Základní přehled zabezpečení GSM

Transkript

1 ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE FAKULTA ELEKTROTECHNICKÁ semestrální práce z předmětu mobilní komunikace Základní přehled zabezpečení GSM 24. května 2007 Autor: Petr Flégl

2 Abstrakt Tato semestrální práce pojednává o základních principech zabezpečení technologie GSM a o možných útocích na tuto technologii. V první části práce jsou naznačeny principy autentifikace uživatelů sítě, šifrování přenášených dat a z toho vyplývající slabiny GSM. V druhé části jsou zmíněny známé útoky a shrnuta jejich praktická nebezpečnost pro běžné uživatele GSM sítě.

3 Obsah 1 Zabezpečené komunikace Základní principy GSM Představení GSM Zabezpečení GSM Autentifikace uživatele Zabezpečení přenášených dat Zabezpečení v praxi Získání Ki ze SIM Získání Ki odposlechem hovoru Závěr

4 1 Zabezpečené komunikace Ve světě jsou jednou z nejcenějších komodit informace a vlastnictví těch správných informací tak poskytuje obrovskou výhodu. Informace využíváme různě můžeme něco nakoupit, prodat, lépe zaútočit, bránit se, předat informaci dál... Vždy ale potřebujeme s někým dalším komunikovat, což není velmi často možné provést osobně. Potřebujeme tedy kvalitní komunikační kanály. To ostatně není nic nového. Již v dávných dobách se posílali se zprávami pěší poslové, později se začali využívat koně, holubi, telegraf. Vše se zrychlovalo až k příchodu analogových telefonů, mobilních telefonů, internetu. Je třeba si uvědomit, že rychlost není jediným kritériem podle kterého můžeme komunikační kanál posuzovat. Neméně podstatným parametrem určitého komunikačního kanálu je jeho zabezpečení. Pokud víme, že použitá linka se dá bez problémů a nákladnějších investic skoro kýmkoliv odposlouchávat, nemůžeme ji pro citlivější data využít ať by byla seberychlejší 1. Je tedy třeba, aby komunikace byla rychlá, uživateli dostupná a přitom bezpečná. Otázka, kterou se budeme dále zabývat je ta, zda tyto požadavky splňuje technologie GSM (Global System for Mobile communications). Tedy nejpopulárnější standard pro mobilní komunikace na světě, který využívají více než dvě miliardy lidí po celém světě. 2 Základní principy GSM 2.1 Představení GSM GSM je standard, který s sebou přinesl mnohá vylepšení oproti předcházejícím analogovým systémům. Mezi základní výhody, které s sebou používání standardu GSM oproti starší analogové síti řadíme např.: Výbornou mobilitu v dobách analogových systémů se nedalo např. vyjet s mobilním telefonem do jiného státu, protože se použité systémy pro mobilní komunikaci jednotlivých zemí lišily. Vysokou kapacitu a optimální využití spektra starší analogové sítě měly v hustě vytížených oblastech s kapacitou problémy, GSM sítě díky lepší efektivitě takové problémy nemají. Vysoká efektivita je dosahována použitím FDMA, TDMA a GMSK. Široké spektrum služeb GSM sítě nabízejí mnohem širší spektrum služeb než nabízely sítě analogové. 1 Mohli bychom samozřejmě naši komunikaci šifrovat pomocí vlastního nástroje a data do sítě posílat již zašifrovaná, ale to je pro běžného uživatele nepraktické. V této práci se tedy dále zabýváme pouze přehledem zabezpečení jaký poskytuje přímo samotná síť 2

5 Bezpečnost bezpečnost GSM sítí je vyšší než byla u sítí analogových. V síti GSM klonování karet, odposlouchávání telefonů a další nezákonné praktiky značně obtížnější než u sítí analogových. Přesnou strukturou sítě se v této práci zabývat nebudeme. Postačí, když si uvedeme, že GSM síť se skládá z několika podčástí, jako je např. systém základových stanic, síťový a přepínací subsystém. Všechny tyto části dohromady slouží k poskytování GSM služeb uživatelům. Některé z částí GSM sítě pak navíc slouží k zajištění zabezpečení. 2.2 Zabezpečení GSM Bezpečnost sítě GSM je postavena na 4 základních bodech. autentifikace uživatele utajení identity uživatele utajení signalizace utajení přenášených dat Zajištění zabezpečení sítě má na starost několik jejích částí. Konkrétně se jedná o Subscriber Identity Module (SIM), mobilní stanici (MS) a autentifikační centrum sítě (AUC), které je součástí provozního a servisního centra sítě (OMS). SIM obsahuje mimo jiné IMSI (International Mobile Subscriber Identity), tajný klíč autentifikace Ki, dále algoritmus pro generování šifrovacího klíče A8, autentifikační algoritmus A3 a osobní identifikační číslo PIN. Mobilní stanice obsahuje šifrovací algoritmus A5. AUC obsahuje databázi s identifikačními a autentifikačními údaji úživatelů sítě. V databázi jsou uloženy IMSI, TMSI (Temporary Mobile Subscriber Identity), LAI (Location Area Identity) a tajný klíč Ki, který je unikátní pro každého uživatele. Pro provedení autentifikace uživatele je třeba součinnosti všech tří výše uvedených částí. To zvyšuje bezpečnost sítě a zlepšuje tak ochranu např. před duplikováním SIM. 2.3 Autentifikace uživatele Autentifikace uživatele je prováděna při každém vstupu uživatele do sítě. GSM síť ověřuje identitu uživatele pomocí mechanismu challenge response. Síť pošle MS 128 bitové náhodné číslo, které označujeme jako RAND. V MS je číslo RAND předáno modulu SIM, který na základě znalosti Ki a algoritmu A3 vypočítá odpověd, kterou označíme jako SRES nebo 3

6 K3. SRES je počítána na základě čísla RAND, tajného klíče Ki a algoritmu A3, tzn. SRES = A3(Ki, RAND). MS po vypočtení SRES pošle výslednou hodnotu zpátky do sítě. Síť po přijetí SRES vypočítané v SIM provede stejný výpočet jako byl proveden v SIM. K výpočtu využije opět algoritmus A3, kód Ki a čísla RAND které bylo zasláno do MS. Pokud síť dojde ke stejnému výsledku jako obdržela od MS, je autentifikace úspěšná. Pokud ne, je spojení ukončeno. Schéma autentifikace uživatele sítě je na obrázku 1. Obrázek 1: Schéma průběhu autentifikace uživatele v GSM síti. Zdroj: [chiar], upraveno Zde je dobré si povšimnout, že Ki se sítí vůbec nepřenáší. Hodnota Ki je totiž napevno uložena jak v uživatelově SIM, tak v AUC a přenos tohoto klíče tak není nutný. Dalším prvkem posilujícím zabezpečení je omezení manipulace s Ki v rámci SIM. Jediné co SIM dovolí s Ki provádět jsou operace kódování A38 (viz. 2.4). Kromě těchto operací je přístup ke Ki zamezen, takže tento kód nelze jen tak z SIM karty přečíst. 2.4 Zabezpečení přenášených dat Kromě autentifikace uživatele je třeba zajistit i bezpečnost přenášených dat, hovoru a signalizace. To je uskutečněno pomocí algoritmu A5. Jako klíč pro tento algoritmus se přitom používá hodnota K8. To je hodnota, která je získána již při autentifikaci uživatele, kdy je vypočítána obdobným způsobem jako K3. Rozdíl je pouze ten, že K3 se počítá pomocí algoritmu A3, zatímco K8 pomocí algoritmu A8. Po vypočtení K8 je tato hodnota uložena do SIM a při zahájení komunikace je použita jako klíč pro algoritmus A5. Obě operace A3 a A8 bývají často implementovány jako jedna, kterou označujeme jako A38. 4

7 Délka klíče [b] Potřebný čas 42 s 3,05 h 23 let let 10, roku Tabulka 1: Doba potřebná k provedení brute-force útoku na klíče různých délek počítačem s rychlostí operací za sekundu. Délka klíče [b] Potřebný počet počítačů 1 h 1 den 1 týden 1 měsíc , , , , , , Tabulka 2: Počet počítačů s rychlostí operací za sekundu potřebných k provedení brute-force útoku na klíče různých délek v určitém čase. 3 Zabezpečení v praxi Jak z výše nastíněných principů vyplývá, veškerá komunikace v síti GSM je šifrována a uživatelé jsou pokaždé podrobeni autentifikaci. Z tabulky 1 vidíme, že použití primitivního brute-force útoku není prakticky možné, protože klíče použité v GSM jsou příliš dlouhé. Tabulka 2 pak navíc ukazuje, že řešením není ani použití více počítačů. I když jejich výpočetní schopnosti rostou a ceny klesají, stále by bylo vybudování sítě pro odposlechy velmi nákladnou investicí. Případný útok tedy musí být proveden jinak. Z nastíněných principů je zřejmé, že veškere zabezpečení by bylo zbytečné, pokud by se útočníkovi podařilo dostat k tajnému klíči Ki. Pak by již nebyl žádný problém dopočítat hodnoty K3, K8 a duplikovat tak SIM kartu, či odposlouchávat hovor napadeného uživatele. Jak jsme již uvedli výše, hodnota Ki je uložena v SIM a AUC. Dostat klíč z AUC je prakticky vyloučeno, pro případný útok tak zbývá varianta získání klíče přímo ze SIM, nebo z komunikace mezi MS a sítí. Obě zmíněné varianty s sebou přinášejí problémy. Ki se z karty nedá jen tak přečíst (zmíněné omezení operací na operace kódování A38) a při komunikaci mezi MS a sítí se Ki také nepřenáší. Přesto lze tento klíč získat a realizovat tak útok na GSM síť. Možnosti jsou dvě. 3.1 Získání Ki ze SIM Jedním z možných útoků je získání Ki přímo ze SIM karty proti které útočíme. Víme, že z karty se Ki nedá přečíst, můžeme se ale pokusit Ki zjistit tak, že kartě předkládáme různé 5

8 hodnoty RAND a z jejích reakcí pak zjistíme Ki. Z toho plyne, že pokud chceme tento útok realizovat, je zapotřebí mít příslušnou kartu fyzicky k dispozici. Dále budeme potřebovat speciální zařízení, které bude do SIM karty zasílat různé RAND a následné přijímat a analyzovat odezvu SIM. Po vznesení cca dotazů (RAND kodů) je možné získat hodnotu Ki uloženého v příslušné SIM kartě. Útok probíhá hledáním kolizí mezi vrácenými hodnotami SRES. Postupně zadáváme dvojice RAND tak, aby byly skoro stejné. Měníme tedy pouze jeden nebo dva byty zadávaného čísla, a to tak, že při hledání 0. a 8. bytu klíče Ki měníme pouze 0. a 8. byte RAND, při hledání 1. a 9. měníme 1. a 9. byte RAND, atd. Získáme-li pro jednu kombinaci dvou RANDů stejný výsledek SRES, můžeme na základě znalosti algoritmu funkce A38 dopočítat příslušné dva byty klíče Ki. Při luštění je třeba dát pozor na falešné kolize, které mohou vznikat, kvůli nastavení posledních deseti bitů na nulu. (podrobněji je útok popsán v Bezpečnosti autentizace v síti GSM [klus]). Tento útok trvá podle dostupných informací [vond] cca 8 hodin. Vzhledem k tomu, že limitujícím faktorem zde je rychlost s jakou umí analyzující zařízení komunikovat se SIM kartou a jak rychle umí výsledné hodnoty analyzovat, lze se domnívat, že tento čas lze dále zkrátit. Pokud má tedy útočník atakovanou kartu k dispozici po tuto dobu, není pro něj velkým problémem získat Ki dané karty a následně ji buď duplikovat nebo odposlouchávat přenášená data. Je třeba dodat, že nové karty jsou proti tomuto tipu útoku celkem dobře chráněny. Metody jsou různé, často se používá umělé zpomalení karty, které odezvy karty brzdí tak, že je tento způsob útoku nemožný. Další možností je nastavení počtu operací (provedení algoritmu A38) které je možno s kartou provést. Při tomto typu útoku tak dojde ke zničení karty. 3.2 Získání Ki odposlechem hovoru Další možností jak lze Ki získat, je odposlechnutí hovoru. Ten je kódován pomocí algoritmu A5, který má dvě varianty. Silnější variantu A5/1 a slabší verzi A5/2. Útok na slabší verzi algoritmu popsali např. Ian Goldberg and David Wagner z University of California at Berkeley. Pomocí jimi popsaného útoku je možné tento slabší algoritmus prolomit v řádu milisekund. Zajímavější je situace u silnějšího algoritmu A5/1, který se používá i u nás. Útoky proti tomuto algorimtu se totiž zpočátku jevily jako možné, ale časově velmi náročné. I tady se ale nakonec dospělo k útoku, který je reálně použitelný. Jedná se o útok popsaný v dokumentu Real Time Cryptoanalysis of A5/1 on a PC [aada]. 6

9 Jak z tohoto dokumentu vyplývá, tento útok má dvě možné varianty. První varianta vyžaduje zachycení dvou úvodních minut hovoru. Následné vypočítání klíče Ki je v tomto případě otázkou jedné sekundy 2. Druhá varianta útoku vystačí s odposlechnutím úvodních dvou sekund konverzace, přičemž výpočet se prodlouží na několik minut 3. 4 Závěr Jak z výše uvedených informací vyplývá, GSM je mnohem více zabezpečenou technologií než byly dříve používané analogové systémy. Vše je kódováno, uživatelé jsou autentifikováni ihned po přihlášení do sítě. Jak je ale také z popsaných útoků vidět, není tato ochrana spolehlivá a je možné ji obejít. Nejedná se sice o metody, které by byly dostupné široké veřejnosti, na druhou stranu jejich složitost není tak velká aby jejich používání bylo omezeno pouze na státní instituce (ani to by nebylo uklidňující). Nezbývá tedy než doporučit použití dodatečných kryptovacích nástrojů, které bezpečnost probíhající komunikace významně zvýší. 2 V současnosti to bude pravděpodobně řádově rychlejší 3 I tato hodnota je pravděpodobně v současnosti mnohem nižší 7

10 Literatura [marg] MARGRAVE, David. GSM Security and Encryption [online]. [cit ]. URL: < [rich] RICHTR, Tomáš. Technologie pro mobilní komunikaci [online]. [cit ]. URL: < [vond] VONDRUŠKA, Pavel. Nový útok na soukromí uživatelů mobilních telefonů GSM [online]. [cit ] URL: < [klus] KLUSÁČEK, Dalibor. Bezpečnost autentizace v síti GSM [online]. [cit ] URL: < xklusac/gsm.html> [aada] BIRYUKOV Alex, SHAMIR Adi, WAGNER David. Real Time Cryptoanalysis of A5/1 on a PC [online]. [cit ] URL: < [chiar] Opening content protection [online]. [cit ] URL < content protection/ opening content protection.htm> 8