Aksess sikkerhet i mobile systemer fra 1G til 4G

Aksess sikkerhet i mobile systemer fra 1G til 4G Geir M. Køien, Køien Cellular Security & Universitetet i Agder 05.03.2009 Geir M. Køien gmk@koien.net

Aksess sikkerhet i mobile systemer Hvilke systemer? 1G NMT, analog tale og digital signalering 2G GSM/GPRS, nå er alt heldigitalt 3G UMTS/HSPA, mye IP, men også linjesvitsjing 4G LTE/LTE++, mobilt bredbånd, fullt fokus på IP Hvilke sikkerhetskrav stilles? Hva er det en prøver å beskytte? Hvem er det en prøver å beskytte? Hvem bestemmer?

Aksess sikkerhet i NMT Bakgrunn NMT (450 og 900) 25 khz analog talekanal Aksesssignaleringen var digitial ( ramme signalering) Enkel arkitektur: Basestasjoner var hektet direkte opp mot svitsj (MTX) Hvilke sikkerhetskrav fantes? I begynnelsen: 3 siffer passord som ble overført i klartekst Svindelen økt: NMT SIS Challenge-Response protokoll

Aksess sikkerhet i NMT NMT SIS NMT Hva er det en prøver å beskytte? Beskyttelse mot tellerskritt svindel Ikke mulig å beskytte mot avlytting (analog FM tale) Hvem er det en prøver å beskytte? Først og fremst: Operatøren Indirekte: Kunden Hvem bestemmer? NMT-SIS var en opsjon (krevde egen HW i mobilen) Operatøren bestemmer

Aksess sikkerhet i GSM Bakgrunn GSM Digital mobiltelefoni Fokus på linjesvitsjet ISDN-type tjenester Tale klart viktigst Innføring av tamper-resistant Subscriber Identity Module (SIM) kort Hvilke sikkerhetskrav stilles? Erfaringen fra 1G tilsa at en måtte ha autentisering Viktig for nettet å sjekke mobilen pga svindel Slutten av 1980-årene: Ikke så viktig å sjekke nettet Derfor: En-veis autentisering (samme som NMT-SIS) Digital transmisjon kunne en også ha kryptering (konfidensialitet) Viktig å sikre radio linken fra avlytting A5 kryptering mellom mobilen (MS) og basestasjonen (BTS)

Aksess sikkerhet i GSM AKA GSM Authentication and Key Agreement (AKA) Challenge-Response protokoll Nettet (VLR/SGSN) starter prosedyren og autentiserer SIM kortet Generering av 64-bit nøkkel (Kc) Algoritmene kalles A3/A8 Men implementasjon er operatør spesifikk COMP128 (særdeles svak eksempel algoritme) RANDom Challenge eneste variabel i input Kc var redusert til 54 signifikante bit i begynnelsen RAND (128 bit) SRES (signed response, 32 bit) A3/A8 Ki (128 bit) Kc (sesjonsnøkkel, 64 bit)

Du har for l ite å gjøre! Future N etw or k TelenorR&D User Equipment Serving Network (SN) Home Environment (HE) Access Network (AN) Core Network (CN) Telenor BSC VLR/ MSC HLR/ AuC SIM MS BTS Provide Identity (IMSI) SEND_AUTH_INFO(IMSI) AUTHENTICATION_REQUEST(RAND) AUTHENTICATION_RESPONSE(SRES) SEND_AUTH_INFO-ack(AuthSet) CIPHER_MODE_COMMAND CIPHER_MODE_COMPLETE GSM AKA Scope of GSM confidentiality protection GSM Konfidensialitet

Aksess sikkerhet i GSM Link Laget GSM Kryptering mellom MS og BTS GPRS: Kryptering mellom MS og SGSN (kjernenettet) A5 algoritmer (A5/1, A5/2, A5/3, A5/4, ) MS Network CIPHER_MODE_COMMAND CIPHER_MODE_COMPLETE Cleartext Ciphertext Cleartext COUNT K C A5 BLOCK2 BLOCK1 BLOCK2 BLOCK1 A5 COUNT K C Cleartext Ciphertext Cleartext

Aksess sikkerhet i GSM Svakheter GSM AKA En-veis autentisering (false-bts attack) Ingen variabel utenom RAND (replay protection problem) COMP128 er en forferdelig dårlig AKA algoritme (og mange bruker den ennå!!) Delegert autentisering fra HLR/AuC til VLR/SGSN (trust/charging problem) Model som gjenspeiler Europeisk telekom virkelighet på 1980 tallet Link Lag: Klartekst utenom radiogrensesnittet (dog designet slik) A5/1 begynner å bli gammel og 64-bit er i korteste laget nå A5/2 er en grusomt svak algoritme (COCOM) forbudt i dag Ingen integritetsbeskyttelse av data Nøkkeldistribuering Ingen sikkerhet på HLR/AUC VLR/SGSN Ingen sikkerhet på VLR/MSC BSC BTS strekket Manglende kryptografisk binding Kc nøkkel ikke bundet til algoritme (angrep finnes) Kc kan gjenbrukes lenge (ingen begrensning)

Aksess sikkerhet i UMTS Bakgrunn 3G - UMTS Sikkerhetsanalyse med krav (TS 21.133) Objectives and Principles (TS 33.120) Sikkerhetsarkitektur (TS 33.102) Kryptografiske krav (TS 33.105) Offentlige spesifikasjoner av all kryptografi Link lag: KAUSUMI TS 35.201 TS 35.204 Seinere også SNOW-3G: TS 33.215 TS 33.218 AKA algo: MILENAGE TS 35.205 TS 35.208 Hovedmål (TS 33.120) Security elements within GSM and other second generation systems that have proved to be needed and robust shall be adopted for 3G security. 3G security will address and correct real and perceived weaknesses in second generation systems. 3G security will offer new security features and will secure new services offered by 3G.

Aksess sikkerhet i UMTS AKA UMTS AKA To-veis challenge-response autentisering (vha sekvensnummer) AUTN inneholder sekvensnummer og MAC signatur av challenge Samme meldingsutveksling som GSM Noen nye parametere i meldingene Mulig å kjøre UMTS AKA over GSM/GPRS Basert på UICC (smart kort) med USIM (abonnent/sikkerhets applikasjon) AKA funksjoner: F0, f1,, f5* Standard (eksempel) implementasjon: MILENAGE (basert på Rijndael) UICC/USIM RAND AUTN RES VLR/SGSN

D u har for li te å gj øre! Tel enor U ser Equipm ent (U E) Serving Network (SN) Home Environment(H E) A ccess N etw ork (AN ) UICC/ USIM Telenor ME Node B RNC VLR/ SGSN MAP_SendAuthInfo(IMSI) MAP_SendAuthInfo-ack(AV) HLR/ AuC Challenge(RAND,AUTN) Response(RES) Key transport (CK,IK) Scope of confidentiality and integrity Key transport (CK,IK) AKA output: CK data konfidensialitets nøkkel, 128 bit IK data integritetsnøkkel, 128 bit RES 64 bit MAC signert response (32..128) AKA sjekk i USIM: - MAC-A signering må matche - Sekvensnummer (innenfor vindu)

UMTS - f8 funksjonen COUNT-C DIRECTION COUNT-C DIRECTION BEARER LENGTH BEARER LENGTH CK f8 CK f8 KEYSTREAM BLOCK KEYSTREAM BLOCK PLAINTEXT BLOCK CIPHERTEXT BLOCK PLAINTEXT BLOCK Sender UE or RNC Receiver RNC or UE

UMTS f9 funksjonen COUNT-I DIRECTION COUNT-I DIRECTION MESSAGE FRESH MESSAGE FRESH IK f 9 IK f 9 MAC -I XMAC -I Sender UE or RNC Receiver UE or RNC

Aksess sikkerhet i UMTS Svakheter Dessverre er dette en lang liste Key management: Ikke sikret overføring av Authentication Vector (AV) Ikke sikret overføring av nøklene CK,IK fra VLR/SGSN til RNC Ingen binding av nøkkel mot algoritme Noe svak replay protection (sequence no. mngt) Svak data integritetsbeskyttelse Kun 32 bit integrity check value) Kun integritet på control plane NULL kryptering er tillatt (lov krav) Lawful interception (LI) Fint hvis en stoler på myndighetene Backwards compatibility with GSM Det er desverre lov å bruke GSM SIM kort I UMTS Da blir det kun GSM AKA (altså kun en-veis autentisering) CK,IK lages syntetisk av Kc (kryptografisk er dette ille)

Aksess sikkerhet i LTE Bakgrunn Long-Term Evolution (LTE) Helt ny sikkerhetsarkitektur (TS 33.401, med mer) Store forskjeller i aksessnettet Full AIPN (All IP Network) LTE Sikkerhet: Helt ny arkitektur Klart skille mellom control plane og user plane trafikk USIM beholdt som system komponent hos bruker UMTS AKA beholdt som komponent i EPS AKA Gedigent nøkkelhierarki Link lag sikkerhet NMT: Ikke relevant GSM: MS BTS : Kun radiostrekket: Litt for kort GPRS: MS SGSN : Helt inn til kjernenettet: Vel, dette ble for langt UMTS: MS RNC : Til aksessnett kontroller: OK kompromiss LTE: MS enb : Kun radiostrekket! Men, med ny sikkerhet videre

Aksess sikkerhet i LTE Arkitektur

D u har f or li te å gj ør e! Tel enor Aksess sikkerhet i LTE Arkitektur Control Plane User Plane EPS-AKA To-hop: MME / S-GW MME / S-GW 1) ME enb 2) enb S-GW S1 S1 S1 S1 enb X2 enb E-UTRAN X2 X2 Link lag: Første steg Både control plane og user plane UICC/ USIM Telenor enb ME Alt er i klartekst internt i enb

Aksess sikkerhet i LTE EPS AKA EPS AKA Bruker USIM Ingen bakover kompatibilitet med GSM SIM!! (heldigvis) Challenge-Response mellom USIM og MME Autentisering: Basert direkte på UMTS AKA Nøkkelderivering CK,IK bruker indirekte til å generere K ASME K ASME brukes som basis i et komplisert nøkkelhierarki

Aksess sikkerhet i LTE Nøkler Nøkkelhierarki USIM / AuC UE / HSS UE / ASME K CK, IK K ASME K NASenc K NASint K enb UE / MME K UPenc K RRCint K RRCenc UE / enb

Aksess sikkerhet i LTE Oppsummering LTE sikkerhet Basestasjonen er nå et kritisk element (enb) Samme for Home enb Litt uheldig med enb som kritisk element, men dette er en følge av å få ekte mobilt bredbånd Fullt skille på kontrollplan og brukerplan data Bakover kompatibelt med Release 99 UICC/USIM Men brukere med GSM SIM får ikke aksess til LTE MME HSS Her skal det nå sikres med NDS/IP (konfigurert IPsec) Men fortsatt delegert autentisering til besøkt nett Burde hatt 3-parts EPS-AKA (trenger ikke være symmetrisk)

Aksess sikkerhet - Oppsummering 1G NMT I beste fall naive sikkerhet, men NMT-SIS markerte en begynnelse 2G GSM/GPRS Autentisering og kryptering av luftgrensesnittet Mangelfullt, men en utrolig suksesshistorie allikevel 3G UMTS/HSPA Full arkitektur og brukbar autentisering/kryptering Litt svak integritet Uholdbar nøkkel distribuering og delegert autentisering 4G LTE/LTE++ Kompleks arkitektur Kompromisser pga radiokrav Fortsatt delegert autentisering Fortsatt middelmådig personal privacy (identitet/lokasjon)

Aksess sikkerhet - Oppsummering En lang ferd fra 1G til 4G Vi får mye mer og ikke minst bedre sikkerhet nå Men, det er mye vi ikke får også: Personal Privacy er ikke helt på topp Ingen ende-til-ende sikkerhet (lovvverk etc) Device sikkerhet/sårbarhet Liten vits med 128 bit kryptering om du har virus/rootkit problemer på terminalen