Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI:...

94
Seite 1 Modulbeschreibung Modulbezeichnung: Sicherheit mobiler Systeme Studiengang: OpenC 3 S - Zertifikat Verwendbarkeit: Dieses Modul ist verwendbar für • Studierende der IT-Sicherheit • Studierende der Informatik • Studierende der Wirtschaftsinformatik • Studierende der Mathematik und Informatik auf Bachelorniveau. Dieses Modul kann nicht als Wahlpflichtmodul gewählt werden, sondern ist ein Pflichtmodul. Lehrveranstaltungen und Lehrformen: Sicherheit mobiler Systeme Modulverantwortliche(r): Prof. Dr. Thorsten Holz Lehrende: Prof. Dr. Thorsten Holz Dauer: 1 Semester Credits: 5 ECTS Studien- und Prüfungsleistungen: Schriftliche Prüfung: 120 min. Berechnung der Modulnote: Schriftliche Prüfung Notwendige Voraussetzungen: • Programmierung • Kryptographie • Netzsicherheit 1-3 Empfohlene Voraussetzungen: Unterrichts- und Prüfungssprache: Deutsch, aktuelle Fachartikel teilweise in englischer Sprache Zuordnung des Moduls zu den Fachgebieten des Curriculums: Einordnung ins Fachsemester: Ab Studiensemester 3 Generelle Zielsetzung des Moduls:

Transcript of Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI:...

Page 1: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 1

Modulbeschreibung

Modulbezeichnung: Sicherheit mobiler Systeme

Studiengang: OpenC3S - Zertifikat

Verwendbarkeit: Dieses Modul ist verwendbar für

• Studierende der IT-Sicherheit

• Studierende der Informatik

• Studierende der Wirtschaftsinformatik

• Studierende der Mathematik und Informatik

auf Bachelorniveau.Dieses Modul kann nicht als Wahlpflichtmodul gewählt werden,sondern ist ein Pflichtmodul.

Lehrveranstaltungen undLehrformen:

Sicherheit mobiler Systeme

Modulverantwortliche(r): Prof. Dr. Thorsten Holz

Lehrende: Prof. Dr. Thorsten Holz

Dauer: 1 Semester

Credits: 5 ECTS

Studien- und Prüfungsleistungen: Schriftliche Prüfung: 120 min.

Berechnung der Modulnote: Schriftliche Prüfung

Notwendige Voraussetzungen: • Programmierung

• Kryptographie

• Netzsicherheit 1-3

Empfohlene Voraussetzungen:

Unterrichts- und Prüfungssprache: Deutsch, aktuelle Fachartikel teilweise in englischer Sprache

Zuordnung des Moduls zu denFachgebieten des Curriculums:

Einordnung ins Fachsemester: Ab Studiensemester 3

Generelle Zielsetzung des Moduls:

Page 2: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 2

Arbeitsaufwand bzw.Gesamtworkload:

Präsenzzeit: 2 h

• Prüfung: 2h

Eigenstudium: 148 h

• Durcharbeiten der Studienbriefe: 85 h

• Durcharbeiten des Online-Lernmaterials: 15 h

• Wahrnehmen der Online Betreuung und Beratung: 10 h

• Ausarbeiten von Aufgaben: 30 h

• Individuelle Prüfungsvorbereitung der Studierenden: 8 h

Lerninhalt und Niveau: In diesem Modul erwerben die Teilnehmer Kenntnisse über Si-cherheitsaspekte von verschiedenen mobilen Systemen, insbeson-dere zur Sicherheit von Smartphones. Im ersten Teil des Modulsliegt der Schwerpunkt auf der Beschreibung der wichtigsten Si-cherheitsfunktionen von mobilen Systemen. Im zweiten Teil desModuls wird die Sicherheit von Smartphones genauer beleuchtetund verschiedene Sicherheitsaspekte werden genauer betrachtet,der Fokus liegt dabei auf Apps für Smartphones. In der Vorlesungwerden verschiedene Sicherheitsaspekte von mobilen Systemenvorgestellt. Anhand von konkreten Beispielen wird erläutert, wieverschiedene Arten von mobilen Systemen aufgebaut sind undwelche Sicherheitsrisiken diese besitzen. Dies umfasst unter ande-rem die folgenden Themen:

• Design von GSM und UMTS (Sicherheitsaspekte, Lokalisie-rungsverfahren, Verbindungsmanagement)

• Sicherheit von Satellitentelefonen (GMR)

• Sicherheitsaspekte von DECT

• Design mobiler Betriebssysteme (Android und iOS)

• Analyse von (mobilen) Apps

Page 3: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 3

Angestrebte Lernergebnisse: Fachkompetenz: Die Studierenden erlernen die wichtigen Struktu-ren von Sicherheitsaspekten in mobilen Datennetzen, verstehendie darin verwendeten kryptographischen Verfahren sowie das Zu-sammenspiel verschiedener Protokolle. Die Studierenden könnendas Zusammenspiel der kryptographischen Verfahren in einemProtokoll auf erste Sicherheitslücken hin überprüfen und eine ersteEinschätzung der Sicherheit des Protokolls liefern. Dazu werdenauch konkrete Angriffe auf existierende Systeme vorgestellt, umein tiefergehendes Verständnis zu erlangen.

Methodenkompetenz: Die Studierenden beherrschen den Umgangmit (englischer) Fachliteratur und können ihr wichtige Informatio-nen eigenständig entnehmen. Weiterhin sind die Studierenden mitverschiedenen Angriffs- und Analysetechniken vertraut, welcheauf neue Systeme, Protokolle und Verfahren übertragen werdenkönnen.

Sozialkompetenz: Die Studierenden tauschen sich über Problemebeim Erarbeiten und Anwenden von neuen Inhalten aus und kön-nen problemorientiert diskutieren. Die konstruktive Diskussionwird im Rahmen von Übungen erlernt.

Selbstkompetenz: Die Studierenden erlangen die Fähigkeit, sichselbständig eine Meinung über die Sicherheit von verschiedenenmobilen Systemen zu bilden. Darüber hinaus besitzen sie die Kom-petenz, neue Angriffe aus der aktuellen Fachliteratur zu verstehenund ihre Bedeutungen zu evaluieren. Die Studierenden entwickelnein „gesundes Misstrauen“ gegenüber vorgegebenen Sicherheits-konzepten.

Häufigkeit des Angebots: Jedes Semester

Anerkannte Module:

Anerkannte anderweitige Lerner-gebnisse /Lernleistungen:

Medienformen:

Literatur: • Hannes Federrath: Sicherheit mobiler Kommunikation:Schutz in GSM-Netzen, Mobilitätsmanagement und mehr-seitige Sicherheit, Vieweg, 1999

• Noureddine Boudriga: Security of Mobile Communications,Auerbach Publications, 2009

• Miller et al.: iOS Hacker’s Handbook, Wiley, 2012

Weitere Literatur wird in der Lehrveranstaltung bekannt gegeben.

Page 4: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so
Page 5: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Bachelorstudiengang Informatik/IT-Sicherheit

Sicherheit Mobiler Systeme[MobSec]

Autoren:

Prof. Dr. Thorsten Holz

Ruhr-Universität Bochum

Page 6: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so
Page 7: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Modul XXX

Sicherheit Mobiler Systeme[MobSec]

Studienbrief 1: Einführung

Studienbrief 2: Sicherheitsaspekte von Mobilfunknetzen

Studienbrief 3: Sicherheitsaspekte von Satellitentelefonen

Studienbrief 4: Sicherheitsaspekte von DECT

Studienbrief 5: Design mobiler Betriebssysteme

Studienbrief 6: Verzeichnisse

Autor:Prof. Dr. Thorsten Holz

1. Auflage

Ruhr-Universität Bochum

Page 8: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

© 2015 Ruhr-Universität BochumBochumUniversitätsstr. 15044801 Bochum

1. Auflage (11. Dezember 2015)

Didaktische und redaktionelle Bearbeitung:

Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Ver-wendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohneZustimmung der Verfasser unzulässig und strafbar. Das gilt insbesonderefür Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspei-cherung und Verarbeitung in elektronischen Systemen.

Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierungder weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen des-halb darauf hin, dass die Verwendung der männlichen Form explizit alsgeschlechtsunabhängig verstanden werden soll.

Das diesem Bericht zugrundeliegende Vorhaben wurde mit Mitteln des Bun-desministeriums für Bildung, und Forschung unter dem Förderkennzeichen16OH12026 gefördert. Die Verantwortung für den Inhalt dieser Veröffentli-chung liegt beim Autor.

Page 9: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Inhaltsverzeichnis Seite 3

Inhaltsverzeichnis

Einleitung zu den Studienbriefen 5I. Abkürzungen der Randsymbole und Farbkodierungen . . . . . . . . . 5II. Zu den Autoren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6III. Modullehrziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Studienbrief 1 Einführung 9

Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen 112.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.3 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.4 GSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.4.1 Systemdesign . . . . . . . . . . . . . . . . . . . . . . . . . . 122.4.2 Datenübertragung . . . . . . . . . . . . . . . . . . . . . . . . 142.4.3 Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.4.4 Angriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242.4.5 Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 28

2.5 UMTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292.5.1 Systemdesign . . . . . . . . . . . . . . . . . . . . . . . . . . 292.5.2 Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302.5.3 Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 37

2.6 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen 393.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 393.3 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393.4 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

3.4.1 Netzwerkstruktur . . . . . . . . . . . . . . . . . . . . . . . . 403.4.2 Kanäle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413.4.3 Kodierung und Verschlüsselung . . . . . . . . . . . . . . . . . 423.4.4 Architektur eines Satellitentelefons . . . . . . . . . . . . . . 443.4.5 Analyse existierender Protokolle . . . . . . . . . . . . . . . . 453.4.6 Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 45

3.5 GMR-1 Protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463.5.1 Hardwarearchitektur . . . . . . . . . . . . . . . . . . . . . . . 463.5.2 Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463.5.3 Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . 473.5.4 Operationsmodi . . . . . . . . . . . . . . . . . . . . . . . . . 483.5.5 Angriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503.5.6 Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 51

3.6 GMR-2 Protokoll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513.6.1 Hardwarearchitektur . . . . . . . . . . . . . . . . . . . . . . . 513.6.2 Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513.6.3 Funktionsweise . . . . . . . . . . . . . . . . . . . . . . . . . . 563.6.4 Operationsmodi . . . . . . . . . . . . . . . . . . . . . . . . . 563.6.5 Exkurs: Angriff . . . . . . . . . . . . . . . . . . . . . . . . . . 573.6.6 Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 60

3.7 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

Studienbrief 4 Sicherheitsaspekte von DECT 614.1 Lernziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614.2 Advanced Organizer . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Page 10: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 4 Inhaltsverzeichnis

4.3 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614.4 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614.5 Systemdesign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

4.5.1 DECT-Referenzmodell . . . . . . . . . . . . . . . . . . . . . . 624.5.2 Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 66

4.6 Verbindungsverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . 674.6.1 Betriebszustände . . . . . . . . . . . . . . . . . . . . . . . . 674.6.2 Verbindung zwischen PP und FP . . . . . . . . . . . . . . . . . 684.6.3 Handover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714.6.4 Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 71

4.7 Sicherheit in DECT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714.7.1 Architektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 724.7.2 Authentisierung . . . . . . . . . . . . . . . . . . . . . . . . . 724.7.3 Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . 744.7.4 Angriffe auf DECT . . . . . . . . . . . . . . . . . . . . . . . . 744.7.5 Kontrollaufgaben . . . . . . . . . . . . . . . . . . . . . . . . . 79

4.8 Übungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Studienbrief 5 Design mobiler Betriebssysteme 815.1 Systemdesign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815.2 Besonderheiten mobiler Systeme . . . . . . . . . . . . . . . . . . . . 815.3 Fallstudie: iOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815.4 Fallstudie: Android . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815.5 Fallstudie: Analyse von Android Apps . . . . . . . . . . . . . . . . . . 81

Studienbrief 6 Verzeichnisse 83

Liste der Lösungen zu den Kontrollaufgaben 85

Liste der Lösungen zu den Übungen 896.1 Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Glossar 95

Page 11: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Einleitung zu den Studienbriefen Seite 5

Einleitung zu den Studienbriefen

I. Abkürzungen der Randsymbole und Farbkodierungen

Page 12: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 6 Einleitung zu den Studienbriefen

II. Zu den Autoren

Bild fehlt Prof. Dr. Thorsten Holz leitet den Lehrstuhl für Systemsicherheit an der Ruhr-Universität Bochum seit dem Jahr 2012?. Bla bla bla...

Page 13: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Modullehrziele Seite 7

III. Modullehrziele

TODO: lehrziele

Page 14: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so
Page 15: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Studienbrief 1 Einführung Seite 9

Studienbrief 1 Einführung

Page 16: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so
Page 17: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen Seite 11

Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

2.1 Lernziele

Sie können Grundlagen der Mobilfunkkommunikation mittels der ProtokolleGSM und UMTS aufzeigen und Unterschiede zwischen den beiden Protokollenbenennen. Weiterhin können Sie die Sicherheitsarchitekturen der jeweiligen Proto-kollfamilien erläutern. Abschließend können Sie Schwachstellen und Angriffe aufdie Sicherheitsfunktionen aufzeigen und skizzieren.

2.2 Advanced Organizer

Wie sind GSM und UMTS aufgebaut, welche Sicherheitsmerkmale verwendendiese Protokolle und welche Angriffe sind auf die Protokollfamilien möglich? Indiesem Studienbrief werden der Aufbau und die Sicherheitsarchitekturen von weitverbreiteten Mobilfunknetzwerken aufgezeigt und Schwachstellen erläutert.

2.3 Einleitung

In diesem Studienbrief werden die Grundlagen der Kommunikation vonMobilfun-knetzen anhand der weit verbreiteten Protokolle GSM und UMTS erläutert. Diesumfasst insbesondere den Aufbau und die Funktionsweise der zugehörigen kryp-tographischen Verschlüsselungsfunktionen. Abschließend werden verschiedeneAngriffe auf diese Verschlüsselungsfunktionen vorgestellt.

2.4 GSM

GSM steht für Global System for Mobile Telecommunications und ist ein internationaletablierter Standard zur Übertragung von Daten mittels Funktechnik für die ka-bellose zellulare Telefonie. GSM ist der erste Standard der sogenannten zweitenMobilfunkgeneration (2G) und gilt als Nachfolger der analogen Mobilfunknetze.Die Entwicklung von GSM begann im Jahr 1983 durch das European Telecommuni-cations Standards Institute (ETSI). Im Jahr 1991 wurde der Testbetrieb von mehrerenGSM-Netzen in 5 Ländern aufgenommen [Lüd01]. Ab Sommer 1992 begann imAnschluss an die Testphase der kommerzielle Betrieb von 13 Mobilfunknetzen in 7Ländern.

EExkurs 2.1: Namensgebung GSM

Die Abkürzung GSM stand ursprünglich für Groupe Spéciale Mobile, einerArbeitsgruppe des European Telecommunications Standards Institutes. Erstmit der weltweiten Verbreitung wurde GSM als Global System for MobileTelecommunications bekannt.

Das Design des GSM-Standards legt besonderen Fokus darauf, eine Vielzahl unter-schiedlicher Telekommunikationsdienste zu unterstützen, sodass sowohl Sprach-(beispielsweise Anruf und Notruf) als auch Datenübertragungen ermöglicht wer-den.Weiterhin solltenmit Einführung des GSM-Standards unter anderem folgendeZiele erreicht werden [Fed99, Wal01a]:

• Hohe Mobilität (auch international)

• Hohe Erreichbarkeit unter einer international einheitlichen Rufnummer

• Hohe Teilnehmerkapazität

Page 18: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 12 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

• Hoher Verfügbarkeitsgrad

• Eingebaute Sicherheitsmerkmale (PIN, Authentifikations- und Identifikati-onsdienste)

• Priorisierter Notrufdienst

• Niedriges Kostenniveau

2.4.1 Systemdesign

Ein GSM-System besteht wie in Abbildung 2.1 dargestellt im Allgemeinen aus 9Komponenten, welche ein Public Land Mobile Network (PLMN) bilden [Bou10].

Abb. 2.1: GSM-Architektur aus

[Bou10, Fed99, Wal01a].

• MS: Die Mobilstation stellt das mobile Endgerät in GSM dar und ist mit ei-nem Subscriber IdentityModule (SIM) ausgestattet. Mit Hilfe dieser SIM-Karteund einer persönlichen PIN wird dem Nutzer der Mobilstation gegenüberdem GSM-Betreibernetz erlaubt, ein- und ausgehende Telekommunikati-onsdienste zu nutzen. Die SIM-Karte enthält dazu verschiedene Identifizie-rungsmerkmale und -funktionen:

– CHVI: Die Card Holder Verification Informationwerden beispielsweisedurch die PIN und PUK (Personal Unblocking Key) bestimmt undidentifizieren den Benutzer gegenüber der SIM-Karte.

– IMSI: Die International Mobile Subscriber Identity ist ein Identifizie-rungsmerkmal, mit welcher eine SIM-Karte in GSM eindeutig identi-fiziert werden kann.

– TMSI: Die Temporary Mobile Subscriber Identity wird vom Netzbetrei-ber für eine kurze Zeit vergeben und dient wie die IMSI ebenso derIdentifizierung der SIM-Karte.

– A3, A8 und Ki: Die Algorithmen A3 und A8 und der Authentifizie-rungsschlüssel Ki werden bei der Authentisierung der Mobilstationund bei der Generierung des Sessionkeys Kc für die Datenverschlüs-selung zwischen Mobilstation und Betreibernetz verwendet.

Page 19: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

2.4 GSM Seite 13

– LAI: Der Location Area Identifier ist eine eindeutige Identifikations-nummer des aktuellen Aufenthalts der Mobilstation und findet beimWechsel von Funkzellen in Location Update Nachrichten Anwendung.

• BSS: Das Base Station Subsystem (BSS) verwaltet die Kommunikation mittelsFunk und besteht aus den Komponenten BTS und BSC.

– BTS: Die Base Transceiver Station, auch GSM-Basisstation genannt, um-fasst die Sende- und Empfangsanlage, welche die funktechnischeVersorgung von mindestens einer Funkzelle übernimmt und der di-rekten Funkkommunikation mit den Mobilstationen dient.

– BSC: Der Base Station Controller verwaltet eine oder mehrere BTS undüberwacht die darüber laufenden Funkkanäle mit den Mobilstatio-nen.

• (G)MSC: DasMobile Switching Center bildet die Kernkomponente eines GSM-Netzes. Dazu verwaltet das MSC mehrere BSCs und leitet Befehle undAnrufe an die weiteren Komponenten des Netzwerkes weiter. Ebenfallsübernimmt es die Funktionen für die Mobilitätsverwaltung der Teilnehmer,inklusive der Registrierung, Authentisierung, Lokalisierung und des Verbin-dungsroutings. Ein Gateway Mobile Switching Center übernimmt zusätzlichdas Routing in ein anderes Netzwerk, beispielsweise in das analoge oderISDN Netz.

• OMC: DasOperation andMaintenance System istmit demMSCverbunden undbietet Konfigurationsfunktionen für den operativen Betrieb und Funktionenzur Überwachung und Fernwartung des GSM-Netzwerkes an.

• HLR: Das Home Location Register besteht aus einer Datenbank, welches teil-nehmerspezifische Daten wie Aufenthalt (LAI), Rufnummer und IMSI ver-waltet. Jeder Teilnehmer in GSM ist in genau einem HLR registriert.

• VLR: Das Visitor Location Register ähnelt dem HLR, allerdings werden indieser Datenbank lediglich Informationen zu Teilnehmern abgelegt, für diedas zugehörige MSC aktuell zuständig ist. Weiterhin übernimmt das VLRdie Verwaltung von Roaming-Teilnehmern (Teilnehmer die in einem HLReines anderen GSM-Netzwerkes registriert sind).

• AUC: Das Authentication Center besteht aus einer Datenbank, in der teilneh-merspezifische Identifikations- und Authentifizierungsmerkmale abgelegtsind. Dies umfasst beispielsweise die teilnehmerindividuellen Langzeit-schlüssel Ki. Weiterhin werden die für die Authentisierung und Verschlüs-selung benötigten Zufallswerte gewählt und die kryptographischen Opera-tionen durchgeführt.

• EIR: In dem Equipment Identification Register werden die eindeutigenHardware-Identifikationsnummern (International Mobile Station EquipmentIdentity, IMEI) der Mobilstationen abgelegt. Diese Datenbank erlaubt es demNetzwerkbetreiber, gesperrte oder gestohlene Mobilstationen zu identifizie-ren. Dazu verwaltet das EIR drei Listen [Bou10]:

– Whitelist: Diese Liste enthält die IDs der Geräte, die mit dem GSM-Netzwerk kommunizieren dürfen.

– Blacklist: Die Blacklist umfasst alle IDs der Geräte, welche keine Ver-bindungen in das Netzwerk aufbauen dürfen.

– Graylist: Auf dieser Liste befinden sich IDs von Geräten, die mit demNetzwerk kommunizieren dürfen, allerdings aus verschiedenenGrün-den überwacht werden.

Page 20: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 14 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

2.4.2 Datenübertragung

Das GSM-Protokoll wendet verschiedene Nachrichtenübertragungsverfahren undVerbindungstypen für die funktechnische Datenübertragung zwischen Mobil- undBasisstation an, welche im Folgenden vorgestellt werden.

Physikalische Kanäle

In Deutschland verwendet das GSM-Protokolle die Funkfrequenzen 890-915 MHzund 935-960 MHz für die D-Netze (GSM900) und die Frequenzen 1710-1785 MHzund 1805-1880 MHz für die E-Netze (DCS1800). Dabei sind die Frequenzen in dieBereiche Upload (Datenübertragung von der Mobilstation zum GSM-Netzwerk)und Download (Übertragung vom GSM-Netz zur Mobilstation) eingeteilt. BeiGSM900 ist der Frequenzbereich 890-915 MHz für den Upload und der Bereich935-960 MHz für den Download vorgesehen.

GSM verwendet für die Übertragung der Daten mittels Funk die Frequency Di-vision Multiplex (FDM), Frequency Division Duplexing (FDD) und Time DivisionMultiple Access (TDMA) Nachrichtenübertragungsverfahren. Dabei wird jedesFrequenzspektrum von GSM (sowohl Upload als auch Download) in jeweils 124Frequenzträger mit einem Abstand von 200 kHz eingeteilt (FDM). Weiterhin wer-den die einzelnen Frequenzträger von Up- und Download zu 124 Duplexträgernkombiniert (FDD). Jeder Frequenzträger ist weiterhin wie in Abbildung 2.2 darge-stellt in 8 Zeitschlitze unterteilt (TDMA), wobei 8 Zeitschlitze einen sogenanntenTDMA-Rahmen bilden. Dieser TDMA-Rahmen wiederholt sich alle 4,6 ms (ent-spricht 1250 Bits an Daten) und wird mit einer eindeutigen ID, der sogenanntenFrame-Nummer identifiziert, welche bei 0 beginnt und in verschiedene Funktionenund Algorithmen wie der Verschlüsselungsfunktion von GSM einfließt. In einemeinzelnen Zeitschlitz (0,577 ms) können 156,25 Bits an Daten übertragen werden.

Abb. 2.2: PhysikalischeKanäle aus [Lüd01].

Bei einer typischen GSM-Verbindung werden wie in Abbildung 2.2 rot und dun-kelgrau markiert zwei Zeitschlitze für eine Duplexverbindung verwendet, wobeidiese um 3 Zeitschlitze versetzt sind. Die Basisstation überträgt in diesem Bei-spiel die Daten somit auf einem Download-Frequenzträger in Zeitschlitz 1; dieMobilstation um 3 Zeitschlitze versetzt ebenfalls in Zeitschlitz 1 auf einem Upload-Frequenzträger.

Transportformate

Der Transport von Daten mittels Funk birgt Gefahren von fehlerhaften Daten-übertragungen (beispielsweise Bitfehlern), welche beim Empfänger korrigiert bzw.zumindest erkannt werden müssen. In GSM werden dazu alle Sprach- und Daten-bits bevor sie über die physikalischen Kanäle versendet werden mit Fehlererken-

Page 21: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

2.4 GSM Seite 15

nungsbits versehen. Dazu werden Datenbits im GSM-Standard in ein bestimmtesTransportformat überführt, die sogenannten Bursts.

Abbildung 2.3 stellt den Normal Burst in GSM dar, welcher zur Nachrichtenübertra-gung in Verkehrskanälen (Traffic Channels, TCH) und Steuerungskanälen (ControlChannels, CCH) dient. Darüber hinaus nutzt GSM vier weitere Burst-Typen mitunterschiedlichem Aufbau, welche in verschiedenen Steuerungskanälen eingesetztwerden. Diese Bursts synchronisieren beispielsweise eine Mobilstation mit derBasisstation oder enthalten Systeminformationen zu einemGSM-Netzwerk, welchevon den Mobilstationen benötigt werden, um Verbindungen mit dem GSM-Netzbzw. der Basisstation aufzubauen.

Abb. 2.3: NormalBurst in GSM aus[Lüd01, Wal01a].

Der Normal Burst ist in verschiedene Felder und Bitfolgen eingeteilt:

• Die T-Felder enthalten jeweils 3 Tail-Bits, welche als Begrenzung zu denübrigen Feldern eingesetzt werden.

• Das TR-Feld enthält 26 Trainingsbits, welche sowohl dem Sender als auchEmpfänger bekannt sind. Mit Hilfe dieser Bits können Informationen zuÜbertragungsstörungen detektiert und ausgeglichen werden. Das TR-Felddient somit der Fehlererkennung und -behebung.

• Die beiden Stealing-Bits umschließen die Trainingssequenz und geben an,ob der Burst Nutzdaten oder Signalisierungsinformationen enthält.

• Die zwei 57-bit großen Felder werden zur Übertragung der eigentlichenNutzdaten verwendet.

• Von den 156,25 Bits eines Normal Burst werden immer 8,25 Bits für die sogenannte Guard Period (GP-Feld) verwendet. Dieses Datenfeld vermeidetÜberschneidungen von mehreren physikalischen Paketen bei benachbartenZeitschlitzen, beispielsweise bei Synchronisationsungenauigkeiten.

Verbindungsaufbau

Mit Hilfe der vorgestellten physikalischen Kanäle und Bursts werden zwischeneiner Mobil- und Basisstation logische Verbindungen aufgebaut, über die sowohlSprache, Daten als auch Steuerungsinformation übertragen werden. Generell initi-iert in GSM (bis auf wenige Ausnahmen) immer die Mobilstation eine Verbindungmit der Basisstation (beispielsweise für die Sprachübertragung bei Anrufen). Bevoreine Mobilstation jedoch für diese Datenübertragungen bereit ist, müssen verschie-dene Initialisierungsphasen durchlaufen werden. Abbildung 2.4 stellt dazu diewichtigsten Zustände einer Mobilstation dar [Lüd01].

Page 22: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 16 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

Abb. 2.4: Betriebszustän-de einer Mobilstation aus[Lüd01].

• Powered Off:– Mit dem Einschalten der Mobilstation wird der Nutzer aufgefordert,seine PIN einzugeben und sich gegenüber der Mobilstation zu au-thentisieren. Im Anschluss beginnt die Mobilstation mit der Suchenach einem geeigneten Mobilfunknetz.

– Bevor die Mobilstation einen physikalischen Kanal zu einer Basissta-tion aufbauen kann, führt sie Empfangspegelmessungen auf verschie-denen Frequenzträgern durch, um den bestmöglichen Empfang zugewährleisten.

– Konnte die Mobilstation eine geeignete Basisstation ermitteln, ver-sucht sie sich in das vom Nutzer bevorzugte Netz einzuwählen undanzumelden. Ist diese Prozedur erfolgreich, wechselt dieMobilstationin den Zustand Idle.

• Idle:– Die Mobilstation hört den sogenannten Paging-Steuerungskanal ab.Über diesen Kanal teilt die Basisstation einer Mobilstation beispiels-weise mit, wenn ein Anruf für die Mobilstation bereitsteht und diesefür die Annahme des Gespräches einen neuen Kanal aufbauen muss.

– Verändert der Teilnehmer seine Position (im abgedeckten Funkbe-reich), sodass sich die Qualität der Funkübertragung verschlechtert,kann eine Zellneuwahl von Nöten sein. In diesem Fall führt die Mo-bilstation erneut Empfangspegelmessungen durch und wechselt ba-sierend auf dem Ergebnis der Messungen die Funkzelle. Bei einemZellwechsel führt dieMobilstation ein LocationUpdate Prozedur durch,in welchem dem Home Location Register die neue Position (LAI) desTeilnehmers mitgeteilt wird (vgl. Beispiel 2.1). Im gleichen Schrittwird der Mobilstation eine neue TMSI zugeteilt.

– Wird die Mobilstation angerufen bzw. initiiert sie einen Anruf, sowerden die nachfolgenden Schritte durchgeführt.

Bei einem von der Mobilstation ausgehenden Anruf finden die in Abbildung 2.5dargestellten Schritte statt [Wal01a]. In den Schritten 1 und 2 leitet die Mobilstationbenötigte Sicherheitsprozeduren ein (unter anderem die Nachrichtenverschlüs-selung) und übermittelt einen Rufwunsch inklusive der Anschlussnummer desZieles. Im Anschluss überprüft das Mobile Switching Center durch Anfrage imVLR in den Schritten 3 und 4 die Berechtigungen der Mobilstation und verifiziertin Schritt 5 die eigenen Kommunikationswege (z.B. eine freie Leitung). Bei Erfolgwird der Mobilstation die freie Leitung zugewiesen und der Verbindungsaufbauzum Ziel kann eingeleitet werden.

Eingehende Verbindungen erfordern ungleich kompliziertere Prozeduren, welchein Abbildung 2.6 dargestellt sind. Initiiert ein externer Anrufer einen Verbindungs-aufbau, so wird in Schritt 1 das nächstgelegene Gateway Mobile Switching Centerangefragt. Dieses GMSC bestimmt in Schritt 2 anhand der Rufnummer das HomeLocation Register des mobilen Teilnehmers. Das HLR prüft im Anschluss diese

Page 23: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

2.4 GSM Seite 17

Abb. 2.5: Ausgehen-der Verbindungsauf-

bau aus [Wal01a].

Nummer und fordert in Schritt 3 das VLR (in dem sich der mobile Teilnehmer aktu-ell aufhält) auf, eine Roamingnummer (MSRN) bereitzustellen. Nach Empfang derMSRN in Schritt 4 bestimmt das HLR das dem VLR zugehörige MSC, welches demGMSC in Schritt 5 mitgeteilt wird. In Schritt 6 baut das GMSC eine Verbindungmit dem für den mobilen Teilnehmer aktuell zuständigen MSC auf. Dieses MSCbeauftragt in Schritt 7 das VLR damit zu prüfen, ob die Mobilstation erreichbar ist.Ist die Mobilstation erreichbar, wird dies dem MSC in Schritt 8 mitgeteilt, welchesim Anschluss in Schritt 9 Paging-Nachrichten über den Paging-Steuerungskanalan alle demMSC zugeordneten Funkzellen sendet. Meldet sich in Schritt 10 dieMobilstation auf die Paging-Nachricht, werden (wie bei ausgehenden Verbindungs-aufbauten) die Berechtigungsabfragen und Sicherheitsprozeduren in Schritt 11durchgeführt. Bei Erfolg wird das MSC vom VLR in Schritt 12 angewiesen, denAufbau der Verbindung in Schritt 13 einzurichten.

Abb. 2.6: EingehenderVerbindungsaufbau aus[Wal01a].

Ist letztendlich die Verbindung für den Anruf aufgebaut, wechselt die Mobilsta-tion in den Zustand Dedicated. In diesem Zustand führt die Mobilstation konti-nuierlich Empfangspegelmessungen durch, um mögliche Einschränkungen derÜbertragungsqualität zu detektieren und mögliche Ausweichfunkzellen zu ermit-teln [Lüd01]. Überwiegen die Störungen auf dem Funkkanal oder ist der Emp-fangspegel zu niedrig, kann die Mobilstation mittels automatischen Handover-Mechanismen an einen anderen Kanal der gleichen Funkzelle (Intracell Hando-ver) oder eine komplett unterschiedliche Funkzelle (Intercell Handover) übergebenwerden. Mit Hilfe dieser Handover-Mechanismen kann den Teilnehmern eines

Page 24: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 18 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

GSM-Mobilfunknetzes wie in den Anforderungen an den GSM-Standard geforderthohe Mobilität gewährleistet werden.

EExkurs 2.2: General Packet Radio Service

General Packet Radio Service (GPRS) bezeichnet einen paketorientierten Dienstfür die Datenübertragung in GSM-Netzwerken, welcher im Jahr 1992 vonder ETSI standardisiert wurde [Lüd01]. Bei der Standardisierung standbeispielsweise ein effizientes Zusammenspiel mit anderen Paketdatennetzenwie dem Internet im Fokus.

Grundsätzlich baut die GPRS-Architektur auf der von GSM auf, wurdeallerdings wie in der Abbildung [Lüd01] dargestellt um weitere Elementeerweitert, da die für GSM definierten Netzelemente keine Paketvermittlungdurchführen können.

Das BSC wurde um eine Packet Control Unit erweitert, welche die Daten-pakete zerlegt und wieder zusammenfügt. Die GPRS Support Nodes (GSN)übernehmen die Aufgabe des Paketroutings über ein Backbone-Netzwerk,welches auf Techniken des IP-Protokolls zurückgreift. Die GSN werdenin zwei Arten unterteilt: die Support GPRS Support Nodes (SGSN) versor-gen eine Gruppe von Funkzellen wohingegen die Gateway GPRS SupportNodes (GGSN) Verbindungen beispielsweise mit dem Internet verwalten.Mit Hilfe der Border Gateways kommunizieren die einzelnen GPRS-Systemeunterschiedlicher Anbieter miteinander.

2.4.3 Sicherheit

In einem GSM-Netzwerk werden eine Vielzahl vertraulicher Daten zwischen deneinzelnen Netzwerkkomponenten ausgetauscht, welche von Angreifern für ver-schiedenste Attacken missbraucht werden könnten. Dies umfasst unter anderemteilnehmeridentifizierende Daten wie die IMSI, aber auch Gesprächsinhalte, An-rufverläufe oder die Lokalität von Teilnehmern. Besonders die Datenübertragungüber Funk ist anfällig für das Abhören, sodass der GSM-Standard verschiedene

Page 25: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

2.4 GSM Seite 19

Authentisierungs- und Verschlüsselungsverfahren einsetzt, um die Privatsphäreder Teilnehmer und die Dateninhalte zu schützen bzw. zu wahren.

B Beispiel 2.1: Location Update Prozedur

Bei einem Wechsel der Funkzelle muss sich die Mobilstation wie in derAbbildung [Lüd01] dargestellt gegenüber dem Netzwerk erneut authenti-sieren und die Verschlüsselungsparameter aushandeln. Im ersten Schrittversendet die Mobilstation dazu eine Channel-RequestNachricht mit derAnfrage, einen Steuerungskanal aufbauen zu dürfen. Bei Erfolg antwortetder BSC mit einer IntermediateNachricht, in der die Parameter des Kanals(unter anderem die Frequenz und der Zeitschlitz) enthalten sind. Die Zuwei-sungsphase des Kanals wird von der Location Update Request Nachrichtabgeschlossen, in welcher die Mobilstation ihre bisherige TMSI und diealte LAI weiterleitet. Das neue VLR fordert nach Erhalt der Nachricht dieAuthentifizierungsparamter vom alten VLR an. In Schritt 2 authentisiert sichder Teilnehmer gegenüber dem Netz und handelt aktualisierte Verschlüs-selungsparameter aus. In Schritt 3 wird das eigentliche Location Updatedurchgeführt. Hierbei teilt das neue VLR dem HLR die neue Zuständigkeitdes Teilnehmers mit, worauf das HLR bei dem alten VLR die Löschung derZuständigkeit beantragt. In der TMSI ReallocationNachricht wird nebeneiner neu-generierten TMSI auch die aktualisierte Location in Form der LAIan dieMobilstation übertragen und auf der SIM-Karte gespeichert. In Schritt4 wird letztendlich der aufgebaute Steuerungskanal wieder abgebaut.

Architektur

Abbildung 2.7 stellt die Sicherheitsarchitektur von GSM dar. Grundsätzlich ver-wendet GSM drei proprietäre kryptographische Algorithmen, A3, A5 und A8, diesowohl die Authentisierung und Schlüsselgenerierung als auch die Verschlüsse-lungsaufgaben übernehmen. Authentizität und Vertraulichkeit werden in GSMerzeugt, indem der Teilnehmer und das Netzwerk einen 128-bit Schlüssel Ki teilen,der auf der SIM-Karte und im Authentication Center abgespeichert ist [Bou10].Dieser Schlüssel wird in keinem Fall über das Netzwerk übertragen und ist dement-sprechend nur dem Teilnehmer und dem Netzwerk bekannt.

In einem ersten Schritt authentifiziert sich der Nutzer einer Mobilstation gegen-

Page 26: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 20 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

Abb. 2.7: Sicherheits-architektur von GSM aus[Fed99, Wal01a].

über der SIM-Karte mit der Eingabe der PIN. Weiterhin muss sich eine Mobilstati-on bei jedem Verbindungsaufbau oder Wechsel der Funkzelle (Location UpdateRequest) gegenüber dem Netzwerk authentifizieren. Diese Authentisierung findetmittels der Challenge-Response Technik statt. Dazu empfängt die Mobilstation vomNetzwerk eine Authentication RequestNachricht mit einer 128-bit ZufallszahlRAND, der sogenannten Challenge. Die Mobilstation leitet RAND an die SIM-Karte,in der mit Hilfe des A3-Algorithmus und Schlüssels Ki die 32-bit Response SRESberechnet wird. Die Response wird zurück an das Netzwerk gesendet, welches dieexakt gleichen Operationen durchführt und das Ergebnis mit dem Wert SRES derMobilstation vergleicht. Sind die vom Netzwerk und der Mobilstation berechnetenWerte identisch, so konnte sich die Mobilstation erfolgreich gegenüber dem Netz-werk authentisieren. Sind die Werte unterschiedlich, muss das GSM-Netzwerkdavon ausgehen, dass die Mobilstation den teilnehmerspezifischen Schlüssel Kinicht kennt.

Die bei der Authentisierung ausgetauschte Zufallszahl RAND fließt weiterhin zu-sammen mit dem Schlüssel Ki in den Schlüsselableitungsalgorithmus A8, der den64-bit Sessionkey Kc berechnet. Die Algorithmen A3 und A8 werden bei GSMhäufigunter dem Namen COMP128 zusammengefasst. Nach der Schlüsselableitung wirdKc von der SIM-Karte auf die Mobilstation übertragen, in der die nachfolgendenVerschlüsselungsoperationen stattfinden.

Für die Verschlüsselung der eigentlichen Übertragungsdaten wendet GSM dieA5-Stromchiffre an, die als Eingabe den Sessionkey Kc und die Frame-Nummerdes aktuell zu verschlüsselnden TDMA-Rahmens erhält und als Ausgabe einenSchlüsselstrom von 228 Bits erzeugt (zweimal 114 Bits, wobei 114 Bits einem Burstentsprechen), welcher in zwei Hälften unterteilt wird [Bou10]. Die erste Hälfte ver-bzw. entschlüsselt bei einer Duplexkommunikation den Download-TDMA-Frame,wohingegen die zweite Hälfte den Upload-TDMA-Frame ver- und entschlüsselt.Für jeden TDMA-Frame (d.h. alle 4,6 ms) wird ein neuer Schlüsselstrom gene-riert, wobei sich nach ungefähr 209 Minuten der Schlüsselstrom wiederholt, da

Page 27: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

2.4 GSM Seite 21

zu diesem Zeitpunkt die TDMA-Nummer überläuft und die Zählung erneut bei 0beginnt [Fed99].

2.4.4 Angriffe

In den vergangenen Jahren wurden eine Vielzahl an Angriffen auf das GSM-Protokoll und die einzelnen Authentisierungs- und Verschlüsselungsverfahrenveröffentlicht [Bou10].

Generelle Schwachstellen

In GSM-Netzwerken wird grundsätzlich nur die Authentizität der Mobilstationgegenüber der Basisstation validiert. Die Umkehrrichtung ist im GSM-Standardnicht vorgesehen. Dies bedeutet, dass eine Basisstation gegenüber der Mobilstationnicht zeigen muss, dass ihr der teilnehmerspezifische Schlüssel Ki bekannt ist. EinAngreifer kann sich dies zunutze machen und gegenüber einer Mobilstation alsBasisstation ausgeben. Dazu überlagert der Angreifer die Funksignale der echtenBasisstationen mit stärkeren Signalen, sodass sich die Mobilstation des Opfers indie Basisstation des Angreifers einbucht. Die Authentisierungsphase umgeht derAngreifer, indem seine Mobilstation einen beliebigen Wert als Challenge sendetund die Response der Mobilstation ignoriert.

In einem weiteren Angriffsszenario kann die Basisstation des Angreifers die Nach-richtenverschlüsselung deaktivieren, sodass die Kommunikation zwischen Mobil-station des Opfer und Basisstation des Angreifers unverschlüsselt abläuft. Zusätz-lich kann sich der Angreifer gegenüber einer echten Basisstation als Mobilstationausgeben und so die Anrufe und Nachrichten zwischen der Mobilstation des Op-fers und einer echten Basisstation weiterleiten und aufzeichnen. Diese Art vonAngriffen ist in Abbildung 2.8 dargestellt und konnte mit so genannten IMSI-Catchern durchgeführt werden.

Die Basisstation des Angreifers kann in einem weiteren Szenario wiederholte Au-thentisierungsanfragen an die Mobilstation stellen statt die Authentisierungsphaseder Mobilstation wie im vorherigen Szenario zu umgehen, sodass der Angreiferdie (RAND,SRES)-Tupel aufzeichnen und mit einer hinreichenden Anzahl vonChallenge-Response-Paaren den Schlüssel Ki ableiten kann.

In GSM wird bei der erstmaligen Anmeldung einer Mobilstation in ein Netzwerkdie IMSI im Klartext übertragen, da erst basierend auf der IMSI der teilnehmerspe-zifische Schlüssel Ki ermittelt werden kann. In dieser ersten Anmeldephase kannein Angreifer die IMSI mittels einfachem Abhören der Funkverbindung ermitteln.Nach der ersten Anmeldung werden zur Verschleierung der Identität des Teilneh-mers lediglich die kurzzeitig gültigen TMSIs verwendet. Es kann jedoch der Falleintreten, dass bei Synchronisationsproblemen zwischen einzelnen Netzsegmen-ten die TMSI keine Gültigkeit mehr besitzt, sodass das GSM-Netz den Teilnehmerzu diesem Zeitpunkt nach dessen IMSI fragen muss. Auch in diesem Fall wird dieIMSI im Klartext übertragen, da dem Netzwerk keine teilnehmeridentifizierendenMerkmale bekannt sind, um den korrekten Schlüssel Ki zu identifizieren. Ein An-greifer kann aber wie bereits zuvor erläutert eine Basisstation imitieren und dieMobilstation ebenso direkt nach der IMSI des Teilnehmers fragen.

Schwachstellen in den Algorithmen A3 und A8

Die Sicherheitsalgorithmen A3 und A8 (COMP128) sind der Öffentlichkeit langeZeit nicht zugänglich gewesen, was generell eine schlechte Vorgehensweise bei

Page 28: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 22 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

Abb. 2.8: Man-in-the-Middle Attacke aus[Bou10].

kryptographischen Algorithmen ist. Nach Bekanntwerden der Implementierungvon COMP128 mittels Reverse-Engineering wurden eine Vielzahl von Schwachstel-len in diesen Algorithmen entdeckt [Bou10]. Mit Hilfe von ausgewählten Wertenfür RAND (Chosen-Challenge Angriff) konnten hinreichend viele Informationenermittelt werden, um den Schlüssel Ki zu bestimmen. Dies ist möglich, da dieDiffusion des A3-Algorithmus fehlerhaft ist und gewisse Teile der Ausgabe aufbestimmten Teilen der Eingabeparameter basieren. Ein Chosen-Challenge Angriffzur Bestimmung von Ki konnte bis zu 8 Stunden dauern und bis zu 150.000 Chal-lenges benötigen. Aufgrund von weiteren Schwachstellen in den Lookup-Tabellenvon COMP128 konnten die Angriffe jedoch derart verbessert werden, dass derSchlüssel Ki mit weniger als 1000 zufälligen Challenges innerhalb von Minutenbestimmt werden kann. Eine weitere Schwachstelle in COMP128 wird dadurchdefiniert, dass bei der Generierung des Sessionkeys Kc der Algorithmus interndie niederwertigsten 10 Bits auf den Wert 0 setzt, wodurch die kryptographischeStärke der Chiffre deutlich verringert wurde.

Kann ein Angreifer mit Hilfe der vorgestellten Angriffe sowohl die IMSI abfangenals auch den Schlüssel Ki bestimmen, so kann sich dieser als legitimer Teilnehmergegenüber dem Netzwerk ausgeben und beispielsweise auf Kosten des OpfersTelefongespräche durchführen und weitere Dienste in Anspruch nehmen.

Schwachstellen im A5-Algorithmus

Generell existieren für den A5-Algorithmus mehrere verschiedene und kryptogra-phisch unterschiedlich starke Versionen, von denen zwei im Folgenden vorgestelltwerden. Ursprünglich wurde die proprietäre A5/1-Chiffre als Verschlüsselungsal-gorithmus für die Datenübertragung in GSM eingesetzt. Neben der A5/1-Chiffre

Page 29: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

2.4 GSM Seite 23

wurde allerdings auch die kryptographisch schwächere proprietäre A5/2-Chiffreeingesetzt, um den Import- und Exportbestimmungen einiger Länder zu entspre-chen [Fed99]. Mit Hilfe von Reverse-Engineering konnten die Funktionsweisender bis dato unbekannten Algorithmen bestimmt werden.

A5/2-Chiffre

Die A5/2-Chiffre verwendet wie in Abbildung 2.9 dargestellt vier irregulär getak-tete linear rückgekoppelte Schieberegister (LFSRs) R1 (19 Bits), R2 (22 Bits), R3 (23Bits) und R4 (17 Bits) [Bou10].

Abb. 2.9: Struk-tur der GSM A5/2-

Chiffre aus [Ben13].

Wird ein LFSR getaktet, so wird der komplette LFSR-Inhalt um eine Position nachrechts verschoben, wobei ein Bit ausgegeben wird. Die Ausgabebits der LFSRsR1 bis R3 fließen wie abgebildet direkt in das Schlüsselstrombit zl ein. Weiterhinverwendet jedes LFSR mehrere Bits, die bei einem Takt des jeweiligen LFSRs mitdem Ausgabebit verrechnet und an die Position 0 geschrieben werden. Für R1werden beispielsweise die Bits 18, 17, 16 und 13 XOR-verrechnet und im Anschlussan die Position 0 geschrieben.

Neben dem jeweiligen höchstwertigen Bit eines LFSRs fließen drei weitere Bits vonR1 bis R3, im Folgenden Taps genannt, in das Schlüsselstrombit zl ein. Diese dreiBits werden mittels einer Majority-Funktionen M kombiniert, die folgendermaßendefiniert ist:

M : {0,1}3 7→ {0,1}(a,b,c)2 7→ ab⊕ac⊕bc.

Das LFSR R4 und die Taktkomponente C bestimmen die Taktung der restlichenLFSRs. Dabei definiert Ri, j das Bit des LFSR Ri an Position j, wobei Ri,0 das Bit mitdem niedrigsten Stellenwert beschreibt.

1. Die drei Bits R4,3, R4,7, R4,10 werden der Taktkomponente C übergeben.

2. Die Taktkomponente wendet die Majority-Funktionen M auf diese Bits anund taktet die restlichen LFSRs folgendermaßen:

a) Wenn M (R4,3,R4,7,R4,10) = R4,10 gilt, wird LFSR R1 getaktet.

b) Wenn M (R4,3,R4,7,R4,10) = R4,3 gilt, wird LFSR R2 getaktet.

c) Wenn M (R4,3,R4,7,R4,10) = R4,7 gilt, wird LFSR R3 getaktet.

3. LFSR R4 wird getaktet.

Der Verschlüsselungsalgorithmus operiert in zwei unterschiedlichen Modi, der

Page 30: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 24 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

Initialisierungsphase und der Schlüsselstromerzeugung. Während der Initialisie-rungsphase werden die nachfolgenden Schritte ausgeführt:

1. Alle Bits in den vier LFSRs werden auf 0 gesetzt.

2. Die 64 Bits des Schlüssels Kc werden in die LFSRs geschrieben, indem fol-gende Operationen für i ∈ {0, ...,63} durchgeführt werden:

a) Alle LFSRs werden einmal getaktet.

b) R1,0 := R1,0⊕Kc[i], R2,0 := R2,0⊕Kc[i],R3,0 := R3,0⊕Kc[i], R4,0 := R4,0⊕Kc[i]

3. Die 22 Bits der Frame-Nummer f werden in die LFSRs geschrieben, indemfolgende Operationen für i ∈ {0, ...,21} durchgeführt werden:

a) Alle LFSRs werden einmal getaktet.

b) R1,0 := R1,0⊕ f [i], R2,0 := R2,0⊕ f [i],R3,0 := R3,0⊕ f [i], R4,0 := R4,0⊕ f [i]

4. Die Bits R1,15, R2,16, R3,18 und R4,10 werden auf den Wert 1 gesetzt.

5. Im Anschluss wird die Chiffre 99 Mal getaktet, wobei alle in dieser Phaseentstehenden Bits zl des Schlüsselstroms verworfen werden.

Während der Schlüsselstromerzeugung wird die Chiffre 228 Mal getaktet, wobeialle in dieser Phase entstehenden Schlüsselstrombits verwendet werden.

Die A5/2-Chiffre von GSM ist gegen verschiedene Angriffe verwundbar, beispiels-weise einer Known-Plaintext Attacke, in welcher der Angreifer mehrere Klartext-Chiffretext-Paare kennt [BBK08a, Bou10]. Die generelle Idee ist, dass wenn einAngreifer mit Hilfe der Klartext-Chiffretext-Paare die Initialzustände der LFSRs be-rechnen kann, so kann er auch den Sessionkey Kc bestimmen. Zum Berechnen derInitialzustände wird ein lineares Gleichungssystem mit 656 Variablen aufgebaut.Ein Angreifer ist an 18+21+22 = 61 dieser Variablen interessiert, den Initialzu-ständen der LFSRs R1 bis R3 definieren. Mit den Initialzuständen der LFSRs undRaten der 216 möglichen Initialzustände von R4 kann der Sessionkey Kc bestimmtwerden. Weitere Angriffe auf Algorithmen ähnlich der GSM A5/2-Chiffre werdenim nachfolgenden Kapitel vorgestellt.

A5/1-Chiffre

Die GSM A5/1-Chiffre ist in Abbildung 2.10 dargestellt und deutlich einfacheraufgebaut. Anders als bei der A5/2-Chiffre wird weder ein viertes LFSR noch eineTaktkomponente C verwendet. Als Ersatz wird in jedem LFSR ein Taktbit definiert(R1,8, R2,10 und R3,10). Bei einem Taktzyklus werden die drei Taktbits geprüft undder überwiegend vorkommende Wert (0 oder 1) als Majority-Bit definiert. ImAnschluss werden die LFSRs getaktet, bei denen die Taktbits dem Majority-Bitentsprechen. Sind beispielsweise R1,8 = R3,10 = 1 und R2,10 = 0, so hat das Majority-Bit den Wert 1 und die LFSRs R1 und R3 werden getaktet.

Die Initialisierungsphase ähnelt der von A5/2, sodass zu Beginn die LFSRs auf 0gesetzt und anschließend die 64 Bits des Schlüssels Kc und die 22 Bits der Frame-Nummer in die LFSRs getaktet werden. Im Anschluss wird die Initialisierungspha-se der Chiffre mit einer 100-fachen Taktung abgeschlossen, wobei in dieser Phasedie Schlüsselstrombits verworfen werden. Die Schlüsselgenerierung gleicht derdes A5/2-Algorithmus.

Auch die A5/1-Chiffre ist für verschiedene Angriffe verwundbar, unter anderenweil die drei LFSRs insgesamt lediglich 219+22+23 Initialzustände annehmen können.Aus diesem Grund wurden verschiedene weitere kryptographische Algorithmen

Page 31: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

2.5 UMTS Seite 25

Abb. 2.10: Struk-tur der GSM A5/1-

Chiffre aus [Bou10].

für die A5-Funktion vorgeschlagen, unter anderem eine Stromchiffre auf Basis derKasumi-Blockchiffre, welche bei GSM unter dem Namen A5/3 den Schlüsselstromgeneriert. Die Kasumi-Blockchiffre wird in Abschnitt 2.5.2 genauer vorgestellt.

2.4.5 Kontrollaufgaben

In diesem Abschnitt befinden sich verschiedene Kontrollaufgabe, die die Inhaltder vorherigen Abschnitte auffassen und daher zur Vertiefung des Stoffs beitragensollen.

KKontrollaufgabe 2.1: GSM-Architektur

Aus welchen neun Hauptkomponenten besteht im wesentlichen ein GSM-System? Welche Komponenten bilden das Funk-Teilsystem?

KKontrollaufgabe 2.2: Bewegungsprofil

Wie könnte ein Angreifer Bewegungsprofile in GSM erstellen und warumist dies überhaupt möglich?

KKontrollaufgabe 2.3: Abhören

Wie könnte ein Angreifer Gesprächsdaten in GSM abhören?

2.5 UMTS

UMTS steht fürUniversal Mobile Telecommunications System und ist ein internationaletablierter Mobilfunkstandard der dritten Generation (3G). Die Entwicklung vonUMTS wurde wie die von GSM durch das European Telecommunications StandardsInstitute (ETSI) durchgeführt, wobei heutzutage das 3GPP (3rd Generation Partner-ship Project) den UMTS-Standard weiter entwickelt. Ähnlich wie bei GSM sollenmit dem UMTS-Standard verschiedene Ziele erreicht werden [Lüd01]:

• Universelle Nutzungsmöglichkeiten (breites Anwendungsspektrum)

• Betrieb im weltweit einheitlichen Frequenzband

• Effiziente Nutzung des Frequenzspektrums

Page 32: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 26 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

• Vielfältiges Dienstspektrum (Sprache, Daten, Video und Multimedia) mithoher Datenrate und Dienstqualität

2.5.1 Systemdesign

Ein UMTS-System lässt sich wie GSM in ein Funkteilsystem (UMTS TerrestrialRadio Access, UTRAN) und ein Vermittlungsteilsystem (Core Network, CN) eintei-len [Lüd01]. Das Vermittlungsteilsystem ähnelt der Architektur und den Proto-kollen, die bereits bei GSM und dessen GPRS-Erweiterung Anwendung finden.Um der Anforderung an höhere Datenraten und Multimediadiensten gerecht zuwerden, wurden für das Funkteilsystem neue Konzepte eingeführt und weitereKomponenten der Architektur hinzugefügt. Um die geänderten Funktionswei-sen zwischen GSM und UMTS unterscheiden zu können, wurden wie in Abbil-dung 2.11 zu erkennen die Namen einiger Komponenten abgeändert.

Abb. 2.11: UMTS-Architektur aus [Lüd01].

• UE: Die Mobilstation wird bei UMTS als User Equipment bezeichnet undbesteht aus dem mobilen Endgerät und dem UMTS Subscriber Identity Mo-dul (USIM). Die USIM enthält ähnlich zur GSM SIM-Karte verschiedeneTeilnehmer-Identifizierungsmerkmale wie die IMSI und den Schlüssel Kisowie die kryptographischen Algorithmen für die Authentisierung.

• Node B: Der Node B entspricht im wesentlichen der GSM-Basisstation undübernimmt die funktechnische Versorgung.

• RNC: Der Radio Network Controller übernimmt die Aufgaben der BSCs inGSM und verwaltet mehrere Node B-Komponenten. Die RNCs sind un-tereinander vernetzt, sodass Handover-Mechanismen zwischen einzelnenFunkzellen ohne Beteiligung des Vermittlungsteilsystems durchgeführt wer-den können.

2.5.2 Sicherheit

Bei der Entwicklung der dritten Generation der Mobilfunkstandards sollten vieleder bei 2G identifizierten Schwachstellen und Fehler vermiedenwerden. Eine großeVerbesserung wurde alleinig dadurch erreicht, dass bereits öffentliche kryptogra-phische Funktionen statt der proprietärenVerschlüsselungsalgorithmen verwendetwurden. Dies hatte den Vorteil, dass die öffentlichen Funktionen bereits von Exper-ten auf ihre kryptographische Stärke untersucht worden sind. Weiterhin wurdenbestimmte Prozeduren wie die Authentisierungsphase deutlich verbessert.

Page 33: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

2.5 UMTS Seite 27

Authentisierung und Schlüsselableitung

Während sich in GSM lediglich die Mobilstation gegenüber dem Netz au-thentisieren musste, wendet UMTS Mutual Authentication (auch Zwei-Wege-Authentisierung genannt) an, in der sich beide Kommunikationspartner demanderen gegenüber authentisieren müssen [Bou10]. Weiterhin fließen bei UMTSSequenznummern in die Nachrichten ein, um Freshness zu garantieren und gegenReplay-Angriffe zu schützen. Die USIM speichert dazu die SQNMS, in der die höchs-te von der USIM akzeptierte Sequenznummer abgelegt wird. Die SequenznummerSQNHE wird vom UMTS-Netz für jeden Teilnehmer individuell gespeichert.

Abb. 2.12: Authenti-sierung in UMTS aus[Bou10].

Die Authentisierung wird ähnlich zum GSM-Standard durchgeführt (um Kompati-bilität mit GSM zu wahren), in dem ein Challenge-Response Verfahren angewandtwird, welches in Abbildung 2.12 dargestellt ist. Wie bereits bei GSM dient dasVerfahren dazu, dem Kommunikationspartner die Kenntnis des geteilten Schlüs-sels Ki zu zeigen, ohne diesen Schlüssel über das Netz verschicken zu müssen.Der Authentisierungsprozess wird beispielsweise bei der ersten Registrierungdes Teilnehmers in ein UMTS-Netz aber auch bei Location Update Prozedurendurchgeführt.

In der ersten Phase der Authentisierung wird ein Authentication Request von demfür eine Mobilstation aktuell gültigen VLR an das HLR im Heimatnetz des Teil-nehmers gesendet. Das HLR generiert eine Zufallszahl RAND und ein Authenti-sierungstoken AUT N, welches vom VLR an die Mobilstation weitergereicht wird.Unter Einbeziehung dieser beiden Parameter leitet die Mobilstation sowohl dieAuthentisierung-Response als auch die Schlüssel für die Datenverschlüsselungab.

Abbildung 2.13 stellt die Schritte des HLRs dar. Im ersten Schritt generiert dasHLR eine frische Sequenznummer SQN, welche der Mobilstation beweist, dassdiese Nachricht nicht bereits früher versendet worden ist. Weiterhin wird eineZufallszahlRAND generiert. Unter Einbeziehung des SchlüsselsKi werdenmitHilfeder kryptographischen Funktionen f 1 bis f 5 die Parameter der Authentisierungund die Schlüssel abgeleitet. Grundsätzlich basieren die Funktionen f 1 bis f 5auf dem selben kryptographischen Algorithmus, unterscheiden sich jedoch inihrer internen Verarbeitungsweise, sodass mit Hilfe der fünf Ergebnisse keineRückschlüsse auf den verwendeten Schlüssel Ki gezogen werden können.

1. Die Funktion f 1 ist ein Message Authentication Algorithmus, welcher unterEinbeziehung des Schlüssels, der Sequenznummer, der Zufallszahl undeines Authentication and Key Management Fields (kann unter anderem weitere

Page 34: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 28 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

Abb. 2.13: Generierungdes Authentisierungs-

tokens aus [Bou10].

Schlüssel Ki in der USIM aktivieren) einen Message Authentication Code MACgeneriert.

2. Die Funktion f 2 generiert den Authentisierungsparameter, der in späterenSchritten mit der Authentisierung-Response der Mobilstation verglichenwird.

3. Die Funktionen f 3 bis f 5 leiten den Cipher-Key CK, den Integrity-Key IKund den Anonymity-Key AK ab.

Im letzten Schritt bildet das HLR das Authentisierungstoken AUT N

AUT N = (SQN⊕AK,AMF,MAC)

und sendet dieses über das VLR an die Mobilstation.

Abb. 2.14: Verifizierungdes Authentisierungs-tokens im USIM aus[ETS99].

Nach Erhalt des Tupels (RAND,AUT N) verifiziert die Mobilstation die erhaltenen

Page 35: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

2.5 UMTS Seite 29

Werte und leitet wie in Abbildung 2.14 dargestellt ihrerseits die weiteren Schlüsselab. Dazu berechnet die USIM zuerst den Anonymity-Key AK = f 5(Ki,RAND) unddamit die Sequenznummer SQN = (SQN⊕AK)⊕AK. Im weiteren Schritt wird dieMAC XMAC = f 1(Ki,SQN,RAND,AMF) berechnet und mit dem in AUT N enthalte-nen MAC des UMTS-Netzes verglichen. Sind die Parameter unterschiedlich, sendetdie Mobilstation eine User Authentication Reject Nachricht an das Netz undbricht die Authentisierung ab. Bei Gleichheit verifiziert die USIM, ob die erhalteneSequenznummer SEQ mit Hilfe der gespeicherten SQNMS in einem gültigen Werte-bereich liegt. Schlägt die Verifizierung fehl, wird eine Synchronization FailureNachricht an das Netz übertragen und die weiteren Schritte werden abgebrochen.Im Anschluss berechnet die USIM RES = f 2(Ki,RAND), sendet diesenWert zurückan die Basisstation und berechnet den Cipher-Key CK = f 3(Ki,RAND) und denIntegrity-Key IK = f 4(Ki,RAND). Im UMTS-Netz wird RES nach Erhalt mit demWert XRES verglichen. Stimmen beide Werte überein, so ist die Authentisierungs-und Schlüsselerzeugungsphase abgeschlossen und beide Kommunikationspartnerkonnten beweisen, dass sie im Besitz des Schlüssels Ki sind.

Verschlüsselung

Nach der Authentisierungs- und Schlüsselerzeugungsphase beginnen Mobil- undBasisstation mit der Verschlüsselung der zu übertragenen Nachrichten. Die Ver-schlüsselungsfunktionen sind auf der Mobilstation und in den Radio NetworkControllern implementiert. Im UMTS-Standard wird dazu die f 8-Funktion ver-wendet, die in Abbildung 2.15 dargestellt ist.

Abb. 2.15: Schlüs-selstromgenera-

tor f 8 aus [ETS01].

Die f 8-Funktion ist eine symmetrische Stromchiffre, welche unter Einfluss desCipher-KeysCK und der Kasumi-Chiffre einen Frame variabler Länge verschlüsselt.Um sicherzustellen, dass zwei Frames nicht den gleichen Schlüsselstrom verwen-den, werden die drei Parameter COUNT , BEARER und DIRECT ION einbezogen.Die Ausgabe der f 8-Funktion ist eine Schlüsselstromsequenz mit der Länge deszu verschlüsselnden Frames, sodass mittels einfacher XOR-Verknüpfung Klartextund Schlüsselstrom den Ciphertext bilden.

Der UMTS-Standard fügt verschlüsselten Nachrichten auf Steuerungskanälenzusätzliche Integritätsinformationen hinzu. Dazu wird die in Abbildung 2.16 dar-gestellte Funktion f 9 verwendet, welche basierend auf den Nachrichtendaten, dem

Page 36: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 30 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

Abb. 2.16: Integritäts-funktion f 9 aus [ETS01].

Integrity-Key IK und einem Zufallswert FRESH einen 32-bit Message Authentica-tion Code erzeugt.

MAC = f 9(IK,COUNT − I,MESSAGE,DIRECT ION,FRESH)

Dieser MAC wird an die mit der f 8-Funktion verschlüsselten Daten gehängt. Aufder Empfängerseite wird zur Verifizierung ebenfalls der MAC berechnet und mitdem vom Sender berechneten und weitergeleiteten Wert verglichen. Ähnlich zuder f 8-Schlüsselstromfunktion verwendet auch die Integritätsfunktion die Kasumi-Blockchiffre.

Kasumi-Chiffre

Die Kasumi-Chiffre ist wie bereits in den vorherigen Abbildungen angedeuteteine Vielfach in UMTS angewandte Blockchiffre. Die Chiffre basiert auf einemFeistelnetzwerk (vgl. Vorlesung Kryptographie I und II), welches aus 64-bit Einga-beblöcken und dem Schlüsselparameter K den Ciphertext erzeugt [ETS07].

Wie in Abbildung 2.17 zu erkennen führt die Chiffre 8 Runden aus, wobei sie ineiner einzelnen Runde lediglich eine Hälfte der Eingabe verarbeitet. Zu Beginnwird der 64-bit Eingabeblock in zwei 32-bit Blöcke L0 und R0 aufgeteilt. In denweiteren Schritten führt die Chiffre für i ∈ {1, ...,8} die Operationen

Ri = Li−1

Li = Ri−1⊕ fi(Li−1,RKi)

durch, wobei fi die Rundenfunktion mit dem Eingabeparameter Li−1 und Runden-schlüsselRKi beschreibt. Die Chiffre liefert in der achten Runden den resultierendenChiffretext (L8||R8) zurück.

Die Rundenfunktion fi erhält den 32-bit Eingabeparameter I und liefert den 32-bitAusgabeparameter O zurück, welcher unter Anwendung des RundenschlüsselsRKi, bestehend aus den Unterschlüsseln (KLi,KOi,KIi), und den Unterfunktionen

Page 37: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

2.5 UMTS Seite 31

FL und FO gebildet wird. Die Rundenfunktion fi führt basierend auf der Runden-nummer unterschiedliche Operationen durch.

Für ungerade Rundennummer i ∈ {1,3,5,7} ist fi definiert als

fi(I,RKi) = FO(FL(I,KLi),KOi,KIi)

und für gerade Rundennummer i ∈ {2,4,6,8} als

fi(I,RKi) = FL(FO(I,KOi,KIi),KLi).

Die FL-Funktion besteht aus einfachen logischenOperationen undVerschiebungen.Dazu wird der Schlüssel KLi in zwei Unterschlüssel geteilt und mit jeweils einemTeil der Eingabe I = (L||R) verrechnet.

KLi = KLi,1||KLi,2

R′ = R⊕ROL(L⊕KLi,1)

L′ = L⊕ROL(R′⊕KLi,2)

Die FO-Funktion besteht wie die fi-Funktion auf der Feistelstruktur mit diesmaldrei Runden und einer Unterfunktion FI. Die 32-bit Eingabe wird ähnlich zu derfi-Funktion in zwei Hälften L0 und R0 geteilt. Die beiden 48-bit Schlüssel werdenin jeweils drei 16-bit Unterschlüssel

KOi = KOi,1||KOi,2||KOi,3

KIi = KIi,1||KIi,2||KIi,3

geteilt. Für j ∈ {1,2,3}werden im Anschluss die Operationen

R j = FI(L j−1⊕KOi, j,KIi, j)⊕R j−1

L j = R j−1

durchgeführt und (L3||R3) ausgegeben. Die Unterfunktion FI teilt die Eingabe inzwei ungleiche Hälften und wendet auf diese mehrmals zwei Lookup-Tabellen (S7und S9) an.

Angriffe

Die Sicherheitsarchitektur von UMTS wurde im Gegensatz zu GSM stark ver-bessert. Dies hat zum einen den Grund, dass eine Zwei-Wege-Authentisierungeingeführt wurde, welche eine Vielzahl der in Abschnitt 2.4.4 vorgestellten GSMAngriffe verhindern soll. Desweiteren wurde für UMTS auf öffentlich verfügbareKryptoalgorithmen zurückgegriffen, welche unter anderem mit Hilfe der Inte-gritätsfunktion f 9 die Datenintegrität über den Funkkanal absichern. Dennochsind verschiedene Angriffe auf die Sicherheitsmerkmale vom UMTS vorgestelltworden. Beispielsweise wurden verschiedene Attacken auf die Kasumi-Chiffrebekannt, welche die Chiffre mit Hilfe von Kryptoanalyse mit einer Komplexitätvon 232 brechen können [DKS10].

Page 38: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 32 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

2.5.3 Kontrollaufgaben

In diesem Abschnitt befinden sich verschiedene Kontrollaufgabe, die die Inhaltder vorherigen Abschnitte auffassen und daher zur Vertiefung des Stoffs beitragensollen.

KKontrollaufgabe 2.4: Architektur in UMTS

Aus welchen Hauptkomponenten besteht im wesentlichen ein UMTS-System? Wozu dienen die neu eingeführten Komponenten?

K Kontrollaufgabe 2.5: Authentisierungsphase in UMTS

Welche Parameter werden zwischen UMTS-Netz undMobilstation währendder Authentisierungsphase ausgetauscht? Wozu dienen diese Parameter imEinzelnen? Welche Operationen finden in der Authentisierungsphase aufder Mobilstation statt?

K Kontrollaufgabe 2.6: Verschlüsselung in UMTS

Beschreiben Sie die Aufgaben der f 8 und f 9-Funktionen. Was haben beideFunktionen in ihrer Struktur gemeinsam?

Page 39: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

2.6 Übungen Seite 33

2.6 Übungen

ÜÜbung 2.1: Verschlüsselung in GSM

Es existieren verschiedeneAngriffe auf dieGSM-Verschlüsselungsalgorithmen.Beispielsweise kann mittels eines Ciphertext-only-Angriffes auf die A5/2Chiffre der Schlüssel Kc innerhalb von wenigen Sekunden bestimmt wer-den.

Wie könnte ein Angreifer diese Attacke auf A5/2 ausnutzen, um auch Ge-spräche einer Mobilstation in einem mit A5/1 oder A5/3-Algorithmengeschützten GSM-Netz abzuhören, wenn die Mobilstation auch die Verwen-dung der A5/2-Chiffre unterstützt? Beschreiben Sie die einzelnen Schritte.

Welche Eigenschaften von GSM erlauben diesen Angriff?

ÜÜbung 2.2: Verschlüsselung in GSM / UMTS

Warum ist es im GSM-Standard einem Angreifer möglich, Nachrichtenzwischen Mobilstation und GSM-Netzwerk abzuändern? Wie soll dies imUMTS-Standard verhindert werden?

ÜÜbung 2.3: Blockchiffre / Feistelnetzwerk

Was macht eine Blockchiffre, die auf einem Feistelnetzwerk besteht im Hin-blick auf Ver- und Entschlüsselung besonders? Wie sieht die generelle Struk-tur aus?

Page 40: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 34 Studienbrief 2 Sicherheitsaspekte von Mobilfunknetzen

Abb. 2.17: Struk-tur der Kasumi-

Chiffre aus [ETS07].

ETSI

ETSI TS 135 202 V7.0.0 (2007-06)183GPP TS 35.202 version 7.0.0 Release 7

Annex 1 (informative): Figures of the KASUMI Algorithm

C

Fig. 1: KASUMI

FO1FL1

FO3FL3

FO5FL5

FO7FL7

FO2 FL2

FO4 FL4

FO6 FL6

FO8 FL8

KL1 KO1, KI1

FIi1 KIi,1

KOi,1

FIi2 KIi,2

KOi,2

FIi3 KIi,3

KOi,3

S9

S9

zero-extend

zero-extend

truncate

KIi,j,1 KIi,j,2

32 32

64

16 16

32 16

9 7

Fig.2: FO Function Fig.3: FI Function

Fig.4: FL Function

bitwise AND operation

bitwise OR operation

one bit left rotation

32

16 16

KLi,1

KLi,2

KL6

KL8

KL7

KL2

KL5

KL4

KL3

KO2, KI2

KO3, KI3

KO4, KI4

KO5, KI5

KO6, KI6

KO7, KI7

KO8, KI8

truncate

S7

S7

L0

L8

R0

R8

Page 41: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen Seite 35

Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen

3.1 Lernziele

Sie kennen die Grundlagen der Kommunikation über Satellitentelefone und kön-nen Unterschiede zwischen Protokollen von Satellitentelefonen und anderen Mo-bilfunkstandardswie GSM/UMTS benennen.Weiterhin können Sie die generellenFunktionsweisen von zwei Satellitentelefon-Protokollfamilien erläutern. Abschlie-ßend können Sie Angriffe auf die zwei Protokolle aufzeigen und skizzieren.

3.2 Advanced Organizer

Wie ist ein Satellitentelefonnetzwerk aufgebaut und welche Angriffe sind auf dieverschiedenen Protokollfamilien möglich? In diesem Studienbrief werden derAufbau und zwei der verwendeten Protokolle von Satellitentelefonnetzwerkenaufgezeigt und Schwachstellen erläutert.

3.3 Einleitung

In diesem Studienbrief werden die Grundlagen der Kommunikation von Satelli-tentelefonen und ihre Einsatzgebiete erläutert. Weiterführend wird der Aufbauund die Funktionsweise von zwei verwendeten Protokollfamilien aufgezeigt. Diesumfasst insbesondere den Aufbau und die Funktionsweise der zugehörigen pro-prietären kryptographischen Verschlüsselungsfunktionen. Abschließend werdenverschiedene Angriffe auf diese Verschlüsselungsfunktionen vorgestellt.

3.4 Grundlagen

Mobile Kommunikationssysteme haben die Art und Weise der heutigen Kom-munikation revolutioniert. Statt für die Telefon- und Datenkommunikation wievor einigen Jahren üblich statische Festnetzanschlüsse nutzen zu müssen, könnenheutzutage Daten mittels mobilen zellulären Systemen wie dem Global Systemfor Mobile Communications (GSM) von beinahe jedem beliebigen Ort übertragenwerden. Diese zellulären Systemen erfordern Funkzellen in denen Verbindun-gen innerhalb des mobilen Netzwerkes aufgebaut werden. Funkzellen werdendurch den von der Sendeeinrichtung abgedeckten Bereich definiert, in der dieMobilfunksignale empfangen und fehlerfrei verarbeitet werden können. Eine Sen-deeinrichtung besteht ihrerseits dafür aus Sendern / Empfängern, Antennen unddigitalen Signalprozessoren zur Verarbeitung der Daten. Ein großer Nachteil dieserSendeeinrichtungen besteht allerdings darin, dass die Reichweite limitiert ist undsomit in abgelegeneren Orten ohne hinreichende Signalabdeckung keine Telefo-nie möglich ist. Dies trifft beispielsweise auf Ölplattformen oder Schiffe zu. AlsLösung wurden Satellitensysteme eingeführt, welche die Problematik der Signal-abdeckung umgehen, indem die Sprach- und Nutzdaten direkt mit geostationärenTelekommunikationssatelliten ausgetauscht werden.

Für die Satellitenkommunikation werden heutzutage hauptsächlich die folgendenzwei Protokollfamilien verwendet, die beide vom European TelecommunicationsStandards Institute (ETSI) entwickelt und standardisiert wurden.

• Das Geostationary Earth Orbit (GEO) Mobile Radio Interface (besser bekanntals GMR-1) ist ein ETSI-Standard, der vom terrestrischen zellulären GSM-Standard abgeleitet wurde. Die Spezifikationen von GMR bilden eine Erwei-terung zum GSM-Standard, wobei einige Eigenschaften der Spezifikationenspeziell für die Satellitenkommunikation abgeändert wurden. Die GMR-1-Familie wird von verschiedenen Anbietern wie Thuraya, SkyTerra und

Page 42: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 36 Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen

TerreStar unterstützt und wurde in der Vergangenheit mehrmalig überar-beitet, um weitere Dienste anzubieten.

• Die GMR-2-Familie ähnelt noch deutlicher dem GSM-Standard und wurdevom GMR-1-Standard abgeleitet, wobei sich die Netzwerkarchitekturendeutlich voneinander unterscheiden.

Die Spezifikationen von GMR-1 und GMR-2 sind online verfügbar, enthalten al-lerdings keinerlei Informationen über die Implementierungen der Sicherheits-merkmale, beispielsweise die angewandten Verschlüsselungsalgorithmen, die fürdie Sicherung der Kommunikationskanäle zwischen Satellitentelefon und Satellitzuständig sind. Angreifer können die Satellitenkommunikation beispielsweiseauch aus einiger Entfernung abhören und mitschneiden, sodass eine schwache Ver-schlüsselung dementsprechend die Vertraulichkeit in der Satellitenkommunikationzerstören würde.

3.4.1 Netzwerkstruktur

Im Folgenden wird der Aufbau und die Struktur eines Satellitenkommunikations-netzwerkes anhand des Anbieters Thuraya genauer aufgezeigt.

Thuraya implementiert den GMR-1-Standard und bietet die Satellitentelefonie füreinen weiten Teil Europas, den mittleren Osten, Nord- und Ostafrika, Asien undAustralien an. Um diese Reichweite zu erzielen, besteht das Netzwerk aus zweiüberlappenden Regionen, wobei jede Region von einem eigenen Satelliten abge-deckt wird. Thuraya-Satelliten operieren im geosynchronen Orbit (GSI), in demsie keine bestimmte Position einnehmen sondern einem festen Bewegungsmusterfolgen. Zur Zeit nutzt Thuraya zwei Satelliten namens Thuraya-2 und Thuraya-3,wobei Thuraya-2 wie in Abbildung 3.1 erkennbar den größten Teil von Europa undAfrika abdeckt.

Abb. 3.1: Abdeckungdes Thuraya-2 Satel-liten aus [DHW+13].

Thuraya überträgt Sprach-, Fax- und IP-basierte Daten an Orte, an denen kon-ventionelle mobile Kommunikation nicht möglich ist. Zusätzlich zu den zweiSatelliten nutzt Thuraya terrestrische Gateways und ein primäres Gateway (lokali-siert in den Vereinigten Arabischen Emiraten), welche das gesamte Netzwerk wiein Abbildung 3.2 dargestellt verwalten. Die Gateways stellen unter anderem dieVerbindungen zu den kabelgebundenen Netzwerken wie dem Telefonnetz (PublicSwitched Telephone Network, PSTN) her. Für die Kommunikation mit dem Satellitennutzen die Gateways die C-Frequenzbänder in den Bereichen 3,400 - 3,625 und6,425 - 6,725 GHz. Für den Transport der Daten zwischen Satellitentelefon undSatellit wird das L-Band verwendet, wobei der Bereich 1,525 - 1,559 GHz für denDownlink (Satellit zu Telefon) und der Bereich 1,6265 - 1,6605 GHz für den Uplink(Telefon zu Satellit) reserviert ist.

Page 43: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

3.4 Grundlagen Seite 37

Operator Control Facility

C-Band

L-BandSpotbeam

C-Band

End User Devices

GatewayStation

PSTN

Abb. 3.2: Struktur ei-nes geostationären Sa-tellitennetzwerkes aus[DHW+12, Dri12].

3.4.2 Kanäle

Bei der Satellitenkommunikation werden für die Übertragung der Daten die Mul-ti Carrier (MC) und Time Division Multiple Access (TDMA) Nachrichtenübertra-gungsverfahren eingesetzt. Dabei werden die Frequenzspektren vom Up- als auchDownlink in 1087 Duplex-Frequenzträger (MC) mit einem Abstand von 31,25 kHzeingeteilt. Jeder Träger wird wie in Abbildung 3.3 dargestellt in 24 Zeitschlitze(TDMA) unterteilt, die sich alle 40 ms wiederholen und einen TDMA-Frame bilden.TDMA-Frames können zu Gruppen zusammengefasst werden, wobei 16 Framesbeispielsweise einen Multiframe mit einer Dauer von 640 ms bilden. Jeder TDMA-Frame wird durch eine 19-bit Frame-Nummer identifiziert, wobei die Nummer bei0 beginnt und für jeden weiteren Frame erhöht wird.

Abb. 3.3: TDMA-Struktureines GMR-1 Netzwer-

kes aus [DHW+13].

...

Pro Frequenzträger und Zeitschlitz kann ein logischer Kanal aufgebaut werden.Mit Hilfe dieser Architektur wird ein Kanal eindeutig durch die IDs des Frequenz-trägers und Zeitschlitzes definiert. In GMR existieren verschiedene Arten vonKanälen, wobei diese wie bei GSM entweder in Traffic-Kanäle (Traffic Channels,TCH) für Nutzdaten oder Kontrollkanäle (Control Channels, CCH) eingeteilt werdenkönnen. Dazu gehören beispielsweise der Frequency Correction Channel (FCCH), derCommon Control Channel (CCCH) und der Traffic Channel-3 (TCH3). Der FCCHwirdnach dem Einschalten des Satellitentelefons zur Ermittlung der relativen Zeit undder Frequenzfehler verwendet, um das Telefon mit dem Satelliten zu synchronisie-ren. Der CCCH überträgt beispielsweise Anfragen an neue Kanäle (beispielsweiseTCH3) an ein Telefon. Der TCH3 überträgt letztendlich die Sprachdaten.

3.4.3 Kodierung und Verschlüsselung

Die Nutzdaten werden über die Kanäle mittels TDMA-Frames (Blöcke von aufein-anderfolgenden Bits) übertragen, wobei die Frames vor der Übertragung wie inAbbildung 3.4 dargestellt Kodierungs- und Verschlüsselungsverfahren durchlau-fen, bevor sie abschließend über die Antenne des Satellitentelefons an den Satellitenübertragen werden. Die angewandten Kodierungsverfahren werden durch denKanaltyp bestimmt und können bei einigen Kanälen entfallen.

Page 44: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 38 Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen

modulationencryptionintraburst multiplexingscramblingchannel

interleavingconvolutional

encodingblock

encoding

Abb. 3.4: Kodierung- undVerschlüsselungssche-ma für Informationen ineinem GMR-1 Netzwerkaus [DHW+13].

EExkurs 3.1: Kodierung im GMR-1-Standard

Laut GMR-1-Standard [ETS02] werden bei der Kodierung folgende Schrittedurchgeführt:

Each channel uses the following sequence and order of operations:

• the information bits are coded with a systematic block code cyclicredundancy check (CRC), building words of information + parity bits;

• these information + parity bits are encoded with a convolutional code,building the coded bits;

• the coded bits are reordered and potentially interleaved over multiplebursts;

• the interleaved bits are scrambled and, in some cases, multiplexedwith other bits (before or after encryption);

• the multiplexed bits are mapped to the physical burst.

Um die zu übertragenen Daten gegen das Abhören zu schützen, werden die en-kodierten Daten wie bei GSM mit Hilfe eines proprietären kryptographischenAlgorithmus verschlüsselt. Dabei wird die Verschlüsselung in GMR-1 pro Sessiondurchgeführt. Dies bedeutet, dass für die Dauer einer Session (beispielsweise einAnruf) ein Sessionkey Kc generiert wird.

Abb. 3.5: Authentisierungund Verschlüsselung

in einem GMR-1 Netz-werk aus [DHW+13].

Satellitentelefon Netzwerk(kennt Ki) (kennt Ki)

Authentication Request RAND←−−−−−−−−−−−−−−−−−−−−−−−−−

SRES = A3(Ki;RAND)Authentication Response SRES−−−−−−−−−−−−−−−−−−−−−−−−−→

Kc = A8(Ki;RAND)Cipher mode Command

←−−−−−−−−−−−−−−−−−−−−−−−−− Kc = A8(Ki;RAND)

Cipher mode complete−−−−−−−−−−−−−−−−−−−−−−−−−→

...

d0 = A5(Kc;0,N0, · · ·)Daten N0,d0−−−−−−−−−−−−−−−−−−−−−−−−−→Daten N1,d1←−−−−−−−−−−−−−−−−−−−−−−−−− d1 = A5(Kc;1,N1, · · ·)Daten N2,d2←−−−−−−−−−−−−−−−−−−−−−−−−− d2 = A5(Kc;1,N2, · · ·)

...

Dieser Key wird wie in Abbildung 3.5 dargestellt mittels der Challenge-ResponseTechnik von einer Zufallszahl RAND und einem Langzeitschlüssel Ki abgeleitet,wobei Ki lediglich dem Satellitentelefon und dem Satellitennetzwerk bekannt ist. Inder GMR-1-Spezifikation wird der Algorithmus zur Schlüsselableitung A8 genannt,wobei er die gleiche Funktion wie die A8-Funktion in GSM hat. Auf der Seite des

Page 45: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

3.4 Grundlagen Seite 39

Telefons ist dieser Algorithmus auf der SIM-Karte implementiert, auf der auch derLangzeitschlüssel Ki gespeichert ist. Bevor der Sessionkey Kc generiert wird, führenSatellitentelefon undNetzwerk eine Authentisierungmit Hilfe des A3-Algorithmusdurch, welcher ebenfalls die gleiche Funktion wie in GSM erfüllt. Nach Aufbau derSession werden die Daten schließlich mittels Sessionkey und der A5-Stromchiffre(A5-GMR-1) verschlüsselt, wobei als zusätzlicher Parameter die TDMA-Frame-Nummer und die Richtung der Daten (Satellitentelefon zu Satellit oder umgekehrt)mit in die Verschlüsselung einfließen.

3.4.4 Architektur eines Satellitentelefons

Im Folgenden wird ein kurzer Überblick über die generelle Architektur von Satel-litentelefonen gegeben. Tiefergehende Informationen zu bestimmten Satellitentele-fonen werden in den Abschnitten 3.5 und 3.6 vorgestellt.

Generell ähnelt die Architektur von Satellitentelefonen der von zellulären Telefo-nen. Beide Arten von Telefonenmüssen eine hohe Anzahl an Sprach- und Signalda-ten verarbeiten, weswegen sie typischerweise mit dedizierten digitalen Signalpro-zessoren (DSP) ausgestattet sind. Die DSPs übernehmen dabei die aufwendigenRechenoperationen wie beispielsweise die Verschlüsselungsfunktionen.

Der Kern jedes Telefons ist ein Standard-Mikroprozessor (häufig auf der ARM-Architektur basierend), der die Grundoperationen des Telefons durchführt. Dazugehört unter anderen die Initialisierung des DSPs während des Bootprozesses.Hauptprozessor und DSP teilen sich den Hauptspeicher oder ähnliche Hardware-Devices, über die beide Prozessoren miteinander kommunizieren. Das Betriebs-system eines Satellitentelefons ist speziell an die Aufgaben und das Einsatzgebietangepasst, beispielsweise limitierte Ressourcen und Echtzeitanforderungen.

3.4.5 Analyse existierender Protokolle

Wie bereits in Abschnitt 3.4 beschrieben existieren außer einer generellen Über-sicht über die Verschlüsselungstechniken keinerlei Informationen zu den Funk-tionsweisen der beiden hauptsächlich verwendeten Protokollfamilien von Satel-litentelefonen, GMR-1 und GMR-2, sodass die verwendeten kryptographischenAlgorithmen lange Zeit als Blackbox angesehen werden mussten. Im Jahr 2012 istes Forschern [DHW+12, Dri12, DHW+13] mittels Reverse-Engineering gelungen,die Verschlüsselungsalgorithmen zu bestimmen und zu analysieren. Dazu sinddie Forscher folgendermaßen vorgegangen:

• Finden von Firmware-Update-Paketen von GMR-1- und GMR-2-Satellitentelefonen und den dazugehörigen Updateprogrammen (typi-scherweise Anwendungen unter Windows).

• Extraktion der Firmware-Images aus den Update-Paketen.

• Rekonstruktion des korrekten Speicherabbildes von Code- und Datenseg-menten im Firmware-Image.

• Identifizierung der DSP-Initialisierungsroutinen, um den DSP-Code zu ex-trahieren.

• Suche nach den Verschlüsselungsalgorithmen im DSP-Code mit Hilfe vonHeuristiken und Techniken wie der Datenflussanalyse.

Generell konnten sich die Forscher verschiedene Informationen zu Nutze machen,um die Verschlüsselungsfunktionen im DSP-Programmcode zu identifizieren:

Page 46: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 40 Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen

• Die Länge des Sessionkeys ist bekannt.

• Die Länge des von der Chiffre generierten Schlüsselstroms ist gleich derLänge eines verschlüsselten Frames.

• Da die GMR-Standards vom GSM-Standard abstammen, sollten die Algo-rithmen zumindest leichte Ähnlichkeiten zu den A5-Algorithmen von GSMaufweisen.

Im Folgenden werden die in den GMR-1- und GMR-2-Protokollfamilien verwen-deten Verschlüsselungsroutinen und deren Funktionsweisen genauer vorgestelltund Schwachstellen und Angriffe aufgezeigt.

3.4.6 Kontrollaufgaben

In diesem Abschnitt befinden sich verschiedene Kontrollaufgabe, die die Inhaltder vorherigen Abschnitte auffassen und daher zur Vertiefung des Stoffs beitragensollen.

K Kontrollaufgabe 3.1: Aufgaben der A3- und A8-Algorithmen

Was sind die Aufgaben der Algorithmen A3 und A8 und wie fließen derenBerechnungen in die Satellitenkommunikation ein?

K Kontrollaufgabe 3.2: Aufbau von Satellitentelefonen

Aus welchen Komponenten bestehen im Allgemeinen Satellitentelefone?

3.5 GMR-1 Protokoll

Für die Analyse der GMR-1-Protokollfamilie wurde das Thuraya SO-2510 Satelli-tentelefon verwendet. Die Firmware für dieses Telefon wurde frei verfügbar aufder Herstellerseite angeboten und konnte von den Forschern analysiert werden.

3.5.1 Hardwarearchitektur

Das Thuraya SO-2510 Satellitentelefon verwendet die Texas InstrumentsOMAP1510 Plattform. Der Kern der Plattform ist wie in Abbildung 3.6 dar-gestellt ein ARM-925 Mikroprozessor in Kombination mit einem TI TMS320C5000DSP. Beide Prozessoren kommunizieren über einen geteilten Peripheriebus undverwenden weiterhin den gleichen RAM-Speicher bzw. können weiteren Speicherwie SRAM oder Flash adressieren. Bei Systemstart des Telefons werden der DSP-Programmcode und zugehörige Daten vom ARM-Mikrocontroller in bestimmteSpeicherbereiche des DSPs geschrieben und im Anschluss vom DSP ausgeführt.

3.5.2 Struktur

GMR-1 verwendet die in Abbildung 3.7 dargestellte Stromchiffre, wobei derenStruktur dem in GSM eingesetzten A5/2-Algorithmus (vgl. Abbildung 3.8) starkähnelt. Ähnlich zumA5/2-Algorithmus nutzt GMR-1 vier irregulär getaktete linearrückgekoppelte Schieberegister (LFSR), welche im Folgenden R1, R2, R3 und R4genannt werden.

Bei einem genaueren Vergleich der beiden Algorithmen sindwie auch in Tabelle 3.1dargestellt einige Unterschiede in der Struktur zu erkennen. Für die meisten LFSRs

Page 47: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

3.5 GMR-1 Protokoll Seite 41

Abb. 3.6: OMAP1510Plattform aus [DHW+12,

Dri12, DHW+13].

Memory Interface Controller (MIC)

ARM Core

MMU

Flash / SRAM

SDRAM

DSP MMU C55x DSP

SARAM

ARM / DSPShared Peripherals

Abb. 3.7: Strukturder A5-GMR-1-Chiffreaus [DHW+12, Dri12,DHW+13].

wurden die Feedback-Polynome als auch die Eingabeparameter der nicht-linearenMajority-Funktion M modifiziert, die bei GMR-1 folgendermaßen definiert ist:

M : {0,1}3 7→ {0,1}(x2,x1,x0)2 7→ x2x1⊕ x2x0⊕ x0x1.

Ebenfalls wurden die Positionen der Bits abgeändert, die mit den Ausgaben derMajority-Funktionen verrechnet werden, im Folgenden Taps genannt. Gleichgeblie-ben sind jedoch die jeweiligen Längen der LFSRs.

A5-GMR-1 A5/2LFSR Feedback Polynom Taps Feedback Polynom Taps

R1 x19 + x18 + x17 + x14 +1 1,6,15 x19 + x5 + x2 + x+1 12,14,15R2 x22 + x21 + x17 + x13 +1 3,8,14 x22 + x+1 9,13,16R3 x23 + x22 + x19 + x18 +1 4,15,19 x23 + x15 + x2 + x+1 13,16,18R4 x17 + x14 + x13 + x9 +1 1,6,15 x17 + x5 +1 3,7,10

Tabelle 3.1: Unter-schiede zwischen denLFSRs in A5-GMR-1 undA5/2 [DHW+13].

3.5.3 Funktionsweise

Im Folgenden wird die Funktionsweise des Verschlüsselungsalgorithmus vonGMR-1 illustriert. Dabei definiert Ri, j das Bit des LFSR Ri an Position j, wobei

Page 48: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 42 Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen

Abb. 3.8: Struk-tur der GSM A5/2-

Chiffre aus [Ben13].

Ri,0 das Bit mit dem niedrigsten Stellenwert beschreibt. Wird ein einzelner LFSRgetaktet, so wird der LFSR-Inhalt um eine Position nach rechts verschoben unddas höchstwertige Bit mit dem Ergebnis des Feedback-Polynoms aufgefüllt. Wenndie Chiffre das l-te Mal irregulär getaktet wird, werden folgende Schritte durchge-führt:

1. Die irreguläre Taktkomponente C wertet alle Taps vom LFSR R4 aus unddie restlichen LFSRs werden folgendermaßen getaktet:

a) Wenn M (R4,1,R4,6,R4,15) = R4,15 gilt, wird LFSR R1 getaktet.

b) Wenn M (R4,1,R4,6,R4,15) = R4,6 gilt, wird LFSR R2 getaktet.

c) Wenn M (R4,1,R4,6,R4,15) = R4,1 gilt, wird LFSR R3 getaktet.

2. Die Taps von R1,R2 und R3 werden ausgewertet und ein Bit des Schlüssel-stroms wird folgendermaßen generiert:

zl =M (R1,1,R1,6,R1,15)⊕M (R2,3,R2,8,R2,14)⊕M (R3,4,R4,15,R3,19)⊕R1,11⊕R2,1⊕R3,0.

3. LFSR R4 wird getaktet.

3.5.4 Operationsmodi

Der Verschlüsselungsalgorithmus operiert in zwei unterschiedlichen Modi, derInitialisierungsphase und der Schlüsselstromerzeugung. Während der Initialisie-rungsphase werden die nachfolgenden Schritte ausgeführt:

1. Alle Bits in den vier LFSRs werden auf 0 gesetzt.

Page 49: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

3.5 GMR-1 Protokoll Seite 43

2. Ein 64-bit Initialisierungsvektor α = (α0, ...,α63)wird mittels XOR aus der19-bit Frame-Nummer N und dem 64-bit Sessionkey K berechnet:

α = F (N,K) = (K0,K1,K2,K3⊕N6,K4⊕N7,

K5⊕N8,K6⊕N9,K7⊕N10,

K8⊕N11,K9⊕N12,K10⊕N13,

K11⊕N14,K12⊕N15,

K13⊕N16,K14⊕N17,K15⊕N18,

K16,K17, ...,K21,K22⊕N4,

K23⊕N5,K24, ...,K59,K60⊕N0,

K61⊕N1,K62⊕N2,K63⊕N3).

3. Die Bits von α werden folgendermaßen umsortiert:

α′ = (α15,α14, ...,α0,α31,α30, ...,α16,α47, ...,α32,α63, ...,α48)2

und in dieser Reihenfolge in alle vier LFSRs getaktet.Um ein Bit von α ′ in das LFSR R1 zu takten, wird das Feedback-Polynomausgewertet und das resultierende Bit in R1 geschrieben, nachdem es mitdem α ′-Bit XORed wurde. Dieses α ′ Bit wird gleichermaßen in die übrigenLFSRs R2, R3 und R4 getaktet. Im Anschluss werden nach dieser Prozedurdie weiteren Bits von α ′ in alle vier LFSRs getaktet. In dieser Initialisierungs-phase ist die irreguläre Taktung deaktiviert, d.h., alle Register werden fürjedes Bit von α ′ einmal getaktet.

4. Das niederwertigste Bit eines jeden LFSRs wird auf 1 gesetzt (R1,0 = R2,0 =R3,0 = R4,0 = 1).

ImAnschlusswird die irreguläre Taktung aktiviert unddie Chiffre 250Mal getaktet,wobei alle in dieser Phase entstehenden Ausgabebits zl verworfen werden.

Nach der Initialisierungsphasewechselt die Chiffre in denModus Schlüsselstromer-zeugung und taktet pro zu verschlüsselndem Frame mit der Länge m insgesamt2 ·m Mal die LFSRs, um pro Takt ein Bit des Schlüsselstromes zu erzeugen. Je nachSenderichtung wird ähnlich zu GSM entweder die erste oder zweite Hälfte der2 ·m Schlüsselstrombits für die Ver- bzw. Entschlüsselung verwendet. Dies liegtdaran, dass beispielsweise die ersten m Bits vom Telefon für die Entschlüsselungund vom Netzwerkprovider für die Verschlüsselung verwendet werden.

Die Länge m wird durch die Art des Kanals definiert, für den Daten ver- oderentschlüsselt werden. Beispielsweise ist die Länge eines Frames bei einem TCH3-Kanal wie in Tabelle 3.2 dargestellt m = 208 Bits. Nachdem 2 ·m Schlüsselstrombitserzeugt wurden, wird die Chiffre mit der nachfolgenden Frame-Nummer neuinitialisiert.

n: Länge m: LängeKanaltyp Rohdaten (Bits) Verschlüsselt (Bits)TCH3 / SDCCH 80/84 208TCH6 / FACCH6+SACCH 144/188+10 420+10TCH9 / FACCH9+SACCH 480/300+10 648+10

Tabelle 3.2: Größe derPayloads [DHW+12].

Im Folgenden wird das l-te Bit des Schlüsselstromes als z(N)l bezeichnet, wobei die

Anzahl der irregulären Takte im Bereich 250≤ l < 250+2 ·m liegt (einschließlichder 250 irregulären Takte während der Initialisierungsphase) und N durch die beider Initialisierung verwendeten Frame-Nummer definiert ist.

Page 50: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 44 Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen

Weiterhin beschreibt z die durchgehende erste Hälfte des Schlüsselstrom für dieFrames N,N +1, ....

z =(

z(N)0 ,z(N)

1 , ...,z(N)m−1,z

(N+1)0 , ...,z(N+1)

m−1 ,z(N+2)0 , ...

)2

3.5.5 Angriffe

Die Struktur des A5-GMR-1-Algorithmus ähnelt der des GSM A5/2-Algorithmus,sodass bereits bekannte Angriffe auf den A5/2-Algorithmus [PFS00, BBK08b,BER07] leicht modifiziert auch für den A5-GMR-1 gelten. Beispielsweise könnenmittels eines Known-Keystream Angriffes alle 216 möglichen initialen Zuständedes LFSRs R4 geraten werden. Kenntnisse des initialen Zustandes von R4 offenba-ren dem Angreifer im Anschluss das Taktverhalten der Chiffre, sodass dieser denbekannten Schlüsselstrom als binäres quadratisches Gleichungssystem aufstellenund die Zustände von R1,R2, und R3 berechnen kann. Das Gleichungssystem kannim Anschluss aufgrund von festen Bits in den LFSRs und Symmetrien in denquadratischen Termen in ein lineares Gleichungssystem A · x = z mit

v =(

182

)+

(212

)+

(222

)︸ ︷︷ ︸Linearisierte Variablen

+ (18+21+22)︸ ︷︷ ︸Originale Variablen

= 655

Variablen für jede Vermutung von R4 überführt werden. Nach Erhalt der 655linear-unabhängigen Gleichungen kann jede Gleichung einzeln aufgelöst werden.Das Resultat ist jeweils ein möglicher Initialisierungszustand für R1, R2, und R3.Um diese Zustände zu verifizieren, werden die LFSRs R1, R2, und R3 mit denberechneten Werten initialisiert und anschließend mehrfach getaktet. Gleicht derresultierende Schlüsselstrom dem bereits bekannten Schlüsselstrom, konnte derwahrscheinlich korrekte Initialisierungszustand jedes LFSRs bestimmt werden.Mit Hilfe der Frame-Nummer N, welche bei der Initialisierung der LFSRs genutztwurde, kann der Schlüssel K effizient abgeleitet werden.

Dieser Known-Keystream Angriff kann weiterhin in eine Ciphertext-only Attackeabgewandelt werden. Die Anzahl der Schlüsselstrombits, welche zum Lösen desGleichungssystems benötigt werden, basiert auf der Anzahl der Unbekannten.Die Größe des Gleichungssystems kann durch Raten von R1,R2 und R3 ebenfallsverringert werden. Im Folgenden definiert k1, k2, k3 die Anzahl der geratenen Bitseines jeden LFSRs, sodass die Anzahl der Variablen auf

v =(

18− k1

2

)+

(21− k2

2

)+

(22− k3

2

)+(18− k1)+(21− k2)+(22− k3)

reduziert werden kann. Der Nachteil dieser Methode ist, dass die Anzahl derRateversuche im schlechtesten Fall auf 216 ·2k1+k2+k3 erhöht wird. Diese Methodeermöglicht jedoch, Ciphertext-only Angriffe auf beliebige GMR-1-Kanäle durchzu-führen [DHW+12].

Page 51: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

3.6 GMR-2 Protokoll Seite 45

3.5.6 Kontrollaufgaben

In diesem Abschnitt befinden sich verschiedene Kontrollaufgabe, die die Inhaltder vorherigen Abschnitte auffassen und daher zur Vertiefung des Stoffs beitragensollen.

K Kontrollaufgabe 3.3: R4 LFSR

Wozu dient der R4 LFSR im A5-GMR-1-Algorithmus?

KKontrollaufgabe 3.4: Initialisierungsvektor

Wozu dient der Initialisierungsvektor im A5-GMR-1-Algorithmus? Warumkönnte die Kommunikation im GMR-1-Protokoll nicht stattfinden, wennsich jeder Teilnehmer eines Satellitennetzwerkes einen eigenen zufälligenInitialisierungsvektor generiert?

3.6 GMR-2 Protokoll

Die GMR-2-Protokollfamilie beschreibt das zweite von der ETSI für die Satel-litenkommunikation standardisierte Protokoll. Ähnlich zu GMR-1 konnte eineveröffentlichte Firmwareversion eines GMR-2-Satellitentelefons genutzt werden,um mittels Reverse-Engineering Kenntnisse über die in GMR-2 verwendeten pro-prietären Verschlüsselungsalgorithmen zu erlangen.

3.6.1 Hardwarearchitektur

Für die Analyse der GMR-2-Protokollfamilie wurde die im Jahr 2010 veröffentlichteFirmware des Inmearsat IsatPhone Pro Satellitentelefons verwendet. Das Satelli-tentelefon basiert auf der Analog Devices LeMans AD6900 Plattform. Der Kern derPlattform ist wie in Abbildung 3.9 dargestellt ein ARM-926EJ-S Mikroprozessor inKombination mit einem Blackfin DSP. Beide Prozessoren kommunizieren über eingeteiltes Businterface, welches mit dem RAM-Speicher und weiteren Ressourcenverbunden ist. Das System wird durch den Boot-Code des ARM-Mikrocontrollersinitialisiert, welcher im Anschluss die Aufgabe hat, den DSP für die weiterenOperationen vorzubereiten.

Abb. 3.9: LeMansAD6900 Plattform

aus [DHW+12,Dri12, DHW+13].

BlackfinDSP Core

ARM Core

System RAMBus Controller

Bus Controller External Memory

Boot ROM

SharedPeripherals

Page 52: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 46 Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen

3.6.2 Struktur

Das GMR-2-Protokoll verwendet die in Abbildung 3.10 dargestellte A5-Stromchiffre, wobei anders als bei GMR-1 die Struktur nicht der von GSMbekannten A5/2-Chiffre ähnelt sondern aus einer Vielzahl bisher unbekannterFunktionen aufgebaut ist. Weiterhin arbeitet die Chiffre nicht bit- sondern byte-orientiert. Der Algorithmus erhält den 64-bit Schlüssel K und wird einmal getaktet,um ein Byte des Schlüsselstroms zu generieren. Hierbei definiert Zl das Byte desSchlüsselstroms, welches nach l Takten ausgegeben wird.

3 84

8

1

6

6

64

Seite 1 von 1

05.11.2014file:///D:/Eigene%20Dateien/System/Desktop/SysSec%20Projects/GMR/papers/tissec...

Abb. 3.10: Struktur derA5-GMR-2-Chiffre aus[DHW+12, DHW+13].

Die Chiffre verwendet ein 8-byte Statusregister S = (S0,S1, ...,S7)28 und drei Un-terfunktionen, die im Folgenden F ,G und H genannt werden. Zusätzlich fließtin die Berechnungen des Schlüsselstroms ein 1-bit Register T ein, welches ein so-genanntes Toggle-Bit ausgibt und pro Takt zwischen den Werten 0 und 1 alterniert.Zuletzt verwendet die Chiffre ein 3-bit Register C, welches als Zähler von 0 bis 7fungiert und pro Takt um den Wert 1 erhöht wird.

Im Folgenden werden die F -, G - und H -Funktionen genauer vorgestellt.

F -Funktion

Die in Abbildung 3.11 dargestellte F -Funktion verwendet ein 64-bit Register,welches in die 8 Bytes (K0,K1, ...,K7)28 aufgeteilt ist und den Schlüssel K enthält.Dieses Register wird durch zwei Multiplexer ausgelesen. Der untere Multiplexerextrahiert ein Byte Kc, welches in Verbindung mit dem Zählerwert c aus demSchlüssel K ausgelesen wird. Der obere Multiplexer extrahiert ein weiteres Byteaus dem Schlüssel K, wobei die Position des Bytes durch einen 4-bit Wert bestimmtwird, der im Folgenden α genannt wird.

Abb. 3.11: Struktur derF -Komponente der

A5-GMR-2 Chiffre aus[DHW+12, DHW+13].

Weiterhin nutzt die F -Funktion die zwei Komponenten T1 und T2

T1 : {0,1}4 7→{0,1}3

T2 : {0,1}3 7→{0,1}3,

Page 53: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

3.6 GMR-2 Protokoll Seite 47

welche die in Tabelle 3.3 dargestellten Lookup-Tabellen abbilden. Die mit * mar-kierten Zeilen werden in Abschnitt 3.6.5 bei der Vorstellung eines Angriffes aufdas GMR-2-Protokoll genauer erläutert.

x T1(x) T2(x) T2(T1(x))

(0,0,0,0)2 2 4 6(0,0,0,1)2 5 5 3(0,0,1,0)2 0 6 4 *(0,0,1,1)2 6 7 2(0,1,0,0)2 3 4 7(0,1,0,1)2 7 3 1(0,1,1,0)2 4 2 4 *(0,1,1,1)2 1 1 5(1,0,0,0)2 3 - 7(1,0,0,1)2 0 - 4 *(1,0,1,0)2 6 - 2(1,0,1,1)2 1 - 5(1,1,0,0)2 5 - 3(1,1,0,1)2 7 - 1(1,1,1,0)2 4 - 4 *(1,1,1,1)2 2 - 6

Tabelle 3.3: T1und T2 Lookup-Tabellen [DHW+12].

Der Eingabeparameter vonT1 (derWertα)wird durch die Parameter p,Kc unddemToggle-Bit t definiert, wobei p das im letzten Takt generierte Schlüsselstrombytep = Zl−1 darstellt. Bevor diese drei Werte in das Ergebnis der Lookup-Tabelle T1einfließen, werden sie durch einen kleinen Multiplexer rechts neben T1 verarbeitet.Der Multiplexer verwendet die Abbildung N (·), wobei folgendes gilt:

N : {0,1}×{0,1}8 7→{0,1}4

(t,x7,x6, ...,x0) 7→

{(x3,x2,x1,x0)2 wenn t = 0 gilt,(x7,x6,x5,x4)2 wenn t = 1 gilt.

Die Abbildung gibt basierend auf dem Wert des Toggle-Bits t entweder die erstenoder letzten 4 Bits (Nibble) der Eingabe zurück. Mit Hilfe dieser Abbildung kannder Ausgabewert des Multiplexers folgendermaßen beschrieben werden:

α = N (t,Kc⊕ p) = N (c mod 2,Kc⊕ p).

Der Wert α wird T1 übergeben und bestimmt, welches Byte der obere Multiplexeraus dem Schlüssel K extrahiert. Der Wert dieses Bytes wird im Anschluss umT2(T1(α)) Stellen nach rechts rotiert und von der F -Funktion als 8-bit Wert O0zurückgegeben. Der zweite 4-bit Ausgabewert O1 von F wird mittels der Ausgabedes unteren Multiplexers (Kc) und des Parameters p gebildet:

O0 = (KT1(α) ≫ T2(T1(α)))28

O1 = (Kc,7⊕ p7⊕Kc,3⊕ p3,

Kc,6⊕ p6⊕Kc,2⊕ p2,

Kc,5⊕ p5⊕Kc,1⊕ p1,

Kc,4⊕ p4⊕Kc,0⊕ p0)2.

Page 54: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 48 Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen

G -Funktion

Die inAbbildung 3.12 dargestellte G -Funktion erhält als Eingabeparameter die Aus-gabeparameter der F -Funktion. Zusätzlich fließt das Byte S7 des Statusregistersin die Berechnungen von G mit ein.

Abb. 3.12: Struktur derG -Komponente derA5-GMR-2 Chiffre aus[DHW+12, DHW+13].

Ähnlich zu der F -Funktion werden Lookup-Tabellen verwendet, welche im Fol-genden B1, B2 und B3 genannt werden. Diese Lookup-Tabellen erhalten eine 4-bitEingabe und liefern einen 4-bit Ausgabewert zurück:

B1 : {0,1}4 7→ {0,1}4

(x3,x2,x1,x0)2 7→ (x3⊕ x0,x3⊕ x2⊕ x0,x3,x1)2,

B2 : {0,1}4 7→ {0,1}4

(x3,x2,x1,x0) 7→ (x1,x3,x0,x2)2,

B3 : {0,1}4 7→ {0,1}4

(x3,x2,x1,x0) 7→ (x2,x0,x3⊕ x1⊕ x0,x3⊕ x0)2.

Da die verwendeten Lookup-Tabellen und XOR-Berechnungen linear sind unddie restlichen in der G -Funktion verwendeten Operationen Bit-Permutationendurchführen, ist die G -Funktion vollständig linear und kann mittels der nachfol-genden Gleichungen beschrieben werden, wobei die 6-bit Ausgaben O′0, O′1 aufden Eingaben I0, I1 und S7 basieren:

O′0 = (I0,7⊕ I0,4⊕S7,5, I0,7⊕ I0,6⊕ I0,4⊕S7,7, I0,7⊕S7,4, I0,5⊕S7,6,

I1,3⊕ I1,1⊕ I1,0, I1,3⊕ I1,0)2,

O′1 = (I0,3⊕ I0,0⊕S7,1, I0,3⊕ I0,2⊕ I0,0⊕S7,3, I0,3⊕S7,0,

I0,1⊕S7,2, I1,2, I1,0)2.

H -Funktion

Die in Abbildung 3.13 dargestellte H -Funktion erhält die von der G -Funktion aus-gegebenen Werte O′0, O′1 und das Toggle-Bit t und führt die nicht-lineare Filterungin der GMR-2-Chiffre durch.

Dazu werden erneut Lookup-Tabellen verwendet, welche einen 6-bit Eingabewertauf einen 4-bit Ausgabewert abbilden:

S2 : {0,1}6 7→ {0,1}4

S6 : {0,1}6 7→ {0,1}4.

Page 55: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

3.6 GMR-2 Protokoll Seite 49

Abb. 3.13: Struktur derH -Komponente der

A5-GMR-2 Chiffre aus[DHW+12, DHW+13].

Interessanterweise wurden diese Tabellen vom Data Encryption Standard (DES)übernommen, d.h., S2 entspricht der zweiten S-Box und S6 der sechsten S-Boxvon DES. Die Sortierung der Lookup-Tabellen wurden allerdings abgeändert, umeine modifizierte Adressierung gegenüber den DES S-Boxen zu erreichen.

Die vier höherwertigen Bits der Eingabe selektieren die S-Box-Spalte, die zweiniederwertigen Bits die Zeile. Bevor die Eingabeparameter I′0, I′1 in die S-Boxenfließen, können sie mit Hilfe von zwei Multiplexern vertauscht werden, wobeidiese Operation auf dem Toggle-Bit t basieren. Das l-te Byte des Schlüsselstromesdes GMR-2-Algorithmus ist somit folgendermaßen definiert:

Zl =

{(S2(I′1),S6(I′0))24 if t = 0,(S2(I′0),S6(I′1))24 if t = 1.

EExkurs 3.2: S-Boxen im Data Encryption Standard (DES)

Im Data Encryption Standard bilden das erste und letzte Bit zusammen dieZeile. Die Spalte wird aus den mittleren Bits errechnet.

3.6.3 Funktionsweise

Im Folgenden wird die Funktionsweise des Verschlüsselungsalgorithmus vonGMR-2 illustriert. Wenn die Chiffre das l-te Mal getaktet wird, werden folgendeSchritte durchgeführt:

1. Die Chiffre generiert ein Byte des Schlüsselstromes Zl , wobei dieses Byteauf den Werten in den S- und C-Registern und dem T -Bit basiert.

2. Das T -Bit wird invertiert.

3. Das C-Register wird um den Wert 1 erhöht. Wird der Wert 8 erreicht, sowird das Register auf den Wert 0 gesetzt.

4. Das S-Register wird um eine Byte-Position nach rechts verschoben. Dervorherige Wert in Position S7 wird der G -Funktion übergeben und die an-schließende Ausgabe Zl der H -Funktion wird zurück in das Statusregisteran Stelle S0 geschrieben. Weiterhin fließt Zl im nächsten Takt als Parameterp mit in die Eingabe der F -Funktion.

3.6.4 Operationsmodi

Der A5-Verschlüsselungsalgorithmus von GMR-2 operiert wie bereits bei GMR-1 inzwei unterschiedlichen Modi, der Initialisierungsphase und der Schlüsselstromer-zeugung. Während der Initialisierungsphase werden die nachfolgenden Schritteausgeführt:

Page 56: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 50 Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen

1. Das T -Bit und das C-Register werden auf 0 gesetzt.

2. Der 64-bit Schlüssel K wird in das K-Register der F -Funktion geschrieben.

3. Das S-Register wird mit der 22-bit Frame-Nummer N initialisiert.

Im Anschluss wird die Chiffre 8 Mal getaktet, wobei alle in dieser Phase entstehen-den Bytes des Schlüsselstroms verworfen werden.

Im Anschluss an die Initialisierungsphase wechselt die Chiffre in den ModusSchlüsselstromerzeugung, um pro Takt ein Byte des Schlüsselstromes zu erzeugen.Dabei definiert Z(N)

l das l-te (0≤ l ≤ 14) Byte des Schlüsselstromes, welcher nachder Initialisierungsphase mit der Frame-Nummer N generiert wird. In der GMR-2-Protokollfamilie wird die Frame-Nummer immer nach Ausgabe von 15 Bytes desSchlüsselstromes erhöht, wodurch die Chiffre eine erneute Initialisierungsphasedurchläuft. Der eigentliche Schlüsselstrom ist daher eine Verkettung von 15-byteBlöcken. Der durchgehende Schlüsselstrom wird für mehrere Frames N,N +1, ...mit Z bezeichnet.

Z =(

Z(N)0 , ...,Z(N)

14 ,Z(N+1)0 , ...,Z(N+1)

14 ,Z(N+2)0 , ...

)28.

3.6.5 Exkurs: Angriff

Ähnlich zum GMR-1-Protokoll finden sich auch im A5-GMR-2-AlgorithmusSchwachstellen, die mit Hilfe von kryptographischen Angriffen ausgenutzt wer-den können. Im Folgenden wird eine Known-Plaintext Attacke auf den GMR-2-Verschlüsselungsalgorithmus im Detail vorgestellt [DHW+12, DHW+13].

Hinweis: Sie müssen dabei nicht jeden Schritt nachvollziehen können. Vielmehr dient dernachfolgende Abschnitt dazu, Ihnen zu verdeutlichen, welch hohe Komplexität Angriffeauf kryptographische Algorithmen haben können.

Der Known-Plaintext Angriff basiert auf einer Vielzahl an Beobachtungen bei derAnalyse der F -Funktion und der mit * markierten Zeilen in Tabelle 3.3 (Definitionder T1 und T2 Lookup-Tabellen der F -Funktion).

1. Wenn α ∈ {(0,0,1,0)2,(1,0,0,1)2}, dann ist T1(α) = 0 und T2(T1(α)) = 4,sodass O0 = (N (0,K0),N (1,K0))24 gilt.

2. Wenn α ∈ {(0,1,1,0)2,(1,1,1,0)2}, dann ist T1(α) = 4 und T2(T1(α)) = 4,sodass O0 = (N (0,K4),N (1,K4))24 gilt.

3. Wenn T1(α) = c, dann selektieren beide Multiplexer das gleiche Byte desSchlüssels K. Dies wird im Folgenden Lesekollision (Read-Collision) in Kcgenannt.

Nachfolgend wird beschrieben, wie basierend auf diesen Beobachtungen die BytesK0 und K4 des Schlüssels mit hoher Wahrscheinlichkeit ermittelt werden können.Diese werden im Anschluss dazu verwendet, die übrigen 48 Bits des Schlüssels Keffizient zu erraten.

Die Grundidee zur Erlangung von K0 ist, die Bytes (Zi,Zi−1,Zi−8)28 des Schlüssel-stromes mit i ∈ {8,23,38, ...} bei der Generierung von Zi auf Lesekollisionen in K0zu untersuchen. Durch die Wahl dieser i-Werte sind die Gleichungen

Z8 = Z(N)8 ,Z23 = Z(N+1)

8 ,Z38 = Z(N+2)8 , ...

Page 57: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

3.6 GMR-2 Protokoll Seite 51

erfüllt, da für diese i-Werte bereits bekannt ist, dass der untere Multiplexer in derF -Funktion aufgrund des Zählers c mit c mod 8 = 0 das Byte K0 des Schlüsselsselektiert hat.

Findet eine Lesekollision in der F -Funktion statt und beide Multiplexer haben K0selektiert, so ist die Ausgabe von F folgendermaßen definiert:

O0 = (p3⊕α3, p2⊕α2, p1⊕α1, p0⊕α0,K0,7,K0,6,K0,5,K0,4)2,

O1 = (K0,7⊕ p7⊕α3,K0,6⊕ p6⊕α2,K0,5⊕ p5⊕α1,K0,4⊕ p4⊕α0)2.

Die Ausgabe der G -Funktion gleicht im Anschluss:

O′0 = (p3⊕α3⊕ p0⊕α0⊕S7,5, p3⊕α3⊕ p2⊕α2⊕ p0⊕α0⊕S7,7,

p3⊕α3⊕S7,4, p1⊕α1⊕S7,6,

K0,7⊕ p7⊕α3⊕K0,5⊕ p5⊕α1⊕K0,4⊕ p4⊕α0,

K0,7⊕ p7⊕α3⊕K0,4⊕ p4⊕α0)2,

O′1 = (K0,7⊕K0,4⊕S7,1,K0,7⊕K0,6⊕K0,4⊕S7,3,

K0,7⊕S7,0,K0,5⊕S7,2,

K0,6⊕ p6⊕α2,

K0,4⊕ p4⊕α0)2.

Weiterhin ist durch die H -Funktion folgende Gleichung gültig:

Zi = (S2(O′1),S6(O′0))24 .

Um nun das Schlüsselbyte K0 zu bestimmen, werden die Ein- und Ausgaben derS-Boxen S6 und S2 in der H -Funktion im Folgenden genauer analysiert.Da dieursprünglichen DES S-Boxen umgeordnet worden sind, wird bei GMR-2 die Spal-te von S6 mittels der vier hochwertigen Bits von O′0 ausgewählt. Wenn davonausgegangen wird, dass eine Kollision in K0 während der Generierung von Zi statt-gefunden hat, können diese vier hochwertigen Bits mit Hilfe der für die gewählteni-Werte ebenfalls bekannten Werte S7 = Zi−8 und p = Zi−1 bestimmt werden.

Wenn für α ∈ {(0,0,1,0)2,(1,0,0,1)2} das niederwertige Nibble von Zi in der Zeilemit Index β gefunden werden kann, könnte tatsächlich eine Kollision stattgefun-den haben, wobei die niederwertigen zwei Bits von O′0 (welche die Zeile in S6bestimmen) gleich (β1,β0)2 sein müssen und dann folgendes gilt:

K0,7⊕K0,5⊕K0,4 = β1⊕ p7⊕α3⊕ p5⊕α1⊕ p4⊕α0,

K0,7⊕K0,4 = β0⊕ p7⊕α3⊕ p4⊕α0.

In diesem Schritt können einige Informationen zu den Bits von K0 bestimmtwerden.Beispielsweise kann K0,5 komplett berechnet werden.

Im Anschluss kann die Ausgabe der S-Box S2 verwendet werden, um zu verifizie-ren, ob eine Kollision bei der obigenWahl von α aufgetreten ist. Durch die Strukturder S-Box existieren lediglich vier 6-bit Eingaben γ , für die gilt:

S2(γ) = (Zi,7,Zi,6,Zi,5,Zi,4)2.

Page 58: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 52 Studienbrief 3 Sicherheitsaspekte von Satellitentelefonen

Aufgrund der teilweisen Kenntnis von (K0,4,K0,5,K0,7)2 kann für jeden der viermöglichen γ-Werte getestet werden, ob folgende Gleichungen erfüllt werden:

γ5?=β0⊕ p7⊕α3⊕ p4⊕α0⊕S7,1,

γ4⊕ γ1?=β0⊕ p7⊕α3⊕ p4⊕α0⊕S7,3⊕ p6⊕α2,

γ3⊕ γ0?=β0⊕ p7⊕α3⊕S7,0,

γ2⊕ γ5?=β1⊕ p7⊕α3⊕ p5⊕α1⊕ p4⊕α0⊕S7,1⊕S7,2.

Wenn ein γ-Wert alle Gleichungen erfüllt, kannmit hoherWahrscheinlichkeit davonausgegangen werden, dass eine Lesekollision stattgefunden hat.

Eine mögliche resultierende Hypothese für K0 ist:

(γ3⊕S7,0,γ1⊕ p6⊕α2,γ2⊕S7,2,γ0⊕ p4⊕α0, p3⊕α3, p2⊕α2, p1⊕α1, p0⊕α0)2.

Nach diesem Prinzip kann auch Byte K4 des Schlüssels bestimmt werden, wennα ∈ {(0,1,1,0)2,(1,1,1,0)2} und i ∈ {12,27,42, ...} verwendet werden.

In den folgenden Schritten wird davon ausgegangen, dass in den vorherigen Schrit-ten eine Menge von möglichen Werten für K0 gewonnen werden konnte. In vorhe-rigen Phasen möglicherweise erlangte Kenntnisse zu K4 erhöhen die Effizienz dernachfolgenden Attacke allerdings nur geringfügig.

Basierend auf den erlangten Hypothesen von K0 können die restlichen Bytes desSchlüssels K mittels Brute-Force bestimmt werden. Die nachfolgenden Schrittebestimmten den korrekten Schlüssel K allerdings nur, wenn die Hypothese von K0korrekt war.

Um die Schlüsselbytes K1, ...,K7 zu bestimmen, werden einige weitere Bytes desSchlüsselstromes untersucht, wobei sich die nächsten Schritte auf die F -Funktionfokussieren. Für jedes K j mit j ∈ {0,1, ...,7} für das bereits eine Hypothese besteht,können die zugehörigen Bytes (Zi+ j,Zi+ j−1,Zi+ j−8)28 des Schlüsselstromes miti ∈ {8,23,38, ...} verwendet werden um folgende Gleichung zu berechnen:

α = N ( j mod 2,K j⊕Zi+ j−1).

Existiert noch keine plausible Hypothese für Kk mit k = T1(α) kann durch allemöglichen Werte δ ∈ {0,1, ...,255} iteriert und die Ausgabe der Chiffre berechnetwerden. Stimmt für ein δ die Ausgabe der Chiffre mit Zi+ j überein, so ist δ dieHypothese für Kk. Dies kann für verschiedene i-Werte wiederholt werden, bis fürjedes Byte des Schlüssels und somit für den kompletten Schlüssel K eine Hypo-these aufgestellt wurde. Da die Gültigkeit der Hypothese für den Schlüssel Kkomplett auf der Richtigkeit von K0 basiert, muss im Folgenden jeder Schlüssel-kandidat verifiziert werden, indem der Schlüsselstrom generiert und mit demAusgangsschlüsselstrom verglichen wird.

Die Gesamtkomplexität dieser Attack basiert auf der Anzahl der Hypothesen fürK0. Bei 15−20 Schlüsselstrom-Frames rangiert das korrekte Byte von K0 norma-lerweise unter den besten Hypothesen, sodass im Durchschnitt für den gesamtenSchlüssel (7 ·28)/2≈ 210 einzelne Hypothesen für die fehlenden Bytes des Schlüs-sels verifiziert werden müssen.

Je mehr Schlüsselstrom-Frames existieren, um die Hypothesen von K0 zu testen,um so eher kann der korrekte Wert von K0 bestimmt werden. Grundsätzlich kön-nen aber auch alle 28 möglichen Werte für K0 getestet werden, was die Länge des

Page 59: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

3.7 Übungen Seite 53

benötigten Schlüsselstroms auf 400–500 Bits reduziert, allerdings die Gesamtkom-plexität auf (7 ·28 ·28)/2≈ 218 erhöht.

3.6.6 Kontrollaufgaben

In diesem Abschnitt befinden sich verschiedene Kontrollaufgabe, die die Inhaltder vorherigen Abschnitte auffassen und daher zur Vertiefung des Stoffs beitragensollen.

KKontrollaufgabe 3.5: Lookup-Tabelle

Wozu dient eine Lookup-Tabelle?

KKontrollaufgabe 3.6: Schlüsselstrom Zl

In welche Funktionen und Register fließt der Schlüsselstrom Zl mit ein?

3.7 Übungen

ÜÜbung 3.1: LFSR

Was ist die Aufgabe eines LFSRs? Was wird durch das Feedback-Polynomdefiniert?

ÜÜbung 3.2: A5-Algorithmus

Warum ist der A5-Algorithmus typischerweise eine Strom- und keine Block-chiffre?

Page 60: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so
Page 61: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Studienbrief 4 Sicherheitsaspekte von DECT Seite 55

Studienbrief 4 Sicherheitsaspekte von DECT

4.1 Lernziele

Sie kennen den Aufbau des DECT-Standards und können sowohl Vor- als auchNachteile vonDECTbenennen.Weiterhin können SieUnterschiede zwischenDECTund anderen Mobilfunkstandards wie GSM / UMTS erläutern. Abschließendkönnen Sie die Sicherheitsarchitektur von den DECT-Standard skizzieren.

4.2 Advanced Organizer

Wie wird der DECT-Standard im Mobilfunk eingesetzt und welche Sicherheits-merkmale werden angewandt? In diesem Studienbrief werden der Aufbau unddie verwendeten kryptographischen Protokolle des DECT-Standards aufgezeigtund Schwachstellen erläutert.

4.3 Einleitung

In diesem Studienbrief wird der DECT-Standard vorgestellt, welcher imMobilfunk-bereich für die Sprach- als auch Datenübertragung eingesetzt wird. Dazu werdenin einer Einführung die Grundlagen und Ziele von DECT benannt. Weiterfüh-rend wird der Aufbau und die Funktionsweise von DECT erläutert. Dies umfasstinsbesondere den Aufbau einer Datenübertragung und die Anwendung von Sicher-heitsmaßnahmen. Abschließend werden die verschiedene Sicherheitsmerkmalevon DECT-Standard vorgestellt.

4.4 Grundlagen

DECT steht für Digital Enhanced Cordless Telecommunications und ist ein internatio-nal etablierter Standard zur Übertragung von Daten mittels Funktechnik, primärfür die kabellose picozellulare Telefonie. DECT wurde vom European Telecommuni-cations Standards Institute (ETSI) entwickelt und löste im Jahr 1992 den analogenStandard CT1 (Cordless Telephone generation 1) sowie den digitalen StandardCT2 (Cordless Telephone generation 2) ab.

EExkurs 4.1: Namensgebung DECT

Die Abkürzung DECT stand ursprünglich für Digital European Cordless Tele-phone und wurde vom European Telecommunications Standards Institute als ein-heitlicher Standard für kabellose Telefonsysteme eingeführt. DECT erlangteüber die Zeit allerdings auch außerhalb Europas immer höhere Verbrei-tung. Weiterhin wurden neben der Telefonie weitere Anwendungsgebieteerschlossen, sodass der Standard in Digital Enhanced Cordless Telecommunica-tions umbenannt wurde.

Das Design des DECT-Standards legt besonderen Fokus darauf, eine Vielzahl un-terschiedlicher Telekommunikationsdienste und Anwendungen zu unterstützen.Speziell für die Zusammenarbeit mit bereits bestehenden Netzen wie dem analo-gen Telefonnetz oder ISDN wurden Zugriffsprotokolle und Anwendungsprofiledefiniert. Die Minimalanforderungen für diese Anwendungsprofile wurden imGeneric Access Profil (GAP) zusammengefasst, welches ab dem Jahr 1997 von allenAnbietern von DECT-Infrastruktur wie Basisstationen und mobilen Endgerätenunterstützt werden muss. Die Einführung von GAP ermöglicht beispielsweise dieKombination von Basisstationen und mobilen Geräten verschiedener Hersteller.

Page 62: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 56 Studienbrief 4 Sicherheitsaspekte von DECT

Auf GAP aufbauend sind weitere Profile entwickelt worden, welche unter anderemdie Kommunikation zwischen DECT und GSM- oder ISDN-Netzen erlauben.

BBeispiel 4.1: DECT/GSM Interworking Profil (GIP)

Das DECT/GSM Interworking Profil (GIP) erlaubt die Kommunikation zwi-schen DECT-Systemen mit GSM-Systemen, sodass Teilnehmer eines DECT-Systems GSM-Dienste wie SMS verwenden können.

Weiterhin sollen mit dem DECT-Standard unter anderem folgende Ziele erreichtwerden:

• Netzwerkweite Mobilität mittels automatischem Handover

• Einsparung von Frequenzen durch Nutzung eines exklusiven Frequenz-bands

• Sowohl für Sprach- als auch Datenübertragung nutzbar

• Verbesserte Sprachqualität

• Gleichzeitiger Betrieb mehrerer mobiler Endgeräte

• Herstellerunabhängige Nutzung von mobilen Endgeräten an gleicher Basis-station

• Abhör- und Ausfallsicherheit

4.5 Systemdesign

EinDECT-Systembesteht imAllgemeinen aus einem Fixed Part (FP) und einemodermehreren mobilen Endgeräten, im Folgenden Portable Parts (PP) genannt [Lüd01].Im Heim- und Bürobereich besteht der Fixed Part meist aus einer oder mehrerenBasisstationen, nachfolgend Radio Fixed Part (RFP) genannt, die die funktechnischeVersorgung von Innen- und Außenbereichen bereitstellen. Bei dem Betrieb vonmehreren Radio Fixed Parts werden diese meist über ein lokales Netz miteinanderverbunden, sodass ein mobiles Endgerät automatisch zwischen den Basisstationenwechseln kann, sollte einmobiles Endgerät die Reichweite eines RFPs verlassen. DieReichweite eines Radio Fixed Parts beträgt innerhalb von Gebäuden typischerweise30 bis 50 Meter. Im Freien erhöht sich die Funkreichweite auf bis zu 300 Meter.

Abbildung 4.1 stellt ein Beispiel eines einfachen DECT-Systems mit einem FixedPart und drei mobilen Endgeräten dar, welche mittels Funktechnik miteinanderkommunizieren. Der Fixed Part besteht hierbei aus dem Radio Fixed Part, einerDatenbank in der die mobilen Endgeräte registriert sind, einer Interworking Unit(IWU), welche das DECT-System mit externen Netzen wie ISDN verbindet, undeinem Central Control Fixed Part (CCFP), der die einzelnen Komponenten des FixedParts miteinander verbindet.

4.5.1 DECT-Referenzmodell

Das DECT-Referenzmodell in Abbildung 4.2 wurde dem ISO/OSI-Modell nach-empfunden und entspricht imwesentlichen den drei unteren SchichtenPhysical,Da-ta Link und Network des ISO/OSI-Modells [Lüd01, Wal01b]. Die Sicherungsschicht(Data Link Layer) des ISO/OSI-Modells wurde in die zwei SchichtenMediumAccessControl (MAC) undData Link Control (DLC) unterteilt, da das ÜbertragungsmediumFunk häufigen Qualitätsschwankungen unterliegt und weiterhin der Kanalaufbauund -zugriff ein vielfach durchzuführender Prozess darstellt.

Page 63: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

4.5 Systemdesign Seite 57

Abb. 4.1: Beispiel einesDECT-Systems im Heim-bereich aus [Lüd01].

Abb. 4.2: DECT Re-ferenzmodell aus[Lüd01, Wal01b].

Im Folgenden werden die wichtigsten Eigenschaften der einzelnen Schichten vor-gestellt.

Physikalische Schicht

Die physikalische Schicht von DECT ist für die Realisierung der Übertragungskanä-le über das Funknetz zuständig. DECT operiert dazu in Europa im Frequenzband1880 MHz bis 1900 MHz [Lüd01, For97, Wal01b]. Im Gegensatz zu beispielsweiseGSM wird für die Nutzung dieses Frequenzbandes keine Lizenz benötigt. DECTverwendet für die Übertragung der Daten dieMulti Carrier (MC), Time DivisionMul-tiple Access (TDMA) und Time Division Duplexing (TDD) Nachrichtenübertragungs-verfahren. Dabei wird wie in Abbildung 4.3 dargestellt das Frequenzspektrum vonDECT in 10 Frequenzträger (MC) mit einemAbstand von 1728 kHz eingeteilt. JederTräger ist in 24 Zeitschlitze (TDMA) unterteilt, die sich alle 10 ms wiederholen.Die Zeitschlitze sind weiterhin in zwei Hälften mit 5 ms Zeitunterschied aufgeteilt(TDD), wobei die ersten 12 Zeitschlitze zumeist für die Datenübertragung desFixed Parts (Downlink) und die weiteren 12 Zeitschlitze für die Daten der PortableParts (Uplink) reserviert sind. Bei einem typischen DECT-Sprachdienst werdenwie in Abbildung 4.3 rot markiert zwei Zeitschlitze zum Aufbau einer Duplex-verbindung verwendet, welche auf der gleichen Trägerfrequenz liegen müssenund um 12 Zeitschlitze (5 ms) versetzt sind. Der Fixed Part überträgt die Daten indiesem Beispiel somit auf Frequenzträger 3 in Zeitschlitz 2; der Portable Part um12 Zeitschlitze versetzt in Zeitschlitz 14.

Page 64: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 58 Studienbrief 4 Sicherheitsaspekte von DECT

Abb. 4.3: DECT Zeit-/ Frequenzspek-

trum aus [Lüd01].

Die TDMA-Struktur erlaubt bis zu 12 simultane Duplex-Sprachverbindungen proTrägerfrequenz. Bei Datendiensten können Zeitschlitze allerdings auch gebündeltwerden, sodass beispielsweise 23 Zeitschlitze für den Downlink (mit einer maxima-len Datenrate von 552 kbit/s) und ein Zeitschlitz für den Uplink bzw. Rückkanalverwendet werden.

Pro Zeitschlitz können bei einer TDMA-Rahmendauer von 10 ms und einer Bitratevon 1152 kbit/s (Modulationsrate bei DECT) maximal 480 Bits an Daten in Formvon physikalischen Paketen (Physical Packets) übertragen werden. Abbildung 4.4stellt das hauptsächlich eingesetzte Basic Physical Packet dar.

Abb. 4.4: Aufbau einesBasic Physical Packetsaus [Lüd01].

• Das S-Feld wird zur Synchronisation des Empfängers verwendet.

• Das 64-bit große A-Feld enthält in den ersten 48 Bits Steuer-, Kontroll- undSysteminformationen wie die unterstützten Frequenzträger, die Identitäteines RFPs (Radio Fixed Part Identifier, kurz RFPI, ähnlich zur SSID inWirelessLans) oder Signalisierungsinformationen aus höheren Schichten. In dennachfolgenden 16 Bits wird der aus den ersten 48 Bits berechnete CRCabgelegt, sodass beim Empfänger eine Fehlererkennung für das A-Felddurchgeführt werden kann.

Page 65: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

4.5 Systemdesign Seite 59

• Das B-Feld enthält die zu übertragenden Nutzdaten entweder ungeschützt,sodass bis zu 320 Bits an Daten innerhalb eines Paketes übertragen werden(beispielsweise Sprachdaten), oder geschützt, sodass der Datenbereich invier 64-bit große Datenblöcke und vier 16-bit CRC-Felder unterteilt wirdund somit pro Paket 256 Bits an Daten übertragen werden können.

• Das 4-bit große X-Feld wird zur Fehlererkennung des B-Feldes verwendet.

• Grundsätzlich werden von den 480 Bits eines Paketes 60 Bits für die sogenannte Guard Period (GP-Feld) verwendet. Dieses Datenfeld vermeidetÜberschneidungen von mehreren physikalischen Paketen bei benachbartenZeitschlitzen, beispielsweise bei Synchronisationsungenauigkeiten.

E Exkurs 4.2: Vergleich der Pakete von DECT und GSM

In DECT transportiert jedes Basic Physical Packet sowohl Steuer- als auchNutzdaten. Im GSM-Standard überträgt ein Burst entweder nur Steuer- oderNutzdaten.

Zugriffssteuerungsschicht (MAC)

DieMedium Access Control Schicht (MAC) ist für den Aufbau, Aufrechterhaltungund Abbau der physikalischen Kanäle (MAC-Bearer) für die höheren Schichtenverantwortlich. Weiterhin fügt die MAC-Schicht zu jedem Paket Anwendungs- undDienstspezifische Steuerdaten hinzu und sichert die verschiedenen Datenfelder inden zu übertragenden Paketen mit Hilfe der zyklischen Codes (CRC) ab, sodassder Empfänger Übertragungsfehler in einem Paket detektieren kann.

Sicherungsschicht (DLC)

Wie in Abbildung 4.2 dargestellt, teilt sich die Data Link Control Schicht (DLC)in zwei Bereiche. In der DLC-Schicht für den Transport für Signalisierung findetähnlich zur MAC-Schicht eine Fehlersicherung statt, sodass die Übertragungs-qualität und -zuverlässigkeit verbessert wird. Die zweite DLC-Schicht steuert dieÜbertragung der Nutzerdaten und bietet verschiedene Dienste wie geschützteoder ungeschützte Datenübertragung und Datenratenanpassung an. Weiterhinsind die DLC-Schichten für die Aufbereitung der Daten aus den höheren Schich-ten zuständig, sodass diese entsprechend den Anforderungen an den Dienst (z.B.Sprach- oder Datendienst) mittels MAC-Bearer übertragen werden können.

Netzschicht (NWK)

Die Netzschicht verwaltet die Verbindungen zwischen einem Portable Part unddem Fixed Part in DECT und ist weiterhin für die Steuerung des Datenaustauschesverantwortlich. Hierzu bietet die Netzschicht unter anderemdie ProtokolleMobilityManagement (MM) und Call Control (CC) an.

• Das Mobility Management verwaltet alle Aufgaben und Eigenschaften diefür die Mobilität der Portable Parts benötigt werden. Dies umfasst die Teil-nehmeridentität, Authentisierung, Verschlüsselung und Verwaltung derAufenthaltsorte der PPs.

• Die Verbindungssteuerung (Call Control) verwaltet alle ein- und ausgehen-den Anrufe und die zugrundeliegenden Aufgaben wie Verbindungsaufbauund -abbau.

Page 66: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 60 Studienbrief 4 Sicherheitsaspekte von DECT

4.5.2 Kontrollaufgaben

In diesem Abschnitt befinden sich verschiedene Kontrollaufgabe, die die Inhaltder vorherigen Abschnitte auffassen und daher zur Vertiefung des Stoffs beitragensollen.

KKontrollaufgabe 4.1: TDMA-Struktur

Wieviele simultanen Duplex-Sprachverbindungen werden im DECT-Standard durch die TDMA-Struktur insgesamt ermöglicht?

K Kontrollaufgabe 4.2: Referenzmodell

Welchen drei Schichten im ISO/OSI-Modell entspricht das DECT-Referenzmodell?

4.6 Verbindungsverwaltung

Im Folgenden werden die einzelnen Betriebszustände der mobilen Endgeräteund der Basisstation erläutert und sowohl der Verbindungsaufbau als auch derHandovermechanismus in DECT illustriert.

4.6.1 Betriebszustände

Portable Part

Mobile Endgeräte in DECT können wie in Abbildung 4.5 dargestellt einen von vierBetriebszuständen annehmen [Wal01b]:

Abb. 4.5: Betriebszu-stände eines PP aus[Wal01b].

• Idle Unlocked: Das mobile Endgerät ist ausgeschaltet und kann sichdementsprechend zu keinem Radio Fixed Part verbinden.

• Active Unlocked: Das mobile Endgerät ist eingeschaltet aber mit keinemRFP verbunden und kann daher keine Anrufe annehmen oder tätigen. Indiesem Zustand sucht das PP nach einem geeigneten RFP mittels Empfangs-pegelmessungen, um in den Zustand Idle Locked überzugehen.

• Idle Locked: Das mobile Endgerät ist mit einem geeigneten RFP synchro-nisiert und kann Anrufe annehmen oder tätigen. Verlässt das PP den abge-deckten Funkbereich des RFPs, so wechselt der Zustand zurück in ActiveUnlocked und das PP sucht wiederum nach einem geeigneten RFP. Wirdder erste MAC-Bearer aufgebaut (beispielsweise bei einem Anruf), wechseltdas PP in den Zustand Active Locked.

• Active Locked: Das mobile Endgerät unterhält mindestens einen aktivenphysikalischen Kanal mit dem RFP. Bei Beendigung der Verbindung wech-selt das PP zurück in den Zustand Idle Locked.

Page 67: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

4.6 Verbindungsverwaltung Seite 61

Fixed Part

Die Basisstation in DECT kann wie in Abbildung 4.6 dargestellt ebenfalls einenvon vier Betriebszuständen annehmen.

Abb. 4.6: Betriebs-zustände eines

FP aus [Wal01b].

• Inactive: Die Basisstation ist ausgeschaltet und kann dementsprechendkeine Nachrichten versenden oder empfangen.

• Active Idle: Die Basisstation betreibt keine aktiven Verbindungen undstrahlt einen Dummy-Bearer mit Systeminformationen im A-Feld (vgl. Ab-bildung 4.4) aus, welcher von den PPs empfangen und zur Synchronisationmit der Basisstation verwendet wird.

• Active Traffic: Die Basisstation betreibt mindestens einen aktiven physi-kalischen Kanal mit einem PP und sendet den Dummy-Bearer nicht aus.

• Active Traffic & Idle: Die Basisstation betreibt mindestens einen akti-ven physikalischen Kanal mit einem PP und sendet ebenfalls den Dummy-Bearer aus.

4.6.2 Verbindung zwischen PP und FP

Ein mobiles Endgerät und die Basisstation müssen vor dem eigentlichen Informa-tionsaustausch (wie beispielsweise Sprachdaten) einen physikalischen Kanal auf-bauen. Anders als bei zellularen Mobilfunksystemen mit Kanalzuweisung mittelsfestem Algorithmus wendet DECT ein dynamisches Kanalwahlverfahren (DynamicChannel Selection) an, sodass jedem mobilen Endgerät theoretisch jeweils alle 12möglichen Zeitschlitze auf allen 10 Trägerfrequenzen (vgl. Abbildung 4.3) für denVerbindungsaufbau mit der Basisstation zur Verfügung stehen [Wal01b, Lüd01].

Dynamische Kanalwahl

Vor dem Aufbau eines physikalischen Kanals zwischen einem mobilen Endgerätund einer Basisstation ist es die Aufgabe des PPs, die Signalpegel aller Kanäle derin Reichweite befindlichen Basisstationen bzw. RFPs zu messen. Das PP erhältdurch regelmäßig durchgeführte Scans (mindestens einmal alle 30 Sekunden, auch

Page 68: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 62 Studienbrief 4 Sicherheitsaspekte von DECT

bei bereits aktiven Verbindungen) eine Liste mit allen freien bzw. verwendetenKanälen der umliegenden Basisstationen. Im Anschluss an die Messungen führtdas mobile Endgerät bis zu drei Versuche von Verbindungsaufbauten mit demRFP durch, für das die beste Signalstärke gemessen worden ist. Schlagen diese Ver-bindungsversuche fehl, so wechselt das mobile Endgerät zu der nächst-stärkerenBasisstation und wiederholt die Verbindungsversuche.

Die Kanalwahl für den Verbindungsaufbau wird durch die gemessenen Signalpe-gel (Radio Signal Strength Indicator) der einzelnen Kanäle bestimmt und unterliegteinigen Einschränkungen [Lüd01]. Diese werden im Folgenden anhand eines Bei-spieles in Abbildung 4.7 verdeutlicht.

Abb. 4.7: Kanalwahl inDECT aus [Lüd01].

Die schwarz markierten Bereiche stellen die Zeitschlitze dar, die bereits von akti-ven Verbindungen verwendet werden. Im Beispiel wird sowohl Zeitschlitz 2 aufFrequenzträger 4 als auch Zeitschlitz 9 auf Frequenzträger 1 aktiv genutzt.

Besteht eine Basisstation lediglich aus einer Sende- und Empfangseinheit (Tran-sceiver), so kann dieser RFP pro Zeitschlitz lediglich mit einem mobilen Endgerätkommunizieren und somit insgesamt nur 12 statt der 120 möglichen Duplexkanälenutzen. Die Ursache liegt darin begründet, dass ein Transceiver pro Zeitschlitznur auf einer Trägerfrequenz senden bzw. empfangen kann und Daten auf denübrigen 9 Trägerfrequenzen im gleichen Zeitschlitz nicht abgerufen und verarbeitetwerden können. Belegt ein PP einen Kanal auf einer Trägerfrequenz, so werden dieanderen Kanäle auf den übrigen neun Trägerfrequenzen im gleichen Zeitschlitzals Blind Slot bezeichnet. In Abbildung 4.7 sind diese nicht-nutzbaren Zeitschlitzegrau markiert.

Führt einmobile Endgerät die Signalmessungenwährend einer aktivenVerbindungdurch (im Beispiel in Zeitschlitz 5 auf Frequenzträger 5 rot markiert), so kann dasGerät in diesem Zeitschlitz keine Signalpegel der anderen neun Frequenzträgermessen.Weiterhin könnenmanche Endgeräte aufgrund vonHardware-technischenEinschränkungen die Zeitschlitze vor und nach dem aktiv genutzten Zeitschlitznicht für Signalpegelmessungen verwenden.

Verbindungsaufbau

In DECT baut grundsätzlich das mobile Endgerät eine Verbindung auf. Nachdemder PP wie im vorherigen Abschnitt aufgezeigt den bestmöglichen Kanal für eineneue Verbindung ausgewählt hat, initiiert dieser den Verbindungsaufbau mitHilfe der Synchronisationsinformationen in den von der Basisstation versendetenDummy-Bearer Paketen. Die Basisstation ihrerseits scannt kontinuierlich die freienKanäle nach Verbindungsanfragen.

Page 69: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

4.6 Verbindungsverwaltung Seite 63

Der eigentliche Verbindungsaufbau findet wie in Abbildung 4.8 dargestellt inder MAC-Schicht durch einen Connection Request statt [Wal01b]. Diese Verbin-dungsanfrage initiiert eine Bearer Request Nachricht, in der das mobile Endgerätbei der Basisstation auf dem ausgesuchten Kanal einen Bearer anfordert. Ist dieBasisstation noch nicht für den Verbindungsaufbau bereit, sendet sie eine WaitNachricht an den PP, welcher diese Nachricht erwidert. Abgeschlossen wird dieerste Phase des Verbindungsaufbaus mittels der Bearer ConfirmNachricht, diedem PP signalisiert, dass die Basisstation für die weiteren Übertragungen bereitist. Im anschließenden Verlauf werden die Verbindungsaufbaunachrichten derVerbindungssteuerung (Call Control) in der Netzschicht (vgl. Abschnitt 4.5.1)ausgetauscht, um den Verbindungsaufbau abzuschließen.

Abb. 4.8: Verbindungs-aufbau zwischen PP

und FP aus [Wal01b].

Wie bereits erwähnt, initiiert in DECT das mobile Endgerät den Verbindungsauf-bau, beispielsweise um einen Anruf zu tätigen. Dies führt zu dem Problem, dassbei eingehenden Anrufen die Basisstation keine Verbindung zum mobilen Endge-rät aufbauen kann. Als Lösung verwendet DECT sogenannte Paging-Nachrichtenmit der Identität des mobilen Endgerätes, die von allen PPs empfangen werden.Das Endgerät mit der passenden Identität baut nach Empfang einer solchen Nach-richt eine neue Verbindung zur Basisstation auf, um den Anruf in Empfang zunehmen.

4.6.3 Handover

Eine Anforderung an den DECT-Standard ist die netzwerkweite Mobilität mit-tels automatischen Handover-Mechanismen, sodass sich Teilnehmer eines DECT-Systems frei in den mittels Funktechnik versorgten Gebieten bewegen können.Weiterhin finden Handover wie beispielsweise in GSM statt, wenn aufgrund vonQualitätseinbußen der bestehenden Verbindung entweder der genutzte Kanal(Intra-Cell Handover) oder die Basisstation (Inter-Cell Handover) gewechselt wer-den muss.

Weiterhin werden Handover in die folgenden zwei Typen unterteilt:

• Internal Handover: Bei einem internen Handover wechselt das mobileEndgerät von Basisstation RFP1 zu RFP2, wobei sich beide RFPs in demgleichen DECT-System befinden. Handover dieses Typs finden in der MAC-

Page 70: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 64 Studienbrief 4 Sicherheitsaspekte von DECT

oder DLC-Schicht statt. Interne Handover werden zumeist seamingless durch-geführt. Dies bedeutet, dass ein alter Kanal erst dann abgebaut wird, wennein neuer Kanal bereits aufgebaut und für eine gewisse Zeit die identischenDaten über beide Verbindungen übertragen worden sind.

• External Handover:Wechselt ein mobiles Endgerät zwischen verschiede-nen in sich geschlossenen DECT-Systemen (mit unterschiedlichen FixedParts), findet der Handover extern statt. Dieser Wechsel wird im MobilityManagement der Netzschicht (vgl. Abschnitt 4.5.1) durchgeführt, wobei esim Gegensatz zum internen Handover zu einem kurzzeitigen Verlust derVerbindung kommen kann.

Ähnlich zum Verbindungsaufbau wird ein Handover immer durch ein mobilesEndgerät initiiert. Stellt eine Basistation eine schlechte Verbindungsqualität fest,signalisiert diese dem PP, einen Handover zu initiieren.

4.6.4 Kontrollaufgaben

In diesem Abschnitt befinden sich verschiedene Kontrollaufgabe, die die Inhaltder vorherigen Abschnitte auffassen und daher zur Vertiefung des Stoffs beitragensollen.

K Kontrollaufgabe 4.3: Dummy-Bearer

Aus welchem Grund sendet eine Basisstation den Dummy-Bearer?

K Kontrollaufgabe 4.4: Handover

Wieso kann es bei einem externen Handover zu Verbindungsabbrüchenkommen?

4.7 Sicherheit in DECT

Die Nutzung von Telefonie über Funk bietet ein hohes Maß an Flexibilität imBereich Mobilität, allerdings birgt die Übertragung über Funk ebenfalls ein hohesPotential an Risiken wie beispielsweise das Abhören von Gesprächen. DECT bietetzum Schutz vor Angriffen verschiedene Maßnahmen wie Authentisierung undVerschlüsselung an, welche im Folgenden vorgestellt werden.

4.7.1 Architektur

Abbildung 4.9 stellt ein vereinfachtes Modell der Sicherheitsarchitektur vonDECT dar. Grundsätzlich verwendet DECT zwei proprietäre Algorithmen, die dieAuthentisierungs- als auch Verschlüsselungsfunktionen übernehmen.

• DECT Standard Authentication Algorithm (DSAA): DerDSAA-Algorithmusbesteht aus den vier Funktionen A11, A12, A21 und A22 und wird fürdie Authentisierung der Basisstation als auch der mobilen Endgeräteangewandt. Weiterhin fließen Ergebnisse der A11 und A12 Funktionen inden Schlüsselerzeugungsprozess der Verschlüsselung ein.

• DECT Standard Cipher (DSC): Der DSC-Algorithmus ist eine asynchrone64-Bit Stromchiffre, die mit einem 35-bit Initialisierungsvektor und irregulärgetakteten linearen rückgekoppelten Schieberegistern (LFSR) arbeitet undden Schlüsselstrom für die Sprach- und Datenverschlüsselung erzeugt.

Page 71: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

4.7 Sicherheit in DECT Seite 65

Abb. 4.9: ÜberblickSicherheitsarchi-

tektur aus [ETS11].

4.7.2 Authentisierung

Bevor ein mobiles Endgerät an einer Basisstation verwendet werden kann und sichgegenüber der Basisstation authentisiert, muss das Endgerät bei der Basisstationregistriert werden.

Registrierung

Bei der Registrierung gibt der Benutzer einen geheimen PIN-Code sowohl beidem mobilen Endgerät als auch bei der Basisstation ein. Nachfolgend werdenüber Funk eindeutige Identifikationsnummern der Geräte ausgetauscht und beideSeiten erzeugen einen geheimen Authentisierungsschlüssel, welcher bei späterenVerbindungsaufbauten verwendet wird. Dieser Schlüssel wird grundsätzlich nichtmittels Funk übertragen.

Mobile Endgeräte können in verschiedenen DECT-Systemen registriert sein. Mitjeder Registrierung des PPs in einem neuen DECT-System wird ein eigener ge-heimer Authentisierungsschlüssel erzeugt und im PP abgelegt. Mobile Endgerätebuchen sich somit lediglich in die DECT-Systeme ein, für die sie registriert sind.

Portable Part

Die Authentisierung eines mobilen Endgerätes bei der Basisstation findet bei jedemVerbindungsaufbau mittels der Challenge-Response Technik statt. Dazu sendet dieBasisstation die zwei Parameter RS und RAND_F an das mobile Endgerät, wobeiRAND_F eine Zufallszahl ist, die sogenannte Challenge. Der Parameter RS wird fürdas Roaming zwischen verschiedenen Netzwerken verwendet, wird allerdings imFolgenden nicht genauer betrachtet. Der PP verwendet die DSAA AlgorithmenA11 und A12 und errechnet aus den beiden Parametern der Basisstation und demgeheimen Authentisierungsschlüssel die Response RES1 und leitet diese an dieBasisstation. Wie in Abbildung 4.10 dargestellt führt die Basisstation ihrerseitsebenfalls die Berechnung von Zufallszahl, Parameter RS und geheimen Authenti-sierungsschlüssel durch und vergleicht das Ergebnis der Berechnung XRES1 mitder Antwort von dem mobilen Endgerät. Stimmen diese Werte überein, hat sichdas mobile Endgerät erfolgreich gegenüber der Basisstation authentisieren.

Page 72: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 66 Studienbrief 4 Sicherheitsaspekte von DECT

Abb. 4.10: Authentisie-rung eines mobilen End-gerätes aus [ETS11].

Fixed Part

Die Authentisierung einer Basisstation bei einem mobilen Endgerätes ähnelt demvorherigen Authentifizierungsmechanismus. Das mobile Endgerät sendet wie inAbbildung 4.11 dargestellt die Zufallszahl RAND_P an das mobile Endgerät. DieBasisstation verwendet die DSAA Algorithmen A21 und A22 und berechnet dieResponse RES2. Diese wird zusammen mit dem Roamingparameter RS an dasmobile Endgerät gesendet, welches ebenfalls die Berechnungen durchführt unddas Ergebnis mit der Antwort der Basisstation vergleicht.

Abb. 4.11: Authenti-sierung einer Basis-station aus [ETS11].

4.7.3 Verschlüsselung

DECT bietet die Möglichkeit, den Datenstrom von Daten- und Sprachnachrichtenzwischen Basisstation und mobilem Endgerät zu verschlüsseln. Dafür generierensowohl die Basisstation als auch das mobile Endgerät während der Authentisie-rungsphase einen Schlüssel mit Hilfe der DECT Standard Cipher. Dieser generiertnachfolgend einen Schlüsselstrom für die Verschlüsselung der Daten- und Sprach-nachrichten.

Abb. 4.12: Vereinfach-te Darstellung der Ver-schlüsselung in DECT aus[For97].

4.7.4 Angriffe auf DECT

Der DECT-Standard bietet durch eine eher unausgereifte Sicherheitsarchitekturverschiedene Angriffsmöglichkeiten. Angriffe werden zum einen dadurch ermög-licht, dass grundsätzlich mobile Endgeräte die Verschlüsselung des Sprach- undDatenstroms initiieren müssen und dies nicht durch die Basisstation gefordertwerden kann. Der Einsatz von verschlüsseltem Datenstrom ist in DECT allerdingsoptional und bei einer Vielzahl vonmobilen Geräten standardmäßig deaktiviert, so-dass ein Angreifer auf einfacheWeise den Funkverkehr abhören und mitschneidenkann. Selbst wenn ein mobiles Endgerät den Datenstrom verschlüsseln will, kanndie Basisstation die Verschlüsselung ablehnen. In vielen Fällen stellt das mobileEndgerät die Verbindung zur Basisstation dennoch her, sodass der Funkverkehrebenfalls unverschlüsselt durchgeführt wird und abgehört werden kann.

Page 73: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

4.7 Sicherheit in DECT Seite 67

In DECT ist neben der Verschlüsselung auch die Authentisierung der Basisstationgegenüber demmobilen Endgerät optional [LST+09]. Dies erlaubt einemAngreifersich als Basisstation auszugeben, indem er die Radio Fixed Part Identity fälscht unddie Authentisierung des mobilen Endgerätes (vgl. Abbildung 4.10) ohne Prüfungakzeptiert. Anschließend kann die gefälschte Basisstation die Verschlüsslung desDatenstroms ablehnen und den Sprach- und Datenstrom mitschneiden.

Neben diesen Angriffen existieren eine Reihe weiterer Angriffe auf dieAuthentisierungs- und Verschlüsselungsalgorithmen DSAA und DSC.

Angriffe auf DSAA

Die genaue Funktionsweise des DECT Standard Authentication Algorithmswar biszum Jahr 2009 der Öffentlichkeit nicht bekannt und Informationen waren lediglichfür Hersteller von mobilen Geräten mittels einer Vertraulichkeitserklärung verfüg-bar. Einzig der Aufbau und die Parameter der DSAA Funktionen A11, A12, A21und A22 wurden veröffentlicht (vgl. Abbildung 4.9).

Im Jahr 2009 gelang es einer Gruppe von Forschern [LST+09] mit Hilfe von ReverseEngineering, die Arbeitsweisen und Sicherheitsmerkmale von DSAA aufzudecken.Die vier A-Funktionen des DSAA können wie in Abbildung 4.13 dargestellt alsWrapperfunktionen für den eigentlichen DSAA-Algorithmus angesehen werden,wobei DSAA einen 64-bit Zufallswert und einen 128-bit Schlüssel als Parametererwartet und ein 128-bit Ergebnis zurückliefert. Die Ausgabe wird im Anschlussvon den einzelnen Wrapperfunktionen modifiziert.

Abb. 4.13: Struk-tur der DSAA A-

Funktionen aus [LST+09].

• Funktion A11 liefert das vom DSAA generierte Ergebnis ohne Modifikationzurück.

• Funktion A21 invertiert jedes zweite Bit des DSAA-Ergebnisses, beginnendmit dem ersten Bit.

• Funktion A22 liefert die letzten 4 Bytes des DSAA-Ergebnisses zurück.

• Funktion A12 liefert wie A22 die letzten 4 Byte als Ausgabe zurück. Weiter-hin werden die mittleren 8 Bytes in einem zweiten Ergebniswert zurückge-geben.

Page 74: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 68 Studienbrief 4 Sicherheitsaspekte von DECT

Abbildung 4.14 stellt die Struktur des DSAA dar. Grundsätzlich kann der DSAA alsVerschaltung von vier sehr ähnlichen Blockchiffren, cassable genannt, verstandenwerden.

Abb. 4.14: Struktur vonDSAA [LST+09].

Diese Blockchiffren bestehen aus einem Substitutions-Permutations-Netzwerkmit 6 Runden, in denen der Schlüssel zuerst auf die Eingabe addiert, auf eineS-Box angewendet und anschließend das Resultat permutiert wird. Fatalerweisefolgt der 6. Runde keine finale Schlüsseladdition, sodass diese Runde invertierbarist und somit die Anzahl der effektiven Runden auf 5 reduziert wird. Weiterhinwurden in der S-Box weitere kryptographische Einschränkungen gefunden, dadiese die Tendenz hat, das niederwertigste Bit einer Eingabe zu invertieren. MitHilfe von differenzieller Kryptoanalyse und wenigen ausgewählten Klartextenkonnte die cassable Blockchiffren komplett gebrochenwerden, wobei drei Rundender Blockchiffre mit einem einzigen Klartext / Ciphertext-Paar angegriffen werdenkönnen [LST+09].

Zusammenfassend kann festgestellt werden, dass DSAA unsicher ist, da beispiels-weise diemittleren 64 Bits des DSAA-Ergebnisses auf denmittleren 64 Bits des Keysbasieren, wodurch triviale Angriffe gegen DSAA möglich sind. Unter anderemkönnen alle 128 Bits des Schlüssels mit maximal 264 Durchläufen von DSAA er-mittelt werden. Weitere Schwachstellen im Aufbau der Blockchiffren ermöglichenAngriffe mit einer Komplexität von weniger als 264.

Angriffe auf DSC

Ähnlich zum DSAA war die Funktionsweise der DECT Standard Cipher der Öf-fentlichkeit lange Zeit unbekannt. Im Jahr 2010 ist es Forschern [NTW10] mittelsReverse-Engineering gelungen, die Funktionsweise von DSC zu ermitteln.

Die DECT Standard Cipher ist eine asynchrone Stromchiffre, die mittels eines64-bit Schlüssels und einem 35-bit Initialisierungsvektor den Schlüsselstrom fürdie Verschlüsselung in DECT generiert. Intern arbeitet DSC wie in Abbildung 4.15dargestellt mit irregulär getakteten linear-rückgekoppelten Galois Schieberegis-tern R1, R2, R3 und R4 der Länge 17, 19, 21 und 23 Bits. Bits dieser vier LFSRswerden mittels einer Kombinierfunktion O und dem Ausgabebit y der Funktion Okombiniert und ergeben den finalen Schlüsselstrom.

Im Folgenden definiert xi, j das Bit des LFSR Ri an Position j, wobei xi,0 das Bit mitdem niederwertigsten Stellenwert beschreibt. Für jedes Bit der Ausgabe wird LFSRR4 drei Mal getaktet. Die restlichen drei LFSRs werden entweder zwei oder dreimal

Page 75: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

4.7 Sicherheit in DECT Seite 69

Abb. 4.15: Strukturvon DSC aus [NTW10]

(schwarz markierte Bitswerden bei Taktungsbe-

stimmung invertiert).

pro Ausgabebit getaktet. Die Taktung wird durch die nachfolgenden Gleichungenbestimmt, wobei ci die Anzahl der Taktungen für LFSR Ri bestimmt.

c1 = 2+(x4,0⊕ x2,9⊕ x3,10)

c2 = 2+(x4,1⊕ x1,8⊕ x3,10)

c3 = 2+(x4,2⊕ x1,8⊕ x2,9)

Die Kombinierfunktion O nutzt die zwei niederwertigsten Bits der LFSRs R1, R2und R3 in Kombination mit dem Ausgabebit y folgendermaßen:

O((x1,0,x1,1,x2,0,x2,1,x3,0,x3,1),y) = x1,1x1,0y⊕ x2,0x1,1x1,0⊕ x1,1y

⊕ x2,1x1,0y⊕ x2,1x2,0x1,0⊕ x3,0y

⊕ x3,0x1,0y⊕ x3,0x2,0x1,0⊕ x3,1y

⊕ x1,1x1,0⊕ x2,0x1,1⊕ x3,1x1,0

⊕ x2,1⊕ x3,1

Das Ausgabebit wird daher sowohl für die Verschlüsselung eines Datenbits alsauch als Eingabe y der Kombinierfunktion O genutzt.

In der Initialisierungsphase von DSC werden alle LFSRs und das Ausgabebit y auf0 gesetzt. Anschließend wird der 35-bit Initialisierungsvektor mit Nullen auf 64Bit aufgefüllt (die höherwertigen Bits werden auf Null gesetzt) und mit dem 64-bitSchlüssel CK konkateniert, um den Sessionkey K zu generieren.

K = Z(IV )||CK

Die Bits im Sessionkey K werden dann Bit für Bit in das jeweils höchstwertigeBit der vier LFSRs kopiert, wobei mit dem niederwertigsten Bit des Schlüssels Kbegonnen wird und die LFSRs pro übertragenen Bit einmal getaktet werden. ImAnschluss werden 40 Initialisierungsrunden durchgeführt, in denen die LFSRsgetaktet, die Ausgabe der Kombinierfunktion O allerdings verworfen wird. Sollteein LFSR nach 11 Runden komplett aus Nullen bestehen, wird das höchstwertigeBit des LFSR auf 1 gesetzt bevor die weiteren Runden getaktet werden.

Der DSC Algorithmus kann aufgrund der geringen Anzahl an Initialisierungs-runden mittels Clock-Guessing Attacken gebrochen werden. Ein ähnlicher Angriff(Ekdahl-Johansson Angriff) konnte bereits bei dem A5/1 Algorithmus von GSMerfolgreich durchgeführt werden. Weiterhin sind Known-Plaintext Angriffe aufDSC möglich, sodass der DSC Algorithmus aufgrund dieser zwei Schwachstel-len deutlich schwächer ist als beispielsweise der A5/1 Algorithmus von GSM,

Page 76: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 70 Studienbrief 4 Sicherheitsaspekte von DECT

obwohl einige Eigenschaften DSC deutlich stärker machen würden als den A5/1Algorithmus (vgl. Tabelle 4.1).

Die Sicherheit von DSC könnte deutlich verbessert werden, indem beispielsweisedie Anzahl der Initialisierungsrunden vergrößert werden und weiterhin eine Neu-Initialisierung des Schlüssels von Zeit zu Zeit stattfinden würde. Ähnlich zumDSAA wäre allerdings eine bessere Strategie, ein von Experten begutachteteskryptographisches Protokoll für die Verschlüsselung in der nächsten Version vomDECT-Standard zu nutzen.

4.7.5 Kontrollaufgaben

In diesem Abschnitt befinden sich verschiedene Kontrollaufgabe, die die Inhaltder vorherigen Abschnitte auffassen und daher zur Vertiefung des Stoffs beitragensollen.

K Kontrollaufgabe 4.5: Kryptographische Algorithmen

Benennen Sie die kryptographischen Algorithmen in DECT, deren Funktio-nen und ob deren Einsatz DECT kryptographisch sicher macht.

K Kontrollaufgabe 4.6: DSC Algorithmus

Wozu dient der LFSR R4 im DSC Algorithmus?

4.8 Übungen

ÜÜbung 4.1: DECT vs. CT1/CT2

Finden Sie heraus, aus welchen Gründen CT1 bzw. CT2 Ende 2008 verbotenwurden?

ÜÜbung 4.2: Unterschiede zwischen DECT und GSM

Erläutern Sie einige Unterschiede zwischen DECT und GSM.

ÜÜbung 4.3: Verschlüsselungsverfahren

Warum ist es nicht sinnvoll, wenn Verschlüsselungsverfahren wie bei DECTauf geheimen Algorithmen basieren?

ÜÜbung 4.4: DSAA

Nennen Sie ein kryptographisches Verfahren, welches die unsicherecassable Blockchiffre ersetzen könnte.

Page 77: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

4.8 Übungen Seite 71

Tabelle 4.1: Ver-gleich DSC und

A5/1 aus [NTW10].

DSC A5/1Anzahl LFSRs (Register) 4 3Anzahl irregulär getakteter LFSRs (Register) 3 3Kombinierfunktion nicht-linear linearFür Ausgabe genutzte Bits 7 3Für Taktung genutzte Bits 6 3Taktungsentscheidung 2/3 0/1Takte pro LFSR bis zum ersten Ausgabebit 80-120 0-100Durchschn. Takte pro LFSR bis zum ersten Ausgabebit 100 75Initialisierungsrunden 40 100

Page 78: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so
Page 79: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Studienbrief 5 Design mobiler Betriebssysteme Seite 73

Studienbrief 5 Design mobiler Betriebssysteme

5.1 Systemdesign

5.2 Besonderheiten mobiler Systeme

5.3 Fallstudie: iOS

5.4 Fallstudie: Android

5.5 Fallstudie: Analyse von Android Apps

Page 80: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so
Page 81: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Studienbrief 6 Verzeichnisse Seite 75

Studienbrief 6 Verzeichnisse

Page 82: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so
Page 83: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Liste der Lösungen zu den Kontrollaufgaben Seite 77

Liste der Lösungen zu den Kontrollaufgaben

Lösung zu Kontrollaufgabe 2.1 auf Seite 28

Das GSM-System besteht aus:

• Mobilstation1

• Base Transceiver Station1

• Base Station Controller1

• (Gateway) Mobile Switching Center

• Operation and Maintenance System

• Home Location Register

• Visitor Location Register

• Authentication Center

• Equipment Identification Register

Die mit 1 gekennzeichneten Komponenten bilden das Funk-Teilsystem.

Lösung zu Kontrollaufgabe 2.2 auf Seite 29

Ein Angreifer könnte folgendermaßen vorgehen:

• Passiv: Er lauscht alle Funk-Verbindungen mit und wartet, bis sich eineMobilstation erstmalig mittels IMSI in das GSM-Netz einbucht. Dies ist mög-lich, da beim erstmaligen Einbuchen die IMSI im Klartext an das GSM-Netzübertragen wird, um den teilnehmerspezifische Schlüssel zu bestimmen. Indieser Phase ist dementsprechend keine Verschlüsselung aktiv.

• Aktiv: Der Angreifer gibt sich als Basisstation aus und zwingt eine Mobil-station statt der TMSI die IMSI zu übertragen. Dies ist möglich, da sich dieBasisstation gegenüber der Mobilstation nicht authentisieren muss.

Lösung zu Kontrollaufgabe 2.3 auf Seite 29

Ein Angreifer könnte folgendermaßen vorgehen:

• Er nutzt Schwachstellen in den Verschlüsselungsroutinen aus.

• Er gibt sich als Basisstation aus und unterdrückt wie in Abbildung 2.8dargestellt die Verschlüsselung zwischen Mobil- und Basisstation.

Lösung zu Kontrollaufgabe 2.4 auf Seite 37

Das UMTS-System besteht aus:

• (Gateway) Mobile Switching Center

• Operation and Maintenance System

• Home Location Register

• Visitor Location Register

• Authentication Center

• Equipment Identification Register

Page 84: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 78 Liste der Lösungen zu den Kontrollaufgaben

Weiterhin wurden zur Unterscheidung zwischen GSM und UMTS neue Kompo-nenten eingeführt bzw. bestehende Komponenten umbenannt.

• UE: Das User Equipment besteht aus dem mobilen Endgerät und dem UMTSSubscriber Identity Modul (USIM).

• Node B: Der Node B entspricht im wesentlichen der GSM-Basisstation undübernimmt die funktechnische Versorgung.

• RNC: Der Radio Network Controller übernimmt die Aufgaben der BSCs inGSM und verwaltet mehrere Node B-Komponenten.

Lösung zu Kontrollaufgabe 2.5 auf Seite 37

Die Basisstation sendet die Parameter RAND und AUT N = (SQN ⊕AK,AMF,MAC).

• RAND: Zufallszahl

• SQN: Sequenznummer - Schutz vor Replayangriffen (Freshness)

• AK: Anonymity-Key

• AMF : Authentication and Key Management Field

• MAC: Message Authentication Code - Authentizität des GSM-Netzes

Nach Erhalt des Tuples (RAND,AUT N) berechnet die USIM zuerst den Anonymity-Key AK = f 5(Ki,RAND) und die Sequenznummer SQN = (SQN ⊕AK)⊕AK. ImAnschluss wird die MAC XMAC = f 1(Ki,SQN,RAND,AMF) berechnet und mit derin AUT N erhaltenen MAC des UMTS-Netzes verglichen. Bei Gleichheit verifiziertdie USIM, ob die erhaltene Sequenznummer SEQ mit Hilfe der gespeichertenSQNMS in einem gültigen Wertebereich liegt. Zuletzt berechnet die USIM RES =f 2(Ki,RAND), sendet diesen Wert zurück an die Basisstation und berechnet denCipher-Key CK = f 3(Ki,RAND) und den Integrity-Key IK = f 4(Ki,RAND).

Lösung zu Kontrollaufgabe 2.6 auf Seite 37

Die f 8-Funktion ist eine symmetrische Stromchiffre, welche den Schlüsselstromfür die Verschlüsselung der Daten in UMTS generiert. Die f 9-Funktion bildeteinen Message Authentication Code, welcher als Integritätsschutz einer Nachrichtdient.

Beide Funktionen nutzen die Kasumi-Chiffre.

Lösung zu Kontrollaufgabe 3.1 auf Seite 45

Der A3-Algorithmus führt die Challenge-Response Berechnungen während derAuthentisierungsphase durch, wohingegen der A8-Algorithmus den SessionkeyKc generiert.

Lösung zu Kontrollaufgabe 3.2 auf Seite 45

Satellitentelefone bestehen häufig aus einem Standard-Mikroprozessor, einemdedizierten digitalen Signalprozessor, Speicher und weiterer Peripherie.

Page 85: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Liste der Lösungen zu den Kontrollaufgaben Seite 79

Lösung zu Kontrollaufgabe 3.3 auf Seite 51

Der R4 LFSR spielt bei der Bestimmung der Taktungen für die LFSRs R1, R2 undR3 eine Rolle, fließt aber nicht direkt mit in die Majority-Funktionen ein.

Lösung zu Kontrollaufgabe 3.4 auf Seite 51

Der Initialisierungsvektor wird aus der Frame-Nummer und dem Sessionkey Kcberechnet und hat die Aufgabe, die LFSRs vor der Generierung des Schlüsselstromsin einen initialen Zustand zu überführen.

Würde jeder Teilnehmer einen eigenen Initialisierungsvektor verwenden (ohnediesen mit dem Netzwerk zu teilen), könnte der Satellitenbetreiber die von einemTeilnehmer verschlüsselten Nachrichten nicht entschlüsseln. Ebenso könnte auchder Teilnehmer die Nachrichten vom Satellitenbetreiber nicht entschlüsseln, da derA5-GMR-1-Algorithmus auf jeder Seite einen anderen Schlüsselstrom erzeugenwürde.

Lösung zu Kontrollaufgabe 3.5 auf Seite 60

Lookup-Tabellen spezifizieren in Rechenoperationen häufig genutzte statischeWerte, um deren Berechnungen während der Laufzeit einzusparen.

Lösung zu Kontrollaufgabe 3.6 auf Seite 60

Der Schlüsselstrom fließt direkt in die Berechnungen der F -Funktion ein undwirdweiterhin in das Statusregister an Position S0 getaktet.

Lösung zu Kontrollaufgabe 4.1 auf Seite 66

Die TDMA-Struktur erlaubt bis zu 12 simultanen Duplex-Sprachverbindungenpro Trägerfrequenz und damit einhergehend insgesamt 120 gleichzeitigen Sprach-verbindungen im DECT-Standard.

Lösung zu Kontrollaufgabe 4.2 auf Seite 66

Das DECT-Referenzmodell entspricht den drei Schichten Physical, Data Link undNetwork des ISO/OSI-Modells.

Lösung zu Kontrollaufgabe 4.3 auf Seite 71

Der Dummy-Bearer enthält System- und Synchronisationsinformationen für diemobilen Endgeräte, sodass diese sichmit demTakt der Basisstation synchronisierenkönnen.

Lösung zu Kontrollaufgabe 4.4 auf Seite 71

Bei einem externen Handover wird der Fixed Part des mobilen Endgerätes ge-wechselt. Bei dem Übergang von altem zum neuen FP müssen Prozesse wie bei-spielsweise Verschlüsselung gestoppt und neu synchronisiert werden, sodass einSeamingless-Handover nicht garantiert werden kann.

Lösung zu Kontrollaufgabe 4.5 auf Seite 79

DECT verwendet den DECT Standard Authentication Algorithm für die Authentisie-rung und die DECT Standard Cipher für die Generierung des Schlüsselstromes. Bei

Page 86: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 80 Liste der Lösungen zu den Kontrollaufgaben

beiden Algorithmen konnten die Funktionsweisen mittels Reverse-Engineeringermittelt und analysiert werden.Weiterhin wurden in beiden AlgorithmenmassiveSchwachstellen und Sicherheitslücken entdeckt, sodass sowohl Authentisierungals auch Verschlüsselung in DECT nicht kryptographisch sicher sind.

Lösung zu Kontrollaufgabe 4.6 auf Seite 79

Der LFSR R4 spielt lediglich bei der Bestimmung der Taktungen für die LFSRs R1,R2 und R3 eine Rolle und fließt nicht direkt mit in die Kombinierfunktion ein.

Page 87: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Liste der Lösungen zu den Übungen Seite 81

Liste der Lösungen zu den Übungen

Übungsaufgaben zu Studienbrief 2

Lösung zu Übung 2.1 auf Seite 38

• Der Angreifer gibt sich gegenüber der Mobilstation als Basisstation undgegenüber dem Netz als Mobilstation des Opfers aus.

• Das GSM-Netz sendet die Authentisierungsanfrage RAND an den Angreifer.

• Der Angreifer leitet RAND an die Mobilstation.

• Die Mobilstation berechnet die Response SRES und sendet diese dem An-greifer.

• Der Angreifer leitet SRES an das GSM-Netz weiter und ist authentisiert.

• Das GSM-Netz initiiert eine A5/1 bzw. A5/3-Verschlüsselung mit demAngreifer, wobei der Angreifer zu diesem Zeitpunkt Kc noch nicht kennt.

• Der Angreifer initiiert eine A5/2-Verschlüsselung mit der Mobilstation.

• Mittels Ausnutzung des Angriffes auf A5/2 berechnet der Angreifer inner-halb weniger Sekunden den Schlüssel Kc.

• Der Angreifer kommuniziert im folgenden mittels A5/1 bzw. A5/3 mit demGSM-Netz und mittels A5/2 mit der Mobilstation.

In GSM wird die Identität des GSM-Netzes nicht validiert. Weiterhin wird fürdie Verschlüsselungsalgorithmen A5/1, A5/2 und A5/3 der gleiche Schlüssel Kcverwendet.

Lösung zu Übung 2.2 auf Seite 38

Im GSM-Standard wird die Integrität von Nachrichten nicht verifiziert, sodass einAngreifer Nachrichten modifizieren kann. Im Gegensatz dazu nutzt UMTS dieIntegritätsfunktion f 9, sodass der Empfänger mittels eines MAC erkennen kann,ob Änderungen an einer verschickten Nachricht durchgeführt wurden.

Lösung zu Übung 2.3 auf Seite 38

Besteht eine Chiffre auf einem Feistelnetzwerk, so ist die Chiffre in jedem Fall um-kehrbar, d.h., der Ciphertext ist in jedem Fall wieder in den Klartext rückführbar.

Ein Feistelnetzwerk besteht ausmehrerenRunden,wobei pro Runde nur eineHälfteder Eingabe unter Zuhilfenahme eines Rundenschlüssels in die Berechnungeneinfließt.

Page 88: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 82 Liste der Lösungen zu den Übungen

Übungsaufgaben zu Studienbrief 3

Lösung zu Übung 3.1 auf Seite 60

Ein LFSR hat die Aufgabe, streng deterministischen Pseudozufallszahlenfolgen zugenerieren. Das Feedback-Polynom bestimmt die Abfolge der Pseudozufallszahlenund definiert damit die maximale Länge des LFSRs.

Lösung zu Übung 3.2 auf Seite 60

Stromchiffren eignen sich durch ihre Struktur besonders bei Echtzeitanwendungenwie der Telefonie, da jedes Bit/Byte der Nutzdaten direkt mit einem Bit/Byte desSchlüsselstroms verknüpft werden kann. Eine Blockchiffre benötigt eine bestimm-te Anzahl an Nutzdaten und verarbeitet diese Daten erst, wenn ein Datenblockkomplett gefüllt und damit für die Verschlüsselung bereit ist. Dies kann zu Verzö-gerungen während der Laufzeit führen.

Page 89: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Liste der Lösungen zu den Übungen Seite 83

Übungsaufgaben zu Studienbrief 4

Lösung zu Übung 4.1 auf Seite 79

Die Frequenzbereiche für CT1 undCT2 sind seit 2009 für die anderweitigeNutzungvorgesehen (öffentlichen Mobilfunk und Funkanwendungen kleinerer Reichwei-ten), sodass seit Ende des Jahres 2008 die Nutzung dieser Frequenzbereiche fürCT1 bzw. CT2 nicht mehr gestattet ist.

Lösung zu Übung 4.2 auf Seite 79

Weiterhin sind die Frequenzträger in GSM in Upload und Download unterteilt,wobei bei DECT jeder Frequenzträger Up- als auch Downloadkanäle überträgt.

Lösung zu Übung 4.3 auf Seite 79

Nach Kerckhoffs’ Prinzip sollte die Sicherheit eines Verschlüsselungsverfahrensnicht auf der Geheimhaltung des Verschlüsselungsverfahrens sondern auf derGeheimhaltungdes Schlüssels basieren.Mittels Reverse Engineering und ähnlichenTechniken können Algorithmen rekonstruiert werden.

Lösung zu Übung 4.4 auf Seite 80

Generell können Verfahren wie Wi-Fi Protected Access 2 (WPA2) angewandt wer-den, die sich in ähnlichen Bereichen bereits bewährt haben. Der Einsatz von Public-Key Verfahren wäre ebenfalls denkbar.

Page 90: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 84 Liste der Lösungen zu den Übungen

Tabelle 6.1: Unterschie-de zwischen DECT

und GSM aus [Lüd01].

DECT GSMFrequenzband meist lizenzfrei lizenziertMobilitätsbereich begrenzt (Heimbereich / Büro) internationalTrägerabstand 1728 kHz 200 kHzDuplexverfahren TDD FDDRahmenlänge 10 ms 4,6 msZeitschlitze pro Rahmen 24 8Kontrollkanäle kombinierte Kanäle gesonderte KanäleKanalwahl durch PP FPHandover durch PP FP

Page 91: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

6.1 Literatur Seite 85

6.1 Literatur

[BBK08a] Elad Barkan, Eli Biham, and Nathan Keller. Instant Ciphertext-Only Crypt-analysis of GSM Encrypted Communication. Journal of Cryptology, 21(3):392–429,2008.

[BBK08b] Elad Barkan, Eli Biham, and Nathan Keller. Instant Ciphertext-Only Cryp-tanalysis of GSM Encrypted Communication. Journal of Cryptology, 21, March2008.

[Ben13] Benedikt Driessen. PPractical Cryptanalysis of Real-World Systems: a Engineer’sApproach. Dissertation, Ruhr-Universität Bochum, 2013.

[BER07] Andrey Bogdanov, Thomas Eisenbarth, and Andy Rupp. A Hardware-AssistedRealtime Attack on A5/2 Without Precomputations. In Cryptographic Hardware andEmbedded Systems (CHES), 2007.

[Bou10] Noureddine Boudriga. Security of Mobile Communications. Taylor & Francis,2010.

[DHW+12] Benedikt Driessen, Ralf Hund, CarstenWillems, Christof Paar, and ThorstenHolz. Don’t Trust Satellite Phones: A Security Analysis of Two Satphone Standards.In Proceedings of the 2012 IEEE Symposium on Security and Privacy, SP ’12, pages128–142, Washington, DC, USA, 2012. IEEE Computer Society.

[DHW+13] Benedikt Driessen, Ralf Hund, CarstenWillems, Christof Paar, and ThorstenHolz. An Experimental Security Analysis of Two Satphone Standards. ACM Trans.Inf. Syst. Secur., 16(3):10:1–10:30, December 2013.

[DKS10] Orr Dunkelman, Nathan Keller, and Adi Shamir. A practical-time related-keyattack on the kasumi cryptosystem used in gsm and 3g telephony. In Proceedings ofthe 30th Annual Conference on Advances in Cryptology, CRYPTO’10, pages 393–410,Berlin, Heidelberg, 2010. Springer-Verlag.

[Dri12] Benedikt Driessen. Eavesdropping on Satellite Telecommunication Systems.Cryptology ePrint Archive, Report 2012/051, 2012. http://eprint.iacr.org/2012/051.

[ETS99] ETSI. ETSI TS 133 102 V3.6.0 (2000-10); Universal Mobile TelecommunicationsSystem (UMTS); 3G Security; Security Architecture (3GPP TS 33.102 version 3.6.0Release 1999), 1999.

[ETS01] ETSI. ETSI TS 135 201 V4.1.0 (2001-12); Universal Mobile TelecommunicationsSystem (UMTS); Specification of the 3GPP confidentiality and integrity algorithms;Document 1: f8 and f9 specifications (3GPP TS 35.201 version 4.1.0 Release 4), 2001.

[ETS02] ETSI. ETSI TS 101 376-5-3 V1.2.1 (2002-04); GEO-Mobile Radio Interface Speci-fications; Part 5: Radio interface physical layer specifications; Sub-part 3: ChannelCoding; GMR-1 05.003, 2002.

[ETS07] ETSI. ETSI TS 135 201 V4.1.0 (2001-12); Universal Mobile TelecommunicationsSystem (UMTS); Specification of the 3GPP confidentiality and integrity algorithms;Document 2: Kasumi specification (3GPP TS 35.202 version 7.0.0 Release 7), 2007.

[ETS11] ETSI. Digital Enhanced Cordless Telecommunications (DECT); Common Inter-face (CI); Part 7: Security features, 2011.

Page 92: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 86 Liste der Lösungen zu den Übungen

[Fed99] Hannes Federrath. Sicherheit mobiler Kommunikation: Schutz in GSM-Netzen, Mo-bilitätsmanagement und mehrseitige Sicherheit. DuD-Fachbeiträge. Vieweg+TeubnerVerlag, 1999.

[For97] DECT Forum. DECT - the standard explained. Website, 1997. Online verfüg-bar auf http://www.dectweb.com/DECTForum/publicdocs/TechnicalDocument.PDF; besucht am 28.10.2014.

[LST+09] Stefan Lucks, Andreas Schuler, Erik Tews, Ralf-Philipp Weinmann, and Matt-hias Wenzel. Attacks on the DECT Authentication Mechanisms. In Marc Fischlin,editor, CT-RSA, volume 5473 of Lecture Notes in Computer Science, pages 48–65.Springer, 2009.

[Lüd01] Christian Lüders. Mobilfunksysteme: Grundlagen, Funktionsweise, Planungsaspekte.Kamprath-Reihe. Vogel, 2001.

[NTW10] Karsten Nohl, Erik Tews, and Ralf-Philipp Weinmann. Cryptanalysis of theDECT Standard Cipher. In Proceedings of the 17th International Conference on FastSoftware Encryption, FSE’10, pages 1–18, Berlin, Heidelberg, 2010. Springer-Verlag.

[PFS00] Slobodan Petrovic and Amparo Fuster-Sabater. Cryptanalysis of the A5/2Algorithm. Technical report, 2000. http://eprint.iacr.org/2000/052.

[Wal01a] Bernhard Walke. Mobilfunknetze und ihre Protokolle 1. Mobilfunknetze und ihreProtokolle. Teubner, 2001.

[Wal01b] Bernhard Walke. Mobilfunknetze und ihre Protokolle 2. Mobilfunknetze und ihreProtokolle. Teubner, 2001.

Page 93: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Glossar Seite 87

Glossar

Begriff Erklärung

(G)MSC (Gateway) Mobile Switching Center

3GPP 3rd Generation Partnership Project

AUC Authentication Center

BSC Base Station Controller

BSS Base Station Subsystem

BTS Base Transceiver Station

CC Call Control

CCCH Common Control Channel

CCFP Central Control Fixed Part

CCH Control Channel

CHVI Card Holder Verification Information

CN Core Network

DECT Digital Enhanced Cordless Telecommunications

DLC Data Link Control

DSAA DECT Standard Authentication Algorithm

DSC DECT Standard Cipher

DSP Digitaler Signalprozessor

EIR Equipment Identification Register

ETSI European Telecommunications Standards Institute

FCCH Frequency Correction Channel

FDD Frequency Division Duplexing

FDM Frequency Division Multiplex

FP Fixed Part

GAP Generic Access Profil

GEO Geostationary Earth Orbit

GGSN Gateway GPRS Support Node

GIP DECT/GSM Interworking Profil

GMR Geostationary Earth Orbit Mobile Radio Interface

GP Guard Period

GPRS General Packet Radio Service

GSM Global System for Mobile Telecommunications

GSN GPRS Support Node

HLR Home Location Register

IMEI International Mobile Station Equipment Identity

IMSI International Mobile Subscriber Identity

Page 94: Modulbeschreibung - Ruhr-Universität Bochum XXX Sicherheit Mobiler Systeme [MobSec] ... – IMSI: Die ... – WirddieMobilstationangerufenbzw.initiiertsieeinenAnruf,so

Seite 88 Glossar

IWU Interworking Unit

LAI Location Area Identifier

LFSR Linear rückgekoppeltes Schieberegister

MAC Medium Access Control

MC Multi Carrier

MM Mobility Management

MS Mobilstation

OMC Operation and Maintenance System

PCU Packet Control Unit

PLMN Public Land Mobile Network

PP Portable Part

RFP Radio Fixed Part

RFPI Radio Fixed Part Identifier

RNC Radio Network Controller

SGSN Support GPRS Support Node

SIM Subscriber Identity Modul

TCH Traffic Channel

TCH3 Traffic Channel-3

TDD Time Division Duplexing

TDMA Time Division Multiple Access

TMSI Temporary Mobile Subscriber Identity

UE User Equipment

UMTS Universal Mobile Telecommunications System

UTRAN UMTS Terrestrial Radio Access

VLR Visitor Location Register