichtenlängen wachsen mindestens um das 1,2-fache (Rufaufbau) und sogar um das 6,8-fache (Aufenthaltsaktualisierung)
• Effizienz– Effizienzmaß: Verhältnis der verfügbaren Verkehrskanäle bei den
Mobilkommunikationsmixen und bei GSM– Mobilitätsverhalten der Teilnehmer beeinflußt die Effizienz– Effizienzverlust bezogen auf bedienbare Teilnehmerzahl ist ca. 10 % bei
NLUP=88 in 5 Sekunden (entspricht 20.000 Teilnehmern pro Zelle)
• Problem: Kanalstruktur von GSM nicht flexibel genug
GSM Mobilkommunikationsmixe
Rufaufbau 1728…2968 3624…8008
Aufenthaltsaktualisierung 216…328 2221…4502
122
Komponenten der MK-Mixe
Komponente BedeutungMixe Schutz der Kommunikationsbeziehung zwischen Sender
und Empfänger einer NachrichtAnonyme Rückadressen Unverkettbarkeit der Übermittlung der
Verbindungswunschnachrichten zwischen RegisternSignatur der anonymenRückadresse beim HLR
Überprüfbarkeit, daß in einem Schub Rückadressen vongenügend vielen Teilnehmern bearbeitet werden, d.h.Verhindern eines (n-1)-Angriffs
Pseudonym P Verkettbarkeit des Adreßkennzeichens mit demDatenbankeintrag im Register (außer HLR, dort MSISDN)
Symmetrische Schlüsselki,j in den anonymen
Rückadressen
Effizientes Umkodieren der mitgelieferten Informationen,Etablieren eines symmetrischen Mix-Kanals bei Call Setupund Location Update; Verwendung einer nichtselbstsynchronisierenden Chiffre zur Verhinderung vonReplay-Angriffen
Implizite Adresse ImpAdr Adressierung der MS auf der Funkschnittstelle,Wiedererkennung der anonymen Rückadresse, umsymmetrische Schlüssel ki,j zu rekonstruieren
Zeitstempel,Zeitscheibennummer T
Verhindern des Replay alter (Mix-Eingabe)-Nachrichten
Kennzeichen Bv/Bl Kennzeichen für Empfänger einer Nachricht, umbedeutungsvolle von bedeutungslosen Nachrichten zuunterscheiden
Kanalkennzeichen KZT Verbinden der unbeobachtbaren Mix-Kanäle von rufendemund gerufenem Teilnehmer
Funktion f(T, kAB) Funktion zur Berechnung der KanalkennzeichenSymmetrischer SchlüsselkAB
Symmetrischer Sitzungsschlüssel der kommunizierendenTeilnehmer, Parameter zur Berechnung derKanalkennzeichen
123
Vergleich der Verfahren: Vertrauen (qualitativ)
• Nötiges Vertrauen in einzelne Netzkomponenten bzgl. Vertraulichkeit des Aufenthaltsorts
GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3
Vertrauen in Trusted FS
Vertrauen in GSM-Netz-
kompo-nenten
nur Ver-trauen in die Mobilstation
GSM Referenzwerte B.3 explizite vertrauensw.SpeicherungA.1 Broadcast mit impliziter Adressierung B.4 TP-MethodeA.2 Gruppenpseudonyme C.1 Vertrauenswürdige DritteB.1 Adreßumsetzungsmethode C.2 Methode der kooperierenden ChipsB.2 Verkl. der Broadcastgebiete C.3 Mobilkommunikationsmixe
124
Vergleich der Verfahren: Bandbreite (qualitativ)
• Location Update
• Call Setup
GSM Referenzwerte B.3 explizite vertrauensw.SpeicherungA.1 Broadcast mit impliziter Adressierung B.4 TP-MethodeA.2 Gruppenpseudonyme C.1 Vertrauenswürdige DritteB.1 Adreßumsetzungsmethode C.2 Methode der kooperierenden ChipsB.2 Verkl. der Broadcastgebiete C.3 Mobilkommunikationsmixe
GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3
Referenz GSM=1
0
GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3 Referenz
GSM=1
Broadcast offen
implizit
Broadcast verdeckt
implizit
125
Vergleich der VerfahrenReferenz A.1 A.2 B.1 – B.4 und C.1 C.2 C.3GSM Broad-
cast-Gruppen-pseudo-
Vertrauenswürd.Speicherung inTrusted FS
Koope-rierende
Mobil-komm.-
Methode nyme explizit TP-Meth. Chips Mixe
Nötiges VertrauenVertrauen in dieMobilstation
nötig nötig nötig nötig nötig nötig
Vertrauen ineinen ortsfestenBereich
– nichtnötig
nichtnötig
zusätzlich nötig nötig nichtnötig
Vert. in einDatenschutz ga-rantierendesKommunika-tionsnetz
Mobile IP:Mobile IP: Erreichbarkeit eines mobilen Computers immer unter der gleichen IP-Adresse
130
Mobile Internet Protocol: Prinzip 2/2
Correspondent Node
Home Agent
Foreign Agent(optional)
Mobile Node
Bewegung
--> 141.76.75.112
141.76.75.112
131
Mobile Internet Protocol: Prinzip 3/4
Correspondent Node
Home Agent
Foreign Agent(optional)
Mobile Node
141.76.75.112
--> 141.76.75.112
132
Mobile Internet Protocol: Prinzip 4/4
Correspondent Node
Home Agent
Foreign Agent(optional)
Mobile Node
141.76.75.112
Binding:141.76.75.112 --> 128.32.201.1
128.32.201.1
IP-in-IP-Tunnel
besitzt zusätzlichecare-of address
--> 141.76.75.112
133
Mobile Internet Protocol: Sicherheitsfunktionen
Mobile IPv4 Mobile IPv6
Authentikation √shared secret
zwischen MobiλeNode und Hom e
Agen t
√ IPSec/IPv6
AuthenticationHeader (AH)
V erschλüsseλung ∅ √ IPSec/IPv6
EncapsuλatedSecurity Payλoad
(ESP)
Schutz vorLokaλisierung
∅ ∅
Mixed Mobile IPNon-Disclosure Method
MD 5 Fingerprint MD 5, SHA-1
DES/CBC
134
Mobile Internet Protocol: Schutz vor Lokalisierung
Home Agent
Foreign Agent
Mobile Node
141.76.75.112
128.32.201.1
MIXMIX
MIX
Mixed Mobile IP (MMIP)Non-Disclosure Method
Registration
135
Mobile Internet Protocol: Schutz vor Lokalisierung
Correspondent Node
Home Agent
Foreign Agent
Mobile Node
141.76.75.112
128.32.201.1
MIX
MIX
--> 141.76.75.112
Mixed Mobile IP (MMIP)Non-Disclosure Method
MIX-Kanal
MIX
Sicher gegen einen räumlich begrenzten Angreifer, der nicht alle Kommunikation überwachen kann.
Binding:141.76.75.112 --> MIX1
136
Politische Dimension solcher Konzepte
Freiheit– Es gibt gesetzliche Grundlagen,
die eine Bereitstellung pseudonymer und anonymer Dienstleistungen ausdrücklich erlauben und anregen.
– Empfehlungscharakter– IuKDG (TDDSG § 4(1))– Kein Zwang („soweit technisch
möglich und zumutbar“)
Regulierung– Derzeit von der Politik nicht
gewünscht– TKG fordert die Speicherung der
Kundendaten (Name, Adresse, ...), sogar bei vorbezahlten Systemen (Xtra-Card etc.)
– Überwachungsschnittstellen (TKG § 88), die dem Bedarfsträger die unbeobachtbare Überwachung erlauben
Gesetzliche Grundlagen sind keineswegs konsolidiert.
Technische Möglichkeiten des Schutzes und der legalen Überwachungsmöglichkeiten ausloten, jedoch möglichst kein
vorauseilender Gehorsam
137
...
Intelligent Network
Core Network
Access Network
Anonymous Network
Sicherheit in der Mobilkommunikation
• Was bringen die Konzepte?– Teilnehmerbezogener Schutz von Aufenthaltsinformation ist möglich.– Unbeobachtbarkeit ist auch im Mobilfunk realisierbar.– Frühzeitige Berücksichtigung neuer Konzepte gewährleistet