Rok / Year: Svazek / Volume: Číslo / Number: 2014 16 2 Zabezpečení dat v systémech mobilních komunikací Data protection in mobile communication systems Petr Navrátil xnavra37@stud.feec.vutbr.cz Fakulta elektrotechniky a komunikačních technologií VUT v Brně Abstrakt: Tento článek rozebírá způsoby zabezpečení proti zneužití dat v systémech mobilních komunikací, které jsou v současné době používány. Je rozebrán princip generování klíčů k jednotlivým systémům a jejich vzájemná návaznost. Jedná se o systémy GSM, UMTS a rozšiřující se systém LTE. Abstract: This article is about data protection against misuse in mobile communication systems. The main focus is on security key generation of each mobile system. This article describes security in GSM, UMTS and LTE systems.
Zabezpečení dat v systémech mobilních komunikací Petr Navrátil Fakulta elektrotechniky a komunikačních technologií VUT v Brně Email: xnavra37@stud.feec.vutbr.cz Abstrakt Tento článek rozebírá způsoby zabezpečení proti zneužití dat v systémech mobilních komunikací, které jsou v současné době používány. Je rozebrán princip generování klíčů k jednotlivým systémům a jejich vzájemná návaznost. Jedná se o systémy GSM, UMTS a rozšiřující se systém LTE. a náhodně vygenerované číslo RAND (128 bitů). Triplet se generuje vždy při každé nové komunikaci (spojení). 1 Úvod Článek je rozdělen na tři části. Každá sekce popisuje zabezpečení konkrétního systému mobilních komunikací proti zneužití. Kapitoly jsou seřazeny v pořadí dle nástupu jednotlivých systémů, tedy od nejstaršího GSM (Global System Mobile), UMTS (Universal Mobile Telecommunication System) až po LTE (Long Term Evolution). Systém GSM spadá do kategorie 2. generace, naopak systémy UMTS a LTE spadají do kategorie 3. generace. 2 Systém GSM Systém GSM [1], [2] (Global System Mobile) je stále jeden z nejvíce rozšířených mobilních systémů 2. generace. Zabezpečení dat proti zneužití je pouze v rádiovém prostředí. V ostatních částech komunikačního řetězce je přenos hovoru (dat) nešifrovaný. Ke komunikaci v sítích mobilních operátorů potřebujeme především tzv. SIM (Subscriber Identity Module) kartu, která obsahuje identifikátor účastníka IMSI (International Mobile Subscriber Identity) sloužící k identifikaci uživatele. Dále je nutné znát algoritmy pro kódování A3, A5 a A8. Algoritmus A3 slouží pro ověření totožnosti účastníka a algoritmus A8 pro generování šifrovacího klíče. Algoritmus A5 slouží pro šifrování a dešifrování dat a je normalizovaný pro všechny GSM sítě. Algoritmus A5 se neustále zdokonaloval a proto je k dispozici několik verzí algoritmu A5/1, A5/2, A5/3. Aby účastník nemusel posílat svůj identifikátor IMSI přes rádiové rozhraní při každé žádosti o službu, přiřadí mu systém tzv. TMSI (Temporary Mobile Subscriber Identification). Tento identifikátor se uloží na SIM kartu a mění se v případě, že účastník se přesune na území řízené jinou ústřednou. 2.1 Autentizace v systému GSM Ověření totožnosti (autentizace) probíhá až po odeslání čísla IMSI do systému. Ze zaslaného čísla IMSI se v centru autentizace systému GSM (AuC) vygeneruje tzv. Triplet. Generování tripletu je uvedeno na obrázku 1. Tento Triplet obsahuje šifrovací klíč K C (64 bitů), odezvu SRES (32 bitů) Obrázek 1: Generování tripletu Náhodné číslo RAND se zašle mobilní stanici (MS), která rovněž pomocí svého klíče uloženého na SIM kartě a Algoritmu A3 vygeneruje odezvu SRES a odešle zpět do systému. Systém provede srovnání vlastní vygenerované odezvy SRES s přijatou odezvou. Pokud se shodují, proběhlo ověření účastníka v pořádku a je mu umožněn přístup do sítě. Systém si tedy vygenerovaný klíč K C může uložit do paměti pro pozdější šifrování přenosu. Schéma komunikace je uvedeno na obrázku 2. Obrázek 2: Autentizace v síti GSM 2.2 Šifrování v sítích GSM Pro šifrování dat je použit algoritmus A5, který je realizován pevně (hardwarově) v mobilní stanici. Jako vstupní parametry do tohoto šifrovacího bloku vstupují klíč K C (64 bitů) a aktuální číslo TDMA (Time Division Multiple Access) rámce. Výstupem algoritmu A5 jsou dvě 114 bitová čísla S U a S D, sloužící pro uplink (směr do mobilní sítě) a downlink (směr k mobilní stanici). Jednotlivé bity jsou sčítány v obvodech realizující funkci modulo 2 se 114 bity účastnického rámce (burstu). Pokud je během hovoru proveden handover (přepojení účastníka k jiné základnové stanici), klíč K C se nemění. 96
se týká rádiové části, kdy již nejsou v sítích základnové stanice BTS a BSC (Base Station Controller). Tyto stanice byly nahrazeny tzv. NodeB a směrovačem RNC (Radio Network Controller), který směruje data dle jejich typu (hlasové služby, datové služby). Za směrovačem může být připojena stávající síť GSM. Mobilní účastník je označován jako UE (User Equipment) a pro přístup do sítě se využívá karty USIM (Universal Subscriber Identity Module). Obrázek 3: Šifrování v systému GSM [1] Šifrovací proces může být i vypnut, což je jeho velká slabina. Příkaz pro použití šifrování se přenáší v řídícím kanále DCCH (Dedicated Control Channel) v obou směrech bez šifrování. Pro zvýšení bezpečnosti se v současné době používají terminály s vlastním šifrováním. V tomto případě se šifruje pomocí klíče uloženého v šifrovacím zařízení samotná data určená k přenosu. V tomto případě není možný ani odposlech u mobilního operátora. Velkou nevýhodou je nekompatibilita jednotlivých zařízení. 2.3 Bezpečnostní slabiny v sítích GSM Slabin v sítích GSM je hned několik. Snadný odposlech identifikátoru IMSI, případně zjištění klíče uloženého na SIM kartě. Jelikož se data šifrují pouze v rádiovém prostředí, je snadný odposlech hovoru mimo rádiové rozhraní. S tím souvisí i snadný útok typu mužem uprostřed ( Man in the middle ), který spočívá v tom, že útočník se postaví do komunikace mezi mobilní stanicí a BTS a předstírá pro mobilní stanici funkci BTS a pro BTS funkci mobilní stanice. Hlavní funkcí základnové stanice (BTS) je zprostředkovat komunikaci s mobilním účastníkem a sítí a zajistit šifrování, které probíhá pouze mezi BTS a mobilní stanicí (MS) pomocí proudové šifry A5. Útočník může pomocí signalizace vypnout šifrování dat v samotné síti. Tento typ útoků není možný až v dalších generacích mobilních sítí. 3.1 Technika rozprostření spektra Změn v systému UMTS oproti systému GSM je hned několik, především v rádiové části systému. Systém UMTS využívá techniku rozprostřeného spektra pro kanály o šířce 5 MHz. Tato technika byla vyvíjena pro armádu, jelikož umožňuje skrýt vysílaný rádiový signál v okolním šumu. Vstupní datový tok se sčítá s pseudonáhodnou sekvencí PN pomocí modulo 2. Za podmínky, že PN posloupnost je mnohonásobně rychlejší než vstupní signál, dojde ve spektru k rozložení spektrální energie přes větší šířku pásma, jak je uvedeno na obrázku 5. Přijímací strana musí pro detekování použít stejnou PN sekvenci. Pokud tedy přijímací strana nezná správnou rozprostírací sekvenci, detekuje pouze šum na vstupu přijímače. Díky této vlastnosti je rovněž obtížné rušit takto vysílaný signál. Nevýhodou jsou především vyšší energetické nároky pro provoz a tím snížena výdrž baterie v uživatelském terminálu. Obrázek 5: Ukázka rozprostření ve spektru [1] Obrázek 4: Princip útoku,,man in the Middle" Dalším problémem je nedostatečná odolnost proudové šifry A5. V současné době lze prolomit tuto šifru a získat klíč řádově do několika minut i z malého úseku hovoru. 3 Systém UMTS Systém UMTS [3] spadá do systému 3. generace a jeho rozšíření je převážně v městské části a okolí velkých měst. Mezi základní výhody tohoto mobilního systému patří vysoká datová propustnost od 2 Mbit/s až po 40 Mbit/s (Release 7). Změna architektury sítě nebyla příliš razantní, největší změna Přijímače v sítích UMTS jsou velmi citlivé na časovou synchronizaci. Při časovém posuvu větším jak polovina trvání bitu rozprostírací posloupnosti (polovina doby chipu) může dojít k chybné detekci. Chipová rychlost je rychlost rozprostírací sekvence, kde jeden chip odpovídá jednomu bitu. V systému UMTS se technika rozprostřeného spektra nepoužívá pro zabezpečení dat, ale jen pro rozlišení jednotlivých účastníků na stejném kanále. 3.2 Autentizace v síti UMTS V systému UMTS stejně jako v systému GSM probíhá autentizace účastníka [4] a je navíc doplněna autentizací sítě proti již zmiňovanému útoku,,man in the Middle viz. Obrázek 4. Pro vygenerování autentizačního vektoru AV (Authentication Vector) potřebujeme rovněž znát klíč K uložený na kartě USIM. Generování klíčů s proměnou délkou 97
probíhá pomocí algoritmů f1, f2, f3, f4 a f5. Schéma generování je uvedeno na obrázku 6. Tento klíč obsahuje náhodné číslo RAND (128 bitů), očekávanou odezvu XRES (proměnné délky), šifrovací klíč CK (128 bitů), klíč pro integritu IK (128 bitů) a autentizační token AUTN. Autentizační token se skládá z MAC (Message Authentication Code), AMF (Authentication and Key Management Field) a bitového součtu SQN (Sequence Number) s AK (Anonymity Key). 3.3 Šifrování dat v sítích UMTS Šifrování v síti UMTS je provedeno pomocí algoritmu f8 a je provedeno pro celý přenos včetně řídících signálů mezi uživatelským zařízením UE až po směrovač RNC. Na rozdíl od 64 bitového klíče v sítích GSM používá systém UMTS 128 bitový klíč. Jako vstupní parametry pro daný algoritmus jsou čítač (32 bitů), požadovaná délka generovaného klíče (16 bitů), směr Uplink / Downlink (1 bit) a identifikátor rádiového bloku (4 bity). Samotná funkce f8 vygeneruje šifrovací klíč, který se použije jako proudová šifra. Obrázek 8: Šifrovací blok v systému UMTS 3.4 Integrita dat v systému UMTS Obrázek 6: Vytvoření klíčů v systému UMTS Autentizace začne zasláním náhodného čísla RAND a AUTN uživatelskému terminálu UE. Uživatelský terminál ověří AUTN (viz. Obrázek 7) a pokud je v pořádku, vygeneruje odezvu RES, kterou zašle zpět do sítě. Dále je nutné spočítat klíče CK a IK. Pokud odezva RES je stejná jako vygenerovaná systémem XRES, je přístup povolen. Novou funkcí v systémech 3. generace je funkce kontrola integrity. Pomocí algoritmu f9 můžeme vygenerovat sekvenci, kterou porovnáme na přijímací straně. Tato autentizační funkce se chová podobně jako funkce hashovací Na jejím výstupu dostaneme 32 bitovou sekvenci MAC-I (Obrázek 9). Pro získání této sekvence je potřeba klíč IK (128 bitů), přenášená zpráva, čítač (32 bitů) a směr Uplink / Downlink (1 bit). Na přijímací straně máme rovněž k dispozici veškeré vstupní parametry této funkce a můžeme vypočítat novou odezvu MAC-I, kterou porovnáme s přenesenou odezvou MAC-I. Pokud jsou totožné, nedošlo při přenosu k modifikaci přenášené zprávy. Funkce f9 je pouze jednosměrná, nelze získat jakýkoliv vstupní parametr ze znalostí všech ostatních parametrů. Obrázek 7: Autentizace sítě UMTS Obrázek 9: Blok pro generování MAC sekvence 98
4 Systém LTE Systém LTE [5] využívá odlišnou infrastrukturu a jiné řídící bloky než předchozí systém UMTS, ale stále se řadí do systémů 3. generace. Změny ohledně zabezpečení jsou pouze v generování klíčů. Nejpodstatnější změnou prošlo především rádiové rozhraní. Pro přenos dat je použito OFDM multiplexu (Orthogonal Frequency Division Multiplex). Systém dokáže použít i techniku více antén, techniku MIMO (Multiple Input Multiple Output). Komunikace dosahuje vysokých rychlostí, při použití jedné vysílací a jedné přijímací antény může dosahovat až 100 Mbit/s ve směru downlink. Jedná se tedy o sítě vytvořené převážně pro přenos dat. Systém generuje odlišné klíče dle typu přístupu k síti. Pro komunikaci mezi základnovou stanicí enb (Evolved NodeB) a uživatelským terminálem UE se využívá tzv. komunikace AS (Access Stratum). Mezi uživatelským terminálem UE a MME (Mobility Management Entity) probíhá komunikace typu NAS (Non-Access Stratum). Komunikace NAS je komunikací s vyšší vrstvou systému a umožňuje pohyb v rámci sítě, naopak komunikace typu AS umožňuje komunikaci výhradně s danou základnovou stanicí enb. Pro běžný hovor se tedy využívá spojení typu NAS. 4.1 Generování klíčů v síti LTE Generování klíčů pro autentizaci a šifrování je podle stejných algoritmů jako v předchozím systému UMTS. Využívá se rovněž stejných šifrovacích funkcí jako v systému UMTS (viz. Obrázek 6). Rozdíl nastává až v použití nového bloku HSS (Home Subscriber Server), který se stará o další distribuci klíčů dle zvolené komunikace. V tomto bloku se vytvoří z klíčů CK a IK pomocí funkcí KDF (Key Derivation Function) nový klíč K ASME, který slouží k výpočtu dalších klíčů dle použitého typu komunikace. Klíče jsou odvozeny pro všechny typy komunikací, přičemž systém může rozhodnout, zda použít 128 bitový klíč, případně silnější 256 bitový klíč. Výslednými klíči pro NAS komunikaci jsou dva klíče K NASint sloužící pro kontrolu integrity a K NASenc sloužící pro šifrování. Podrobné schéma generování klíčů v systému LTE lze nalézt ve specifikaci 33.401 [6]. Používané klíče pro jednotlivé generace mobilních systémů jsou zobrazeny ve schématu níže. 5 Závěr V článku je uvedeno jakým způsobem se získávají šifrovací klíče k jednotlivým systémům. Nejhorší zabezpečení je u nejstaršího systému GSM, které používá pouze 64 bitový symetrický klíč a neprovádí se autentizace mobilní sítě. Je tedy snadno napadnutelný. Při dnešním výpočetním výkonu je nejjednodušší sítí k prolomení. Další dvě sítě patří do skupiny 3. generace a vlastní stejné principy šifrování a nabízejí již i kontrolu integrity a možnost autentizace sítě. Útoky typu,,man in the Middle již nejsou ani zdaleka tak jednoduché než v sítích GSM. Další výhodou je, že v sítích 3. generace se šifrují jak data, tak i řídící signály a není tedy jednoduché vypnout šifrování. Šifrovací klíče mají větší bezpečnost a jsou dlouhé 128 bitů (LTE i 256 bit). Samotné šifrování probíhá od uživatelského terminálu UE až po směrovač v síti, nikoliv jen přes rádiové rozhraní. Útoky na sítě UMTS a LTE jsou převážně typu DOS (Denial Of Service), kdy se útočníci snaží vyřadit danou službu případně celou síť z provozu. Úspěšné prolomení sítí 3. generace nebylo doposud zaznamenáno. Bohužel i v dnešní době je stále nejvíce rozšířené pokrytí sítí GSM s nevyhovujícím zabezpečením. Poděkování Tento článek vznikl za podpory projektu Systémy bezdrátové internetové komunikace a také za odborné a pedagogické pomoci pana doc. Ing. Karla Burdy, CSc. Literatura [1] HANUS, Stanislav. Rádiové a mobilní komunikace III Systém LTE. Elektronické skriptum, FEKT VUT v Brně, Brno, 2013 [cit. 2014-01-6]. [2] PROKOPEC, Jan. Systémy mobilních komunikací: sítě pro mobilní datové služby. Vyd. 1. Brno: Vysoké učení technické v Brně, Fakulta elektrotechniky a komunikačních technologií, Ústav radioelektroniky, 2012, 186 s. ISBN 978-80-214-4498-0. [3] 3GPP UMTS: Authentication and Key Agreement. [online]. [cit. 2014-01-06]. Dostupné z: http://conningtech.wordpress.com/2010/08/06/3gppumts-authentication-and-key-agreement/ [4] ARCADA POLYTECHNIC. Mobile and Wireless Communication Systems: Wireless Cellular Network Technologies: 3G Mobile Telephony UMTS [online]. 2007 [cit. 2014-01-06]. Dostupné z: http://wireless.arcada.fi/mobwi/material/cn_6_6.html [5] RUMNEY, Moray. LTE and the evolution to 4G wireless: design and measurement challenges. Second edition. xxi, 626 pages. ISBN 978-111-9962-571. Obrázek 10: Přehled generování klíčů [6] System Architecture Evolution (SAE) Security architecture, 3GPP, Tech. Rep. TS 33.401 Version 8.8.0, Jun. 2011 99