Základní přehled zabezpečení GSM



Podobné dokumenty
SIM karty a bezpečnost v mobilních sítích

Správa přístupu PS3-2

. Bezpečnost mobilních telefonů. David Machač

Vývoj GSM I testy technologií digitálního vysílání v Paříži (TDMA a FDMA) zemí sepsalo memorandum o technologii GSM (MoU)

Informatika Ochrana dat

ODPOSLECHU A JEHO DETEKCE V SÍTI S

21. DIGITÁLNÍ SÍŤ GSM

Struktura sítě GSM. obr. 1.1 Buňková struktura

Zabezpečení citlivých dat informačních systémů státní správy. Ing. Michal Vackář Mgr. Boleslav Bobčík

PB169 Operační systémy a sítě

KRYPTOGRAFIE VER EJNE HO KLI Č E

Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

Mobilní komunikace. Semestrální úloha GSM stručný přehled

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE. Scénáře a sestavování hovorů v GSM. Fakulta elektrotechnická Duch Zdeněk. Katedra radioelektroniky

Tel.: (+420)

ElGamal, Diffie-Hellman

J.Breier, M.Vančo, J.Ďaďo, M.Klement, J.Michelfeit, Masarykova univerzita Fakulta informatiky

Převrat v bezpečném telefonování!

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

SSL Secure Sockets Layer

Kryptoanalýza šifry PRESENT pomocí rekonfigurovatelného hardware COPACOBANA

Asymetrická kryptografie a elektronický podpis. Ing. Mgr. Martin Henzl Mgr. Radim Janča ijanca@fit.vutbr.cz

Jak funguje asymetrické šifrování?

Bezpečnost internetového bankovnictví, bankomaty

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

Hesla a bezpečnost na internetu MjUNI 2019 Dětská univerzita,

VPN Bezpečnostní souvislosti

Aplikace pro ochranu mobilní komunikace před odposlechem a zneužitím citlivých informací.

Projekt: 1.5, Registrační číslo: CZ.1.07/1.5.00/ Digitální podpisy

Ochrana dat Obsah. Výměna tajných klíčů ve veřejném kanálu. Radim Farana Podklady pro výuku. Kryptografické systémy s tajným klíčem,

Diffieho-Hellmanův protokol ustanovení klíče

Zabezpečení dat v systémech mobilních komunikací

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Kryptografie založená na problému diskrétního logaritmu

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Informatika / bezpečnost

Ekonomický GPS lokátor pro pevné připojení na autobaterii

Asymetrická kryptografie

Digitální podepisování pomocí asymetrické kryptografie

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2

Středoškolská technika Encryption Protection System

ODEMČENÉ DVEŘE PRŮZKUM UKAZUJE, ŽE TISKÁRNY ČASTO BÝVAJÍ NEZABEZPEČENÉ PROTI KYBERNETICKÝM ÚTOKŮM

Návod instalaci a obsluze software SPW-01

Kryptografie - Síla šifer

Identifikátor materiálu: ICT-2-04

Algoritmizace diskrétních. Ing. Michal Dorda, Ph.D.

X32MKO - Mobilní komunikace. projekt č.1 Sítě DECT, přenos hlasu, výstavba sítě a její rozšíření

Služba Rychlý výpis umožňuje on-line službám získat elektronický a snadno zpracovatelný výpis z bankovního účtu klienta.

EU-OPVK:VY_32_INOVACE_FIL13 Vojtěch Filip, 2014

Mobilní sítě. Počítačové sítě a systémy. _ 3. a 4. ročník SŠ technické. Ing. Fales Alexandr Software: SMART Notebook

GSM GPRS technológia. Ing. Marek Kudla

VYSVĚTLENÍ / ZMĚNA ZADÁVACÍ DOKUMENTACE Č. 3

Optimalizaci aplikací. Ing. Martin Pavlica

Andrew Kozlík KA MFF UK

Základy šifrování a kódování

Kritický stav jaderného reaktoru

Bezpečnostní mechanismy

Hashovací funkce. Andrew Kozlík KA MFF UK

Mobilní aplikace BABEL Šifrované SMS

Úvod do teorie informace

Identifikátor materiálu: ICT-2-01

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Moderní metody substitučního šifrování

Stručně o GSM tzv. uplink tzv. downlink E-GSM (Extended-GSM) GSM-R (Railway GSM)

Autentizace uživatelů

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, ASKON INTERNATIONAL s.r.o.

Sítě GSM, datové přenosy GPRS, HSCSD, EDGE

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Při ochraně Vašeho majetku spoléhejte na silného partnera a spolehlivou technologii. Galaxy Flex

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM č. 2. Název veřejné zakázky: Dodávka SAN switchů včetně příslušenství pro datová centra

Silný výkon dvoujádrové architektury pro podnikání dnes i zítra

co to znamená pro mobilního profesionála?

asymetrická kryptografie

GPS lokátor pro děti. Návod k obsluze. Hlavní výhody produktu: Velmi malý Jednoduché ovládání Velké SOS tlačítko.

Identifikátor materiálu: ICT-1-02

Představení technologie

Diktafon se vzdáleným odposlechem a výdrží až 100 dní

POPIS ČÍSELNÍKU. Název: Výčet položek číselníku:

KTE/TEVS - Rychlá Fourierova transformace. Pavel Karban. Katedra teoretické elektrotechniky Fakulta elektrotechnická Západočeská univerzita v Plzni

PROFESIONÁLNÍ ODPOSLECH MOBILNÍHO TELEFONU SPYTEL

SYSTÉM PRO SLEDOVÁNÍ VOZIDEL ELEKTRONICKÁ KNIHA JÍZD

Asymetrická kryptografie a elektronický podpis. Ing. Dominik Breitenbacher Mgr. Radim Janča

ATEUS - OMEGA Komunikační řešení pro malé a střední firmy

Preprocesor demografických dat systému HAVAR. Dokumentace k etapě E 01 l) projektu 6/2003

Certifikáty pro autentizaci PKI-SILNA-AUTENTIZACE (např. vzdálený přístup, MNP, P2000 ) Aktivace a obnova uživatelem

TOPOLOGIE DATOVÝCH SÍTÍ

Síťový plán signalizace Příloha 4. Technická specifikace ISUP Dodatek 1

EXTRAKT z české technické normy

Konfigurace sítě SDH propojení a ochrany

České vysoké učení technické v Praze

HSM a problémy s bezpečností API Masarykova univerzita v Brně Fakulta informatiky

Jihomoravske centrum mezina rodnı mobility. T-exkurze. Teorie c ı sel, aneb elektronicky podpis a s ifrova nı

ICT plán školy 2017/2018

CO JE KRYPTOGRAFIE Šifrovací algoritmy Kódovací algoritmus Prolomení algoritmu

Software pro formování dielektrika kondenzátorů

Proudové šifry a posuvné registry s lineární zpětnou vazbou

UŽIVATELSKÝ MANUÁL 485COM. verze pro elektroměry CARLO GAVAZZI (protokol MODBUS)

Transkript:

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE FAKULTA ELEKTROTECHNICKÁ semestrální práce z předmětu mobilní komunikace Základní přehled zabezpečení GSM 24. května 2007 Autor: Petr Flégl

Abstrakt Tato semestrální práce pojednává o základních principech zabezpečení technologie GSM a o možných útocích na tuto technologii. V první části práce jsou naznačeny principy autentifikace uživatelů sítě, šifrování přenášených dat a z toho vyplývající slabiny GSM. V druhé části jsou zmíněny známé útoky a shrnuta jejich praktická nebezpečnost pro běžné uživatele GSM sítě.

Obsah 1 Zabezpečené komunikace............................ 2 2 Základní principy GSM............................. 2 2.1 Představení GSM............................ 2 2.2 Zabezpečení GSM............................ 3 2.3 Autentifikace uživatele......................... 3 2.4 Zabezpečení přenášených dat..................... 4 3 Zabezpečení v praxi............................... 5 3.1 Získání Ki ze SIM............................ 5 3.2 Získání Ki odposlechem hovoru.................... 6 4 Závěr....................................... 7 1

1 Zabezpečené komunikace Ve světě jsou jednou z nejcenějších komodit informace a vlastnictví těch správných informací tak poskytuje obrovskou výhodu. Informace využíváme různě můžeme něco nakoupit, prodat, lépe zaútočit, bránit se, předat informaci dál... Vždy ale potřebujeme s někým dalším komunikovat, což není velmi často možné provést osobně. Potřebujeme tedy kvalitní komunikační kanály. To ostatně není nic nového. Již v dávných dobách se posílali se zprávami pěší poslové, později se začali využívat koně, holubi, telegraf. Vše se zrychlovalo až k příchodu analogových telefonů, mobilních telefonů, internetu. Je třeba si uvědomit, že rychlost není jediným kritériem podle kterého můžeme komunikační kanál posuzovat. Neméně podstatným parametrem určitého komunikačního kanálu je jeho zabezpečení. Pokud víme, že použitá linka se dá bez problémů a nákladnějších investic skoro kýmkoliv odposlouchávat, nemůžeme ji pro citlivější data využít ať by byla seberychlejší 1. Je tedy třeba, aby komunikace byla rychlá, uživateli dostupná a přitom bezpečná. Otázka, kterou se budeme dále zabývat je ta, zda tyto požadavky splňuje technologie GSM (Global System for Mobile communications). Tedy nejpopulárnější standard pro mobilní komunikace na světě, který využívají více než dvě miliardy lidí po celém světě. 2 Základní principy GSM 2.1 Představení GSM GSM je standard, který s sebou přinesl mnohá vylepšení oproti předcházejícím analogovým systémům. Mezi základní výhody, které s sebou používání standardu GSM oproti starší analogové síti řadíme např.: Výbornou mobilitu v dobách analogových systémů se nedalo např. vyjet s mobilním telefonem do jiného státu, protože se použité systémy pro mobilní komunikaci jednotlivých zemí lišily. Vysokou kapacitu a optimální využití spektra starší analogové sítě měly v hustě vytížených oblastech s kapacitou problémy, GSM sítě díky lepší efektivitě takové problémy nemají. Vysoká efektivita je dosahována použitím FDMA, TDMA a GMSK. Široké spektrum služeb GSM sítě nabízejí mnohem širší spektrum služeb než nabízely sítě analogové. 1 Mohli bychom samozřejmě naši komunikaci šifrovat pomocí vlastního nástroje a data do sítě posílat již zašifrovaná, ale to je pro běžného uživatele nepraktické. V této práci se tedy dále zabýváme pouze přehledem zabezpečení jaký poskytuje přímo samotná síť 2

Bezpečnost bezpečnost GSM sítí je vyšší než byla u sítí analogových. V síti GSM klonování karet, odposlouchávání telefonů a další nezákonné praktiky značně obtížnější než u sítí analogových. Přesnou strukturou sítě se v této práci zabývat nebudeme. Postačí, když si uvedeme, že GSM síť se skládá z několika podčástí, jako je např. systém základových stanic, síťový a přepínací subsystém. Všechny tyto části dohromady slouží k poskytování GSM služeb uživatelům. Některé z částí GSM sítě pak navíc slouží k zajištění zabezpečení. 2.2 Zabezpečení GSM Bezpečnost sítě GSM je postavena na 4 základních bodech. autentifikace uživatele utajení identity uživatele utajení signalizace utajení přenášených dat Zajištění zabezpečení sítě má na starost několik jejích částí. Konkrétně se jedná o Subscriber Identity Module (SIM), mobilní stanici (MS) a autentifikační centrum sítě (AUC), které je součástí provozního a servisního centra sítě (OMS). SIM obsahuje mimo jiné IMSI (International Mobile Subscriber Identity), tajný klíč autentifikace Ki, dále algoritmus pro generování šifrovacího klíče A8, autentifikační algoritmus A3 a osobní identifikační číslo PIN. Mobilní stanice obsahuje šifrovací algoritmus A5. AUC obsahuje databázi s identifikačními a autentifikačními údaji úživatelů sítě. V databázi jsou uloženy IMSI, TMSI (Temporary Mobile Subscriber Identity), LAI (Location Area Identity) a tajný klíč Ki, který je unikátní pro každého uživatele. Pro provedení autentifikace uživatele je třeba součinnosti všech tří výše uvedených částí. To zvyšuje bezpečnost sítě a zlepšuje tak ochranu např. před duplikováním SIM. 2.3 Autentifikace uživatele Autentifikace uživatele je prováděna při každém vstupu uživatele do sítě. GSM síť ověřuje identitu uživatele pomocí mechanismu challenge response. Síť pošle MS 128 bitové náhodné číslo, které označujeme jako RAND. V MS je číslo RAND předáno modulu SIM, který na základě znalosti Ki a algoritmu A3 vypočítá odpověd, kterou označíme jako SRES nebo 3

K3. SRES je počítána na základě čísla RAND, tajného klíče Ki a algoritmu A3, tzn. SRES = A3(Ki, RAND). MS po vypočtení SRES pošle výslednou hodnotu zpátky do sítě. Síť po přijetí SRES vypočítané v SIM provede stejný výpočet jako byl proveden v SIM. K výpočtu využije opět algoritmus A3, kód Ki a čísla RAND které bylo zasláno do MS. Pokud síť dojde ke stejnému výsledku jako obdržela od MS, je autentifikace úspěšná. Pokud ne, je spojení ukončeno. Schéma autentifikace uživatele sítě je na obrázku 1. Obrázek 1: Schéma průběhu autentifikace uživatele v GSM síti. Zdroj: [chiar], upraveno Zde je dobré si povšimnout, že Ki se sítí vůbec nepřenáší. Hodnota Ki je totiž napevno uložena jak v uživatelově SIM, tak v AUC a přenos tohoto klíče tak není nutný. Dalším prvkem posilujícím zabezpečení je omezení manipulace s Ki v rámci SIM. Jediné co SIM dovolí s Ki provádět jsou operace kódování A38 (viz. 2.4). Kromě těchto operací je přístup ke Ki zamezen, takže tento kód nelze jen tak z SIM karty přečíst. 2.4 Zabezpečení přenášených dat Kromě autentifikace uživatele je třeba zajistit i bezpečnost přenášených dat, hovoru a signalizace. To je uskutečněno pomocí algoritmu A5. Jako klíč pro tento algoritmus se přitom používá hodnota K8. To je hodnota, která je získána již při autentifikaci uživatele, kdy je vypočítána obdobným způsobem jako K3. Rozdíl je pouze ten, že K3 se počítá pomocí algoritmu A3, zatímco K8 pomocí algoritmu A8. Po vypočtení K8 je tato hodnota uložena do SIM a při zahájení komunikace je použita jako klíč pro algoritmus A5. Obě operace A3 a A8 bývají často implementovány jako jedna, kterou označujeme jako A38. 4

Délka klíče [b] 32 40 56 64 128 Potřebný čas 42 s 3,05 h 23 let 5 849 let 10, 8.10 22 roku Tabulka 1: Doba potřebná k provedení brute-force útoku na klíče různých délek počítačem s rychlostí 100 000 000 operací za sekundu. Délka klíče [b] Potřebný počet počítačů 1 h 1 den 1 týden 1 měsíc 40 3 1 1 1 56 200 159 8 340 1 191 39 64 51, 2. 106 21, 3.10 5 305 006 10 166 128 9, 4.10 26 3, 94.10 25 5, 63.10 24 1, 88.10 23 Tabulka 2: Počet počítačů s rychlostí 100 000 000 operací za sekundu potřebných k provedení brute-force útoku na klíče různých délek v určitém čase. 3 Zabezpečení v praxi Jak z výše nastíněných principů vyplývá, veškerá komunikace v síti GSM je šifrována a uživatelé jsou pokaždé podrobeni autentifikaci. Z tabulky 1 vidíme, že použití primitivního brute-force útoku není prakticky možné, protože klíče použité v GSM jsou příliš dlouhé. Tabulka 2 pak navíc ukazuje, že řešením není ani použití více počítačů. I když jejich výpočetní schopnosti rostou a ceny klesají, stále by bylo vybudování sítě pro odposlechy velmi nákladnou investicí. Případný útok tedy musí být proveden jinak. Z nastíněných principů je zřejmé, že veškere zabezpečení by bylo zbytečné, pokud by se útočníkovi podařilo dostat k tajnému klíči Ki. Pak by již nebyl žádný problém dopočítat hodnoty K3, K8 a duplikovat tak SIM kartu, či odposlouchávat hovor napadeného uživatele. Jak jsme již uvedli výše, hodnota Ki je uložena v SIM a AUC. Dostat klíč z AUC je prakticky vyloučeno, pro případný útok tak zbývá varianta získání klíče přímo ze SIM, nebo z komunikace mezi MS a sítí. Obě zmíněné varianty s sebou přinášejí problémy. Ki se z karty nedá jen tak přečíst (zmíněné omezení operací na operace kódování A38) a při komunikaci mezi MS a sítí se Ki také nepřenáší. Přesto lze tento klíč získat a realizovat tak útok na GSM síť. Možnosti jsou dvě. 3.1 Získání Ki ze SIM Jedním z možných útoků je získání Ki přímo ze SIM karty proti které útočíme. Víme, že z karty se Ki nedá přečíst, můžeme se ale pokusit Ki zjistit tak, že kartě předkládáme různé 5

hodnoty RAND a z jejích reakcí pak zjistíme Ki. Z toho plyne, že pokud chceme tento útok realizovat, je zapotřebí mít příslušnou kartu fyzicky k dispozici. Dále budeme potřebovat speciální zařízení, které bude do SIM karty zasílat různé RAND a následné přijímat a analyzovat odezvu SIM. Po vznesení cca 180 000 dotazů (RAND kodů) je možné získat hodnotu Ki uloženého v příslušné SIM kartě. Útok probíhá hledáním kolizí mezi vrácenými hodnotami SRES. Postupně zadáváme dvojice RAND tak, aby byly skoro stejné. Měníme tedy pouze jeden nebo dva byty zadávaného čísla, a to tak, že při hledání 0. a 8. bytu klíče Ki měníme pouze 0. a 8. byte RAND, při hledání 1. a 9. měníme 1. a 9. byte RAND, atd. Získáme-li pro jednu kombinaci dvou RANDů stejný výsledek SRES, můžeme na základě znalosti algoritmu funkce A38 dopočítat příslušné dva byty klíče Ki. Při luštění je třeba dát pozor na falešné kolize, které mohou vznikat, kvůli nastavení posledních deseti bitů na nulu. (podrobněji je útok popsán v Bezpečnosti autentizace v síti GSM [klus]). Tento útok trvá podle dostupných informací [vond] cca 8 hodin. Vzhledem k tomu, že limitujícím faktorem zde je rychlost s jakou umí analyzující zařízení komunikovat se SIM kartou a jak rychle umí výsledné hodnoty analyzovat, lze se domnívat, že tento čas lze dále zkrátit. Pokud má tedy útočník atakovanou kartu k dispozici po tuto dobu, není pro něj velkým problémem získat Ki dané karty a následně ji buď duplikovat nebo odposlouchávat přenášená data. Je třeba dodat, že nové karty jsou proti tomuto tipu útoku celkem dobře chráněny. Metody jsou různé, často se používá umělé zpomalení karty, které odezvy karty brzdí tak, že je tento způsob útoku nemožný. Další možností je nastavení počtu operací (provedení algoritmu A38) které je možno s kartou provést. Při tomto typu útoku tak dojde ke zničení karty. 3.2 Získání Ki odposlechem hovoru Další možností jak lze Ki získat, je odposlechnutí hovoru. Ten je kódován pomocí algoritmu A5, který má dvě varianty. Silnější variantu A5/1 a slabší verzi A5/2. Útok na slabší verzi algoritmu popsali např. Ian Goldberg and David Wagner z University of California at Berkeley. Pomocí jimi popsaného útoku je možné tento slabší algoritmus prolomit v řádu milisekund. Zajímavější je situace u silnějšího algoritmu A5/1, který se používá i u nás. Útoky proti tomuto algorimtu se totiž zpočátku jevily jako možné, ale časově velmi náročné. I tady se ale nakonec dospělo k útoku, který je reálně použitelný. Jedná se o útok popsaný v dokumentu Real Time Cryptoanalysis of A5/1 on a PC [aada]. 6

Jak z tohoto dokumentu vyplývá, tento útok má dvě možné varianty. První varianta vyžaduje zachycení dvou úvodních minut hovoru. Následné vypočítání klíče Ki je v tomto případě otázkou jedné sekundy 2. Druhá varianta útoku vystačí s odposlechnutím úvodních dvou sekund konverzace, přičemž výpočet se prodlouží na několik minut 3. 4 Závěr Jak z výše uvedených informací vyplývá, GSM je mnohem více zabezpečenou technologií než byly dříve používané analogové systémy. Vše je kódováno, uživatelé jsou autentifikováni ihned po přihlášení do sítě. Jak je ale také z popsaných útoků vidět, není tato ochrana spolehlivá a je možné ji obejít. Nejedná se sice o metody, které by byly dostupné široké veřejnosti, na druhou stranu jejich složitost není tak velká aby jejich používání bylo omezeno pouze na státní instituce (ani to by nebylo uklidňující). Nezbývá tedy než doporučit použití dodatečných kryptovacích nástrojů, které bezpečnost probíhající komunikace významně zvýší. 2 V současnosti to bude pravděpodobně řádově rychlejší 3 I tato hodnota je pravděpodobně v současnosti mnohem nižší 7

Literatura [marg] MARGRAVE, David. GSM Security and Encryption [online]. [cit. 2007-05-23]. URL: <http://www.hackcanada.com/blackcrawl/cell/gsm/gsm-secur/gsm-secur.html> [rich] RICHTR, Tomáš. Technologie pro mobilní komunikaci [online]. [cit. 2007-05-22]. URL: <http://tomas.richtr.cz/mobil/bunk-gsm.htm> [vond] VONDRUŠKA, Pavel. Nový útok na soukromí uživatelů mobilních telefonů GSM [online]. [cit. 2007-05-22] URL: <http://www.crypto-world.info/vondruska/mobil.htm> [klus] KLUSÁČEK, Dalibor. Bezpečnost autentizace v síti GSM [online]. [cit. 2007-05-23] URL: <http://www.fi.muni.cz/ xklusac/gsm.html> [aada] BIRYUKOV Alex, SHAMIR Adi, WAGNER David. Real Time Cryptoanalysis of A5/1 on a PC [online]. [cit. 2007-05-23] URL: <http://cryptome.org/a5.ps> [chiar] Opening content protection [online]. [cit. 2007-05-24] URL <http://www.chiariglione.org/ride/opening content protection/ opening content protection.htm> 8

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář