Top Banner

Click here to load reader

30

UMTS Grundlagen UMTS Sicherheitsarchitekturuhl/PScrypt11/UMTS-Security.pdf · Einleitung UMTS Grundlagen UMTS Sicherheitsarchitektur KurzeEntwicklungsgeschichtederMobiltelefonie...

Mar 06, 2018

ReportDownload

Documents

vuongcong

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    UMTS-Sicherheit

    Manuel Leupold / Christian Polt

    30. Mai 2011

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Kurze Entwicklungsgeschichte der Mobiltelefonie

    Handynetze anfangs nur auf nationaler Ebene und analogverfgbarDurch GSM (Global System for mobile communication)wurden Netze digital und die Sicherheit erhht (2G - SecondGeneration)GSM sorgt fr weltweiten Standard und macht internationaleAnbieter kompatibel zueinander, es gibt weiterhin invereinzelten Lndern Variationen dieses Standards

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Kurze Entwicklungsgeschichte der Mobiltelefonie

    Ende der 90er gab es dann Handynetze mit UMTS(3G - ThirdGeneration)UMTS vereint ffentliche und private Systeme, Satelliten,Pager etc. und stellt weitere Multimedia Dienste wie. z.B.MMS, Mobile Commerce oder standortabhngige Services zurVerfgungDiese Entwicklung fhrt(e) zu folgendem Problem:Datenmenge wird grer, Datensensibilitt nimmt zuBereits 2001 waren fast 50% der weltweiten Telefonanschlssemobile Anschlsse

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Wachstum der Mobilfunknutzung

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Bezeichnung und technische Merkmale

    UMTS (Universal Mobile Telecommunication System) ist dieeuropische Bezeichnung fr Mobilfunksysteme der drittenGenerationWeltweit in Fachkreisen wird es als IMT-2000 bezeichnet(International Mobile Telecommunications)UMTS dient der weltweiten, einheitlichen Nutzung vonSprach- Daten- und Multimediadiensten

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Leistung GSM

    2G Netze hatten Probleme bei der Datenbertragung durchschlechte Ressourcenverwaltung (5-15 kBit/sbertragungsrate)GPRS (General Packet Radio Service) wurde alsPaketvermittlungsdienst nachgerstet (ca. 30 kBit/sbertragungsrate)zustzlich wurde die EDGE Technologie (Enhanced Dataratefor Global Evolution) entwickelt, was fr noch mehr LeistungsorgtTrotz dieser Upgrades ist die bertragungsrate fr moderneServices zu gering

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Leistung UMTS

    UMTS passt die Bandbreite flexibel an und es sind Datenratenzwischen 384 KBit/s und 2 MBit/s mglichDie bertragung funktioniert flexibel mit dem CDMAVerfahren (Code Division Multiple Access) anstatt mit starrenZeitschlitzen wie bei GSM blichHSDPA (High Speed Downlink Packet Access) ist ein Upgradefr UMTS und sorgt fr Datenraten bis zu 10 Mbit/s

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    UMTS Architektur

    In vier logische Blcke unterteilbar:USIM (UMTS Subscriber Identity Module)UE (User Equipment)RAN (Radio Access Network)CN (Core Network)

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    UMTS Domnen

    User Equipment (UE)Access Network (AN)Core Network (CN) mit drei Unterdomnen:

    1 Serving Network2 Transit Network3 Home Network

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    UMTS Komponenten

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Allgemein

    Basiert auf Sicherheitsarchitektur der GSM Netze, wobei neueMechanismen hinzugefgt wurden, die upgradefhig fr dieZukunft sindDie Sicherheitsarchitektur ist in Schichten unterteilt bei denenes zu potentielle Angriffen und Attacken kommen kann.Die Sicherheitsaspekte sind in 5 Gruppen unterteilt:

    1 Netzzugangssicherheit (den meisten Angriffen ausgesetzt)2 Netzwerksicherheit3 Benutzersicherheit4 Anwendungssicherheit5 Sichtbarkeit und Konfigurierbarkeit der Sicherheit

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Netzzugangssicherheit

    Mobilfunkteilernehmer muss im Einzugsgebiet uneingeschrnktalle Dienste nutzen knnen, ohne dass sich unauthorisiertePersonen ein Profil ber seine Aufenthaltsorte undBewegungen erstellen knnen.Identitt (IMSI) darf nicht auf der Luftschnittstelle ermitteltwerden knnen.Zuordnung von Daten und Person darf nicht mglich sein.Wichtige Neuerung in UMTS: Netzwerk muss sich auchgegnber dem Teilnehmer identifizieren (Vermeidung vonIMSI-Catching durch Man-in-the-Middle).Teilnehmer werden durch temporre Identittserkennung(TMSI) identifiziert, IMSI bleibt verschleiert.

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Teilnehmer bei der AKA (Authentification and KeyAgreement)

    Benutzer mit seinem Mobile System (MS): Besitzt auf seinerUSIM einen 128 Bit-Schlssel K.Home Environment (HE)/ Home Location Register (HLR):Besitzt den selben Schlssel K wie der Benutzer.Visitor Location Register (VLR) / Serving GPRS SupportNode (SGSN)

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Ablauf der AKA

    MS schickt eine Anfrage an VLR/SGSN.VLR/SGSN schickt Authentication data request (enthlt IMSIdes Benutzers) an das HE/HLR. Dabei wird die Leitung (CN)als abhrsicher vorausgesetzt.HE/HLR berechnet n Authentifikationsvektoren und schicktdiese ber das CN an das VLR/SGSN zurck.Das VLR/SGSN whlt den nchsten AuthentifikationsvektorAV aus und sendet daraus die Parameter RAND und AUTN anden Teilnehmer (MS).

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Berechnung eines Authentifikationsvektor

    Quelle: Axel Bolta: Simulation und Analyse von Verschlsselungsalgo-rithmen am Beispiel von UMTS (2003)

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Ablauf der AKA (Fortsetzung)

    Nachdem MS die Parameter RAND und AUTN vomVLR/SGSN erhalten hat, berechnet er AK mithilfe derFunktion f 5.Damit berechnet er sich die SQN aus den ersten 48 Bit vonAUTN durch SQN = (SQN AK )AK und berprft, ob sienoch nicht abgelaufen ist.Nun berprft er die Gltigkeit des MAC, indem erXMAC = f 1K (SQN||RAND||AMF ) berechnet und die Wertevergleicht.MS kann sich nun sicher sein, dass SQN, RAND und AMFkorrekt sind und daraus mithilfe der Funktionen f2, f3 und f4die die Antwort RES und die Schlssel CK und IK berechnen.Die Antwort RES schickt er nun an VLR/SGSN zurckVLR/SGSN vergleicht die erhaltene Antwort RES mit dererwarteten Antwort XRES aus dem Authentifikationsvektor.

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    KASUMI

    KASUMI wurde um 1999 von 3GPP entwickelt und ist einemodifizierte Version von MISTY1.Grundlage fr die Algorithmen f 8 zur Datenverschlsselungund f 9 zur Datenintegritt.Kompromiss zwischen Performance und Sicherheit, dadurchschnelle Implementierung in Software und Hardware.

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Rundenteilschlssel

    Der 128 Bit Hauptschlssel K wird zunchst aufgeteilt in acht16-Bit-Blcke K = K1||K2||K3||K4||K5||K6||K7||K8.Es werden mithilfe von fest vorgegebenen Konstanten Cj dieSchlssel K j = Kj Cj erzeugt.Die Rundenteilschlssel ergeben sich aus folgender Tabelle:

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Aufbau von KASUMI

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Die KASUMI S-Boxen S7 und S9

    Die S-Boxen S7 und S9 sind so entwickelt worden, dass siesowohl in kombinatorischer Logik, wie auch als Lookup-Tabellen mglichst einfach und effizient implementierbar sind.Es besteht die Mglichkeit, sie in Algebraischer Normalform zunotieren, wobei die Anzahl der Terme im Vergleich zu anderenS-Boxen sehr klein ist (3 Terme bei S7 und 2 Terme bei S9).Beispiel: Lookup-Tabelle von S7 (8 Zeilen, 16 Spalten):

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Algebraischer Normalform S7

    Im folgenden seien x0, ..., x6 die Eingabebits und y0, ..., y6 dieAusgabebits von S7:

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Sicherheit von KASUMI

    Steigende Komplexitt durch Verbesserungen wurde meistkritischer bewertet als die Risiken durch nur theoretischrealistische Angriffe.Mgliche Risiken auerhalb des UMTS-Kontexts wurden zwarbetrachtet und Vernderungen am Design berdacht, abernicht immer umgesetzt.Die Sicherheit von KASUMI basiert auf der Nichtlinearitt derS-Boxen S7 und S9 und natrlich auf der Geheimhaltung derSchlssel.Folgende Angriffspunkte wurden bei der Entwicklung vonKASUMI besonders bercksichtigt:

    lineare Kryptoanalysedifferentielle Kryptoanalyseschwache Schlssel

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Angriff auf KASUMI

    Im Jahr 2010 verffentlichten die israelischen Forscher OrrDunkelman, Nathan Keller und Adi Shamir eine Attacke gegenKASUMI.Sandwich-Angriff: Related-Key-Attack, mit dem die Forscherden gesamten 128-Bit Schlssel in 2 Stunden knacken konnten.Nur theoretischer Angriff, denn es werden 4 zum Schlssel Kverwandte Schlssel bentigt, was in der Praxisunwahrscheinlich ist.

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Integritt

    Die Datenintegritt wir mithilfe der MAC-Funktion f9sichergestellt (auch UMTS Integrity Algorithm (UIA) genannt).Die Eingangsparameter fr f9 zur Berechnung der PrfsummeMAC-I (32 Bit) sind:

    IK: Der Integrity Key aus dem AuthentifikationsvektorCOUNT-I (32 Bit): Sequenznummer zur Integrittssicherung(wird pro Nachricht um eins erhht); verhindert Replay-AttackFRESH (32 Bit): ZufallszahlDIRECTION (1 Bit): Zur Kennzeichnung derbertragungsrichtungMESSAGE: beliebig lange Nachricht

    Daraus wird der Padded String (PS)COUNT-I || FRESH || MESSAGE || DIRECTION || 1 || 0 ... 0gebildet (sodass die Blocklnge ein Vielfaches von 64 wird)

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Die Funktion f9

    Quelle: Axel Bolta: Simulation und Analyse von Verschlsselungsalgorithmen am Beispiel von UMTS (2003)

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Datenverschlsselung

    Die Datenverschlsselung wir mithilfe der Funktion f8sichergestellt (auch UMTS Encryption Algorithm (UEA)genannt).Die Funkton f8 ist eine Stromchiffre, die Datenblcke derLnge zwischen 1 und 20000 Bit ver-/entschlsselt.Die Eingangsparameter fr f8 sind:

    CK: Der Cypher Key aus dem AuthentifikationsvektorCOUNT-C (32 Bit): Sequenznummer zur VerschlsselungBEARER (5 Bit): die eindeutige Kennung eines FunkkanalsDIRECTION (1 Bit): Zur Kennzeichnung derbertragungsrichtungLENGTH (16 Bit): gibt die Lnge des bentigtenSchlsselstromblocks an

    Daraus wirdCOUNT-C || BEARER || DIRECTION || 0 ... 0gebildet (sodass die Blocklnge 64 Bit wird)

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Die Funktion f8

    Quelle: Axel Bolta: Simulation und Analyse von Verschlsselungsalgorithmen am Beispiel von UMTS (2003)

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Benutzersicherheit

    Benutzersicherheit= Sicherheit auf Benutzerbene derEndgerteZwei Arten der Benutzersicherheit:

    1 User-to-USIM2 USIM-to-Terminal

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Sichtbarkeit und Konfigurierbarkeit der Sicherheit

    Sichtbarkeit:Der Benutzer wird bei UMTS informiert, ob die Verbindungverschlsselt ist oder nichtWeiterhin wird der Benutzer informiert sobald er das Netzwerkwechselt und der entsprechende Sicherheitsgrad desNetzwerkes wird ihm angezeigt.Wichtig bei Wechsel in ein GSM Netz whrend einesTelefonates, Einkufen im Internet oder hnlichenTransaktionen.

    Manuel Leupold / Christian Polt UMTS-Sicherheit

  • EinleitungUMTS Grundlagen

    UMTS Sicherheitsarchitektur

    Sichtbarkeit und Konfigurierbarkeit der Sicherheit

    Konfigurierbarkeit:Man kann entscheiden ob und wann ein Dienst ausgefhrtwerden soll, in Abhngigkeit bestimmter SicherheitsmerkmaleDienste knnen so konfiguriert werden, dass sie nureingeschrnkt oder garnicht auf dem Gert funktionieren, wennsie nicht den eingestellen Sicherheitsmerkmalen entsprechenz.B. knnen nicht verschlsselte Anrufe sofort abgelehntwerden oder ausgehende Verbindungen in einem nichtverschlsselten Netz werden garnicht erst erlaubt.zustzlich werden nur bestimmte Sicherheitsalgorithmen freine Verbindung akzeptiert

    Manuel Leupold / Christian Polt UMTS-Sicherheit

    EinleitungUMTS GrundlagenUMTS Sicherheitsarchitektur

Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.