Sicherheit in der Mobilkommunikation · Struktur von GSM ¥ Architekturkonzept — die Zweite PSTN/ ISDN Fixed network Network and switching subsystem Data networks BTS BTS Base station

1

Sicherheit in der Mobilkommunikation

1 Mobilkommunikation und mehrseitige Sicherheit

1.1 Mobilkommunikation

1.2 Mehrseitige Sicherheit

1.3 Angreifermodell

1.4 Abgeleitete Sicherheitsma§nahmen

2 Mobilkommunikation am Beispiel GSM

2.1 Allgemeines

2.2 Struktur von GSM

2.3 Datenbanken des GSM

2.4 Sicherheitsrelevante Prozeduren und

Funktionen

2

3 Mobilitts- und Verbindungsmanagement am Beispiel GSM

3.1 Location Management allgemein

3.2 Erstellbarkeit von Bewegungsprofilen allgemein

3.3 Location Update Prozeduren

3.4 Rufaufbau (Call Setup) im GSM

3.5 Erstellbarkeit von Bewegungsprofilen im GSM

3.6 Bekannte Angriffe auf GSM-Sicherheitsfunktionen

3.7 Zusammenfassung der Sicherheitsprobleme

4 Verfahren zum Schutz von Aufenthaltsinformation

4.1 Allgemeines

4.1 Systematik


3


5 Methoden mit ausschlie§lichem Vertrauen in die Mobilstation

5.1 Vermeidung von Lokalisierungsinformation

5.2 Variable implizite Adressen

5.3 Methode der Gruppenpseudonyme

6 Methoden mit zustzlichem Vertrauen in einen eigenen ortsfesten

Bereich

6.1 Adre§umsetzungsmethode mit Verkleinerung der Broadcast-

Gebiete

6.2 Explizite Speicherung der Lokalisierungsinformation in einer

Trusted Fixed Station

6.3 Pseudonymumsetzung in einer vertrauenswrdigen Umgebung

mit der Methode der temporren Pseudonyme

6.4 Sicherheitsbetrachtungen

4

7 Methoden mit zustzlichem Vertrauen in einen fremden ortsfesten

Bereich

7.1 Organisatorisches Vertrauen: Vertrauen in eine Trusted Third

Party

7.2 Methode der kooperierenden Chips

7.3 Mobilkommunikationsmixe

8 Mobilitt im Internet

8.1 Mobile IP: Prinzip und Sicherheitsfunktionen

8.2 Mobile IP und Schutz von Aufenthaltsorten

9 Zusammenfassung


5

Organisatorisches

¥ Lehrbeauftragter

Ð Dr.-Ing. Hannes Federrath

Ð E-Mail: [email protected]

¥ Art der Lehrveranstaltung

Ð Wahlpflichtlehrveranstaltung, 2 SWS Vorlesung

Ð Zuordnung zur Vertiefungsrichtung ÇTechnischer DatenschutzÈ

¥ Erwnschte Vorkenntnisse

Ð Grundlagen Rechnernetze/verteilte Systeme

Ð Grundkenntnisse Datensicherheit/Kryptographie

¥ Lehrveranstaltungsmaterial:

Ð http://www.inf.tu-dresden.de/~hf2/mobil/

¥ Form des Abschlusses:

Ð Mndliche Prfung oder Schein

6

Mobilkommunikation Ð Einfhrung

¥ Unterschiede Festnetz- und Mobilkommunikation

Ð Teilnehmer bewegen sich

Ð Bandbreite auf der Luftschnittstelle knapp

Ð Luftschnittstelle stranflliger als Leitungen des festen Netzes:

¥ zeitweilige Diskonnektivitt

Ð Luftschnittstelle bietet neue Angriffsmglichkeiten:

¥ erleichterte Abhrmglichkeit

¥ Peilbarkeit

7

1. Mobilittsformen

¥ Terminal Mobility:

Ð Beispiel: Funktelefon

¥ drahtlose Kommunikationsschnittstelle

¥ mobiles Endgert

¥ Personal Mobility:

Ð Beispiel: ffentliche Terminals

¥ Teilnehmer ist mobil

¥ bewegungsunabhngige Adresse

¥ Endgert ist nicht notwendigerweise mobil

¥ Session Mobility:

Ð ÇEinfrieren einer SessionÈ und sptere Reaktivierung an einem

anderen Ort oder/und Endgert.

Mobilkommunikation Ð Einteilungsmglichkeiten

8

Mobilkommunikation Ð Einteilungsmglichkeiten

2. Wellenbereiche

Ð Funkwellen (f = 100 MHz bis mehrere GHz)

Ð Lichtwellen (infrarot)

Ð Schallwellen (bisher ungebruchlich)

3. Zellengr§e

Ð Pikozellen d < 100 m

Ð Mikrozellen d < 1 km

Ð Makrozellen d < 20 km

Ð Hyperzellen d < 60 km

Ð Overlay-Zellen d < 400 km

Weitere

Ð Punkt-zu-Punkt-Kommunikation, Broadcast (Pagerdienste)

Ð Analog, Digital

Ð Simplex, Duplex

9

Beispiele fr mobile Netze

¥ Pagerdienste (Scall, TeLMI)

¥ Datendienste (Modacom)

¥ Sprachdienste = Massenmarkt

Ð 1. Generation: analog

¥ C-Netz, Cordless Telephone, AMPS

Ð 2. Generation: digital

¥ GSM, DCS-1800, DECT

Ð 3. Generation: diensteintegrierend

¥ UMTS/IMT-2000/FPLMTS

¥ Satellitendienste

Ð Iridium, Inmarsat, Globalstar, Odyssey

Ð GPS (Global Positioning System)

¥ Internet (Mobile IP)

10

Sicherheitsanforderungen an mobile Systeme

¥ Bsp. f. Sicherheitsanforderungen: Cooke, Brewster (1992)

Ð protection of user data

Ð protection of signalling information, incl. location

Ð user authentication, equipment verification

Ð fraud prevention (correct billing)

¥ Allgemein

Ð Schutz der Vertraulichkeit

Ð Schutz der Integritt

Ð Zurechenbarkeit

Ð Verfgbarkeit

¥ Mobiles Umfeld kann nicht als

vertrauenswrdig vorausgesetzt werden

11

Vertraulichkeit, Integritt, Zurechenbarkeit, Verfgbarkeit

¥ Schutz der Inhaltsdaten (ÇWorber?È)

Ð vor allen Instanzen au§er den Kommunikationspartnern!

¥ Schutz der Verkehrsdaten (ÇWer mit wem?È)

Ð Mglichkeit zur anonymen und unbeobachtbaren Kommunikation

Ð auch gegenber dem Netzbetreiber!

¥ Schutz des Aufenthaltsorts (ÇWo?È)

Ð Schutzziel: Verhindern der Erstellbarkeit von Bewegungsprofilen

¥ Schutz vor (Ver)-Flschung

Ð Inhalte und Absender

¥ Sende- und Empfangsnachweise

Ð Digitale Signaturen

¥ Sichere Abrechnungsverfahren

Ð auch gegenber dem Netzbetreiber!

Ð Anonymitt und Unbeobachtbarkeit mu§ erhalten bleiben!

¥ Verfgbarkeit

Inhalte

Senden

Empfangen

Ort

Bezahlung

Inhalte

Absender

Empfnger

12

KommunikationsgegenstandWAS?

KommunikationsumstndeWANN?, WO?, WER?

Vertraulichkeit

Integritt

AnonymittUnbeobachtbarkeit

ZurechenbarkeitRechtsverbindlichkeit

InhalteSender

Empfnger

Ort

BezahlungInhalte Absender

Empfnger

Was ist zu schtzen?

Juristisch: Juristisch: personenbezogenepersonenbezogene Daten Daten

Technisch: Inhaltsdaten und VerkehrsdatenTechnisch: Inhaltsdaten und Verkehrsdaten

13

Maximal bercksichtigte Strke des Angreifers

Schutz vor einem allmchtigen Angreifer ist unmglich.

Ð Rollen des Angreifers (Au§enstehender, Benutzer, Betreiber,

Wartungsdienst, Produzent, Entwerfer É), auch kombiniert

Ð Verbreitung des Angreifers

Ð Verhalten des Angreifers

¥ passiv / aktiv

¥ beobachtend / verndernd (bzgl. seiner erlaubten

Handlungen)

Ð dumm / intelligent

¥ Rechenkapazitt:

Ð unbeschrnkt: informationstheoretisch

Ð beschrnkt: komplexittstheoretisch

Zeit

Geld

14

Angreifermodell

¥ Aktive oder passive Rolle des Angreifers

Ð Was kann der Angreifer maximal passiv beobachten?

Ð Was kann der Angreifer maximal aktiv kontrollieren?

Ð Was kann der Angreifer aktiv verndern?

Konkret:

¥ Angreifer au§erhalb des Netzes (Outsider):

nur passive (abhrend, beobachtend)

¥ Angreifer innerhalb den Netzes (Insider):

passive und aktive (hier: Daten verndernde Angriffe)

¥ Generell: Insider und Outsider knnen Verfgbarkeit auf der

Funkschnittstelle stren

15

Angreifermodell

¥ Mchtigkeit des Angreifers

Ð Wieviel Rechenkapazitt besitzt der Angreifer?

Ð Wieviel finanzielle Mittel besitzt der Angreifer?

Ð Wieviel Zeit besitzt der Angreifer?

Ð Welche Verbreitung hat der Angreifer? Oder spezieller: Welche

Leitungen, Kanle, Stationen kann der Angreifer beherrschen?

Konkrete Verbreitung

¥ Endgert: sicher gegen Manipulation = Vertrauensbereich

¥ Netzkomponenten: sicher gegenber Outsidern, unsicher gegenber

Insidern

¥ Funkschnittstelle: Peilbarkeit sendender Funkstationen (Insider und

Outsider)

16

Sicherheitsma§nahmen

Vertr. Integr. Verf.Ende-zu-Ende-Sicherung der Inhalte x xzustzliche Verschlsselung der Signalisierdaten x x (x)Schutz vor Peil- und Ortbarkeit:Spread Spectrum x xSchutz der Kommunikationsbeziehungen xSchutz des Aufenthaltsortes / DatenschutzgerechteVerwaltung der Aufenthaltsorte

x

Gegenseitige Authentikation der Teilnehmer, aberauch der Netzkomponenten untereinander

x x

Organisatorische Aspekte: Befugnisse desWartungsdienstes genau definieren

x x x

(Hersteller)-Unabhngigkeit der Netzkomponenten x xAnonyme Netzbenutzung (Wertkarten) xMehrseitig sichere, ggf. anonyme Abrechnung x x (x)

17

Mobilkommunikation am Beispiel GSM

Ð Ursprnglich: Groupe Spciale Mobil der ETSI

¥ Leistungsmerkmale des Global System for Mobile Communication

Ð hohe, auch internationale Mobilitt

Ð hohe Erreichbarkeit unter einer (international) einheitlichen Rufnummer

Ð hohe Teilnehmerkapazitt

Ð recht hohe bertragungsqualitt und -zuverlssigkeit durch effektive

Fehlererkennungs- und -korrekturverfahren

Ð hoher Verfgbarkeitsgrad (Flchendeckung zwischen 60 und 90%)

Ð als Massendienst geeignetes Kommunikationsmedium

Ð flexible Dienstgestaltung

¥ Dienstevielfalt

¥ Entwicklungsfhigkeit

18

Mobilkommunikation am Beispiel GSM

Ð Ursprnglich: Groupe Spciale Mobil der ETSI

¥ Leistungsmerkmale des Global System for Mobile Communication

Ð eingebaute Sicherheitsmerkmale

¥ Zugangskontrolldienste (PIN, Chipkarte)

¥ Authentikations- und Identifikationsdienste

¥ Untersttzung von temporren Identifizierungsdaten (Pseudonymen)

¥ Abhrsicherheit fr Outsider auf der Funkschnittstelle

Ð relativ niedriges Kostenniveau

Ð priorisierter Notrufdienst

Ð Ressourcenkonomie auf der Funkschnittstelle durch FDMA, TDMA,

Sprachkodierung, Warteschlangentechniken, OACSU (Off Air Call Setup)

19

Struktur von GSM

¥ Architekturkonzept Ð die Erste

Operation and Mantainance Center

Location Registers

Mobile Switching Center

Mobile Switching Center

Base Station Controller

Base Station Controller

Base Transceiver Station

Base Transceiver Station

...

MSMS

MSMS

MS

Base Station Subsystem

20

Struktur von GSM

¥ Logischer Netzaufbau

BTS

MS

LA

MSC

MSC

HLR AuC EIR

VLR

VLR

BSC

MSC VLR

HLR: Home Location RegisterAuC: Authentication CenterEIR: Equipment Identity RegisterMSC: Mobile Switching CenterVLR: Visitor Location RegisterBSC: Base Station ControllerBTS: Base Transceiver StationMS : Mobile StationLA : Location Area

21

Struktur von GSM

¥ Architekturkonzept Ð die Zweite

PSTN/ISDN

Network and switching subsystemFixed network

Datanetworks

BTS

BTS

Base stationsubsystem

OMC

(G)MSC BSC

Call Management

Network Management

MS

MS

Operation subsystem

VLR HLR AuC EIR

22

Location Management im GSM

¥ Grundprinzip verteilte Speicherung

Ð Verteilte Speicherung ber Register

¥ Home Location Register und Visitor Location Register

Ð Netzbetreiber hat stets globale Sicht auf Daten

Ð Bewegungsprofile sind erstellbar

HLR

Datenbank-abfrage

Vermittlung des Rufs ins LA

VLRAdresse

des VLR:

A

Adresse

des LA:

LAI

Datenbank-abfrage

weit entfernt vom LA in der Nähe des LA

VLR

MSISDNenthält

Nummer des

HLR

incoming call:

A

Broadcast im LA

MS

besuchtes LA

BBTS

23

Defizite in existierenden Netzen am Beispiel GSM

¥ Bsp. f. Sicherheitsanforderungen: Cooke, Brewster (1992)

Ð protection of user data

Ð protection of signalling information, incl. location

Ð user authentication, equipment verification

Ð fraud prevention (correct billing)

¥ Datenschutzdefizite (Auswahl)

Ð geheimgehaltene symmetrische Kryptoverfahren

Ð schwacher Schutz des Ortes gegen Outsider

Ð kein Schutz gegen Insiderangriffe (Inhalte, Aufenthaltsorte)

Ð keine Ende-zu-Ende-Dienste (Authentikation, Verschlsselung)

Ð Vertrauen des Nutzers in korrekte Abrechnung ist ntig

Ð keine anonyme Netzbenutzung mglich

¥ Fazit: Stets werden externe Angreifer betrachtet.

Ð GSM soll lediglich das Sicherheitsniveau existierender Festnetze

erreichen.

24

Datenbanken des GSM

¥ Home Location Register (HLR)

Semipermanente Daten

Ð IMSI (International Mobile Subscriber Identity): max. 15 Ziffern

¥ Mobile Country Code (MCC, 262) + Mobile Network Code (MNC,

01/02) + Mobile Subscriber Identification Number (MSIN)

Ð MSISDN (Mobile Subscriber International ISDN Number): 15 Ziffern

¥ Country Code (CC, 49) + National Destination Code (NDC, 171/172)

+ HLR-Nummer + Subscriber Number (SN)

Ð Bestandsdaten ber den Subscriber (Name, Adresse, Kto.-Nr. etc.)

Ð gebuchtes Dienstprofil (Prioritten, Anrufweiterleitung,

Dienstrestriktionen, z.B. Roaming-Einschrnkungen)

HLR

25

Datenbanken des GSM


Temporre Daten

Ð VLR-Adresse, MSC-Adresse

Ð MSRN (Mobile Subscriber Roaming Number): Aufenthaltsnummer

¥ CC + NDC + VLR-Nummer

Ð Authentication Set, bestehend aus mehreren Authentication Triples:

¥ RAND (128 Bit),

¥ SRES (32 Bit) ,

¥ Kc (64 Bit)

Ð Gebhren-Daten fr die Weiterleitung an die Billing-Centres

HLR

26

Datenbanken des GSM


¥ Visitor Location Register (VLR)

Ð IMSI, MSISDN

Ð TMSI (Temporary Mobile Subscriber Identity)

Ð MSRN

Ð LAI (Location Area Identification)

Ð MSC-Adresse, HLR-Adresse

Ð Daten zum gebuchten Dienstprofil

Ð Gebhren-Daten fr die Weiterleitung an die Billing-Centers

VLR

HLR

27

Datenbanken des GSM


¥ Visitor Location Register (VLR)

¥ Equipment Identity Register (EIR)

Ð IMEI (International Mobile

Station Equipment Identity): 15 Ziffern

= Seriennummer der Mobilstation

¥ white-lists (zugelassene Endgerte,

nur verkrzte IMEI gespeichert)

¥ grey-lists (fehlerhafte Endgerte,

die beobachtet werden)

¥ black-lists (gesperrte)

VLR

EIR

HLR

28

Sicherheitsrelevante Funktionen des GSM

¥ berblick

Ð Subscriber Identity Module (SIM, Chipkarte)

¥ Zugangskontrolle und Kryptoalgorithmen

Ð einseitige Authentikation (Mobilstation vor Netz)

¥ Challenge-Response-Verfahren (Kryptoalgorithmus: A3)

Ð Pseudonymisierung der Teilnehmer auf der Funkschnittstelle

¥ Temporary Mobile Subscriber Identity (TMSI)

Ð Verbindungsverschlsselung auf der Funkschnittstelle

¥ Schlsselgenerierung: A8

¥ Verschlsselung: A5

29

Subscriber Identity Module (SIM)

¥ Spezielle Chipkarte mit Rechenkapazitt

Gespeicherte Daten:

Ð IMSI (interne Teilnehmerkennung)

Ð teilnehmerspezifischer symmetrischer Schlssel Ki (Shared Secret Key)

Ð PIN (Personal Identification Number) fr Zugangskontrolle

Ð TMSI

Ð LAI

Krypto-Algorithmen:

Ð Algorithmus A3 fr Challenge-Response-Authentikationsverfahren

Ð Algorithmus A8 zur Generierung von Kc (Session Key)

30

Challenge-Response-Authentikation

¥ Wann vom Netz initiiert?

Ð Aufenthaltsregistrierung (Location Registration)

Ð Aufenthaltswechsel (Location Update) mit VLR-Wechsel

Ð Call Setup (in beiden Richtungen)

Ð Kurznachrichtendienst SMS (Short Message Service)

¥ Protokoll

=

MS MSC/VLR/AuC

Authentication Request

RAND

SRES

Authentication Response

Random Generator

A3

Ki

A3

Ki

Authentication Result

max. 128 Bit

32 Bit

128 Bit

31

Challenge-Response-Authentikation

¥ Algorithmus A3

Ð auf SIM und im AuC untergebracht

Ð mit Ki parametrisierte Einwegfunktion

Ð nicht (europaweit, weltweit) standardisiert

Ð kann vom Netzbetreiber festgelegt werden:

¥ Authentikationsparameter werden vom Netzbetreiber an das prfende

(d.h. das besuchte) MSC bermittelt

¥ dort lediglich Vergleichsoperation

¥ besuchtes MSC mu§ der Gte von A3 vertrauen

Ð Schnittstellen sind standardisiert

=

MS MSC/VLR/AuC


RAND

SRES


Random Generator

A3

Ki

A3

Ki


max. 128 Bit

32 Bit

128 Bit

32

=

MS MSC/VLR/AuC


RAND

SRES


Random Generator

A3

Ki

A3

Ki


max. 128 Bit

32 Bit

128 Bit

Angriffe

¥ Kritik

Ð kryptographische Mechanismen geheim, also nicht ÇwohluntersuchtÈ

¥ Folge: Schwchen nicht auszuschlie§en

¥ Angriff: SIM-Cloning

Ð symmetrisches Verfahren

¥ Folge: Speicherung nutzerspezifischer geheimer Schlssel beim

Netzbetreiber erforderlich

¥ Angriff: ÇAbfangenÈ von Authentication Triplets

Ð keine gegenseitige Authentikation vorgesehen

¥ Folge: Angreifer kann ein GSM-Netz vortuschen

¥ Angriff: IMSI-Catcher

33

ÇSIM-CloningÈ

¥ Angriffsziel

Ð Telefonieren auf Kosten anderer Teilnehmer

Ð beschrieben von Marc Briceno (Smart Card Developers Association), Ian

Goldberg und Dave Wagner (beide University of California in Berkeley)

Ð http://www.isaac.cs.berkeley.edu/isaac/gsm.html

Ð Angriff bezieht sich auf Schwche des Algorithmus COMP128, der A3/A8

implementiert

Ð SIM-Karte (incl. PIN) mu§ sich in zeitweiligem Besitz des Angreifers

befinden

¥ Aufwand

Ð ca. 150.000 Berechnungsschritte, um Ki (max. 128 Bit) zu ermitteln

Ð derzeit ca. 8 - 12 Stunden

34

ÇAbfangenÈ von Authentication Sets

¥ Angriffsziel

Ð Telefonieren auf Kosten anderer Teilnehmer

Ð beschrieben von Ross Anderson (Universitt Cambridge)

Ð Abhren der unverschlsselten netzinternen Kommunikation bei

Anforderung der Authentication Triples vom AuC durch das besuchte

VLR/MSC

¥ Angriff beruht auf folgender ÇSchwcheÈ

Ð GSM-Standard beschreibt gr§tenteils Implementierung von

Schnittstellen zwischen den Netzkomponenten

Ð Verschlsselung der Authentication Sets bei bermittlung vom AuC zum

VLR/MSC nicht vorgesehen

35

Verschlsselung auf der Funkschnittstelle

originator device radio transmission(encrypted)

BTS fixed network(not encrypted)

Gateway-MSC

database

terminating device radio transmission(encrypted)

BTS fixed network(not encrypted)

domain of network operator 1

domain of network operator 2

Richtfunk-strecke(unverschlsselt)

36

ÇAbfangenÈ von Authentication Sets

fakedmobile station visited network home network

(any message)

air interface

TMSIKiRAND

A5

A3+A8

SRESÕ

A5

=

auth. res.

Auth. Request

RAND

Auth. Response

SRES

Ciphering Mode Cmd.

Start Ciphering

Ciphering Mode Compl.

Provide Auth. Info

microwave link(not encrypted)

Authentication Information

RAND, SRES, Kc

mappingTMSIÐIMSI IMSI

storeauth. info

storeauth. info

Lookup

Kc

Interception of Authentication Triplets

RAND, SRES, Kc

......

...

Kc

37

Pseudonymisierung auf der Funkschnittstelle

¥ TMSI (Temporary Mobile

Subscriber Identity)

Ð soll Verkettung von

Teilnehmeraktionen

verhindern

Ð Algorithmus zur

Generierung der TMSI

legt Netzbetreiber fest

Ð bei erster Meldung

(oder nach Fehler) wird

IMSI bertragen

¥ Neuvergabe einer TMSI

bei unbekannter alter

TMSI

Ð Identity Request

Ð ... kann jederzeit von

Netz gesendet werden

MS Netz

alte TMSI im SIM (beliebige Nachricht, in der TMSI verwendet wird)

VLR: keine Zuordnung

TMSI — IMSImöglich

Authentikation

VLR: Neuver-gabe TMSI

Identity Response

Identity Request

IMSI aus SIM

IMSI

TMSI Reallocation Command

BSC: Chiffr. A5

cipher(TMSI new)

A5

Kc

LAI old, TMSI old

SpeicherungTMSI new

38

Pseudonymisierung auf der Funkschnittstelle

¥ TMSI (Temporary Mobile

Subscriber Identity)

Ð soll Verkettung von

Teilnehmeraktionen

verhindern

Ð Algorithmus zur

Generierung der TMSI

legt Netzbetreiber fest

Ð bei erster Meldung

(oder nach Fehler) wird

IMSI bertragen

MS Netz


alte TMSI im SIM

LAI old, TMSI old

(beliebige Nachricht, in der TMSI verwendet wird)

VLR: Zuordnung TMSI — IMSI

Authentikation

BSC: Chiffr. A5

VLR: Neuver-gabe TMSI

cipher(TMSI new)

A5

neue TMSI im SIM

TMSI Reallocation Complete

Kc

SpeicherungTMSI new

LöschungTMSI oldSpeicherung

TMSI new

39


¥ Schlsselgenerierung: Algorithmus A8

Ð auf SIM und im AuC untergebracht

Ð mit Ki parametrisierte Einwegfunktion

Ð nicht (europaweit, weltweit) standardisiert

Ð kann vom Netzbetreiber festgelegt werden

Ð Schnittstellen sind standardisiert

Ð Kombination A3/A8 bekannt als COMP128

MS Netz

(Authentication Request)

RAND

Random Generator

A8

Ki

A8

Ki

Kcin HLR gespeichert

in BSC benutzt

max. 128 Bit

64 Bit

128 Bit

Kcin SIM gespeichert

in MS benutzt

40


¥ Datenverschlsselung: Algorithmus A5

Ð in der Mobilstation (nicht im SIM !) untergebracht

Ð europa- bzw. weltweit standardisiert

Ð schwcherer Algorithmus A5* oder A5/2 fr bestimmte Staaten

MS Netz

(Verschlüsselungsmodus)

A5

Kc

A5

Kc

TDMA-Rahmen-nummer

64 Bit

Klartext-block

22 Bit

TDMA-Rahmen-nummer

114 BitSchlüssel-block

Schlüsseltext

Klartext-block

Ciphering Mode Command

(Ciphering Mode Complete)Verbindungs-

verschlsselung

41


¥ Ciphering Mode Command (GSM 04.08)

¥ Cipher mode setting information element

8 7 6 5 4 3 2 11 0 0 1 0 0 0 SC=0 No chiphering

Ciph mode set IEI Spare Spare Spare SC=1 Start ciphering

Informationselement Lnge in BitProtocol discriminatorTransaction discriminator 16Message typeCiphering mode setting 8

42

IMSI-Catcher

knows identities

suppress ciphering

MS IMSI Catcher network

Location Upd. Request (TMSI)

Identity Request

Identity Response (IMSI)

Note: The IMSI Catcher sends its Òlocation area identityÓ with a higher power than the genuine

Location Upd. Request (IMSI)

Authentication Request (RAND)

Authentication Response (SRES)

Ciph. Mode Cmd. (Start Ciph.)

Ciphering Mode Complete (Fault)

Location Updating Accept


Authentication Request (RAND)

Authentication Response (SRES)

TMSI Realloc. Cmd. (TMSI new)

Ciph. Mode Cmd. (No Ciphering)



TMSI Realloc. Cmd. (TMSI new)

Ciph. Mode Cmd. (No Ciphering)

BCCH BCCH¥ Angriffsziele

Ð Welche Teilnehmer

halten sich in der

Funkzelle auf?

Ð Gesprche mithren

¥ Man-in-the-middle

attack (Maskerade)

¥ Abwehr:

Ð Gegenseitige

Authentikation:

MS Ñ Netz

und

Netz Ñ MS

43

Zusammenspiel der SicherheitsfunktionenMS Netz


TMSI old, LAI old

Location Updating Request

RAND, SRES, Kc, IMSI, TMSI

A5


Kc Ciphering Mode Command

=


RAND

SRES


A3 + A8

Ki

SRES

Ciphering Mode Complete

Kc


A5

A5

A5

A5

A5

A5

A5

Ki, IMSI, TMSI

44

Location Management allgemein

¥ Zentral

Ð Jede Aktualisierung, d.h. Wechsel des Location Area (LA), erfordert

Kommunikation mit Home Location Register (HLR)

Ð Ineffizient bei gro§er Entfernung zwischen HLR und und aktuellem

Aufenthaltsort bzw. hoher Location Update Rate (LUP-Rate)

¥ Diese Form der Speicherung wird bei Mobile IP verwendet

Ð HLR entspricht dem Home Agent

speichert Adresse des LA zusammen mit der MSISDN

HLR

Broadcast im LA

MSISDNenthältNummer desHLR

incoming call:

Datenbank-abfrage

Vermittlung des Rufs ins LA

MS

besuchtes LA

B

A

BTS

MSISDN, LAI

45


¥ Zweistufig

Ð Wechsel des LA wird dem Visitor Location Register (VLR) signalisiert

Ð Ein VLR bedient einen begrenzten geographischen Bereich (VLR-Area)

Ð Wechsel des VLR-Area wird dem HLR signalisiert

Ð Zweck: Reduzieren der Signalisierlast im Fernbereich

Ð Tradeoff: Verzgerung des Rufaufbaus (mobile terminated) durch

zustzliche Datenbankanfrage an VLR

HLR

Datenbank-

abfrage

Vermittlung des

Rufs ins LA

VLR

Adressedes VLR:A

Adressedes LA:LAI

Datenbank-

abfrage

weit entfernt vom LA in der Nähe des LA

BroadcastMSISDN

VLR

46


¥ Mehrstufig

Ð Verallgemeinerung des mehrstufigen Falls

Ð Fr Systeme der sogenannten 3. Generation vorgesehen (UMTS,

FPLMTS, IMT-2000)

Ð Register sind nicht zwingend hierarchisch, z.B. bei ÈForwardingÇ

Datenbankabfragen/Weitervermittlung

HLR

BroadcastMSISDN

Entfernung vom LA

A ...

R2 R3 Rn

LAIA A

Granularität der Lokalisierungsinformationgrob

groß klein

fein

R2 R3 R4

R1

47

Location Update Situationen

a) Wechsel der Funkzelle b) Wechsel des LA c) Wechsel des VLR/MSC-Bereichs d) Wechsel des MSC-Bereichs

LA 1 (gehört zu MSC 1 und VLR 1)



Bewegung der MS

Zeichenerklärung:

Funkzelle

HLR ...

... im Home- PLMN- Bereich

MSC 1 VLR 1

VLR 2

MSC 2

MSC 3


a

a

b

d

c

48

Location Update: neues LA

¥ Neues LA, aber altes VLR

(TMSI bekannt)

Ð Location Updating Request

(TMSI, LAI)oldÐ Sicherheitslmanagement

¥ Authentication

¥ Ciphering Mode

¥ TMSI Reallocation

Ð Location Updating Accept

MS MSC/VLR




cipher(TMSI new)


Allocation

TMSI new

De-Allocation

TMSI old

A3 + A8


RAND

SRES

Ki

Kc


Ciphering Mode Command

Ciphering Mode Complete

=

TMSI old, LAI old

Sicherheitsmanagement:

Authentikation,Verschlüsselungsmodus setzen,Zuweisung TMSI new

Sicherheitsmanagement:

Bestätigung TMSI newLöschen TMSI alt

49

Location Update: VLR-Wechsel

Bewegung

VLR2

HLR

VLR1

LUP Request

50

Location Update: VLR-Wechsel

¥ Neues VLR (altes VLR erreichbar)

TMSI old, LAI old

MS MSC/VLR new MSC/VLR old


IMSI, Auth. Set

Update Location

Update Location Result


Cancel Location

IMSI, MSC/VLR new

TMSI old, LAI old

HLR

Sicherheitsmanagement: Authentikation, Verschlsselungsmodus setzen, Zuweisung TMSI new

Sicherheitsmanagement: Besttigung TMSI new Lschen TMSI old

De-Allocation TMSI old

51

Mobile Terminated Call Setup im GSM

send routing information

MSC2 (eigentlich MSRN)

incoming call

visited MSC2

Broadcast-nachricht im LA1

MSISDN-B enthält Routing-Information zum gebuchten GSM-Netz des Mobilfunkteilnehmers B

Gateway MSC

HLR

MSISDN/IMSI-AMSISDN/IMSI-B...

MSISDN/IMSI-XMSISDN/IMSI-YMSISDN/IMSI-Z

MSC3MSC2...

MSC4MSC1MSC2

liest den Datenbankeintrag für MSISDN/IMSI-B und vermittelt zum entsprechenden MSC weiter

IMSI-B

VLR2

IMSI-BIMSI-C

...

LA1, TMSI-BLA3, TMSI-C

...

liest das LA für IMSI-B

send info for incoming call

Station erkennt Verbindungswunschnachricht an ausgestrahlter TMSI-B

TMSI-B

LA1, TMSI-B

B

LA1

52

MobileTerminatedCall Setup

¥ Protokoll

MS MSC HLR PSTN/GMSC

Paging Response

Send Routing InformationProvide Routing Info.

MSRN

Send Routing Info. Result

MSRN

Paging Request

Kanalanforderung an BSS (nur early-TCH-Assignement)

Sicherheitsmanagement: Authentikation, Verschlüsselungsmodus

Setup

Kanalzuweisung bei early-TCH-Assignment

Alert

Connect

Kanalzuweisung bei OACSU

Initial Address Message (MSRN)

Answer Message

Address Complete Message

MSISDNIMSI

Prov. Rout. Info. Result

VLR

Pag. Request

Send Info

LAI, TMSITMSI (evtl. IMSI)

Data

ReleaseDisconnect

53

MobileOriginated CallSetup

¥ Protokoll

MS MSC/VLR PSTN/GMSC

CM Service Request

Kanalanforderung an BSS

Setup

Kanalzuweisung bei early-TCH- Assignment

Alert

Connect

Initial Address Message

Answer Message

Adress Complete Message

Sicherheitsmanagement: Authentikation, Verschlüsselungsmodus

Kanalzuweisung bei OACSU

DisconnectRelease

Data

54

Nachrichtenaufbau GSM 04.08

8 7 6 5 4 3 2 1

TI flag TI value Protocol discriminator octet 1

0 N(SD) Message type octet 2

Nachrichtenelement

octet 3

…

55

Nachrichtenaufbau GSM 04.08

¥ Protocol discriminator4 3 2 1 bit number

0 0 1 1 call control, packet-mode, connection control and call related SS msgs

0 1 0 1 mobility management messages

0 1 1 0 radio resources management messages

1 0 0 1 short message service messages

1 0 1 1 non call related SS messages

1 1 1 1 reserved for tests procedures

All other values are reserved

¥ Transaction identifier (TI)dient zur Unterscheidung paralleler Aktivitten einer MS

8 bit number = TI flag

0 message sent from the originated TI side

1 message sent to the originated TI side

¥ TI valueZahl von 000É110 (bin:0É6)

111 reserviert

8 7 6 5 4 3 2 1



Nachrichtenelement

octet 3

…

56

Message type

¥ Identifiziert die Funktion der Nachricht

¥ 3 Klassen:

Ð radio ressources management

Ð mobility management

Ð call control

¥ N(SD)

Ð Sequenznummer bzw. Extension Bit

8 7 6 5 4 3 2 1



Nachrichtenelement

octet 3

…

57

Message type (1)

¥ Radio

ressources

management

8 7 6 5 4 3 2 1 bit number-----------------------------------------------------0 0 1 1 1 Ð Ð - Channel establishment messagesÊÊÊÊÊ ÊÊ0 1 1 ADDITIONAL ASSIGNMENTÊÊ ÊÊÊÊÊ1 1 1 IMMEDIATE ASSIGNMENTÊÊÊÊÊ ÊÊ0 0 1 IMMEDIATE ASSIGNMENT EXTENDEDÊÊÊÊÊ ÊÊ0 1 0 IMMEDIATE ASSIGNMENT REJECT0 0 1 1 0 Ð Ð - Ciphering messagesÊÊÊÊÊÊÊÊÊÊ1 0 1 CIPHERING MODE ASSIGNEMTÊÊÊÊÊÊÊÊÊÊ0 1 0 CIPHERING MODE COMPLETE0 0 1 0 1 Ð Ð - Handover messagesÊÊÊÊÊÊÊÊÊÊ1 1 0 ASSIGNEMT COMMANDÊÊÊÊÊÊÊÊÊÊ0 0 0 ASSIGNEMT COMPLETEÊÊÊÊÊÊÊÊÊÊ1 1 1 ASSIGNMENT FAILUREÊÊÊÊÊÊÊÊÊÊ0 1 1 HANDOVER COMMANDÊÊÊÊÊÊÊÊÊÊ1 0 0 HANDOVER COMPLETEÊÊÊÊÊÊÊÊÊÊ0 0 0 HANDOVER FAILUREÊÊÊÊÊÊÊÊÊÊ1 0 1 PHYSICAL INFORMATION0 0 0 0 1 Ð Ð - Channel release messagesÊÊÊÊÊÊÊÊÊÊ1 0 1 CHANNEL RELEASEÊÊÊÊÊÊÊÊÊÊ0 1 0 PARTIAL RELEASEÊÊÊÊÊÊÊÊÊÊ1 1 1 PARTIAL RELEASE COMPLETE0 0 1 0 0 Ð Ð - Paging messagesÊÊÊÊÊÊÊÊÊÊ0 0 1 PAGING REQUEST TYPE 1ÊÊÊÊÊÊÊÊÊÊ0 1 0 PAGING REQUEST TYPE 2ÊÊÊÊÊÊÊÊÊÊ1 0 0 PAGING REQUEST TYPE 3ÊÊÊÊÊÊÊÊÊÊ1 1 1 PAGING RESPONSE0 0 0 1 1 Ð Ð - System information messagesÊÊÊÊÊÊÊÊÊÊ0 0 1 SYSTEM INFORMATION TYPE 1ÊÊÊÊÊÊÊÊÊÊ0 1 0 SYSTEM INFORMATION TYPE 2ÊÊÊÊÊÊÊÊÊÊ0 1 1 SYSTEM INFORMATION TYPE 3ÊÊÊÊÊÊÊÊÊÊ1 0 0 SYSTEM INFORMATION TYPE 4ÊÊÊÊÊÊÊÊÊÊ1 0 1 SYSTEM INFORMATION TYPE 5ÊÊÊÊÊÊÊÊÊÊ1 1 0 SYSTEM INFORMATION TYPE 60 0 0 1 0 Ð Ð - Miscellaneous messagesÊÊÊÊÊÊÊÊÊÊ0 0 0 CHANNEL MODE MODIFYÊÊÊÊÊÊÊÊÊÊ0 1 0 RR-STATUSÊÊÊÊÊÊÊÊÊÊ1 1 1 CHANNEL MODE MODIFY ACKNOWLEDGEÊÊÊÊÊÊÊÊÊÊ1 0 0 FREQUENCY REDEFINITIONÊÊÊÊÊÊÊÊÊÊ1 0 1 MEASUREMENT REPORTÊÊÊÊÊÊÊÊÊÊ1 1 0 CLASSMARK CHANGE

58

Message type (2)

¥ Mobility management

Ð Bits 7 und 8 (ã00Ò) reserviert als extension bits

Ð Bit 7:

¥ nur mobile originated: ã1Ò, falls Sequenznummer gesendet wird

8 7 6 5 4 3 2 1 bit number----------------------------------------------0 x 0 0 Ð Ð Ð - Registration messagesÊ Ê Ê Ê 0 0 0 1 IMSI DETACH INDICATIONÊ Ê Ê Ê 0 0 1 0 LOCATION UPDATING ACCEPTÊ Ê Ê Ê 0 1 0 0 LOCATION UPDATING REJECTÊ Ê Ê Ê 1 0 0 0 LOCATION UPDATING REQUEST0 x 0 1 Ð Ð Ð - Security messagesÊ Ê Ê Ê 0 0 0 1 AUTHENTICATION REJECTÊ Ê Ê Ê 0 0 1 0 AUTHENTICATION REQUESTÊ Ê Ê Ê 0 1 0 0 AUTHENTICATION RESPONSEÊ Ê Ê Ê 1 0 0 0 IDENTITY REQUESTÊ Ê Ê Ê 1 0 0 1 IDENTITY RESPONSEÊ Ê Ê Ê 1 0 1 0 TMSI REALLOCATION COMMANDÊ Ê Ê Ê 1 0 1 1 TMSI REALLOCATION COMPLETE0 x 1 0 Ð Ð Ð - Connection management messagesÊ Ê Ê Ê 0 0 0 1 CM SERVICE ACCEPTÊ Ê Ê Ê 0 0 1 0 CM SERVICE REJECTÊ Ê Ê Ê 0 1 0 0 CM SERVICE REQUESTÊ Ê Ê Ê 1 0 0 0 CM REESTABLISHMENT REQUEST0 x 1 1 Ð Ð Ð - Connection management messagesÊ Ê Ê Ê 0 0 0 1 MM STATUS

59

Message type (3)

¥ Call control

Ð Bei nationalen Nachrichten

folgt in den nchsten Oketts

der eigentliche Nachrichtentyp

Ð Bits 7 und 8 (ã00Ò) reserviert

als extension bits

Ð Bit 7:

¥ nur mobile originated: ã1Ò,

falls Sequenznummer

gesendet wird

8 7 6 5 4 3 2 1 bit number-------------------------------------------0 x 0 0 0 0 0 0 Escape to nationally specific message types0 x 0 0 Ð Ð Ð - Call establishment messagesÊ Ê Ê Ê 0 0 0 1 ALERTINGÊ Ê Ê Ê 1 0 0 0 CALL CONFIRMEDÊ Ê Ê Ê 0 0 1 0 CALL PROCEEDINGÊ Ê Ê Ê 0 1 1 1 CONNECTÊ Ê Ê Ê 1 1 1 1 CONNECT ACKNOWLEDGEÊ Ê Ê Ê 1 1 1 0 EMERGENCY SETUPÊ Ê Ê Ê 0 0 1 1 PROGRESSÊ Ê Ê Ê 0 1 0 1 SETUP0 x 0 1 Ð Ð Ð - Call information phasemessagesÊ Ê Ê Ê 0 1 1 1 MODIFYÊ Ê Ê Ê 1 1 1 1 MODIFY COMPLETEÊ Ê Ê Ê 0 0 1 1 MODIFY REJECTEDÊ Ê Ê Ê 0 0 0 0 USER INFORMATION0 x 1 0 Ð Ð Ð - Call clearing messagesÊ Ê Ê Ê 0 1 0 1 DISCONNECTÊ Ê Ê Ê 1 1 0 1 RELEASEÊ Ê Ê Ê 1 0 1 0 RELEASE COMPLETE0 x 1 1 Ð Ð Ð - Miscellaneous messagesÊ Ê Ê Ê 1 0 0 1 CONGESTION CONTROLÊ Ê Ê Ê 1 1 1 0 NOTIFYÊ Ê Ê Ê 1 1 0 1 STATUSÊ Ê Ê Ê 0 1 0 0 STATUS ENQUIRYÊ Ê Ê Ê 0 1 0 1 START DTMFÊ Ê Ê Ê 0 0 0 1 STOP DTMFÊ Ê Ê Ê 0 0 1 0 STOP DTMF ACKNOWLEDGEÊ Ê Ê Ê 0 1 1 0 START DTMF ACKNOWLEDGEÊ Ê Ê Ê 0 1 1 1 START DTMF REJECT

60

Bewegungs-profile im GSM

É per Fernwartung

É per Peilung

→

OMC

MSC VLR

HLR

BSC

BTSBTS

BSS

kennt VLR bzw. MSC

kennt LA

bei existierender Verbindung:kennt Zelle

hat Zugriff auf Netzkomponenten

LA

... kennt Frequenzsprungparameter (Hopping Parameters)

61

Bewegungsprofile im GSM

É per Peilung

BTS

BTS

BTSRichtungspeilungLaufzeitpeilung

62

Zusammenfassung der Sicherheitsprobleme

¥ Krtitk an GSM (I)

Ð Vertraulichkeit des Ortes nur gegen Outsider und dort noch sehr

schwach

Ð Peilbarkeit von mobilen Stationen mglich

Ð keine bittransparenten Sprachkanle vorhanden, deshalb

keine Ende-zu-Ende-Verschlsselung mglich.

Ð keine Ende-zu-Ende-Authentikation vorgesehen

Ð keine gegenseitige Authentikation vorgesehen

Ð Kryptoalgorithmen sind teilweise geheim gehalten

Ð Kryptoalgorithmen sind ausschlie§lich symmetrisch

Ð Schlsselerzeugung und -verwaltung nicht unter Kontrolle der

Teilnehmer

63

Zusammenfassung der Sicherheitsprobleme

¥ Krtitk an GSM (II)

Ð keine anonyme Netzbenutzung mglich

Ð Vertrauen in korrekte Abrechnung ist ntig

Ð keine Erreichbarkeitsmanagementfunktionen vorhanden

¥ Auswege

Ð Modifikation des Location Managements

Ð Verhinderung von Peilung und Ortung durch funktechnische,

informationstechnische und kryptographische Ma§nahmen

Ð Definition von Ende-zu-Ende-Diensten

Ð Untersttzung asymmetrischer Kryptographie

64

Verfahren zum Schutz von Aufenthaltsinformation

¥ Schutzkonflikt

Ð Mobilkommunikationsteilnehmer mchte mit mobilem Endgert

erreichbar sein,

Ð mchte jedoch nicht, da§ irgendwelche Instanzen (Dienstanbieter,

Netzbetreiber) au§er ihm selbst ohne seine explizite Einwilligung an

Aufenthaltsinformation ber ihn gelangen.

Ð Kein existierendes Netz erfllt diese Anforderung.

¥ GSM (Global System for Mobile Communication)

Ð Verteilte Speicherung ber Register

¥ Home Location Register

¥ Visitor Location Register

Ð Netzbetreiber hat stets globale Sicht auf Daten

Ð Bewegungsprofile sind erstellbar

65

Systematik: Verfahren zum Schutz von Aufenthaltsinfo

A. Vertrauen nur in die Mobilstation

A.1 Broadcast-Methode

A.2 Methode der Gruppenpseudonyme

B. Zustzliches Vertrauen in einen eigenen ortsfesten Bereich

B.1 Adre§umsetzungsmethode

B.2 Methode der Verkleinerung der Broadcast-Gebiete

B.3 Methode der expliziten vertrauenswrdigen Speicherung

B.4 Methode der Temporren Pseudonyme

C. Zustzliches Vertrauen in einen fremden ortsfesten Bereich

C.1 Organisatorisches Vertrauen

C.2 Methode der kooperierenden Chips

C.3 Methode der Mobilkommunikationsmixe

66

berblick: Broadcast

¥ Verzicht auf Datenbanken und globaler Broadcast (keine Speicherung

von Lokalisierungsinformation)

HLR

Datenbank-abfrage

VLR

Datenbank-abfrage

A MS

B

67

A

Verteildienst

berblick: Broadcast

¥ Verzicht auf Datenbanken und globaler Broadcast (keine Speicherung

von Lokalisierungsinformation)

¥ Immenser Aufwand an Bandbreite, falls als Massendienst

68

HLR

Datenbank-abfrage

VLR

Datenbank-abfrage

A MS

B

berblick: Vertrauenswrdige Speicherung

¥ Ersetze Datenbanken durch individuellen vertrauenswrdigen Bereich

69

¥ Ersetze Datenbanken durch individuellen vertrauenswrdigen Bereich

¥ Problem Aufenthaltswechsel: Jede Aktualisierung bentigt

Kommunikation mit vertrauenswrdigem Bereich

Aindividueller vertrauenswürdiger Bereich


70

¥ Temporre Pseudonyme (TP-Methode)

¥ Frage: Geht es auch mit Datenbanken, aber ohne individuellen

Vertrauensbereich?

A vertr.Bereich HLR VLR


71

HLR VLR

A MS

B

MIX MIX

berblick: Mobilkommunikationsmixe

¥ Verdeckte Speicherung von Lokalisierungsinformation

72

Schutz des Empfngers: Verteilung (Broadcast)

¥ Adressierung

Ð explizite Adressen: Routing

Ð implizite Adressen: Merkmal fr Station des Adressaten

¥ verdeckt: Konzelationssystem

¥ offen: Bsp. Zufallszahlengenerator

¥ Beispiel

Ð Paging von Verbindungswnschen zu mobilen Teilnehmern

Ð Verzicht auf Speicherung von Aufenthaltsdaten

Adre§verwaltungffentliche Adresse private Adresse

impliziteAdres-

verdeckt sehr aufwendig, frKontaktaufnahme ntig

aufwendig

sierung offen abzuraten nach Kontaktaufnahmestndig wechseln

73

Broadcast-Ansatz

¥ Beispiel

Verteil- dienst

Verteil- wünsche

Broadcast

incoming call von Teilnehmer A

visited

MSC

Gateway

MSC

B

LA

1

2

34

5

6

74

Broadcast-Ansatz

Radio, Fernsehen, Funkruf, ... Verteildienst

Lokale Auswahl, unbeobachtbarer Empfang

75

Broadcast-Ansatz

¥ Leistung

1 106

1 107

1 1081 10

4

1 105

1 106

1 107

1 108

1 109

Verdeckte implizite AdresseOffene implizite AdresseMinimalkodierung

Bandbreite b [bit/s] mit:

λ = (300 s) -1

Tv = 0,5 s

versorgbare Teilnehmerzahl n

76

Variable implizite Adressierung

¥ Ziel

Ð Bandbreiteaufwand gegenber reinem Broadcast reduzieren

¥ Vorgehen

Ð Implizite Adresse P wird nicht mehr als Ganzes gesendet

¥ vorher: length(P) = n

Ð Zerlegen von P in k Segmente

¥ jetzt: length(Pi) = li mit (i=1..k) und sum(li, i=1, k)=n

Ð Broadcast der Segmente Schritt fr Schritt:

implizite Adresse: n Bit

...1 2 3 4 5 k

variable implizite Adresse: k Segmente

77


¥ Broadcast der Segmente Schritt fr Schritt:

10 LET C = alle Funkzellen des Versorgungsgebietes

20 LET k = Anzahl der Adre§segmente

30 FOR i = 1 TO k DOBroadcaste Pi in alle Funkzellen in C

IF (Mobilstation besitzt ausgestrahltes Pi ANDMobilstation hat in allen vorangegangenenSchritten geantwortet)

THEN sende "YES"

ELSE sende nichtsLET C = alle Funkzellen mit mindestens einer

"YES"-AntwortIF number_of_elements(C) = 1 THEN GOTO 50

40 END FOR

// Zellseparation beendet

78

VariableimpliziteAdressierung

¥ Beispiel

Broadcast von P1 (in alle 13 Zellen)

YES-Nachricht aus 10 Zellen

Broadcast von P2 (in diese 10 Zellen)





YES-Nachricht aus 1 Zelle

79


¥ Zellseparation mit Verkleinerung der Segmente

Ð Reduzieren der Broadcastschritte auf log2(n)

¥ Algorithmus10 LET C = alle Funkzellen des Versorgungsgebietes

20 LET r = n

30 WHILE (r>1 AND number_of_elements(C)>1) DO

Broadcaste die nchsten ceil(r/2) Bits von P in alle Funkzellen in C

IF (Mobilstation besitzt ausgestrahlte Bits AND Mobilstation hat in allen vorangegangenenSchritten geantwortet) THEN sende "YES"

LET C = alle Funkzellen mit mindestens einer "YES"-Antwort

r := r - ceil(r/2)

40 END WHILE

50 Broadcaste die letzten r Bits von P

60 // Zellseparation beendet

Segment 1 Segment 2 4 5 6

implizite Adresse: n Bit

variable implizite Adresse:Halbierung der Segmentgröße von Schritt zu Schritt

Seg 3

Anzahl antwortenderStationen halbertsich im Mittel vonSchritt zu Schritt

Banbreitenersparnisvon 25% proFunkzelle (beigeograph.Gleichverteilung derMS)

80

Methode derGruppen-pseudonyme

¥ Unschrfe

(ãberdeckungÒ)

schafft Privacy

¥ starrer

Zusammengang

zwischen

Gruppen-

pseudonym und

Identitt

send routing information for GMSI-B

VLR2/MSC2, VLR3/MSC3

incoming call MSISDN/IMSI-B - enthält Routing-Information

zum gebuchten Netz des Mobilfunkteilnehmers B

Gateway

MSC

HLR

GMSI-AGMSI-B

...

GMSI-K

VLR3/MSC3 VLR2/MSC2 VLR3/MSC3...

VLR1/MSC1

VLR3/MSC3 VLR4/MSC4

VLR2, GMSI-B, ImpAdr-B

Station erkennt

Verbindungswunschnachricht an

ausgestrahlter ImpAdr-B

ImpAdr-B

GMSI-B := h(MSISDN/IMSI-B) ImpAdr-B := c(MSISDN/IMSI-B, ZZ)h, c

MSC3

GMSI-B

LA2

Broadcast im LA2

visited

MSC2

Broad-

cast im

LA1

VLR2

GMSI-B

GMSI-C

n=1, LA1

LA3, LA5, LA6

GMSI-B

LA1, LA3

B

GMSI-B n=2, LA3

VLR3

GMSI-A

GMSI-K

n=1, LA2

n=5, LA3

GMSI-B n=1, LA2

ImpAdr-B

LA3

VLR3, GMSI-B, ImpAdr-B

81

Verwendung eines vertrauenswrdigen Bereichs

¥ ... Adre§umsetzung und Verkleinerung der Broadcastgebiete

mobiler Teilnehmer B

MS

BTS

Vertrauenswürdiger Bereich (Trusted Fixed Station) des Mobilfunkteilnehmers B

ersetzt verdeckte durch offene implizite Adressen schickt/empfängt Mix-Nachrichten zum/vom Festnetz

• •

Teilnehmer A

MIXe

MIX MIX

1

2

34

5 7

6

8 Vermittlungsnetz

Broadcast über gesamten Versorgungsbereich bei Mobile Terminated Call Setup

82


¥ ... Adre§umsetzung und Verkleinerung der Broadcastgebiete (Forts.)

• • •

incoming call

zuständiges MSC

Station erkennt Verbindungswunschnachricht an ausgestrahlter offener impliziter Adresse ImpAdr

Broadcastnachricht über das (gesamte) Versorgungsgebiet

explizit oder implizit (verdeckt oder offen) adressiert, evtl. Schutz des Senders durch Mixe

ImpAdrAdreßersetzung Filterung Verkleinerung der Broadcast-Gebiete

Vertrauenswürdiger Bereich (Trusted Fixed Station) des Mobilfunkteilnehmers B

ImpAdr

83


¥ ... zum Speichern der

Lokalisierungsinformation

Ð Jede Aktualisierung

erfordert Kommunikation

mit dem

vertrauenswrdigen

Bereich

Ð Vertrauenswrdiger

Bereich bernimmt

gesamtes netzseitiges

Location Management


incoming call

visited MSC

Broadcast- nachricht im LA

MSISDN – enthält Routing-Information zum vertrauenswürdigen Bereich des Mobilfunkteilnehmers

Gateway MSC

LA, TMSI

vertrauenswürdiger Bereich des Mobilfunkteilnehmers

LA, TMSI

Station erkennt „ihre“ Nachricht TMSI

TMSI

84


¥ ... zur Adre§umsetzung

(Temporre Pseudonyme)

Ð Location Management

bleibt im Netz

Ð Regelm§iger Wechsel

des Pseudonyms ist

erforderlich

Ð synchronisierte Uhren in

MS und trusted FS

Ð DB-Eintrge verfallen nach

bestimmter Zeit

send routing information for TPx

VLR1

incoming call

visited

MSC

Broadcast-

nachricht im LA

MSISDN – enthält Routing-Information zum vertrauenswürdigen Bereich des Mobilfunkteilnehmers

Gateway

MSC

temporary pseudonym requestsendet aktuelles

Pseudonym zurück: TPx

vertrauenwsürdiger Bereich des Mobilfunkteilnehmers

TPx

HLR

TPa TPb ...

TPx TPy

TPz

VLR1 VLR2 ...

VLR1 VLR3

VLR2

liest den

Datenbankeintrag für TPx und vermittelt in

das entsprechende Besuchergebiet weiter

Initial Address Message, TPx

VLR

TPa

TPx ...

LA2

LA1 ...

liest das LA für TPxTPx

LA1

Station erkennt „ihre“ Nachricht an offener

impliziter Adresse TPx

TPx

85

Sicherheitsbetrachtungen É

¥ Unberechtigte Abfrage der vertrauenswrdigen Umgebung

Ð fhrt zu Lokalisierung

Ð Erstellung von Bewegungsprofilen mit Granularitt der Anrufhufigkeit

Ð Ausweg: Logging der Zugriffe auf vertrauenswrdigen Bereich und

Vergleich mit zugestellten Verbindungswnschen.

¥ Verwendung von Pseudonymen

Ð Funkschnittstelle: Implizite Adresse anstelle der TMSI

Ð Datenbankeintrge: Unverkettbarkeit mit Identitt

¥ Beobachtbarkeit der Kommunikationsbeziehungen

Ð Location Update explizite Speicherung: Kommunikationsbeziehung

zwischen vertrauenswrdigem Bereich und MS fhrt zum Aufdecken des

Orts

Ð aber: Location Update TP-Methode: keine Kommunikation zwischen

vertrauenswrdigem Bereich und MS notwendig

86

Vertrauen in einen fremden ortsfesten Bereich

¥ Vertrauen in eine Trusted Third Party

Ð Abwandlung der Methoden die einen eigenen vertrauenswrdigen

Bereich voraussetzen

¥ Ersetze trusted FS durch TTPs

Ð unabhngige, frei whlbare vertrauenswrdige dritte Instanzen

bernehmen Funktion

Ð Dezentralisierung mglich (z.B. Distributed Temporary Pseudonyms).

Trusted FS Trusted Third Parties

87

Vertrauen in einen fremden ortsfesten Bereich

¥ Distributed Temporary Pseudonyms

Ð Teilnehmer tauscht mit n TTPs symmetrische Schlssel aus

send routing information for TPx

VLR1

incoming callMSISDN – enthält Routing-Information zu den TTPs

Gateway MSC

temporary pseudonym request

TPx

HLR

TPa

TPb

...

TPx

TPy

VLR1

VLR2

...

VLR1

VLR3

liest den

Datenbankeintrag für

TPx und vermittelt in

das entsprechende

pi = PZZG(ki, T)

p1 p2 p3 … pn

88

Methode der kooperierenden Chips

¥ Architektur

Ð Vertrauen in physische Sicherheit der Chips

Ð Anonymitt durch Broadcast auf der Chipdatenbank

C-NW-A C-NW-B C-NW-C ...

...

Chipdatenbankeingehende Rufe

MS

B

A

MS enthält C-MS-B

89

Methode der kooperierenden Chips

¥ Call setup

Ð ÇSperrmechanismusÈ Ñ ein notwendiges Detail aller Verfahren mit

vertrauenswrdiger Umgebung ?

incoming call

Gateway MSC

Station erkennt Verbindungswunschnachricht an ausgestrahlter impliziter Adresse

B


visited MSC

Broadcast-

nachricht im LA

Rufnummer des Teilnehmers B enthält Routing-Information zur Chipdatenbank

netzseitiger Chip C-NW-B des Mobilfunkteilnehmers B

LAI, MSC, ImpAdr *

ImpAdr

LAI, MSC, ImpAdr

sendet LAI, MSC, ImpAdr zurück

?sending rejected *

* Alternativen

n

j

Daten

freigegeben?

Freischaltenachricht

90

Aufwands- und Leistungsbetrachtungen

¥ Typische Leistungsparameter

Ð Bandbreite

Ð Verzgerungszeit

Ð Durchsatz

Ð Nachrichtenlngen

Ð versorgbare Teilnehmerzahl

Ð Kosten (LUP, Paging, É)

¥ Was wird bentigt?

Ð Zahlen zum Verkehrsverhalten

Ð Netzauslastung

Ð Leistungsparameter der

Netzkomponenten

Ð Mobilittsmodell

¥ Verkehrskapazitt MSC (typ.): Biala 94

Ð 300.000É600.000 Teilnehmer

Ð 100.000 Busy Hour Call Attempts =

28 Vermittlungsversuche pro sek

¥ Ankunftsraten: Fuhrmann, Brass 94

Ð MTC = 0,4 1/h (alle 2,5 h ein Anruf)

Ð LUP = 1É5 1/h (LUP=3 1/h bei 3

Zellen pro LA, r=1 km, v=15 km/h)

¥ Verzgerungszeiten:

Ð Call Setup ISDN:

91

Nachrichtenlnge auf der Funkschnittstelle

¥ Mobile Terminated Calls

GSM Referenzwerte

B.3 explizite vertrauenswrdige Speicherung

B.4 TP-Methode


1536 1440 1520 1446

2776

2120 2144 2090

0

1000

2000

3000

4000

GSM B.3 B.4 C.2

Nachrichtenlngen bzw. -intervalle in Bit bei MTCBit

92

Nachrichtenlnge auf der Funkschnittstelle

¥ Location Update

GSM Referenzwerte

B.3 explizite vertrauenswrdige Speicherung

B.4 TP-Methode


216 216

280322328 328

280

398

0

100

200

300

400

500

GSM B.3 B.4 C.2

Nachrichtenlngen bzw. -intervalle in Bit bei LUPBit

93

Mobilkommunikationsmixe

¥ Verfahren leistet

Ð Schutz des Aufenthaltsortes

Ð Unbeobachtbarkeit der Kommunikationsbeziehungen

¥ Angreifermodell

Ð Angreifer ist in der Lage, gesamte Kommunikation im Netz abzuhren

¥ auf allen Leitungen und Funkstrecken

¥ darf alle Datenbankeintrge kennen

¥ Idee

Ð Verzicht auf explizite Speicherung des Ortes in individuellem

Vertrauensbereich

Ð ÇverdeckteÈ Speicherung in Datenbanken

Ð Verbergen der Kommunikationsbeziehung (Signalisierung) zwischen

Datenbanken und Zielort durch Senden ber Mixe

94

Mixe allgemein (Chaum 1981)

¥ Ziel

Ð Verkettbarkeit ein- und ausgehender Nachrichten verhindern

¥ Verkettungsmerkmale

Ð Zeitliche Relation zwischen Ein- und Ausgabe einer Nachricht

Ð Kodierung der Nachrichten

¥ Aufbau eines Mix

Ð Umkodierung basiert auf asymmetrischer Kryptographie:

Mi Mix i einer Kaskade

ci öffentlicher Verschlüsselungsschlüsseldi privater Entschlüsselungsschlüssel (kennt nur Mi)

95

MIX 1 MIX 2


¥ Funktionen eines MIX: Nachrichten werden

Ð gesammelt

Ð Wiederholungen ignoriert

Ð umkodiert

Ð umsortiert

¥ Zuordnung zwischen E- und A-Nachrichten wird verborgen

A1, c1(A2, c2(M, r2) , r1)

d1(c1(...))

A2, c2(M, r2)

d2(c2 (M, r2))

M

96


Wieder-holungignorieren

alleEingabenachrichtenspeichern, diegleich umkodiertwerden

Gengend vieleNachrichten vongengend vielenAbsendern?

Um-kodieren

Eingabe-nachrichtenpuffern

Um-sortieren?

Aus

gabe

nach

richt

en

Ein

gabe

nach

richt

en

M I X

97

Mobilkommunikationsmixe zentralisiert

¥ Aufenthaltsortsregistrierung

1. MS bildet ÇverdecktenÈ Aufenthaltsort

{LAI} := c1 ( k1, c2 ( k2, c3 ( k3, ImpAdr )))

2. MS sendet Aufenthaltsortsregistrierung (MS → Mixe → HLR)

{LR} := c3 ( c2 ( c1 ( IMSI, {LAI} )))

Mi Mix i einer Kaskade

ci öffentlicher Verschlüsselungsschlüsseldi privater Entschlüsselungsschlüssel (kennt nur Mi)

HLR

IMSI: {LAI} MIX

M1 M2 M3

MIX MIX{LR}

98

Mobilkommunikationsmixe zentralisiert

¥ Rufaufbau zum mobilen Teilnehmer

1. Lesen des HLR-Datenbankeintrages

IMSI: {LAI} = c1 ( k1, c2 ( k2, c3 ( k3, ImpAdr )))

2. Absetzen der Verbindungswunschnachricht

{LAI}, Setup

3. In den Mixen wird {LAI} ent- und Setup verschlsselt

{Setup} := k3 ( k2 ( k1 ( Setup )))

4. Im Aufenthaltsgebiet wird ausgestrahlt

ImpAdr, {Setup}ImpAdr, {Setup}

IMSI: {LAI}

{LAI}, Setup

MIX

M1 M2 M3

MIX MIX

99

Mobilkommunikationsmixedezentralisiert

¥ Grundidee

pseudonymes Location

Management

Ð Register:

pseudonyme

Speicherung

Ð Mix-Netz:

Unverkettbarkeit der

pseudonym

gespeicherten

Information

Ð Aufenthaltsgebietsgr

uppen:

Zusammenfassung

von Gebieten

incoming call

HLR

VLR P, LAI, ImpAdr

visited MSC

LAI, ImpAdr, Setup

ImpAdr, Setup


MSISDN

LAI

Ohne Mixe Mit Mixen

incoming call

HLR

VLR P, {LAI, ImpAdr}

{LAI, ImpAdr}, {Setup}

ImpAdr, {{Setup}}


MSISDN

LAI

MSISDN, {VLR, P}

{VLR, P}, Setup

P, {Setup}

MSISDN, VLR, P

VLR, P, Setup

visited MSC

Mix- Kaskade 1

Mix- Kaskade 2

MIX

MIX

MIX

MIX

MIX

MIX

100incoming call

GMSC send routing information

{VLR, P}

...

BTS BTS BTS

HLR

visitedMSC

VLR

Mix-Kaskade vor HLR schützt Aufenthaltsinformation auf der Ebene der visited MSCs, faßt mehrere MSC-Bereiche in einer Aufenthaltsgebietsanonymitäts- gruppe zusammen

Mix-Kaskade vor visited MSC schützt Aufenthaltsinformation auf der Ebene der LAs (bzw. BTS' oder BSCs)

Mix-Kaskade vor VLR schützt Aufenthaltsinformation auf der Ebene der MSCs; nicht erforderlich, falls 1:1-Zuordnung zwischen MSC und VLR

Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der LAs (bzw. BTS' oder BSCs)

Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der VLRs (bzw. MSCs)

Aufenthaltsgebietsanonymitäts- gruppe auf der Ebene der MSCs

zu weiteren MSCs des VLR-Gebietes

zu weiteren MSC/VLRs

zu weiteren BTS'

LUP

...

...

{VLR, P}

Aufenthaltsgebietsgruppen

¥ Zusammenfassung von Gebieten unterschiedlicher Granularitt

101

HLR 2

HLR 1

GSM

VLR weiss,welcherTeilnehmer sich inwelchem LocationArea aufhlt

HLR weiss, welcherTeilnehmer sich inwelchem VLR-Area undLocation Area aufhlt

VLR 1 VLR 2 VLR 3

¥ MehrstufigeSpeicherung zurReduzierung derSignalisierlast

102

HLR 2HLR 1

Mobilkommunikationsmixe: Variante 1: Anonymes Netz

VLR 1VLR 2

VLR 3

¥ Internet friendly¥ Schwer beherrschbar¥ Keine Zusicherungen (Schutz, Verfgbarkeit)¥ Deutlich geringere Effizienz¥ VLRs werden obsolet

MIXe

103

HLR 2HLR 1

Mobilkommunikationsmixe: Var. 2: Dedizierte Kaskaden

VLR kennt wederIdentitt desTeilnehmers, nochdas Location Area

HLR kennt zwarIdentitt desTeilnehmers,besitzt aber keineInformation berdas VLR

Mix-Kaskade 2

Mix-Kaskade 1

Mix-Kaskade 3 Mix-Kaskade 4

VLR 1 VLR 2 VLR 3

¥ Pseudonyme Verwaltung desAufenthaltsortes

¥ Schutz der Verbindungsdaten¥ Aufenthaltsgebietsgruppen

104

Mobilkommunikationsmixe: Dedizierte Kaskaden

¥ MobileVermittlungsstelle

¥ Datenbank¥ Mix-Kaskade

MobileVermittlungsstelle

+Datenbank??

105

Mobilkommunikationsmixe: Dedizierte Kaskaden

¥ MobileVermittlungsstelle

¥ Datenbank¥ Mix-Kaskade

Mix-KaskadeMix-Kaskade

¥ Mixe physisch gekapselt

¥ Aufgestellt beimNetzbetreiber

¥ Jeder Mix hat einenanderen Betreiber

¥ Netzbetreiber hat keinenadministrativen Zugriffauf Mixe

MobileVermittlungsstelle

+Datenbank

Mix-Kaskade

106

Authentisierung wie?

¥ Problem:

Ð Der besuchte Netzbetreiber soll feststellen knnen, da§ ein Teilnehmer

berechtigt ist, das Netz zu nutzen, ohne da§ seine Identitt aufgedeckt

wird, denn das kme einer Lokalisierung gleich.

Ð Der Teilnehmer soll feststellen knnen, da§ er ber einen echten

Netzbetreiber kommuniziert.

¥ Blindes Signaturverfahren

Ð Gegenseitige Authentikation

Ð Verhinderung von Mi§brauch durch unberechtigte Teilnehmer,

insbesondere damit der besuchte Netzbetreiber zu seinem Geld kommt

¥ Authentikation im GSM:

Ð Besuchter Netzbetreiber bekommt Auth.Triplet und prft SRES von der

Mobilstation auf Gleichheit.

Ð Besuchter Netzbetreiber vertraut darauf, da§ der Heimatnetzbetreiber

vertrauenswrdig ist.

VLR soll Berechtigung checken, darfaber Identit von MS nicht erfahren.Blinde Signatur zur Auth. der MS

107

MS MSC HLR

Please Check Authentication

{MSC, Rand1, ∗ }

beliebige Anforderung (∗ ) Authentication Request (1)

Authentication Response (1) Authentication Request (2)

{sMSC(Rand1, T1), RAND2}

Signatur testen, blend bilden, blend signieren

{{HLR,IMSI,blend,sMS(blend)}} {HLR, blend, sMS(blend)}

Signatur testen,

blend signieren


Please Check Authentication Response

{{sHLR(blend)}} {sHLR(blend)}

Authentication Response (2)

Signatur

entblenden,

und testen

{sHLR(Rand2, T2)}


Zeichenerklärung:

sx(m) Digitale Signatur der Nachricht m

mit dem geheimen Schlüssel von x

Mix-Kaskade

(Rand1, T1)

signieren

Protokoll fr(gegenseitige)Authentikation

¥ Problem:

VLR soll

Berechtigung

checken, darf

aber Identit von

MS nicht

erfahren.

¥ Blinde Signatur

zur Auth. der MS

108

Blinde SignaturMS MSC HLR


{MSC, Rand1, ∗ }

beliebige Anforderung (∗ ) Authentication Request (1)

Authentication Response (1) Authentication Request (2)

{sMSC(Rand1, T1), RAND2}

Signatur testen,

blend bilden, blend signieren

{{HLR,IMSI,blend,sMS(blend)}} {HLR, blend, sMS(blend)}

Signatur testen,

blend signieren



{{sHLR(blend)}} {sHLR(blend)}

Authentication Response (2)

Signatur

entblenden,

und testen

{sHLR(Rand2, T2)}


Zeichenerklärung:

sx(m) Digitale Signatur der Nachricht m

mit dem geheimen Schlüssel von x

Mix-Kaskade

(Rand1, T1)

signieren

nblendblends sHLR mod)( HLR=

nzTRandblend t mod)2,2(: HLR•=

( )( )

nzTRand

nzTRand

nzTRandblends

s

sts

stHLR

mod)2,2(

mod)2,2(

mod)2,2()(

HLR

HLRHLRHLR

HLRHLR

•=

•=

•=

.mod)2,2()2,2(

mod)2,2()(HLR

HLR

HLR

11HLR

nTRandTRands

nzzTRandzblendss

s

=

••=• −−

1

2

3

1

2

3 Es gilt:

Entblenden:

Signieren:

Blenden:

109

Abrechnung

¥ Heute:

Ð Ankommende Anrufe werden berechnet, wenn sich der mobile

Teilnehmer im Ausland (bzw. einem Fremdnetz) aufhlt.

Ð Unterschiedliche Tarifierung fr abgehende Gesprche:

¥ lokale Gesprche (vergleichbar mit Ortsgesprch)

¥ Gesprche innerhalb des eigenen Netzes

¥ Gesprche in fremde Netze (Festnetz, Mobilnetze)

¥ Anwendbare Konzepte:

Ð Anonyme und unbeobachtbare digitale Zahlungssysteme

(digitales Bargeld-quivalent)

Ð Digitale Briefmarken (vorbezahlt), Micro-Payments, Tick-Payments

110

Abrechnung

¥ Abgehende Rufe (von der MS zu einem beliebigen Teilnehmer)

Ð Location Management Prozeduren sind nicht involviert

Ð Trotzdem mu§ Aufenthaltsort geschtzt bleiben

Ð Vorausgesetzt wird ein vorhandenes anonymes Zahlungssystem

Ð Teilnehmer T hat eine MS ohne ID und ein dig. Wallet

¥ Skizze:

Ð MS von T sucht ein Netz (passiver Vorgang)

Ð MS meldet Verbindungswunsch an (→ Zielrufnummer)Ð Netz legt Kosten fest und meldet sie an T (← Kosten)Ð T bzw. MS entscheidet und bermittelt Geldbetrag (→ Geld)Ð Netz baut Verbindung zum Ziel auf

¥ Zu klren:

Ð Fehlertoleranz, fehlgeschlagene Verbindung (Ziel besetzt etc.)

Ð Tarifierung in Abhngigkeit der Gesprchsdauer

Ð Netz betrgt (kassiert Geld und verweigert Verbindungsaufbau)

111

Abrechnung

¥ Ankommende Rufe (zur MS)

Ð Wer bekommt Geld?

Ð Besuchter Netzbetreiber oder Heimatnetzbetreiber oder beide?

¥ Skizze (beide fordern Geld):

Ð Signalisierung zur MS

Ð Empfangene Signalisiernachricht enthlt Geldforderung von Heimatnetz

Ð T erhlt mit dem Authentication Request (2) die Forderung des

besuchten Netzes

Ð T schickt mit der Please Check Authentication Nachricht den vom

Heimatnetz geforderten Geldbetrag

Ð Heimatnetz antwortet mit Please Check Authentication Response nur bei

Empfang des Geldes

Ð T schickt mit der Authentication Response (2) den vom besuchten Netz

geforderten Betrag

Location Management

112

MK-Mixedezentralisiert

¥ Location

Registration und

Location Update

LA1 LA2

{VLR1, «P, {LA1,ImpAdr}», {HLR, «MSISDN, {VLR1,P}»}}

MIX

MIX

MIX

LA3

{VLR1, «P, {LA2,ImpAdr'}»} {VLR2, «P', {LA3,ImpAdr''}», {HLR, «MSISDN, {VLR2,P'}»}}

MIX

MIX

MIX

⇒ ⇒Einbuchen Wechsel des LA Wechsel des VLR

MIX

MIX

MIX

{HLR, «MSISDN, {VLR1,P}»}

{HLR, «MSISDN, {VLR2,P'}»}

HLR

VLR1 VLR2

visited MSC 1

visited MSC 2

113

MK-Mixedezentralisiert

¥ Dezentralisiertes

Verfahren

(Verbindungsaufbau)

Ð Eintrag im HLR unter

Identitt:

IMSI: {VLR, P}

Ð Eintrag im VLR unter

Pseudonym P:

P: {LAI, ImpAdr}

B

ImpAdr, {{Setup}}

incoming call

Gateway MSC


visited MSC {LAI, ImpAdr}

P

P, {Setup}

{VLR, P}, Setup

zu anderen BTS'

zu anderen MSCs

IMSI

HLR

...

{VLR, P}

...

... ...

P

VLR

...

{LAI, ImpAdr}

...

... ...

Mix- Kaskade 1

Mix- Kaskade 2

Mix- Kaskade 3

114


¥ Mixfunktion

Ð Verkettbarkeit ber Kodierung der Nachrichten durch Umkodieren

(Kryptographie) und Umsortieren verhindert

Ð Verkettbarkeit ber zeitliche Korrelationen durch Sammeln von

Nachrichten und schubweise Ausgabe verhindert

¥ Taktung (Zeitscheiben) und Dummy Traffic:

Ð Zusammenfassung der Signalisiernachrichten mehrerer Teilnehmer

Ankunft (unabhängig, exponentialverteilt)

Bearbeitung Ausgabe

minimale Anzahl gleichzeitig zu verarbeitender Aktionen gesammelt oder maximale Wartezeit überschritten

t

Zeitscheibe

Warten

Dummy Traffic

t

115


¥ Grenzen

Ð Dummy Traffic nur eingeschrnkt anwendbar

¥ begrenzte Akkukapazitt der Mobilstationen

Ð Verkehrsaufkommen im Netz mu§ hoch genug sein, damit Schutz

erreicht wird

¥ einzelne, isolierte Aktion ist im Netz beobachtbar

¥ Teilnehmer wartet zu lange auf Erbringen des Dienstes

Bearbeitung Ausgabe tAnkunft

dummies

116

Location Update Protokoll

MS MSC/VLR new HLR


{VLR, «P, {LAI,ImpAdr}», {{HLR, «MSISDN, {VLR,P}»}}

{HLR, «MSISDN, {VLR,P}»}

Update Location

Update Location Result


Sicherheitsmanagement: Gegenseitige Authentikation

MSISDN, {VLR,P} speichern

P, {LAI,ImpAdr} speichern

MSC/VLR old

Cancel Location

alle Einträge unter P old löschen

P old"alte" anonyme Rückadresse {VLR old, P old}

K1

K2

117

Mobile Terminated Call Setup Protokoll

¥ Communication Request geht ein beim HLR

Ð mit Schutz des Rufenden: CR = AGMSC, cMS(KZinit, kAB)

Ð ohne Schutz des Rufenden: CR = AGMSC, ISDN-SN, cMS(kAB)

¥ Anonymous Communication Request

ACR = A25, c25(D25, É c21(D21, mK3)É) mit

mK3 = A35, c35(D35, É c31(D31, mSetup)É) Êmit

mSetup = AGMSC, ISDN-SN/KZT, Bv und

Di,j = T, ki,jÊÊmit i=2É3, j=5É1, Zeitscheibe: T

¥ Kanalkennzeichen

KZT = f(T, kAB) mit Ende-zu-Ende-Verschlsselungsschlssel: kAB

118

Sicherheitsmanagement: gegenseitige Authentikation

MS MSC HLR PSTN/GMSC

Anonymous Communication Request

IAMPaging Request

Setup

Alert

Connect Answer Message

Address Complete Message

MSISDNP

VLR

{LAI, ImpAdr}

Data

ReleaseDisconnect

IAM

ImpAdr


K1K2

K3

Mobile Terminated Call Setup Protokoll

CR

ACR

119

Mobile Originated Call Setup Protokoll

¥ ACR = A25, c25(D25, É c21(D21, mK3)É) Êmit

mK3 = A35, c35(D35, É c31(D31, mSetup)É) Êmit

mSetup = CR, KZT, Bv Êmit

CR = ISDN-SN, cISDN-SN(KZinit, kAB) Êund

Di,j = T, ki,jÊÊmit i=2É3, j=5É1


MS MSC/VLR PSTN/GMSC

Setup

Alert

Connect

Initial Address Message

Answer Message

Adress Complete Message

Sicherheitsmanagement: gegenseitige Authentikation

Disconnect Release

Data


ACR des Gerufenen

K2 K3

ACR CR

120

Leistungsfhigkeit

¥ Verfahren leisten

Ð alle: Schutz des Aufenthaltsortes

Ð teilweise: Unbeobachtbarkeit der Kommunikationsbeziehungen

¥ gegenber Kommunikationspartner und Netzbetreiber

¥ lokale Angreifer (Datenbanken, Insider)

¥ globale Angreifer (alle Kommunikation ist berwachbar)

¥ Hauptprobleme

Ð Kanalstruktur existierender Netze

¥ Modifikation ntig, damit effizient realisierbar

Ð Effizienzverlust zwischen 1 und 10 % je nach Verfahren:

¥ Bei maximaler Auslastung ist die versorgbare Teilnehmerzahl

maximal 10% geringer.

121


¥ Nachrichtenlngen

¥ Nachrichtenlngen wachsen mindestens um das 1,2-fache (Rufaufbau) und

sogar um das 6,8-fache (Aufenthaltsaktualisierung)

¥ Effizienz

Ð Effizienzma§: Verhltnis der verfgbaren Verkehrskanle bei den

Mobilkommunikationsmixen und bei GSM

Ð Mobilittsverhalten der Teilnehmer beeinflu§t die Effizienz

Ð Effizienzverlust bezogen auf bedienbare Teilnehmerzahl ist ca. 10 % bei

NLUP=88 in 5 Sekunden (entspricht 20.000 Teilnehmern pro Zelle)

¥ Problem: Kanalstruktur von GSM nicht flexibel genug

GSM Mobilkommunikationsmixe

Rufaufbau 1728É2968 3624É8008

Aufenthaltsaktualisierung 216É328 2221É4502

122

Komponentender MK-Mixe

Komponente BedeutungMixe Schutz der Kommunikationsbeziehung zwischen Sender

und Empfnger einer Nachricht

Anonyme Rckadressen Unverkettbarkeit der bermittlung der

Verbindungswunschnachrichten zwischen Registern

Signatur der anonymen

Rckadresse beim HLR

berprfbarkeit, da§ in einem Schub Rckadressen von

gengend vielen Teilnehmern bearbeitet werden, d.h.

Verhindern eines (n-1)-Angriffs

Pseudonym P Verkettbarkeit des Adre§kennzeichens mit dem

Datenbankeintrag im Register (au§er HLR, dort MSISDN)

Symmetrische Schlsselki,j in den anonymen

Rckadressen

Effizientes Umkodieren der mitgelieferten Informationen,

Etablieren eines symmetrischen Mix-Kanals bei Call Setup

und Location Update; Verwendung einer nicht

selbstsynchronisierenden Chiffre zur Verhinderung von

Replay-Angriffen

Implizite Adresse ImpAdr Adressierung der MS auf der Funkschnittstelle,

Wiedererkennung der anonymen Rckadresse, umsymmetrische Schlssel ki,j zu rekonstruieren

Zeitstempel,

Zeitscheibennummer T

Verhindern des Replay alter (Mix-Eingabe)-Nachrichten

Kennzeichen Bv/Bl Kennzeichen fr Empfnger einer Nachricht, um

bedeutungsvolle von bedeutungslosen Nachrichten zu

unterscheidenKanalkennzeichen KZT Verbinden der unbeobachtbaren Mix-Kanle von rufendem

und gerufenem TeilnehmerFunktion f(T, kAB) Funktion zur Berechnung der Kanalkennzeichen

Symmetrischer SchlsselkAB

Symmetrischer Sitzungsschlssel der kommunizierenden

Teilnehmer, Parameter zur Berechnung der

Kanalkennzeichen

123

Vergleich der Verfahren: Vertrauen (qualitativ)

¥ Ntiges Vertrauen in einzelne Netzkomponenten bzgl. Vertraulichkeit

des Aufenthaltsorts

GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3

Vertrauen in Trusted FS

Vertrauen in GSM-Netz-

kompo-nenten

nur Ver-trauen in die Mobilstation

GSM Referenzwerte B.3 explizite vertrauensw.Speicherung

A.1 Broadcast mit impliziter Adressierung B.4 TP-Methode

A.2 Gruppenpseudonyme C.1 Vertrauenswrdige Dritte

B.1 Adre§umsetzungsmethode C.2 Methode der kooperierenden Chips

B.2 Verkl. der Broadcastgebiete C.3 Mobilkommunikationsmixe

124

Vergleich der Verfahren: Bandbreite (qualitativ)

¥ Location Update

¥ Call Setup

GSM Referenzwerte B.3 explizite vertrauensw.Speicherung

A.1 Broadcast mit impliziter Adressierung B.4 TP-Methode

A.2 Gruppenpseudonyme C.1 Vertrauenswrdige Dritte

B.1 Adre§umsetzungsmethode C.2 Methode der kooperierenden Chips

B.2 Verkl. der Broadcastgebiete C.3 Mobilkommunikationsmixe

GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3

Referenz GSM=1

0

GSM A.1 A.2 B.1 B.2 B.3 B.4 C.1 C.2 C.3

Referenz GSM=1

Broadcast offen

implizit

Broadcast verdeckt

implizit

125

Vergleich der VerfahrenReferenz A.1 A.2 B.1 Ð B.4 und C.1 C.2 C.3GSM Broad-

cast-Gruppen-pseudo-

Vertrauenswrd.Speicherung inTrusted FS

Koope-rierende

Mobil-komm.-

Methode nyme explizit TP-Meth. Chips Mixe

Ntiges Vertrauen

Vertrauen in dieMobilstation

ntig ntig ntig ntig ntig ntig

Vertrauen ineinen ortsfestenBereich

Ð nichtntig

nichtntig

zustzlich ntig ntig nichtntig

Vert. in einDatenschutz ga-rantierendesKommunika-tionsnetz

Ð nichtntig

nichtntig

ntig nichtntig

ntig

Vertrauen inDritte (TrustedThird Party,TTP), entsprichtC.1

ntig nichtntig

nichtntig

mglich, entsprichtdann C.1

nichtntig

nichtntig

126




Koope-rierende

Mobil-komm.-


Signalisieraufwand

Funkschnitt-stelle MTC

Bezugs-punkt

sehr hoch hher etwagleich

gering-fg.hher

etwagleich

hher

Funkschnitt-stelle LUP

Bezugs-punkt

entfllt hher hher wg.Zen-tralitt

gering-fg.hher

hher wg.Zen-tralitt

hher

Bandbreiteauf-wand imFestnetz

Bezugs-punkt

geringerbzgl. Loc.Mgmt.

hher hochdurchZen-tralitt

gering-fg.hher

hochdurchZentr.

hher

Funktechnische Peilbarkeit und Ortbarkeit

Sendeverf. zumSchutz vor Pei-lung und Ortung

Fre-quencyHopping

ntig, z.B. ber Direct Sequence Spread Spectrum

127




Koope-rierende

Mobil-komm.-


Anordnung der Sicherheitsbereiche

zentral quasizen-tral

entfllt zentral Zentral beidesist

dezentral wremglich

dezentral dezentral mglich

Diversitt derKomponenten

wremglich

bedeu-tungslos

nicht not-wendig

notwendig beiTrusted FS

notwen-dig

notwen-dig imMix-Netz

Dynamisierbarkeit der Sicherheitsbereiche

nur statischmglich

HLR entfllt HLR Trusted FS C-NWC-MS

HLR, Mix-Kas-kaden

dynamischmglich

nicht vor-handen,wre abermglich

nicht vor-handen,wre abermglich

ausweichen aufTTPs, entspricht dannC.1

nichtsinnvoll,wre abermglich

frei whl-bare Mixewrenmglich

128




Koope-rierende

Mobil-komm.-


Mobilittsmanagement

Schutz derKomm.-bez.beim Einbuchen

nicht vor-handen

entfllt nichtntig

zustzlich ntig nichtntig

gewhr-leistet

Verkettung vonTeilnehmer-aktionen

Teilneh-mer nichtanonym

nichtmglich

hoch gering gering nichtmglich

Verbindungsmanagement

Schutz derKomm.-bez.beim Signalisie-ren (Call Setup)

nicht vor-handen

nichtntig

nichtntig

zustzlichntig

zustzlichntig biszum HLR

ntig gewhr-leistet

Adressierungs-merkmal auf derFu-schnittstelle

TMSI impliziteAdresse

impliziteAdresse

TMSI o.impliziteAdresse

PMSI,TMSI,i. Adr.

TMSI,PMSI,impl. Adr.

impliziteAdresse

Schutz derKomm.-bez.whrend einerVerbindung

nicht vor-handen

ntig, z.B. ber Mix-Netze

129

Mobile Internet Protocol: Prinzip 1/4

Correspondent Node

Home Agent

Foreign Agent(optional)

Mobile Node

Bewegung

141.76.75.112

Mobile IP:Mobile IP: Erreichbarkeit einesmobilen Computers immer unter dergleichen IP-Adresse

130


Correspondent Node

Home Agent


Mobile Node

Bewegung

--> 141.76.75.112

141.76.75.112

131


Correspondent Node

Home Agent


Mobile Node

141.76.75.112

--> 141.76.75.112

132


Correspondent Node

Home Agent


Mobile Node

141.76.75.112

Binding:141.76.75.112 --> 128.32.201.1

128.32.201.1

IP-in-IP-Tunnel

besitzt zustzlichecare-of address

--> 141.76.75.112

133

Mobile Internet Protocol: Sicherheitsfunktionen

Mobile IPv4 Mobile IPv6

Authentikation √shared secret

zwischen MobileNode und Home

Agent

√ IPSec/IPv6

AuthenticationHeader (AH)

Verschlsselung ∅ √ IPSec/IPv6

EncapsulatedSecurity Payload

(ESP)

Schutz vorLokalisierung

∅ ∅

Mixed Mobile IPNon-Disclosure Method

MD 5 Fingerprint MD 5, SHA-1

DES/CBC

134

Mobile Internet Protocol: Schutz vor Lokalisierung

Home Agent

Foreign Agent

Mobile Node

141.76.75.112

128.32.201.1

MIXMIX

MIX

Mixed Mobile IP (MMIP)Non-Disclosure Method

Registration

135

Mobile Internet Protocol: Schutz vor Lokalisierung

Correspondent Node

Home Agent

Foreign Agent

Mobile Node

141.76.75.112

128.32.201.1

MIX

MIX

--> 141.76.75.112

Mixed Mobile IP (MMIP)Non-Disclosure Method

MIX-Kanal

MIX

Sicher gegen einen rumlichbegrenzten Angreifer, der nicht alleKommunikation berwachen kann.

Binding:141.76.75.112 --> MIX1

136

Politische Dimension solcher Konzepte

FreiheitÐ Es gibt gesetzliche Grundlagen,

die eine Bereitstellung

pseudonymer und anonymer

Dienstleistungen ausdrcklich

erlauben und anregen.

Ð Empfehlungscharakter

Ð IuKDG (TDDSG ¤ 4(1))

Ð Kein Zwang (ãsoweit technisch

mglich und zumutbarÒ)

RegulierungÐ Derzeit von der Politik nicht

gewnscht

Ð TKG fordert die Speicherung der

Kundendaten (Name, Adresse, ...),

sogar bei vorbezahlten Systemen

(Xtra-Card etc.)

Ð berwachungsschnittstellen (TKG

¤Ê88), die dem Bedarfstrger die

unbeobachtbare berwachung

erlauben

Gesetzliche Grundlagen sind keineswegs konsolidiert.

Technische Mglichkeiten des Schutzes und der legalenberwachungsmglichkeiten ausloten, jedoch mglichst kein

vorauseilender Gehorsam

137

...

Intelligent Network

Core Network

Access Network

Anonymous Network


¥ Was bringen die Konzepte?Ð Teilnehmerbezogener Schutz von Aufenthaltsinformation ist mglich.

Ð Unbeobachtbarkeit ist auch im Mobilfunk realisierbar.

Ð Frhzeitige Bercksichtigung neuer Konzepte gewhrleistet

effiziente Implementierung des Schutzes.

http://www.inf.tu-dresden.de/~hf2/mobil/

Documents

Sicherheit in der Mobilkommunikation · Struktur von GSM ¥ Architekturkonzept — die Zweite PSTN/ ISDN Fixed network Network and switching subsystem Data networks BTS BTS Base station