View
0
Download
0
Category
Preview:
Citation preview
1
Sicherheit in der Mobilkommunikation
1 Mobilkommunikation und mehrseitige Sicherheit
1.1 Mobilkommunikation
1.2 Mehrseitige Sicherheit
1.3 Angreifermodell
1.4 Abgeleitete Sicherheitsma§nahmen
2 Mobilkommunikation am Beispiel GSM
2.1 Allgemeines
2.2 Struktur von GSM
2.3 Datenbanken des GSM
2.4 Sicherheitsrelevante Prozeduren und
Funktionen
2
3 Mobilitts- und Verbindungsmanagement am Beispiel GSM
3.1 Location Management allgemein
3.2 Erstellbarkeit von Bewegungsprofilen allgemein
3.3 Location Update Prozeduren
3.4 Rufaufbau (Call Setup) im GSM
3.5 Erstellbarkeit von Bewegungsprofilen im GSM
3.6 Bekannte Angriffe auf GSM-Sicherheitsfunktionen
3.7 Zusammenfassung der Sicherheitsprobleme
4 Verfahren zum Schutz von Aufenthaltsinformation
4.1 Allgemeines
4.1 Systematik
Sicherheit in der Mobilkommunikation
3
Sicherheit in der Mobilkommunikation
5 Methoden mit ausschlie§lichem Vertrauen in die Mobilstation
5.1 Vermeidung von Lokalisierungsinformation
5.2 Variable implizite Adressen
5.3 Methode der Gruppenpseudonyme
6 Methoden mit zustzlichem Vertrauen in einen eigenen ortsfesten
Bereich
6.1 Adre§umsetzungsmethode mit Verkleinerung der Broadcast-
Gebiete
6.2 Explizite Speicherung der Lokalisierungsinformation in einer
Trusted Fixed Station
6.3 Pseudonymumsetzung in einer vertrauenswrdigen Umgebung
mit der Methode der temporren Pseudonyme
6.4 Sicherheitsbetrachtungen
4
7 Methoden mit zustzlichem Vertrauen in einen fremden ortsfesten
Bereich
7.1 Organisatorisches Vertrauen: Vertrauen in eine Trusted Third
Party
7.2 Methode der kooperierenden Chips
7.3 Mobilkommunikationsmixe
8 Mobilitt im Internet
8.1 Mobile IP: Prinzip und Sicherheitsfunktionen
8.2 Mobile IP und Schutz von Aufenthaltsorten
9 Zusammenfassung
Sicherheit in der Mobilkommunikation
5
Organisatorisches
¥ Lehrbeauftragter
Ð Dr.-Ing. Hannes Federrath
Ð E-Mail: federrath@inf.tu-dresden.de
¥ Art der Lehrveranstaltung
Ð Wahlpflichtlehrveranstaltung, 2 SWS Vorlesung
Ð Zuordnung zur Vertiefungsrichtung ÇTechnischer DatenschutzÈ
¥ Erwnschte Vorkenntnisse
Ð Grundlagen Rechnernetze/verteilte Systeme
Ð Grundkenntnisse Datensicherheit/Kryptographie
¥ Lehrveranstaltungsmaterial:
Ð http://www.inf.tu-dresden.de/~hf2/mobil/
¥ Form des Abschlusses:
Ð Mndliche Prfung oder Schein
6
Mobilkommunikation Ð Einfhrung
¥ Unterschiede Festnetz- und Mobilkommunikation
Ð Teilnehmer bewegen sich
Ð Bandbreite auf der Luftschnittstelle knapp
Ð Luftschnittstelle stranflliger als Leitungen des festen Netzes:
¥ zeitweilige Diskonnektivitt
Ð Luftschnittstelle bietet neue Angriffsmglichkeiten:
¥ erleichterte Abhrmglichkeit
¥ Peilbarkeit
7
1. Mobilittsformen
¥ Terminal Mobility:
Ð Beispiel: Funktelefon
¥ drahtlose Kommunikationsschnittstelle
¥ mobiles Endgert
¥ Personal Mobility:
Ð Beispiel: ffentliche Terminals
¥ Teilnehmer ist mobil
¥ bewegungsunabhngige Adresse
¥ Endgert ist nicht notwendigerweise mobil
¥ Session Mobility:
Ð ÇEinfrieren einer SessionÈ und sptere Reaktivierung an einem
anderen Ort oder/und Endgert.
Mobilkommunikation Ð Einteilungsmglichkeiten
8
Mobilkommunikation Ð Einteilungsmglichkeiten
2. Wellenbereiche
Ð Funkwellen (f = 100 MHz bis mehrere GHz)
Ð Lichtwellen (infrarot)
Ð Schallwellen (bisher ungebruchlich)
3. Zellengr§e
Ð Pikozellen d < 100 m
Ð Mikrozellen d < 1 km
Ð Makrozellen d < 20 km
Ð Hyperzellen d < 60 km
Ð Overlay-Zellen d < 400 km
Weitere
Ð Punkt-zu-Punkt-Kommunikation, Broadcast (Pagerdienste)
Ð Analog, Digital
Ð Simplex, Duplex
9
Beispiele fr mobile Netze
¥ Pagerdienste (Scall, TeLMI)
¥ Datendienste (Modacom)
¥ Sprachdienste = Massenmarkt
Ð 1. Generation: analog
¥ C-Netz, Cordless Telephone, AMPS
Ð 2. Generation: digital
¥ GSM, DCS-1800, DECT
Ð 3. Generation: diensteintegrierend
¥ UMTS/IMT-2000/FPLMTS
¥ Satellitendienste
Ð Iridium, Inmarsat, Globalstar, Odyssey
Ð GPS (Global Positioning System)
¥ Internet (Mobile IP)
10
Sicherheitsanforderungen an mobile Systeme
¥ Bsp. f. Sicherheitsanforderungen: Cooke, Brewster (1992)
Ð protection of user data
Ð protection of signalling information, incl. location
Ð user authentication, equipment verification
Ð fraud prevention (correct billing)
¥ Allgemein
Ð Schutz der Vertraulichkeit
Ð Schutz der Integritt
Ð Zurechenbarkeit
Ð Verfgbarkeit
¥ Mobiles Umfeld kann nicht als
vertrauenswrdig vorausgesetzt werden
11
Vertraulichkeit, Integritt, Zurechenbarkeit, Verfgbarkeit
¥ Schutz der Inhaltsdaten (ÇWorber?È)
Ð vor allen Instanzen au§er den Kommunikationspartnern!
¥ Schutz der Verkehrsdaten (ÇWer mit wem?È)
Ð Mglichkeit zur anonymen und unbeobachtbaren Kommunikation
Ð auch gegenber dem Netzbetreiber!
¥ Schutz des Aufenthaltsorts (ÇWo?È)
Ð Schutzziel: Verhindern der Erstellbarkeit von Bewegungsprofilen
¥ Schutz vor (Ver)-Flschung
Ð Inhalte und Absender
¥ Sende- und Empfangsnachweise
Ð Digitale Signaturen
¥ Sichere Abrechnungsverfahren
Ð auch gegenber dem Netzbetreiber!
Ð Anonymitt und Unbeobachtbarkeit mu§ erhalten bleiben!
¥ Verfgbarkeit
Inhalte
Senden
Empfangen
Ort
Bezahlung
Inhalte
Absender
Empfnger
12
KommunikationsgegenstandWAS?
KommunikationsumstndeWANN?, WO?, WER?
Vertraulichkeit
Integritt
AnonymittUnbeobachtbarkeit
ZurechenbarkeitRechtsverbindlichkeit
InhalteSender
Empfnger
Ort
BezahlungInhalte Absender
Empfnger
Was ist zu schtzen?
Juristisch: Juristisch: personenbezogenepersonenbezogene Daten Daten
Technisch: Inhaltsdaten und VerkehrsdatenTechnisch: Inhaltsdaten und Verkehrsdaten
13
Maximal bercksichtigte Strke des Angreifers
Schutz vor einem allmchtigen Angreifer ist unmglich.
Ð Rollen des Angreifers (Au§enstehender, Benutzer, Betreiber,
Wartungsdienst, Produzent, Entwerfer É), auch kombiniert
Ð Verbreitung des Angreifers
Ð Verhalten des Angreifers
¥ passiv / aktiv
¥ beobachtend / verndernd (bzgl. seiner erlaubten
Handlungen)
Ð dumm / intelligent
¥ Rechenkapazitt:
Ð unbeschrnkt: informationstheoretisch
Ð beschrnkt: komplexittstheoretisch
Zeit
Geld
14
Angreifermodell
¥ Aktive oder passive Rolle des Angreifers
Ð Was kann der Angreifer maximal passiv beobachten?
Ð Was kann der Angreifer maximal aktiv kontrollieren?
Ð Was kann der Angreifer aktiv verndern?
Konkret:
¥ Angreifer au§erhalb des Netzes (Outsider):
nur passive (abhrend, beobachtend)
¥ Angreifer innerhalb den Netzes (Insider):
passive und aktive (hier: Daten verndernde Angriffe)
¥ Generell: Insider und Outsider knnen Verfgbarkeit auf der
Funkschnittstelle stren
15
Angreifermodell
¥ Mchtigkeit des Angreifers
Ð Wieviel Rechenkapazitt besitzt der Angreifer?
Ð Wieviel finanzielle Mittel besitzt der Angreifer?
Ð Wieviel Zeit besitzt der Angreifer?
Ð Welche Verbreitung hat der Angreifer? Oder spezieller: Welche
Leitungen, Kanle, Stationen kann der Angreifer beherrschen?
Konkrete Verbreitung
¥ Endgert: sicher gegen Manipulation = Vertrauensbereich
¥ Netzkomponenten: sicher gegenber Outsidern, unsicher gegenber
Insidern
¥ Funkschnittstelle: Peilbarkeit sendender Funkstationen (Insider und
Outsider)
16
Sicherheitsma§nahmen
Vertr. Integr. Verf.Ende-zu-Ende-Sicherung der Inhalte x xzustzliche Verschlsselung der Signalisierdaten x x (x)Schutz vor Peil- und Ortbarkeit:Spread Spectrum x xSchutz der Kommunikationsbeziehungen xSchutz des Aufenthaltsortes / DatenschutzgerechteVerwaltung der Aufenthaltsorte
x
Gegenseitige Authentikation der Teilnehmer, aberauch der Netzkomponenten untereinander
x x
Organisatorische Aspekte: Befugnisse desWartungsdienstes genau definieren
x x x
(Hersteller)-Unabhngigkeit der Netzkomponenten x xAnonyme Netzbenutzung (Wertkarten) xMehrseitig sichere, ggf. anonyme Abrechnung x x (x)
17
Mobilkommunikation am Beispiel GSM
Ð Ursprnglich: Groupe Spciale Mobil der ETSI
¥ Leistungsmerkmale des Global System for Mobile Communication
Ð hohe, auch internationale Mobilitt
Ð hohe Erreichbarkeit unter einer (international) einheitlichen Rufnummer
Ð hohe Teilnehmerkapazitt
Ð recht hohe bertragungsqualitt und -zuverlssigkeit durch effektive
Fehlererkennungs- und -korrekturverfahren
Ð hoher Verfgbarkeitsgrad (Flchendeckung zwischen 60 und 90%)
Ð als Massendienst geeignetes Kommunikationsmedium
Ð flexible Dienstgestaltung
¥ Dienstevielfalt
¥ Entwicklungsfhigkeit
18
Mobilkommunikation am Beispiel GSM
Ð Ursprnglich: Groupe Spciale Mobil der ETSI
¥ Leistungsmerkmale des Global System for Mobile Communication
Ð eingebaute Sicherheitsmerkmale
¥ Zugangskontrolldienste (PIN, Chipkarte)
¥ Authentikations- und Identifikationsdienste
¥ Untersttzung von temporren Identifizierungsdaten (Pseudonymen)
¥ Abhrsicherheit fr Outsider auf der Funkschnittstelle
Ð relativ niedriges Kostenniveau
Ð priorisierter Notrufdienst
Ð Ressourcenkonomie auf der Funkschnittstelle durch FDMA, TDMA,
Sprachkodierung, Warteschlangentechniken, OACSU (Off Air Call Setup)
19
Struktur von GSM
¥ Architekturkonzept Ð die Erste
Operation and Mantainance Center
Location Registers
Mobile Switching Center
Mobile Switching Center
Base Station Controller
Base Station Controller
Base Transceiver Station
Base Transceiver Station
...
MSMS
MSMS
MS
Base Station Subsystem
20
Struktur von GSM
¥ Logischer Netzaufbau
BTS
MS
LA
MSC
MSC
HLR AuC EIR
VLR
VLR
BSC
MSC VLR
HLR: Home Location RegisterAuC: Authentication CenterEIR: Equipment Identity RegisterMSC: Mobile Switching CenterVLR: Visitor Location RegisterBSC: Base Station ControllerBTS: Base Transceiver StationMS : Mobile StationLA : Location Area
21
Struktur von GSM
¥ Architekturkonzept Ð die Zweite
PSTN/ISDN
Network and switching subsystemFixed network
Datanetworks
BTS
BTS
Base stationsubsystem
OMC
(G)MSC BSC
Call Management
Network Management
MS
MS
Operation subsystem
VLR HLR AuC EIR
22
Location Management im GSM
¥ Grundprinzip verteilte Speicherung
Ð Verteilte Speicherung ber Register
¥ Home Location Register und Visitor Location Register
Ð Netzbetreiber hat stets globale Sicht auf Daten
Ð Bewegungsprofile sind erstellbar
HLR
Datenbank-abfrage
Vermittlung des Rufs ins LA
VLRAdresse
des VLR:
A
Adresse
des LA:
LAI
Datenbank-abfrage
weit entfernt vom LA in der Nähe des LA
VLR
MSISDNenthält
Nummer des
HLR
incoming call:
A
Broadcast im LA
MS
besuchtes LA
BBTS
23
Defizite in existierenden Netzen am Beispiel GSM
¥ Bsp. f. Sicherheitsanforderungen: Cooke, Brewster (1992)
Ð protection of user data
Ð protection of signalling information, incl. location
Ð user authentication, equipment verification
Ð fraud prevention (correct billing)
¥ Datenschutzdefizite (Auswahl)
Ð geheimgehaltene symmetrische Kryptoverfahren
Ð schwacher Schutz des Ortes gegen Outsider
Ð kein Schutz gegen Insiderangriffe (Inhalte, Aufenthaltsorte)
Ð keine Ende-zu-Ende-Dienste (Authentikation, Verschlsselung)
Ð Vertrauen des Nutzers in korrekte Abrechnung ist ntig
Ð keine anonyme Netzbenutzung mglich
¥ Fazit: Stets werden externe Angreifer betrachtet.
Ð GSM soll lediglich das Sicherheitsniveau existierender Festnetze
erreichen.
24
Datenbanken des GSM
¥ Home Location Register (HLR)
Semipermanente Daten
Ð IMSI (International Mobile Subscriber Identity): max. 15 Ziffern
¥ Mobile Country Code (MCC, 262) + Mobile Network Code (MNC,
01/02) + Mobile Subscriber Identification Number (MSIN)
Ð MSISDN (Mobile Subscriber International ISDN Number): 15 Ziffern
¥ Country Code (CC, 49) + National Destination Code (NDC, 171/172)
+ HLR-Nummer + Subscriber Number (SN)
Ð Bestandsdaten ber den Subscriber (Name, Adresse, Kto.-Nr. etc.)
Ð gebuchtes Dienstprofil (Prioritten, Anrufweiterleitung,
Dienstrestriktionen, z.B. Roaming-Einschrnkungen)
HLR
25
Datenbanken des GSM
¥ Home Location Register (HLR)
Temporre Daten
Ð VLR-Adresse, MSC-Adresse
Ð MSRN (Mobile Subscriber Roaming Number): Aufenthaltsnummer
¥ CC + NDC + VLR-Nummer
Ð Authentication Set, bestehend aus mehreren Authentication Triples:
¥ RAND (128 Bit),
¥ SRES (32 Bit) ,
¥ Kc (64 Bit)
Ð Gebhren-Daten fr die Weiterleitung an die Billing-Centres
HLR
26
Datenbanken des GSM
¥ Home Location Register (HLR)
¥ Visitor Location Register (VLR)
Ð IMSI, MSISDN
Ð TMSI (Temporary Mobile Subscriber Identity)
Ð MSRN
Ð LAI (Location Area Identification)
Ð MSC-Adresse, HLR-Adresse
Ð Daten zum gebuchten Dienstprofil
Ð Gebhren-Daten fr die Weiterleitung an die Billing-Centers
VLR
HLR
27
Datenbanken des GSM
¥ Home Location Register (HLR)
¥ Visitor Location Register (VLR)
¥ Equipment Identity Register (EIR)
Ð IMEI (International Mobile
Station Equipment Identity): 15 Ziffern
= Seriennummer der Mobilstation
¥ white-lists (zugelassene Endgerte,
nur verkrzte IMEI gespeichert)
¥ grey-lists (fehlerhafte Endgerte,
die beobachtet werden)
¥ black-lists (gesperrte)
VLR
EIR
HLR
28
Sicherheitsrelevante Funktionen des GSM
¥ berblick
Ð Subscriber Identity Module (SIM, Chipkarte)
¥ Zugangskontrolle und Kryptoalgorithmen
Ð einseitige Authentikation (Mobilstation vor Netz)
¥ Challenge-Response-Verfahren (Kryptoalgorithmus: A3)
Ð Pseudonymisierung der Teilnehmer auf der Funkschnittstelle
¥ Temporary Mobile Subscriber Identity (TMSI)
Ð Verbindungsverschlsselung auf der Funkschnittstelle
¥ Schlsselgenerierung: A8
¥ Verschlsselung: A5
29
Subscriber Identity Module (SIM)
¥ Spezielle Chipkarte mit Rechenkapazitt
Gespeicherte Daten:
Ð IMSI (interne Teilnehmerkennung)
Ð teilnehmerspezifischer symmetrischer Schlssel Ki (Shared Secret Key)
Ð PIN (Personal Identification Number) fr Zugangskontrolle
Ð TMSI
Ð LAI
Krypto-Algorithmen:
Ð Algorithmus A3 fr Challenge-Response-Authentikationsverfahren
Ð Algorithmus A8 zur Generierung von Kc (Session Key)
30
Challenge-Response-Authentikation
¥ Wann vom Netz initiiert?
Ð Aufenthaltsregistrierung (Location Registration)
Ð Aufenthaltswechsel (Location Update) mit VLR-Wechsel
Ð Call Setup (in beiden Richtungen)
Ð Kurznachrichtendienst SMS (Short Message Service)
¥ Protokoll
=
MS MSC/VLR/AuC
Authentication Request
RAND
SRES
Authentication Response
Random Generator
A3
Ki
A3
Ki
Authentication Result
max. 128 Bit
32 Bit
128 Bit
31
Challenge-Response-Authentikation
¥ Algorithmus A3
Ð auf SIM und im AuC untergebracht
Ð mit Ki parametrisierte Einwegfunktion
Ð nicht (europaweit, weltweit) standardisiert
Ð kann vom Netzbetreiber festgelegt werden:
¥ Authentikationsparameter werden vom Netzbetreiber an das prfende
(d.h. das besuchte) MSC bermittelt
¥ dort lediglich Vergleichsoperation
¥ besuchtes MSC mu§ der Gte von A3 vertrauen
Ð Schnittstellen sind standardisiert
=
MS MSC/VLR/AuC
Authentication Request
RAND
SRES
Authentication Response
Random Generator
A3
Ki
A3
Ki
Authentication Result
max. 128 Bit
32 Bit
128 Bit
32
=
MS MSC/VLR/AuC
Authentication Request
RAND
SRES
Authentication Response
Random Generator
A3
Ki
A3
Ki
Authentication Result
max. 128 Bit
32 Bit
128 Bit
Angriffe
¥ Kritik
Ð kryptographische Mechanismen geheim, also nicht ÇwohluntersuchtÈ
¥ Folge: Schwchen nicht auszuschlie§en
¥ Angriff: SIM-Cloning
Ð symmetrisches Verfahren
¥ Folge: Speicherung nutzerspezifischer geheimer Schlssel beim
Netzbetreiber erforderlich
¥ Angriff: ÇAbfangenÈ von Authentication Triplets
Ð keine gegenseitige Authentikation vorgesehen
¥ Folge: Angreifer kann ein GSM-Netz vortuschen
¥ Angriff: IMSI-Catcher
33
ÇSIM-CloningÈ
¥ Angriffsziel
Ð Telefonieren auf Kosten anderer Teilnehmer
Ð beschrieben von Marc Briceno (Smart Card Developers Association), Ian
Goldberg und Dave Wagner (beide University of California in Berkeley)
Ð http://www.isaac.cs.berkeley.edu/isaac/gsm.html
Ð Angriff bezieht sich auf Schwche des Algorithmus COMP128, der A3/A8
implementiert
Ð SIM-Karte (incl. PIN) mu§ sich in zeitweiligem Besitz des Angreifers
befinden
¥ Aufwand
Ð ca. 150.000 Berechnungsschritte, um Ki (max. 128 Bit) zu ermitteln
Ð derzeit ca. 8 - 12 Stunden
34
ÇAbfangenÈ von Authentication Sets
¥ Angriffsziel
Ð Telefonieren auf Kosten anderer Teilnehmer
Ð beschrieben von Ross Anderson (Universitt Cambridge)
Ð Abhren der unverschlsselten netzinternen Kommunikation bei
Anforderung der Authentication Triples vom AuC durch das besuchte
VLR/MSC
¥ Angriff beruht auf folgender ÇSchwcheÈ
Ð GSM-Standard beschreibt gr§tenteils Implementierung von
Schnittstellen zwischen den Netzkomponenten
Ð Verschlsselung der Authentication Sets bei bermittlung vom AuC zum
VLR/MSC nicht vorgesehen
35
Verschlsselung auf der Funkschnittstelle
originator device radio transmission(encrypted)
BTS fixed network(not encrypted)
Gateway-MSC
database
terminating device radio transmission(encrypted)
BTS fixed network(not encrypted)
domain of network operator 1
domain of network operator 2
Richtfunk-strecke(unverschlsselt)
36
ÇAbfangenÈ von Authentication Sets
fakedmobile station visited network home network
(any message)
air interface
TMSIKiRAND
A5
A3+A8
SRESÕ
A5
=
auth. res.
Auth. Request
RAND
Auth. Response
SRES
Ciphering Mode Cmd.
Start Ciphering
Ciphering Mode Compl.
Provide Auth. Info
microwave link(not encrypted)
Authentication Information
RAND, SRES, Kc
mappingTMSIÐIMSI IMSI
storeauth. info
storeauth. info
Lookup
Kc
Interception of Authentication Triplets
RAND, SRES, Kc
......
...
Kc
37
Pseudonymisierung auf der Funkschnittstelle
¥ TMSI (Temporary Mobile
Subscriber Identity)
Ð soll Verkettung von
Teilnehmeraktionen
verhindern
Ð Algorithmus zur
Generierung der TMSI
legt Netzbetreiber fest
Ð bei erster Meldung
(oder nach Fehler) wird
IMSI bertragen
¥ Neuvergabe einer TMSI
bei unbekannter alter
TMSI
Ð Identity Request
Ð ... kann jederzeit von
Netz gesendet werden
MS Netz
alte TMSI im SIM (beliebige Nachricht, in der TMSI verwendet wird)
VLR: keine Zuordnung
TMSI — IMSImöglich
Authentikation
VLR: Neuver-gabe TMSI
Identity Response
Identity Request
IMSI aus SIM
IMSI
TMSI Reallocation Command
BSC: Chiffr. A5
cipher(TMSI new)
A5
Kc
LAI old, TMSI old
SpeicherungTMSI new
38
Pseudonymisierung auf der Funkschnittstelle
¥ TMSI (Temporary Mobile
Subscriber Identity)
Ð soll Verkettung von
Teilnehmeraktionen
verhindern
Ð Algorithmus zur
Generierung der TMSI
legt Netzbetreiber fest
Ð bei erster Meldung
(oder nach Fehler) wird
IMSI bertragen
MS Netz
TMSI Reallocation Command
alte TMSI im SIM
LAI old, TMSI old
(beliebige Nachricht, in der TMSI verwendet wird)
VLR: Zuordnung TMSI — IMSI
Authentikation
BSC: Chiffr. A5
VLR: Neuver-gabe TMSI
cipher(TMSI new)
A5
neue TMSI im SIM
TMSI Reallocation Complete
Kc
SpeicherungTMSI new
LöschungTMSI oldSpeicherung
TMSI new
39
Verschlsselung auf der Funkschnittstelle
¥ Schlsselgenerierung: Algorithmus A8
Ð auf SIM und im AuC untergebracht
Ð mit Ki parametrisierte Einwegfunktion
Ð nicht (europaweit, weltweit) standardisiert
Ð kann vom Netzbetreiber festgelegt werden
Ð Schnittstellen sind standardisiert
Ð Kombination A3/A8 bekannt als COMP128
MS Netz
(Authentication Request)
RAND
Random Generator
A8
Ki
A8
Ki
Kcin HLR gespeichert
in BSC benutzt
max. 128 Bit
64 Bit
128 Bit
Kcin SIM gespeichert
in MS benutzt
40
Verschlsselung auf der Funkschnittstelle
¥ Datenverschlsselung: Algorithmus A5
Ð in der Mobilstation (nicht im SIM !) untergebracht
Ð europa- bzw. weltweit standardisiert
Ð schwcherer Algorithmus A5* oder A5/2 fr bestimmte Staaten
MS Netz
(Verschlüsselungsmodus)
A5
Kc
A5
Kc
TDMA-Rahmen-nummer
64 Bit
Klartext-block
22 Bit
TDMA-Rahmen-nummer
114 BitSchlüssel-block
Schlüsseltext
Klartext-block
Ciphering Mode Command
(Ciphering Mode Complete)Verbindungs-
verschlsselung
41
Verschlsselung auf der Funkschnittstelle
¥ Ciphering Mode Command (GSM 04.08)
¥ Cipher mode setting information element
8 7 6 5 4 3 2 11 0 0 1 0 0 0 SC=0 No chiphering
Ciph mode set IEI Spare Spare Spare SC=1 Start ciphering
Informationselement Lnge in BitProtocol discriminatorTransaction discriminator 16Message typeCiphering mode setting 8
42
IMSI-Catcher
knows identities
suppress ciphering
MS IMSI Catcher network
Location Upd. Request (TMSI)
Identity Request
Identity Response (IMSI)
Note: The IMSI Catcher sends its Òlocation area identityÓ with a higher power than the genuine
Location Upd. Request (IMSI)
Authentication Request (RAND)
Authentication Response (SRES)
Ciph. Mode Cmd. (Start Ciph.)
Ciphering Mode Complete (Fault)
Location Updating Accept
TMSI Reallocation Complete
Authentication Request (RAND)
Authentication Response (SRES)
TMSI Realloc. Cmd. (TMSI new)
Ciph. Mode Cmd. (No Ciphering)
Location Updating Accept
TMSI Reallocation Complete
TMSI Realloc. Cmd. (TMSI new)
Ciph. Mode Cmd. (No Ciphering)
BCCH BCCH¥ Angriffsziele
Ð Welche Teilnehmer
halten sich in der
Funkzelle auf?
Ð Gesprche mithren
¥ Man-in-the-middle
attack (Maskerade)
¥ Abwehr:
Ð Gegenseitige
Authentikation:
MS Ñ Netz
und
Netz Ñ MS
43
Zusammenspiel der SicherheitsfunktionenMS Netz
TMSI Reallocation Command
TMSI old, LAI old
Location Updating Request
RAND, SRES, Kc, IMSI, TMSI
A5
TMSI Reallocation Complete
Kc Ciphering Mode Command
=
Authentication Request
RAND
SRES
Authentication Response
A3 + A8
Ki
SRES
Ciphering Mode Complete
Kc
Location Updating Accept
A5
A5
A5
A5
A5
A5
A5
Ki, IMSI, TMSI
44
Location Management allgemein
¥ Zentral
Ð Jede Aktualisierung, d.h. Wechsel des Location Area (LA), erfordert
Kommunikation mit Home Location Register (HLR)
Ð Ineffizient bei gro§er Entfernung zwischen HLR und und aktuellem
Aufenthaltsort bzw. hoher Location Update Rate (LUP-Rate)
¥ Diese Form der Speicherung wird bei Mobile IP verwendet
Ð HLR entspricht dem Home Agent
speichert Adresse des LA zusammen mit der MSISDN
HLR
Broadcast im LA
MSISDNenthältNummer desHLR
incoming call:
Datenbank-abfrage
Vermittlung des Rufs ins LA
MS
besuchtes LA
B
A
BTS
MSISDN, LAI
45
Location Management allgemein
¥ Zweistufig
Ð Wechsel des LA wird dem Visitor Location Register (VLR) signalisiert
Ð Ein VLR bedient einen begrenzten geographischen Bereich (VLR-Area)
Ð Wechsel des VLR-Area wird dem HLR signalisiert
Ð Zweck: Reduzieren der Signalisierlast im Fernbereich
Ð Tradeoff: Verzgerung des Rufaufbaus (mobile terminated) durch
zustzliche Datenbankanfrage an VLR
HLR
Datenbank-
abfrage
Vermittlung des
Rufs ins LA
VLR
Adressedes VLR:A
Adressedes LA:LAI
Datenbank-
abfrage
weit entfernt vom LA in der Nähe des LA
BroadcastMSISDN
VLR
46
Location Management allgemein
¥ Mehrstufig
Ð Verallgemeinerung des mehrstufigen Falls
Ð Fr Systeme der sogenannten 3. Generation vorgesehen (UMTS,
FPLMTS, IMT-2000)
Ð Register sind nicht zwingend hierarchisch, z.B. bei ÈForwardingÇ
Datenbankabfragen/Weitervermittlung
HLR
BroadcastMSISDN
Entfernung vom LA
A ...
R2 R3 Rn
LAIA A
Granularität der Lokalisierungsinformationgrob
groß klein
fein
R2 R3 R4
R1
47
Location Update Situationen
a) Wechsel der Funkzelle b) Wechsel des LA c) Wechsel des VLR/MSC-Bereichs d) Wechsel des MSC-Bereichs
LA 1 (gehört zu MSC 1 und VLR 1)
LA 2 (gehört zu MSC 2 und VLR 2)
LA 3 (gehört zu MSC 2 und VLR 2)
Bewegung der MS
Zeichenerklärung:
Funkzelle
HLR ...
... im Home- PLMN- Bereich
MSC 1 VLR 1
VLR 2
MSC 2
MSC 3
LA 4 (gehört zu MSC 3 und VLR 2)
a
a
b
d
c
48
Location Update: neues LA
¥ Neues LA, aber altes VLR
(TMSI bekannt)
Ð Location Updating Request
(TMSI, LAI)oldÐ Sicherheitslmanagement
¥ Authentication
¥ Ciphering Mode
¥ TMSI Reallocation
Ð Location Updating Accept
MS MSC/VLR
Location Updating Request
TMSI Reallocation Complete
TMSI Reallocation Command
cipher(TMSI new)
Location Updating Accept
Allocation
TMSI new
De-Allocation
TMSI old
A3 + A8
Authentication Request
RAND
SRES
Ki
Kc
Authentication Response
Ciphering Mode Command
Ciphering Mode Complete
=
TMSI old, LAI old
Sicherheitsmanagement:
Authentikation,Verschlüsselungsmodus setzen,Zuweisung TMSI new
Sicherheitsmanagement:
Bestätigung TMSI newLöschen TMSI alt
49
Location Update: VLR-Wechsel
Bewegung
VLR2
HLR
VLR1
LUP Request
50
Location Update: VLR-Wechsel
¥ Neues VLR (altes VLR erreichbar)
TMSI old, LAI old
MS MSC/VLR new MSC/VLR old
Location Updating Request
IMSI, Auth. Set
Update Location
Update Location Result
Location Updating Accept
Cancel Location
IMSI, MSC/VLR new
TMSI old, LAI old
HLR
Sicherheitsmanagement: Authentikation, Verschlsselungsmodus setzen, Zuweisung TMSI new
Sicherheitsmanagement: Besttigung TMSI new Lschen TMSI old
De-Allocation TMSI old
51
Mobile Terminated Call Setup im GSM
send routing information
MSC2 (eigentlich MSRN)
incoming call
visited MSC2
Broadcast-nachricht im LA1
MSISDN-B enthält Routing-Information zum gebuchten GSM-Netz des Mobilfunkteilnehmers B
Gateway MSC
HLR
MSISDN/IMSI-AMSISDN/IMSI-B...
MSISDN/IMSI-XMSISDN/IMSI-YMSISDN/IMSI-Z
MSC3MSC2...
MSC4MSC1MSC2
liest den Datenbankeintrag für MSISDN/IMSI-B und vermittelt zum entsprechenden MSC weiter
IMSI-B
VLR2
IMSI-BIMSI-C
...
LA1, TMSI-BLA3, TMSI-C
...
liest das LA für IMSI-B
send info for incoming call
Station erkennt Verbindungswunschnachricht an ausgestrahlter TMSI-B
TMSI-B
LA1, TMSI-B
B
LA1
52
MobileTerminatedCall Setup
¥ Protokoll
MS MSC HLR PSTN/GMSC
Paging Response
Send Routing InformationProvide Routing Info.
MSRN
Send Routing Info. Result
MSRN
Paging Request
Kanalanforderung an BSS (nur early-TCH-Assignement)
Sicherheitsmanagement: Authentikation, Verschlüsselungsmodus
Setup
Kanalzuweisung bei early-TCH-Assignment
Alert
Connect
Kanalzuweisung bei OACSU
Initial Address Message (MSRN)
Answer Message
Address Complete Message
MSISDNIMSI
Prov. Rout. Info. Result
VLR
Pag. Request
Send Info
LAI, TMSITMSI (evtl. IMSI)
Data
ReleaseDisconnect
53
MobileOriginated CallSetup
¥ Protokoll
MS MSC/VLR PSTN/GMSC
CM Service Request
Kanalanforderung an BSS
Setup
Kanalzuweisung bei early-TCH- Assignment
Alert
Connect
Initial Address Message
Answer Message
Adress Complete Message
Sicherheitsmanagement: Authentikation, Verschlüsselungsmodus
Kanalzuweisung bei OACSU
DisconnectRelease
Data
54
Nachrichtenaufbau GSM 04.08
8 7 6 5 4 3 2 1
TI flag TI value Protocol discriminator octet 1
0 N(SD) Message type octet 2
Nachrichtenelement
octet 3
…
55
Nachrichtenaufbau GSM 04.08
¥ Protocol discriminator4 3 2 1 bit number
0 0 1 1 call control, packet-mode, connection control and call related SS msgs
0 1 0 1 mobility management messages
0 1 1 0 radio resources management messages
1 0 0 1 short message service messages
1 0 1 1 non call related SS messages
1 1 1 1 reserved for tests procedures
All other values are reserved
¥ Transaction identifier (TI)dient zur Unterscheidung paralleler Aktivitten einer MS
8 bit number = TI flag
0 message sent from the originated TI side
1 message sent to the originated TI side
¥ TI valueZahl von 000É110 (bin:0É6)
111 reserviert
8 7 6 5 4 3 2 1
TI flag TI value Protocol discriminator octet 1
0 N(SD) Message type octet 2
Nachrichtenelement
octet 3
…
56
Message type
¥ Identifiziert die Funktion der Nachricht
¥ 3 Klassen:
Ð radio ressources management
Ð mobility management
Ð call control
¥ N(SD)
Ð Sequenznummer bzw. Extension Bit
8 7 6 5 4 3 2 1
TI flag TI value Protocol discriminator octet 1
0 N(SD) Message type octet 2
Nachrichtenelement
octet 3
…
57
Message type (1)
¥ Radio
ressources
management
8 7 6 5 4 3 2 1 bit number-----------------------------------------------------0 0 1 1 1 Ð Ð - Channel establishment messagesÊÊÊÊÊ ÊÊ0 1 1 ADDITIONAL ASSIGNMENTÊÊ ÊÊÊÊÊ1 1 1 IMMEDIATE ASSIGNMENTÊÊÊÊÊ ÊÊ0 0 1 IMMEDIATE ASSIGNMENT EXTENDEDÊÊÊÊÊ ÊÊ0 1 0 IMMEDIATE ASSIGNMENT REJECT0 0 1 1 0 Ð Ð - Ciphering messagesÊÊÊÊÊÊÊÊÊÊ1 0 1 CIPHERING MODE ASSIGNEMTÊÊÊÊÊÊÊÊÊÊ0 1 0 CIPHERING MODE COMPLETE0 0 1 0 1 Ð Ð - Handover messagesÊÊÊÊÊÊÊÊÊÊ1 1 0 ASSIGNEMT COMMANDÊÊÊÊÊÊÊÊÊÊ0 0 0 ASSIGNEMT COMPLETEÊÊÊÊÊÊÊÊÊÊ1 1 1 ASSIGNMENT FAILUREÊÊÊÊÊÊÊÊÊÊ0 1 1 HANDOVER COMMANDÊÊÊÊÊÊÊÊÊÊ1 0 0 HANDOVER COMPLETEÊÊÊÊÊÊÊÊÊÊ0 0 0 HANDOVER FAILUREÊÊÊÊÊÊÊÊÊÊ1 0 1 PHYSICAL INFORMATION0 0 0 0 1 Ð Ð - Channel release messagesÊÊÊÊÊÊÊÊÊÊ1 0 1 CHANNEL RELEASEÊÊÊÊÊÊÊÊÊÊ0 1 0 PARTIAL RELEASEÊÊÊÊÊÊÊÊÊÊ1 1 1 PARTIAL RELEASE COMPLETE0 0 1 0 0 Ð Ð - Paging messagesÊÊÊÊÊÊÊÊÊÊ0 0 1 PAGING REQUEST TYPE 1ÊÊÊÊÊÊÊÊÊÊ0 1 0 PAGING REQUEST TYPE 2ÊÊÊÊÊÊÊÊÊÊ1 0 0 PAGING REQUEST TYPE 3ÊÊÊÊÊÊÊÊÊÊ1 1 1 PAGING RESPONSE0 0 0 1 1 Ð Ð - System information messagesÊÊÊÊÊÊÊÊÊÊ0 0 1 SYSTEM INFORMATION TYPE 1ÊÊÊÊÊÊÊÊÊÊ0 1 0 SYSTEM INFORMATION TYPE 2ÊÊÊÊÊÊÊÊÊÊ0 1 1 SYSTEM INFORMATION TYPE 3ÊÊÊÊÊÊÊÊÊÊ1 0 0 SYSTEM INFORMATION TYPE 4ÊÊÊÊÊÊÊÊÊÊ1 0 1 SYSTEM INFORMATION TYPE 5ÊÊÊÊÊÊÊÊÊÊ1 1 0 SYSTEM INFORMATION TYPE 60 0 0 1 0 Ð Ð - Miscellaneous messagesÊÊÊÊÊÊÊÊÊÊ0 0 0 CHANNEL MODE MODIFYÊÊÊÊÊÊÊÊÊÊ0 1 0 RR-STATUSÊÊÊÊÊÊÊÊÊÊ1 1 1 CHANNEL MODE MODIFY ACKNOWLEDGEÊÊÊÊÊÊÊÊÊÊ1 0 0 FREQUENCY REDEFINITIONÊÊÊÊÊÊÊÊÊÊ1 0 1 MEASUREMENT REPORTÊÊÊÊÊÊÊÊÊÊ1 1 0 CLASSMARK CHANGE
58
Message type (2)
¥ Mobility management
Ð Bits 7 und 8 (ã00Ò) reserviert als extension bits
Ð Bit 7:
¥ nur mobile originated: ã1Ò, falls Sequenznummer gesendet wird
8 7 6 5 4 3 2 1 bit number----------------------------------------------0 x 0 0 Ð Ð Ð - Registration messagesÊ Ê Ê Ê 0 0 0 1 IMSI DETACH INDICATIONÊ Ê Ê Ê 0 0 1 0 LOCATION UPDATING ACCEPTÊ Ê Ê Ê 0 1 0 0 LOCATION UPDATING REJECTÊ Ê Ê Ê 1 0 0 0 LOCATION UPDATING REQUEST0 x 0 1 Ð Ð Ð - Security messagesÊ Ê Ê Ê 0 0 0 1 AUTHENTICATION REJECTÊ Ê Ê Ê 0 0 1 0 AUTHENTICATION REQUESTÊ Ê Ê Ê 0 1 0 0 AUTHENTICATION RESPONSEÊ Ê Ê Ê 1 0 0 0 IDENTITY REQUESTÊ Ê Ê Ê 1 0 0 1 IDENTITY RESPONSEÊ Ê Ê Ê 1 0 1 0 TMSI REALLOCATION COMMANDÊ Ê Ê Ê 1 0 1 1 TMSI REALLOCATION COMPLETE0 x 1 0 Ð Ð Ð - Connection management messagesÊ Ê Ê Ê 0 0 0 1 CM SERVICE ACCEPTÊ Ê Ê Ê 0 0 1 0 CM SERVICE REJECTÊ Ê Ê Ê 0 1 0 0 CM SERVICE REQUESTÊ Ê Ê Ê 1 0 0 0 CM REESTABLISHMENT REQUEST0 x 1 1 Ð Ð Ð - Connection management messagesÊ Ê Ê Ê 0 0 0 1 MM STATUS
59
Message type (3)
¥ Call control
Ð Bei nationalen Nachrichten
folgt in den nchsten Oketts
der eigentliche Nachrichtentyp
Ð Bits 7 und 8 (ã00Ò) reserviert
als extension bits
Ð Bit 7:
¥ nur mobile originated: ã1Ò,
falls Sequenznummer
gesendet wird
8 7 6 5 4 3 2 1 bit number-------------------------------------------0 x 0 0 0 0 0 0 Escape to nationally specific message types0 x 0 0 Ð Ð Ð - Call establishment messagesÊ Ê Ê Ê 0 0 0 1 ALERTINGÊ Ê Ê Ê 1 0 0 0 CALL CONFIRMEDÊ Ê Ê Ê 0 0 1 0 CALL PROCEEDINGÊ Ê Ê Ê 0 1 1 1 CONNECTÊ Ê Ê Ê 1 1 1 1 CONNECT ACKNOWLEDGEÊ Ê Ê Ê 1 1 1 0 EMERGENCY SETUPÊ Ê Ê Ê 0 0 1 1 PROGRESSÊ Ê Ê Ê 0 1 0 1 SETUP0 x 0 1 Ð Ð Ð - Call information phasemessagesÊ Ê Ê Ê 0 1 1 1 MODIFYÊ Ê Ê Ê 1 1 1 1 MODIFY COMPLETEÊ Ê Ê Ê 0 0 1 1 MODIFY REJECTEDÊ Ê Ê Ê 0 0 0 0 USER INFORMATION0 x 1 0 Ð Ð Ð - Call clearing messagesÊ Ê Ê Ê 0 1 0 1 DISCONNECTÊ Ê Ê Ê 1 1 0 1 RELEASEÊ Ê Ê Ê 1 0 1 0 RELEASE COMPLETE0 x 1 1 Ð Ð Ð - Miscellaneous messagesÊ Ê Ê Ê 1 0 0 1 CONGESTION CONTROLÊ Ê Ê Ê 1 1 1 0 NOTIFYÊ Ê Ê Ê 1 1 0 1 STATUSÊ Ê Ê Ê 0 1 0 0 STATUS ENQUIRYÊ Ê Ê Ê 0 1 0 1 START DTMFÊ Ê Ê Ê 0 0 0 1 STOP DTMFÊ Ê Ê Ê 0 0 1 0 STOP DTMF ACKNOWLEDGEÊ Ê Ê Ê 0 1 1 0 START DTMF ACKNOWLEDGEÊ Ê Ê Ê 0 1 1 1 START DTMF REJECT
60
Bewegungs-profile im GSM
É per Fernwartung
É per Peilung
→
OMC
MSC VLR
HLR
BSC
BTSBTS
BSS
kennt VLR bzw. MSC
kennt LA
bei existierender Verbindung:kennt Zelle
hat Zugriff auf Netzkomponenten
LA
... kennt Frequenzsprungparameter (Hopping Parameters)
61
Bewegungsprofile im GSM
É per Peilung
BTS
BTS
BTSRichtungspeilungLaufzeitpeilung
62
Zusammenfassung der Sicherheitsprobleme
¥ Krtitk an GSM (I)
Ð Vertraulichkeit des Ortes nur gegen Outsider und dort noch sehr
schwach
Ð Peilbarkeit von mobilen Stationen mglich
Ð keine bittransparenten Sprachkanle vorhanden, deshalb
keine Ende-zu-Ende-Verschlsselung mglich.
Ð keine Ende-zu-Ende-Authentikation vorgesehen
Ð keine gegenseitige Authentikation vorgesehen
Ð Kryptoalgorithmen sind teilweise geheim gehalten
Ð Kryptoalgorithmen sind ausschlie§lich symmetrisch
Ð Schlsselerzeugung und -verwaltung nicht unter Kontrolle der
Teilnehmer
63
Zusammenfassung der Sicherheitsprobleme
¥ Krtitk an GSM (II)
Ð keine anonyme Netzbenutzung mglich
Ð Vertrauen in korrekte Abrechnung ist ntig
Ð keine Erreichbarkeitsmanagementfunktionen vorhanden
¥ Auswege
Ð Modifikation des Location Managements
Ð Verhinderung von Peilung und Ortung durch funktechnische,
informationstechnische und kryptographische Ma§nahmen
Ð Definition von Ende-zu-Ende-Diensten
Ð Untersttzung asymmetrischer Kryptographie
64
Verfahren zum Schutz von Aufenthaltsinformation
¥ Schutzkonflikt
Ð Mobilkommunikationsteilnehmer mchte mit mobilem Endgert
erreichbar sein,
Ð mchte jedoch nicht, da§ irgendwelche Instanzen (Dienstanbieter,
Netzbetreiber) au§er ihm selbst ohne seine explizite Einwilligung an
Aufenthaltsinformation ber ihn gelangen.
Ð Kein existierendes Netz erfllt diese Anforderung.
¥ GSM (Global System for Mobile Communication)
Ð Verteilte Speicherung ber Register
¥ Home Location Register
¥ Visitor Location Register
Ð Netzbetreiber hat stets globale Sicht auf Daten
Ð Bewegungsprofile sind erstellbar
65
Systematik: Verfahren zum Schutz von Aufenthaltsinfo
A. Vertrauen nur in die Mobilstation
A.1 Broadcast-Methode
A.2 Methode der Gruppenpseudonyme
B. Zustzliches Vertrauen in einen eigenen ortsfesten Bereich
B.1 Adre§umsetzungsmethode
B.2 Methode der Verkleinerung der Broadcast-Gebiete
B.3 Methode der expliziten vertrauenswrdigen Speicherung
B.4 Methode der Temporren Pseudonyme
C. Zustzliches Vertrauen in einen fremden ortsfesten Bereich
C.1 Organisatorisches Vertrauen
C.2 Methode der kooperierenden Chips
C.3 Methode der Mobilkommunikationsmixe
66
berblick: Broadcast
¥ Verzicht auf Datenbanken und globaler Broadcast (keine Speicherung
von Lokalisierungsinformation)
HLR
Datenbank-abfrage
VLR
Datenbank-abfrage
A MS
B
67
A
Verteildienst
berblick: Broadcast
¥ Verzicht auf Datenbanken und globaler Broadcast (keine Speicherung
von Lokalisierungsinformation)
¥ Immenser Aufwand an Bandbreite, falls als Massendienst
68
HLR
Datenbank-abfrage
VLR
Datenbank-abfrage
A MS
B
berblick: Vertrauenswrdige Speicherung
¥ Ersetze Datenbanken durch individuellen vertrauenswrdigen Bereich
69
¥ Ersetze Datenbanken durch individuellen vertrauenswrdigen Bereich
¥ Problem Aufenthaltswechsel: Jede Aktualisierung bentigt
Kommunikation mit vertrauenswrdigem Bereich
Aindividueller vertrauenswürdiger Bereich
berblick: Vertrauenswrdige Speicherung
70
¥ Temporre Pseudonyme (TP-Methode)
¥ Frage: Geht es auch mit Datenbanken, aber ohne individuellen
Vertrauensbereich?
A vertr.Bereich HLR VLR
berblick: Vertrauenswrdige Speicherung
71
HLR VLR
A MS
B
MIX MIX
berblick: Mobilkommunikationsmixe
¥ Verdeckte Speicherung von Lokalisierungsinformation
72
Schutz des Empfngers: Verteilung (Broadcast)
¥ Adressierung
Ð explizite Adressen: Routing
Ð implizite Adressen: Merkmal fr Station des Adressaten
¥ verdeckt: Konzelationssystem
¥ offen: Bsp. Zufallszahlengenerator
¥ Beispiel
Ð Paging von Verbindungswnschen zu mobilen Teilnehmern
Ð Verzicht auf Speicherung von Aufenthaltsdaten
Adre§verwaltungffentliche Adresse private Adresse
impliziteAdres-
verdeckt sehr aufwendig, frKontaktaufnahme ntig
aufwendig
sierung offen abzuraten nach Kontaktaufnahmestndig wechseln
73
Broadcast-Ansatz
¥ Beispiel
Verteil- dienst
Verteil- wünsche
Broadcast
incoming call von Teilnehmer A
visited
MSC
Gateway
MSC
B
LA
1
2
34
5
6
74
Broadcast-Ansatz
Radio, Fernsehen, Funkruf, ... Verteildienst
Lokale Auswahl, unbeobachtbarer Empfang
75
Broadcast-Ansatz
¥ Leistung
1 106
1 107
1 1081 10
4
1 105
1 106
1 107
1 108
1 109
Verdeckte implizite AdresseOffene implizite AdresseMinimalkodierung
Bandbreite b [bit/s] mit:
λ = (300 s) -1
Tv = 0,5 s
versorgbare Teilnehmerzahl n
76
Variable implizite Adressierung
¥ Ziel
Ð Bandbreiteaufwand gegenber reinem Broadcast reduzieren
¥ Vorgehen
Ð Implizite Adresse P wird nicht mehr als Ganzes gesendet
¥ vorher: length(P) = n
Ð Zerlegen von P in k Segmente
¥ jetzt: length(Pi) = li mit (i=1..k) und sum(li, i=1, k)=n
Ð Broadcast der Segmente Schritt fr Schritt:
implizite Adresse: n Bit
...1 2 3 4 5 k
variable implizite Adresse: k Segmente
77
Variable implizite Adressierung
¥ Broadcast der Segmente Schritt fr Schritt:
10 LET C = alle Funkzellen des Versorgungsgebietes
20 LET k = Anzahl der Adre§segmente
30 FOR i = 1 TO k DOBroadcaste Pi in alle Funkzellen in C
IF (Mobilstation besitzt ausgestrahltes Pi ANDMobilstation hat in allen vorangegangenenSchritten geantwortet)
THEN sende "YES"
ELSE sende nichtsLET C = alle Funkzellen mit mindestens einer
"YES"-AntwortIF number_of_elements(C) = 1 THEN GOTO 50
40 END FOR
// Zellseparation beendet
78
VariableimpliziteAdressierung
¥ Beispiel
Broadcast von P1 (in alle 13 Zellen)
YES-Nachricht aus 10 Zellen
Broadcast von P2 (in diese 10 Zellen)
YES-Nachricht aus 7 Zellen
Broadcast von P3 (in diese 7 Zellen)
YES-Nachricht aus 3 Zellen
Broadcast von P4 (in diese 3 Zellen)
YES-Nachricht aus 1 Zelle
79
Variable implizite Adressierung
¥ Zellseparation mit Verkleinerung der Segmente
Ð Reduzieren der Broadcastschritte auf log2(n)
¥ Algorithmus10 LET C = alle Funkzellen des Versorgungsgebietes
20 LET r = n
30 WHILE (r>1 AND number_of_elements(C)>1) DO
Broadcaste die nchsten ceil(r/2) Bits von P in alle Funkzellen in C
IF (Mobilstation besitzt ausgestrahlte Bits AND Mobilstation hat in allen vorangegangenenSchritten geantwortet) THEN sende "YES"
LET C = alle Funkzellen mit mindestens einer "YES"-Antwort
r := r - ceil(r/2)
40 END WHILE
50 Broadcaste die letzten r Bits von P
60 // Zellseparation beendet
Segment 1 Segment 2 4 5 6
implizite Adresse: n Bit
variable implizite Adresse:Halbierung der Segmentgröße von Schritt zu Schritt
Seg 3
Anzahl antwortenderStationen halbertsich im Mittel vonSchritt zu Schritt
Banbreitenersparnisvon 25% proFunkzelle (beigeograph.Gleichverteilung derMS)
80
Methode derGruppen-pseudonyme
¥ Unschrfe
(ãberdeckungÒ)
schafft Privacy
¥ starrer
Zusammengang
zwischen
Gruppen-
pseudonym und
Identitt
send routing information for GMSI-B
VLR2/MSC2, VLR3/MSC3
incoming call MSISDN/IMSI-B - enthält Routing-Information
zum gebuchten Netz des Mobilfunkteilnehmers B
Gateway
MSC
HLR
GMSI-AGMSI-B
...
GMSI-K
VLR3/MSC3 VLR2/MSC2 VLR3/MSC3...
VLR1/MSC1
VLR3/MSC3 VLR4/MSC4
VLR2, GMSI-B, ImpAdr-B
Station erkennt
Verbindungswunschnachricht an
ausgestrahlter ImpAdr-B
ImpAdr-B
GMSI-B := h(MSISDN/IMSI-B) ImpAdr-B := c(MSISDN/IMSI-B, ZZ)h, c
MSC3
GMSI-B
LA2
Broadcast im LA2
visited
MSC2
Broad-
cast im
LA1
VLR2
GMSI-B
GMSI-C
n=1, LA1
LA3, LA5, LA6
GMSI-B
LA1, LA3
B
GMSI-B n=2, LA3
VLR3
GMSI-A
GMSI-K
n=1, LA2
n=5, LA3
GMSI-B n=1, LA2
ImpAdr-B
LA3
VLR3, GMSI-B, ImpAdr-B
81
Verwendung eines vertrauenswrdigen Bereichs
¥ ... Adre§umsetzung und Verkleinerung der Broadcastgebiete
mobiler Teilnehmer B
MS
BTS
Vertrauenswürdiger Bereich (Trusted Fixed Station) des Mobilfunkteilnehmers B
ersetzt verdeckte durch offene implizite Adressen schickt/empfängt Mix-Nachrichten zum/vom Festnetz
• •
Teilnehmer A
MIXe
MIX MIX
1
2
34
5 7
6
8 Vermittlungsnetz
Broadcast über gesamten Versorgungsbereich bei Mobile Terminated Call Setup
82
Verwendung eines vertrauenswrdigen Bereichs
¥ ... Adre§umsetzung und Verkleinerung der Broadcastgebiete (Forts.)
• • •
incoming call
zuständiges MSC
Station erkennt Verbindungswunschnachricht an ausgestrahlter offener impliziter Adresse ImpAdr
Broadcastnachricht über das (gesamte) Versorgungsgebiet
explizit oder implizit (verdeckt oder offen) adressiert, evtl. Schutz des Senders durch Mixe
ImpAdrAdreßersetzung Filterung Verkleinerung der Broadcast-Gebiete
Vertrauenswürdiger Bereich (Trusted Fixed Station) des Mobilfunkteilnehmers B
ImpAdr
83
Verwendung eines vertrauenswrdigen Bereichs
¥ ... zum Speichern der
Lokalisierungsinformation
Ð Jede Aktualisierung
erfordert Kommunikation
mit dem
vertrauenswrdigen
Bereich
Ð Vertrauenswrdiger
Bereich bernimmt
gesamtes netzseitiges
Location Management
send routing information
incoming call
visited MSC
Broadcast- nachricht im LA
MSISDN – enthält Routing-Information zum vertrauenswürdigen Bereich des Mobilfunkteilnehmers
Gateway MSC
LA, TMSI
vertrauenswürdiger Bereich des Mobilfunkteilnehmers
LA, TMSI
Station erkennt „ihre“ Nachricht TMSI
TMSI
84
Verwendung eines vertrauenswrdigen Bereichs
¥ ... zur Adre§umsetzung
(Temporre Pseudonyme)
Ð Location Management
bleibt im Netz
Ð Regelm§iger Wechsel
des Pseudonyms ist
erforderlich
Ð synchronisierte Uhren in
MS und trusted FS
Ð DB-Eintrge verfallen nach
bestimmter Zeit
send routing information for TPx
VLR1
incoming call
visited
MSC
Broadcast-
nachricht im LA
MSISDN – enthält Routing-Information zum vertrauenswürdigen Bereich des Mobilfunkteilnehmers
Gateway
MSC
temporary pseudonym requestsendet aktuelles
Pseudonym zurück: TPx
vertrauenwsürdiger Bereich des Mobilfunkteilnehmers
TPx
HLR
TPa TPb ...
TPx TPy
TPz
VLR1 VLR2 ...
VLR1 VLR3
VLR2
liest den
Datenbankeintrag für TPx und vermittelt in
das entsprechende Besuchergebiet weiter
Initial Address Message, TPx
VLR
TPa
TPx ...
LA2
LA1 ...
liest das LA für TPxTPx
LA1
Station erkennt „ihre“ Nachricht an offener
impliziter Adresse TPx
TPx
85
Sicherheitsbetrachtungen É
¥ Unberechtigte Abfrage der vertrauenswrdigen Umgebung
Ð fhrt zu Lokalisierung
Ð Erstellung von Bewegungsprofilen mit Granularitt der Anrufhufigkeit
Ð Ausweg: Logging der Zugriffe auf vertrauenswrdigen Bereich und
Vergleich mit zugestellten Verbindungswnschen.
¥ Verwendung von Pseudonymen
Ð Funkschnittstelle: Implizite Adresse anstelle der TMSI
Ð Datenbankeintrge: Unverkettbarkeit mit Identitt
¥ Beobachtbarkeit der Kommunikationsbeziehungen
Ð Location Update explizite Speicherung: Kommunikationsbeziehung
zwischen vertrauenswrdigem Bereich und MS fhrt zum Aufdecken des
Orts
Ð aber: Location Update TP-Methode: keine Kommunikation zwischen
vertrauenswrdigem Bereich und MS notwendig
86
Vertrauen in einen fremden ortsfesten Bereich
¥ Vertrauen in eine Trusted Third Party
Ð Abwandlung der Methoden die einen eigenen vertrauenswrdigen
Bereich voraussetzen
¥ Ersetze trusted FS durch TTPs
Ð unabhngige, frei whlbare vertrauenswrdige dritte Instanzen
bernehmen Funktion
Ð Dezentralisierung mglich (z.B. Distributed Temporary Pseudonyms).
Trusted FS Trusted Third Parties
87
Vertrauen in einen fremden ortsfesten Bereich
¥ Distributed Temporary Pseudonyms
Ð Teilnehmer tauscht mit n TTPs symmetrische Schlssel aus
send routing information for TPx
VLR1
incoming callMSISDN – enthält Routing-Information zu den TTPs
Gateway MSC
temporary pseudonym request
TPx
HLR
TPa
TPb
...
TPx
TPy
VLR1
VLR2
...
VLR1
VLR3
liest den
Datenbankeintrag für
TPx und vermittelt in
das entsprechende
pi = PZZG(ki, T)
p1 p2 p3 … pn
88
Methode der kooperierenden Chips
¥ Architektur
Ð Vertrauen in physische Sicherheit der Chips
Ð Anonymitt durch Broadcast auf der Chipdatenbank
C-NW-A C-NW-B C-NW-C ...
...
Chipdatenbankeingehende Rufe
MS
B
A
MS enthält C-MS-B
89
Methode der kooperierenden Chips
¥ Call setup
Ð ÇSperrmechanismusÈ Ñ ein notwendiges Detail aller Verfahren mit
vertrauenswrdiger Umgebung ?
incoming call
Gateway MSC
Station erkennt Verbindungswunschnachricht an ausgestrahlter impliziter Adresse
B
send routing information
visited MSC
Broadcast-
nachricht im LA
Rufnummer des Teilnehmers B enthält Routing-Information zur Chipdatenbank
netzseitiger Chip C-NW-B des Mobilfunkteilnehmers B
LAI, MSC, ImpAdr *
ImpAdr
LAI, MSC, ImpAdr
sendet LAI, MSC, ImpAdr zurück
?sending rejected *
* Alternativen
n
j
Daten
freigegeben?
Freischaltenachricht
90
Aufwands- und Leistungsbetrachtungen
¥ Typische Leistungsparameter
Ð Bandbreite
Ð Verzgerungszeit
Ð Durchsatz
Ð Nachrichtenlngen
Ð versorgbare Teilnehmerzahl
Ð Kosten (LUP, Paging, É)
¥ Was wird bentigt?
Ð Zahlen zum Verkehrsverhalten
Ð Netzauslastung
Ð Leistungsparameter der
Netzkomponenten
Ð Mobilittsmodell
¥ Verkehrskapazitt MSC (typ.): Biala 94
Ð 300.000É600.000 Teilnehmer
Ð 100.000 Busy Hour Call Attempts =
28 Vermittlungsversuche pro sek
¥ Ankunftsraten: Fuhrmann, Brass 94
Ð MTC = 0,4 1/h (alle 2,5 h ein Anruf)
Ð LUP = 1É5 1/h (LUP=3 1/h bei 3
Zellen pro LA, r=1 km, v=15 km/h)
¥ Verzgerungszeiten:
Ð Call Setup ISDN:
91
Nachrichtenlnge auf der Funkschnittstelle
¥ Mobile Terminated Calls
GSM Referenzwerte
B.3 explizite vertrauenswrdige Speicherung
B.4 TP-Methode
C.2 Methode der kooperierenden Chips
1536 1440 1520 1446
2776
2120 2144 2090
0
1000
2000
3000
4000
GSM B.3 B.4 C.2
Nachrichtenlngen bzw. -intervalle in Bit bei MTCBit
92
Nachrichtenlnge auf der Funkschnittstelle
¥ Location Update
GSM Referenzwerte
B.3 explizite vertrauenswrdige Speicherung
B.4 TP-Methode
C.2 Methode der kooperierenden Chips
216 216
280322328 328
280
398
0
100
200
300
400
500
GSM B.3 B.4 C.2
Nachrichtenlngen bzw. -intervalle in Bit bei LUPBit
93
Mobilkommunikationsmixe
¥ Verfahren leistet
Ð Schutz des Aufenthaltsortes
Ð Unbeobachtbarkeit der Kommunikationsbeziehungen
¥ Angreifermodell
Ð Angreifer ist in der Lage, gesamte Kommunikation im Netz abzuhren
¥ auf allen Leitungen und Funkstrecken
¥ darf alle Datenbankeintrge kennen
¥ Idee
Ð Verzicht auf explizite Speicherung des Ortes in individuellem
Vertrauensbereich
Ð ÇverdeckteÈ Speicherung in Datenbanken
Ð Verbergen der Kommunikationsbeziehung (Signalisierung) zwischen
Datenbanken und Zielort durch Senden ber Mixe
94
Mixe allgemein (Chaum 1981)
¥ Ziel
Ð Verkettbarkeit ein- und ausgehender Nachrichten verhindern
¥ Verkettungsmerkmale
Ð Zeitliche Relation zwischen Ein- und Ausgabe einer Nachricht
Ð Kodierung der Nachrichten
¥ Aufbau eines Mix
Ð Umkodierung basiert auf asymmetrischer Kryptographie:
Mi Mix i einer Kaskade
ci öffentlicher Verschlüsselungsschlüsseldi privater Entschlüsselungsschlüssel (kennt nur Mi)
95
MIX 1 MIX 2
Mixe allgemein (Chaum 1981)
¥ Funktionen eines MIX: Nachrichten werden
Ð gesammelt
Ð Wiederholungen ignoriert
Ð umkodiert
Ð umsortiert
¥ Zuordnung zwischen E- und A-Nachrichten wird verborgen
A1, c1(A2, c2(M, r2) , r1)
d1(c1(...))
A2, c2(M, r2)
d2(c2 (M, r2))
M
96
Mixe allgemein (Chaum 1981)
Wieder-holungignorieren
alleEingabenachrichtenspeichern, diegleich umkodiertwerden
Gengend vieleNachrichten vongengend vielenAbsendern?
Um-kodieren
Eingabe-nachrichtenpuffern
Um-sortieren?
Aus
gabe
nach
richt
en
Ein
gabe
nach
richt
en
M I X
97
Mobilkommunikationsmixe zentralisiert
¥ Aufenthaltsortsregistrierung
1. MS bildet ÇverdecktenÈ Aufenthaltsort
{LAI} := c1 ( k1, c2 ( k2, c3 ( k3, ImpAdr )))
2. MS sendet Aufenthaltsortsregistrierung (MS → Mixe → HLR)
{LR} := c3 ( c2 ( c1 ( IMSI, {LAI} )))
Mi Mix i einer Kaskade
ci öffentlicher Verschlüsselungsschlüsseldi privater Entschlüsselungsschlüssel (kennt nur Mi)
HLR
IMSI: {LAI} MIX
M1 M2 M3
MIX MIX{LR}
98
Mobilkommunikationsmixe zentralisiert
¥ Rufaufbau zum mobilen Teilnehmer
1. Lesen des HLR-Datenbankeintrages
IMSI: {LAI} = c1 ( k1, c2 ( k2, c3 ( k3, ImpAdr )))
2. Absetzen der Verbindungswunschnachricht
{LAI}, Setup
3. In den Mixen wird {LAI} ent- und Setup verschlsselt
{Setup} := k3 ( k2 ( k1 ( Setup )))
4. Im Aufenthaltsgebiet wird ausgestrahlt
ImpAdr, {Setup}ImpAdr, {Setup}
IMSI: {LAI}
{LAI}, Setup
MIX
M1 M2 M3
MIX MIX
99
Mobilkommunikationsmixedezentralisiert
¥ Grundidee
pseudonymes Location
Management
Ð Register:
pseudonyme
Speicherung
Ð Mix-Netz:
Unverkettbarkeit der
pseudonym
gespeicherten
Information
Ð Aufenthaltsgebietsgr
uppen:
Zusammenfassung
von Gebieten
incoming call
HLR
VLR P, LAI, ImpAdr
visited MSC
LAI, ImpAdr, Setup
ImpAdr, Setup
Broadcast- nachricht im LA
MSISDN
LAI
Ohne Mixe Mit Mixen
incoming call
HLR
VLR P, {LAI, ImpAdr}
{LAI, ImpAdr}, {Setup}
ImpAdr, {{Setup}}
Broadcast- nachricht im LA
MSISDN
LAI
MSISDN, {VLR, P}
{VLR, P}, Setup
P, {Setup}
MSISDN, VLR, P
VLR, P, Setup
visited MSC
Mix- Kaskade 1
Mix- Kaskade 2
MIX
MIX
MIX
MIX
MIX
MIX
100incoming call
GMSC send routing information
{VLR, P}
...
BTS BTS BTS
HLR
visitedMSC
VLR
Mix-Kaskade vor HLR schützt Aufenthaltsinformation auf der Ebene der visited MSCs, faßt mehrere MSC-Bereiche in einer Aufenthaltsgebietsanonymitäts- gruppe zusammen
Mix-Kaskade vor visited MSC schützt Aufenthaltsinformation auf der Ebene der LAs (bzw. BTS' oder BSCs)
Mix-Kaskade vor VLR schützt Aufenthaltsinformation auf der Ebene der MSCs; nicht erforderlich, falls 1:1-Zuordnung zwischen MSC und VLR
Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der LAs (bzw. BTS' oder BSCs)
Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der VLRs (bzw. MSCs)
Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der MSCs
zu weiteren MSCs des VLR-Gebietes
zu weiteren MSC/VLRs
zu weiteren BTS'
LUP
...
...
{VLR, P}
Aufenthaltsgebietsgruppen
¥ Zusammenfassung von Gebieten unterschiedlicher Granularitt
101
HLR 2
HLR 1
GSM
VLR weiss,welcherTeilnehmer sich inwelchem LocationArea aufhlt
HLR weiss, welcherTeilnehmer sich inwelchem VLR-Area undLocation Area aufhlt
VLR 1 VLR 2 VLR 3
¥ MehrstufigeSpeicherung zurReduzierung derSignalisierlast
102
HLR 2HLR 1
Mobilkommunikationsmixe: Variante 1: Anonymes Netz
VLR 1VLR 2
VLR 3
¥ Internet friendly¥ Schwer beherrschbar¥ Keine Zusicherungen (Schutz, Verfgbarkeit)¥ Deutlich geringere Effizienz¥ VLRs werden obsolet
MIXe
103
HLR 2HLR 1
Mobilkommunikationsmixe: Var. 2: Dedizierte Kaskaden
VLR kennt wederIdentitt desTeilnehmers, nochdas Location Area
HLR kennt zwarIdentitt desTeilnehmers,besitzt aber keineInformation berdas VLR
Mix-Kaskade 2
Mix-Kaskade 1
Mix-Kaskade 3 Mix-Kaskade 4
VLR 1 VLR 2 VLR 3
¥ Pseudonyme Verwaltung desAufenthaltsortes
¥ Schutz der Verbindungsdaten¥ Aufenthaltsgebietsgruppen
104
Mobilkommunikationsmixe: Dedizierte Kaskaden
¥ MobileVermittlungsstelle
¥ Datenbank¥ Mix-Kaskade
MobileVermittlungsstelle
+Datenbank??
105
Mobilkommunikationsmixe: Dedizierte Kaskaden
¥ MobileVermittlungsstelle
¥ Datenbank¥ Mix-Kaskade
Mix-KaskadeMix-Kaskade
¥ Mixe physisch gekapselt
¥ Aufgestellt beimNetzbetreiber
¥ Jeder Mix hat einenanderen Betreiber
¥ Netzbetreiber hat keinenadministrativen Zugriffauf Mixe
MobileVermittlungsstelle
+Datenbank
Mix-Kaskade
106
Authentisierung wie?
¥ Problem:
Ð Der besuchte Netzbetreiber soll feststellen knnen, da§ ein Teilnehmer
berechtigt ist, das Netz zu nutzen, ohne da§ seine Identitt aufgedeckt
wird, denn das kme einer Lokalisierung gleich.
Ð Der Teilnehmer soll feststellen knnen, da§ er ber einen echten
Netzbetreiber kommuniziert.
¥ Blindes Signaturverfahren
Ð Gegenseitige Authentikation
Ð Verhinderung von Mi§brauch durch unberechtigte Teilnehmer,
insbesondere damit der besuchte Netzbetreiber zu seinem Geld kommt
¥ Authentikation im GSM:
Ð Besuchter Netzbetreiber bekommt Auth.Triplet und prft SRES von der
Mobilstation auf Gleichheit.
Ð Besuchter Netzbetreiber vertraut darauf, da§ der Heimatnetzbetreiber
vertrauenswrdig ist.
VLR soll Berechtigung checken, darfaber Identit von MS nicht erfahren.Blinde Signatur zur Auth. der MS
107
MS MSC HLR
Please Check Authentication
{MSC, Rand1, ∗ }
beliebige Anforderung (∗ ) Authentication Request (1)
Authentication Response (1) Authentication Request (2)
{sMSC(Rand1, T1), RAND2}
Signatur testen, blend bilden, blend signieren
{{HLR,IMSI,blend,sMS(blend)}} {HLR, blend, sMS(blend)}
Signatur testen,
blend signieren
Please Check Authentication
Please Check Authentication Response
{{sHLR(blend)}} {sHLR(blend)}
Authentication Response (2)
Signatur
entblenden,
und testen
{sHLR(Rand2, T2)}
Please Check Authentication Response
Zeichenerklärung:
sx(m) Digitale Signatur der Nachricht m
mit dem geheimen Schlüssel von x
Mix-Kaskade
(Rand1, T1)
signieren
Protokoll fr(gegenseitige)Authentikation
¥ Problem:
VLR soll
Berechtigung
checken, darf
aber Identit von
MS nicht
erfahren.
¥ Blinde Signatur
zur Auth. der MS
108
Blinde SignaturMS MSC HLR
Please Check Authentication
{MSC, Rand1, ∗ }
beliebige Anforderung (∗ ) Authentication Request (1)
Authentication Response (1) Authentication Request (2)
{sMSC(Rand1, T1), RAND2}
Signatur testen,
blend bilden, blend signieren
{{HLR,IMSI,blend,sMS(blend)}} {HLR, blend, sMS(blend)}
Signatur testen,
blend signieren
Please Check Authentication
Please Check Authentication Response
{{sHLR(blend)}} {sHLR(blend)}
Authentication Response (2)
Signatur
entblenden,
und testen
{sHLR(Rand2, T2)}
Please Check Authentication Response
Zeichenerklärung:
sx(m) Digitale Signatur der Nachricht m
mit dem geheimen Schlüssel von x
Mix-Kaskade
(Rand1, T1)
signieren
nblendblends sHLR mod)( HLR=
nzTRandblend t mod)2,2(: HLR•=
( )( )
nzTRand
nzTRand
nzTRandblends
s
sts
stHLR
mod)2,2(
mod)2,2(
mod)2,2()(
HLR
HLRHLRHLR
HLRHLR
•=
•=
•=
.mod)2,2()2,2(
mod)2,2()(HLR
HLR
HLR
11HLR
nTRandTRands
nzzTRandzblendss
s
=
••=• −−
1
2
3
1
2
3 Es gilt:
Entblenden:
Signieren:
Blenden:
109
Abrechnung
¥ Heute:
Ð Ankommende Anrufe werden berechnet, wenn sich der mobile
Teilnehmer im Ausland (bzw. einem Fremdnetz) aufhlt.
Ð Unterschiedliche Tarifierung fr abgehende Gesprche:
¥ lokale Gesprche (vergleichbar mit Ortsgesprch)
¥ Gesprche innerhalb des eigenen Netzes
¥ Gesprche in fremde Netze (Festnetz, Mobilnetze)
¥ Anwendbare Konzepte:
Ð Anonyme und unbeobachtbare digitale Zahlungssysteme
(digitales Bargeld-quivalent)
Ð Digitale Briefmarken (vorbezahlt), Micro-Payments, Tick-Payments
110
Abrechnung
¥ Abgehende Rufe (von der MS zu einem beliebigen Teilnehmer)
Ð Location Management Prozeduren sind nicht involviert
Ð Trotzdem mu§ Aufenthaltsort geschtzt bleiben
Ð Vorausgesetzt wird ein vorhandenes anonymes Zahlungssystem
Ð Teilnehmer T hat eine MS ohne ID und ein dig. Wallet
¥ Skizze:
Ð MS von T sucht ein Netz (passiver Vorgang)
Ð MS meldet Verbindungswunsch an (→ Zielrufnummer)Ð Netz legt Kosten fest und meldet sie an T (← Kosten)Ð T bzw. MS entscheidet und bermittelt Geldbetrag (→ Geld)Ð Netz baut Verbindung zum Ziel auf
¥ Zu klren:
Ð Fehlertoleranz, fehlgeschlagene Verbindung (Ziel besetzt etc.)
Ð Tarifierung in Abhngigkeit der Gesprchsdauer
Ð Netz betrgt (kassiert Geld und verweigert Verbindungsaufbau)
111
Abrechnung
¥ Ankommende Rufe (zur MS)
Ð Wer bekommt Geld?
Ð Besuchter Netzbetreiber oder Heimatnetzbetreiber oder beide?
¥ Skizze (beide fordern Geld):
Ð Signalisierung zur MS
Ð Empfangene Signalisiernachricht enthlt Geldforderung von Heimatnetz
Ð T erhlt mit dem Authentication Request (2) die Forderung des
besuchten Netzes
Ð T schickt mit der Please Check Authentication Nachricht den vom
Heimatnetz geforderten Geldbetrag
Ð Heimatnetz antwortet mit Please Check Authentication Response nur bei
Empfang des Geldes
Ð T schickt mit der Authentication Response (2) den vom besuchten Netz
geforderten Betrag
Location Management
112
MK-Mixedezentralisiert
¥ Location
Registration und
Location Update
LA1 LA2
{VLR1, «P, {LA1,ImpAdr}», {HLR, «MSISDN, {VLR1,P}»}}
MIX
MIX
MIX
LA3
{VLR1, «P, {LA2,ImpAdr'}»} {VLR2, «P', {LA3,ImpAdr''}», {HLR, «MSISDN, {VLR2,P'}»}}
MIX
MIX
MIX
⇒ ⇒Einbuchen Wechsel des LA Wechsel des VLR
MIX
MIX
MIX
{HLR, «MSISDN, {VLR1,P}»}
{HLR, «MSISDN, {VLR2,P'}»}
HLR
VLR1 VLR2
visited MSC 1
visited MSC 2
113
MK-Mixedezentralisiert
¥ Dezentralisiertes
Verfahren
(Verbindungsaufbau)
Ð Eintrag im HLR unter
Identitt:
IMSI: {VLR, P}
Ð Eintrag im VLR unter
Pseudonym P:
P: {LAI, ImpAdr}
B
ImpAdr, {{Setup}}
incoming call
Gateway MSC
send routing information
visited MSC {LAI, ImpAdr}
P
P, {Setup}
{VLR, P}, Setup
zu anderen BTS'
zu anderen MSCs
IMSI
HLR
...
{VLR, P}
...
... ...
P
VLR
...
{LAI, ImpAdr}
...
... ...
Mix- Kaskade 1
Mix- Kaskade 2
Mix- Kaskade 3
114
Mobilkommunikationsmixe
¥ Mixfunktion
Ð Verkettbarkeit ber Kodierung der Nachrichten durch Umkodieren
(Kryptographie) und Umsortieren verhindert
Ð Verkettbarkeit ber zeitliche Korrelationen durch Sammeln von
Nachrichten und schubweise Ausgabe verhindert
¥ Taktung (Zeitscheiben) und Dummy Traffic:
Ð Zusammenfassung der Signalisiernachrichten mehrerer Teilnehmer
Ankunft (unabhängig, exponentialverteilt)
Bearbeitung Ausgabe
minimale Anzahl gleichzeitig zu verarbeitender Aktionen gesammelt oder maximale Wartezeit überschritten
t
Zeitscheibe
Warten
Dummy Traffic
t
115
Mobilkommunikationsmixe
¥ Grenzen
Ð Dummy Traffic nur eingeschrnkt anwendbar
¥ begrenzte Akkukapazitt der Mobilstationen
Ð Verkehrsaufkommen im Netz mu§ hoch genug sein, damit Schutz
erreicht wird
¥ einzelne, isolierte Aktion ist im Netz beobachtbar
¥ Teilnehmer wartet zu lange auf Erbringen des Dienstes
Bearbeitung Ausgabe tAnkunft
dummies
116
Location Update Protokoll
MS MSC/VLR new HLR
Location Updating Request
{VLR, «P, {LAI,ImpAdr}», {{HLR, «MSISDN, {VLR,P}»}}
{HLR, «MSISDN, {VLR,P}»}
Update Location
Update Location Result
Location Updating Accept
Sicherheitsmanagement: Gegenseitige Authentikation
MSISDN, {VLR,P} speichern
P, {LAI,ImpAdr} speichern
MSC/VLR old
Cancel Location
alle Einträge unter P old löschen
P old"alte" anonyme Rückadresse {VLR old, P old}
K1
K2
117
Mobile Terminated Call Setup Protokoll
¥ Communication Request geht ein beim HLR
Ð mit Schutz des Rufenden: CR = AGMSC, cMS(KZinit, kAB)
Ð ohne Schutz des Rufenden: CR = AGMSC, ISDN-SN, cMS(kAB)
¥ Anonymous Communication Request
ACR = A25, c25(D25, É c21(D21, mK3)É) mit
mK3 = A35, c35(D35, É c31(D31, mSetup)É) Êmit
mSetup = AGMSC, ISDN-SN/KZT, Bv und
Di,j = T, ki,jÊÊmit i=2É3, j=5É1, Zeitscheibe: T
¥ Kanalkennzeichen
KZT = f(T, kAB) mit Ende-zu-Ende-Verschlsselungsschlssel: kAB
118
Sicherheitsmanagement: gegenseitige Authentikation
MS MSC HLR PSTN/GMSC
Anonymous Communication Request
IAMPaging Request
Setup
Alert
Connect Answer Message
Address Complete Message
MSISDNP
VLR
{LAI, ImpAdr}
Data
ReleaseDisconnect
IAM
ImpAdr
Anonymous Communication Request
K1K2
K3
Mobile Terminated Call Setup Protokoll
CR
ACR
119
Mobile Originated Call Setup Protokoll
¥ ACR = A25, c25(D25, É c21(D21, mK3)É) Êmit
mK3 = A35, c35(D35, É c31(D31, mSetup)É) Êmit
mSetup = CR, KZT, Bv Êmit
CR = ISDN-SN, cISDN-SN(KZinit, kAB) Êund
Di,j = T, ki,jÊÊmit i=2É3, j=5É1
Anonymous Communication Request
MS MSC/VLR PSTN/GMSC
Setup
Alert
Connect
Initial Address Message
Answer Message
Adress Complete Message
Sicherheitsmanagement: gegenseitige Authentikation
Disconnect Release
Data
Anonymous Communication Request
ACR des Gerufenen
K2 K3
ACR CR
120
Leistungsfhigkeit
¥ Verfahren leisten
Ð alle: Schutz des Aufenthaltsortes
Ð teilweise: Unbeobachtbarkeit der Kommunikationsbeziehungen
¥ gegenber Kommunikationspartner und Netzbetreiber
¥ lokale Angreifer (Datenbanken, Insider)
¥ globale Angreifer (alle Kommunikation ist berwachbar)
¥ Hauptprobleme
Ð Kanalstruktur existierender Netze
¥ Modifikation ntig, damit effizient realisierbar
Ð Effizienzverlust zwischen 1 und 10 % je nach Verfahren:
¥ Bei maximaler Auslastung ist die versorgbare Teilnehmerzahl
maximal 10% geringer.
121
Mobilkommunikationsmixe
¥ Nachrichtenlngen
¥ Nachrichtenlngen wachsen mindestens um das 1,2-fache (Rufaufbau) und
sogar um das 6,8-fache (Aufenthaltsaktualisierung)
¥ Effizienz
Ð Effizienzma§: Verhltnis der verfgbaren Verkehrskanle bei den
Mobilkommunikationsmixen und bei GSM
Ð Mobilittsverhalten der Teilnehmer beeinflu§t die Effizienz
Ð Effizienzverlust bezogen auf bedienbare Teilnehmerzahl ist ca. 10 % bei
NLUP=88 in 5 Sekunden (entspricht 20.000 Teilnehmern pro Zelle)
¥ Problem: Kanalstruktur von GSM nicht flexibel genug
GSM Mobilkommunikationsmixe
Rufaufbau 1728É2968 3624É8008
Aufenthaltsaktualisierung 216É328 2221É4502
122
Komponentender MK-Mixe
Komponente BedeutungMixe Schutz der Kommunikationsbeziehung zwischen Sender
und Empfnger einer Nachricht
Anonyme Rckadressen Unverkettbarkeit der bermittlung der
Verbindungswunschnachrichten zwischen Registern
Signatur der anonymen
Rckadresse beim HLR
berprfbarkeit, da§ in einem Schub Rckadressen von
gengend vielen Teilnehmern bearbeitet werden, d.h.
Verhindern eines (n-1)-Angriffs
Pseudonym P Verkettbarkeit des Adre§kennzeichens mit dem
Datenbankeintrag im Register (au§er HLR, dort MSISDN)
Symmetrische Schlsselki,j in den anonymen
Rckadressen
Effizientes Umkodieren der mitgelieferten Informationen,
Etablieren eines symmetrischen Mix-Kanals bei Call Setup
und Location Update; Verwendung einer nicht
selbstsynchronisierenden Chiffre zur Verhinderung von
Replay-Angriffen
Implizite Adresse ImpAdr Adressierung der MS auf der Funkschnittstelle,
Wiedererkennung der anonymen Rckadresse, umsymmetrische Schlssel ki,j zu rekonstruieren
Zeitstempel,
Zeitscheibennummer T
Verhindern des Replay alter (Mix-Eingabe)-Nachrichten
Kennzeichen Bv/Bl Kennzeichen fr Empfnger einer Nachricht, um
bedeutungsvolle von bedeutungslosen Nachrichten zu
unterscheidenKanalkennzeichen KZT Verbinden der unbeobachtbaren Mix-Kanle von rufendem
und gerufenem TeilnehmerFunktion f(T, kAB) Funktion zur Berechnung der Kanalkennzeichen
Symmetrischer SchlsselkAB
Symmetrischer Sitzungsschlssel der kommunizierenden
Teilnehmer, Parameter zur Berechnung der
Kanalkennzeichen
123
Vergleich der Verfahren: Vertrauen (qualitativ)
¥ Ntiges Vertrauen in einzelne Netzkomponenten bzgl. Vertraulichkeit
des Aufenthaltsorts
GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3
Vertrauen in Trusted FS
Vertrauen in GSM-Netz-
kompo-nenten
nur Ver-trauen in die Mobilstation
GSM Referenzwerte B.3 explizite vertrauensw.Speicherung
A.1 Broadcast mit impliziter Adressierung B.4 TP-Methode
A.2 Gruppenpseudonyme C.1 Vertrauenswrdige Dritte
B.1 Adre§umsetzungsmethode C.2 Methode der kooperierenden Chips
B.2 Verkl. der Broadcastgebiete C.3 Mobilkommunikationsmixe
124
Vergleich der Verfahren: Bandbreite (qualitativ)
¥ Location Update
¥ Call Setup
GSM Referenzwerte B.3 explizite vertrauensw.Speicherung
A.1 Broadcast mit impliziter Adressierung B.4 TP-Methode
A.2 Gruppenpseudonyme C.1 Vertrauenswrdige Dritte
B.1 Adre§umsetzungsmethode C.2 Methode der kooperierenden Chips
B.2 Verkl. der Broadcastgebiete C.3 Mobilkommunikationsmixe
GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3
Referenz GSM=1
0
GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3
Referenz GSM=1
Broadcast offen
implizit
Broadcast verdeckt
implizit
125
Vergleich der VerfahrenReferenz A.1 A.2 B.1 Ð B.4 und C.1 C.2 C.3GSM Broad-
cast-Gruppen-pseudo-
Vertrauenswrd.Speicherung inTrusted FS
Koope-rierende
Mobil-komm.-
Methode nyme explizit TP-Meth. Chips Mixe
Ntiges Vertrauen
Vertrauen in dieMobilstation
ntig ntig ntig ntig ntig ntig
Vertrauen ineinen ortsfestenBereich
Ð nichtntig
nichtntig
zustzlich ntig ntig nichtntig
Vert. in einDatenschutz ga-rantierendesKommunika-tionsnetz
Ð nichtntig
nichtntig
ntig nichtntig
ntig
Vertrauen inDritte (TrustedThird Party,TTP), entsprichtC.1
ntig nichtntig
nichtntig
mglich, entsprichtdann C.1
nichtntig
nichtntig
126
Vergleich der VerfahrenReferenz A.1 A.2 B.1 Ð B.4 und C.1 C.2 C.3GSM Broad-
cast-Gruppen-pseudo-
Vertrauenswrd.Speicherung inTrusted FS
Koope-rierende
Mobil-komm.-
Methode nyme explizit TP-Meth. Chips Mixe
Signalisieraufwand
Funkschnitt-stelle MTC
Bezugs-punkt
sehr hoch hher etwagleich
gering-fg.hher
etwagleich
hher
Funkschnitt-stelle LUP
Bezugs-punkt
entfllt hher hher wg.Zen-tralitt
gering-fg.hher
hher wg.Zen-tralitt
hher
Bandbreiteauf-wand imFestnetz
Bezugs-punkt
geringerbzgl. Loc.Mgmt.
hher hochdurchZen-tralitt
gering-fg.hher
hochdurchZentr.
hher
Funktechnische Peilbarkeit und Ortbarkeit
Sendeverf. zumSchutz vor Pei-lung und Ortung
Fre-quencyHopping
ntig, z.B. ber Direct Sequence Spread Spectrum
127
Vergleich der VerfahrenReferenz A.1 A.2 B.1 Ð B.4 und C.1 C.2 C.3GSM Broad-
cast-Gruppen-pseudo-
Vertrauenswrd.Speicherung inTrusted FS
Koope-rierende
Mobil-komm.-
Methode nyme explizit TP-Meth. Chips Mixe
Anordnung der Sicherheitsbereiche
zentral quasizen-tral
entfllt zentral Zentral beidesist
dezentral wremglich
dezentral dezentral mglich
Diversitt derKomponenten
wremglich
bedeu-tungslos
nicht not-wendig
notwendig beiTrusted FS
notwen-dig
notwen-dig imMix-Netz
Dynamisierbarkeit der Sicherheitsbereiche
nur statischmglich
HLR entfllt HLR Trusted FS C-NWC-MS
HLR, Mix-Kas-kaden
dynamischmglich
nicht vor-handen,wre abermglich
nicht vor-handen,wre abermglich
ausweichen aufTTPs, entspricht dannC.1
nichtsinnvoll,wre abermglich
frei whl-bare Mixewrenmglich
128
Vergleich der VerfahrenReferenz A.1 A.2 B.1 Ð B.4 und C.1 C.2 C.3GSM Broad-
cast-Gruppen-pseudo-
Vertrauenswrd.Speicherung inTrusted FS
Koope-rierende
Mobil-komm.-
Methode nyme explizit TP-Meth. Chips Mixe
Mobilittsmanagement
Schutz derKomm.-bez.beim Einbuchen
nicht vor-handen
entfllt nichtntig
zustzlich ntig nichtntig
gewhr-leistet
Verkettung vonTeilnehmer-aktionen
Teilneh-mer nichtanonym
nichtmglich
hoch gering gering nichtmglich
Verbindungsmanagement
Schutz derKomm.-bez.beim Signalisie-ren (Call Setup)
nicht vor-handen
nichtntig
nichtntig
zustzlichntig
zustzlichntig biszum HLR
ntig gewhr-leistet
Adressierungs-merkmal auf derFu-schnittstelle
TMSI impliziteAdresse
impliziteAdresse
TMSI o.impliziteAdresse
PMSI,TMSI,i. Adr.
TMSI,PMSI,impl. Adr.
impliziteAdresse
Schutz derKomm.-bez.whrend einerVerbindung
nicht vor-handen
ntig, z.B. ber Mix-Netze
129
Mobile Internet Protocol: Prinzip 1/4
Correspondent Node
Home Agent
Foreign Agent(optional)
Mobile Node
Bewegung
141.76.75.112
Mobile IP:Mobile IP: Erreichbarkeit einesmobilen Computers immer unter dergleichen IP-Adresse
130
Mobile Internet Protocol: Prinzip 2/2
Correspondent Node
Home Agent
Foreign Agent(optional)
Mobile Node
Bewegung
--> 141.76.75.112
141.76.75.112
131
Mobile Internet Protocol: Prinzip 3/4
Correspondent Node
Home Agent
Foreign Agent(optional)
Mobile Node
141.76.75.112
--> 141.76.75.112
132
Mobile Internet Protocol: Prinzip 4/4
Correspondent Node
Home Agent
Foreign Agent(optional)
Mobile Node
141.76.75.112
Binding:141.76.75.112 --> 128.32.201.1
128.32.201.1
IP-in-IP-Tunnel
besitzt zustzlichecare-of address
--> 141.76.75.112
133
Mobile Internet Protocol: Sicherheitsfunktionen
Mobile IPv4 Mobile IPv6
Authentikation √shared secret
zwischen MobileNode und Home
Agent
√ IPSec/IPv6
AuthenticationHeader (AH)
Verschlsselung ∅ √ IPSec/IPv6
EncapsulatedSecurity Payload
(ESP)
Schutz vorLokalisierung
∅ ∅
Mixed Mobile IPNon-Disclosure Method
MD 5 Fingerprint MD 5, SHA-1
DES/CBC
134
Mobile Internet Protocol: Schutz vor Lokalisierung
Home Agent
Foreign Agent
Mobile Node
141.76.75.112
128.32.201.1
MIXMIX
MIX
Mixed Mobile IP (MMIP)Non-Disclosure Method
Registration
135
Mobile Internet Protocol: Schutz vor Lokalisierung
Correspondent Node
Home Agent
Foreign Agent
Mobile Node
141.76.75.112
128.32.201.1
MIX
MIX
--> 141.76.75.112
Mixed Mobile IP (MMIP)Non-Disclosure Method
MIX-Kanal
MIX
Sicher gegen einen rumlichbegrenzten Angreifer, der nicht alleKommunikation berwachen kann.
Binding:141.76.75.112 --> MIX1
136
Politische Dimension solcher Konzepte
FreiheitÐ Es gibt gesetzliche Grundlagen,
die eine Bereitstellung
pseudonymer und anonymer
Dienstleistungen ausdrcklich
erlauben und anregen.
Ð Empfehlungscharakter
Ð IuKDG (TDDSG ¤ 4(1))
Ð Kein Zwang (ãsoweit technisch
mglich und zumutbarÒ)
RegulierungÐ Derzeit von der Politik nicht
gewnscht
Ð TKG fordert die Speicherung der
Kundendaten (Name, Adresse, ...),
sogar bei vorbezahlten Systemen
(Xtra-Card etc.)
Ð berwachungsschnittstellen (TKG
¤Ê88), die dem Bedarfstrger die
unbeobachtbare berwachung
erlauben
Gesetzliche Grundlagen sind keineswegs konsolidiert.
Technische Mglichkeiten des Schutzes und der legalenberwachungsmglichkeiten ausloten, jedoch mglichst kein
vorauseilender Gehorsam
137
...
Intelligent Network
Core Network
Access Network
Anonymous Network
Sicherheit in der Mobilkommunikation
¥ Was bringen die Konzepte?Ð Teilnehmerbezogener Schutz von Aufenthaltsinformation ist mglich.
Ð Unbeobachtbarkeit ist auch im Mobilfunk realisierbar.
Ð Frhzeitige Bercksichtigung neuer Konzepte gewhrleistet
effiziente Implementierung des Schutzes.
http://www.inf.tu-dresden.de/~hf2/mobil/
Recommended