UMTS Grundlagen UMTS Sicherheitsarchitekturuhl/PScrypt11/UMTS-Security.pdf · Einleitung UMTS Grundlagen UMTS Sicherheitsarchitektur KurzeEntwicklungsgeschichtederMobiltelefonie...

EinleitungUMTS Grundlagen

UMTS Sicherheitsarchitektur

UMTS-Sicherheit

Manuel Leupold / Christian Polt

30. Mai 2011

Manuel Leupold / Christian Polt UMTS-Sicherheit



Kurze Entwicklungsgeschichte der Mobiltelefonie

Handynetze anfangs nur auf nationaler Ebene und analogverfügbarDurch GSM (Global System for mobile communication)wurden Netze digital und die Sicherheit erhöht (2G - SecondGeneration)GSM sorgt für weltweiten Standard und macht internationaleAnbieter kompatibel zueinander, es gibt weiterhin invereinzelten Ländern Variationen dieses Standards




Kurze Entwicklungsgeschichte der Mobiltelefonie

Ende der 90er gab es dann Handynetze mit UMTS(3G - ThirdGeneration)UMTS vereint öffentliche und private Systeme, Satelliten,Pager etc. und stellt weitere Multimedia Dienste wie. z.B.MMS, Mobile Commerce oder standortabhängige Services zurVerfügungDiese Entwicklung führt(e) zu folgendem Problem:“Datenmenge wird größer, Datensensibilität nimmt zu“Bereits 2001 waren fast 50% der weltweiten Telefonanschlüssemobile Anschlüsse




Wachstum der Mobilfunknutzung




Bezeichnung und technische Merkmale

UMTS (Universal Mobile Telecommunication System) ist dieeuropäische Bezeichnung für Mobilfunksysteme der drittenGenerationWeltweit in Fachkreisen wird es als IMT-2000 bezeichnet(International Mobile Telecommunications)UMTS dient der weltweiten, einheitlichen Nutzung vonSprach- Daten- und Multimediadiensten




Leistung GSM

2G Netze hatten Probleme bei der Datenübertragung durchschlechte Ressourcenverwaltung (5-15 kBit/sÜbertragungsrate)GPRS (General Packet Radio Service) wurde alsPaketvermittlungsdienst nachgerüstet (ca. 30 kBit/sÜbertragungsrate)zusätzlich wurde die EDGE Technologie (Enhanced Dataratefor Global Evolution) entwickelt, was für noch mehr LeistungsorgtTrotz dieser Upgrades ist die Übertragungsrate für moderneServices zu gering




Leistung UMTS

UMTS passt die Bandbreite flexibel an und es sind Datenratenzwischen 384 KBit/s und 2 MBit/s möglichDie Übertragung funktioniert flexibel mit dem CDMAVerfahren (Code Division Multiple Access) anstatt mit starrenZeitschlitzen wie bei GSM üblichHSDPA (High Speed Downlink Packet Access) ist ein Upgradefür UMTS und sorgt für Datenraten bis zu 10 Mbit/s




UMTS Architektur

In vier logische Blöcke unterteilbar:USIM (UMTS Subscriber Identity Module)UE (User Equipment)RAN (Radio Access Network)CN (Core Network)




UMTS Domänen

User Equipment (UE)Access Network (AN)Core Network (CN) mit drei Unterdomänen:

1 Serving Network2 Transit Network3 Home Network




UMTS Komponenten




Allgemein

Basiert auf Sicherheitsarchitektur der GSM Netze, wobei neueMechanismen hinzugefügt wurden, die upgradefähig für dieZukunft sindDie Sicherheitsarchitektur ist in Schichten unterteilt bei denenes zu potentielle Angriffen und Attacken kommen kann.Die Sicherheitsaspekte sind in 5 Gruppen unterteilt:

1 Netzzugangssicherheit (den meisten Angriffen ausgesetzt)2 Netzwerksicherheit3 Benutzersicherheit4 Anwendungssicherheit5 Sichtbarkeit und Konfigurierbarkeit der Sicherheit




Netzzugangssicherheit

Mobilfunkteilernehmer muss im Einzugsgebiet uneingeschränktalle Dienste nutzen können, ohne dass sich unauthorisiertePersonen ein Profil über seine Aufenthaltsorte undBewegungen erstellen können.Identität (IMSI) darf nicht auf der Luftschnittstelle ermitteltwerden können.Zuordnung von Daten und Person darf nicht möglich sein.Wichtige Neuerung in UMTS: Netzwerk muss sich auchgegnüber dem Teilnehmer identifizieren (Vermeidung vonIMSI-Catching durch Man-in-the-Middle).Teilnehmer werden durch temporäre Identitätserkennung(TMSI) identifiziert, IMSI bleibt verschleiert.




Teilnehmer bei der AKA (Authentification and KeyAgreement)

Benutzer mit seinem Mobile System (MS): Besitzt auf seinerUSIM einen 128 Bit-Schlüssel K.Home Environment (HE)/ Home Location Register (HLR):Besitzt den selben Schlüssel K wie der Benutzer.Visitor Location Register (VLR) / Serving GPRS SupportNode (SGSN)




Ablauf der AKA

MS schickt eine Anfrage an VLR/SGSN.VLR/SGSN schickt Authentication data request (enthält IMSIdes Benutzers) an das HE/HLR. Dabei wird die Leitung (CN)als abhörsicher vorausgesetzt.HE/HLR berechnet n Authentifikationsvektoren und schicktdiese über das CN an das VLR/SGSN zurück.Das VLR/SGSN wählt den nächsten AuthentifikationsvektorAV aus und sendet daraus die Parameter RAND und AUTN anden Teilnehmer (MS).




Berechnung eines Authentifikationsvektor

Quelle: Axel Bolta: Simulation und Analyse von Verschlüsselungsalgo-rithmen am Beispiel von UMTS (2003)




Ablauf der AKA (Fortsetzung)

Nachdem MS die Parameter RAND und AUTN vomVLR/SGSN erhalten hat, berechnet er AK mithilfe derFunktion f 5.Damit berechnet er sich die SQN aus den ersten 48 Bit vonAUTN durch SQN = (SQN ⊕AK )⊕AK und überprüft, ob sienoch nicht abgelaufen ist.Nun überprüft er die Gültigkeit des MAC, indem erXMAC = f 1K (SQN||RAND||AMF ) berechnet und die Wertevergleicht.MS kann sich nun sicher sein, dass SQN, RAND und AMFkorrekt sind und daraus mithilfe der Funktionen f2, f3 und f4die die Antwort RES und die Schlüssel CK und IK berechnen.Die Antwort RES schickt er nun an VLR/SGSN zurückVLR/SGSN vergleicht die erhaltene Antwort RES mit dererwarteten Antwort XRES aus dem Authentifikationsvektor.




KASUMI

KASUMI wurde um 1999 von 3GPP entwickelt und ist einemodifizierte Version von MISTY1.Grundlage für die Algorithmen f 8 zur Datenverschlüsselungund f 9 zur Datenintegrität.Kompromiss zwischen Performance und Sicherheit, dadurchschnelle Implementierung in Software und Hardware.




Rundenteilschlüssel

Der 128 Bit Hauptschlüssel K wird zunächst aufgeteilt in acht16-Bit-Blöcke K = K1||K2||K3||K4||K5||K6||K7||K8.Es werden mithilfe von fest vorgegebenen Konstanten Cj dieSchlüssel K ′

j = Kj ⊕ Cj erzeugt.Die Rundenteilschlüssel ergeben sich aus folgender Tabelle:




Aufbau von KASUMI




Die KASUMI S-Boxen S7 und S9

Die S-Boxen S7 und S9 sind so entwickelt worden, dass siesowohl in kombinatorischer Logik, wie auch als Lookup-Tabellen möglichst einfach und effizient implementierbar sind.Es besteht die Möglichkeit, sie in Algebraischer Normalform zunotieren, wobei die Anzahl der Terme im Vergleich zu anderenS-Boxen sehr klein ist (3 Terme bei S7 und 2 Terme bei S9).Beispiel: Lookup-Tabelle von S7 (8 Zeilen, 16 Spalten):




Algebraischer Normalform S7

Im folgenden seien x0, ..., x6 die Eingabebits und y0, ..., y6 dieAusgabebits von S7:




Sicherheit von KASUMI

Steigende Komplexität durch Verbesserungen wurde meistkritischer bewertet als die Risiken durch nur theoretischrealistische Angriffe.Mögliche Risiken außerhalb des UMTS-Kontexts wurden zwarbetrachtet und Veränderungen am Design überdacht, abernicht immer umgesetzt.Die Sicherheit von KASUMI basiert auf der Nichtlinearität derS-Boxen S7 und S9 und natürlich auf der Geheimhaltung derSchlüssel.Folgende Angriffspunkte wurden bei der Entwicklung vonKASUMI besonders berücksichtigt:

lineare Kryptoanalysedifferentielle Kryptoanalyseschwache Schlüssel




Angriff auf KASUMI

Im Jahr 2010 veröffentlichten die israelischen Forscher OrrDunkelman, Nathan Keller und Adi Shamir eine Attacke gegenKASUMI.„Sandwich-Angriff“: Related-Key-Attack, mit dem die Forscherden gesamten 128-Bit Schlüssel in 2 Stunden knacken konnten.Nur theoretischer Angriff, denn es werden 4 zum Schlüssel K„verwandte“ Schlüssel benötigt, was in der Praxisunwahrscheinlich ist.




Integrität

Die Datenintegrität wir mithilfe der MAC-Funktion f9sichergestellt (auch UMTS Integrity Algorithm (UIA) genannt).Die Eingangsparameter für f9 zur Berechnung der PrüfsummeMAC-I (32 Bit) sind:

IK: Der Integrity Key aus dem AuthentifikationsvektorCOUNT-I (32 Bit): Sequenznummer zur Integritätssicherung(wird pro Nachricht um eins erhöht); verhindert Replay-AttackFRESH (32 Bit): ZufallszahlDIRECTION (1 Bit): Zur Kennzeichnung derÜbertragungsrichtungMESSAGE: beliebig lange Nachricht

Daraus wird der Padded String (PS)COUNT-I || FRESH || MESSAGE || DIRECTION || 1 || 0 ... 0gebildet (sodass die Blocklänge ein Vielfaches von 64 wird)




Die Funktion f9

Quelle: Axel Bolta: Simulation und Analyse von Verschlüsselungsalgorithmen am Beispiel von UMTS (2003)




Datenverschlüsselung

Die Datenverschlüsselung wir mithilfe der Funktion f8sichergestellt (auch UMTS Encryption Algorithm (UEA)genannt).Die Funkton f8 ist eine Stromchiffre, die Datenblöcke derLänge zwischen 1 und 20000 Bit ver-/entschlüsselt.Die Eingangsparameter für f8 sind:

CK: Der Cypher Key aus dem AuthentifikationsvektorCOUNT-C (32 Bit): Sequenznummer zur VerschlüsselungBEARER (5 Bit): die eindeutige Kennung eines FunkkanalsDIRECTION (1 Bit): Zur Kennzeichnung derÜbertragungsrichtungLENGTH (16 Bit): gibt die Länge des benötigtenSchlüsselstromblocks an

Daraus wirdCOUNT-C || BEARER || DIRECTION || 0 ... 0gebildet (sodass die Blocklänge 64 Bit wird)




Die Funktion f8

Quelle: Axel Bolta: Simulation und Analyse von Verschlüsselungsalgorithmen am Beispiel von UMTS (2003)




Benutzersicherheit

Benutzersicherheit= Sicherheit auf Benutzerbene derEndgeräteZwei Arten der Benutzersicherheit:

1 “User-to-USIM“2 “USIM-to-Terminal“




Sichtbarkeit und Konfigurierbarkeit der Sicherheit

Sichtbarkeit:Der Benutzer wird bei UMTS informiert, ob die Verbindungverschlüsselt ist oder nichtWeiterhin wird der Benutzer informiert sobald er das Netzwerkwechselt und der entsprechende Sicherheitsgrad desNetzwerkes wird ihm angezeigt.Wichtig bei Wechsel in ein GSM Netz während einesTelefonates, Einkäufen im Internet oder ähnlichenTransaktionen.




Sichtbarkeit und Konfigurierbarkeit der Sicherheit

Konfigurierbarkeit:Man kann entscheiden ob und wann ein Dienst ausgeführtwerden soll, in Abhängigkeit bestimmter SicherheitsmerkmaleDienste können so konfiguriert werden, dass sie nureingeschränkt oder garnicht auf dem Gerät funktionieren, wennsie nicht den eingestellen Sicherheitsmerkmalen entsprechenz.B. können nicht verschlüsselte Anrufe sofort abgelehntwerden oder ausgehende Verbindungen in einem nichtverschlüsselten Netz werden garnicht erst erlaubt.zusätzlich werden nur bestimmte Sicherheitsalgorithmen füreine Verbindung akzeptiert


UMTS Grundlagen UMTS Sicherheitsarchitekturuhl/PScrypt11/UMTS-Security.pdf · Einleitung UMTS Grundlagen UMTS Sicherheitsarchitektur KurzeEntwicklungsgeschichtederMobiltelefonie...

Documents