Sisältö. Turvallisuus UMTSympäristössä. Johdanto. Johdanto (jatk.) Turvallisuusarkkitehtuuri. Liityntäverkon turvallisuus.

Transkriptio

1 Sisältö Turvallisuus UMTSympäristössä Johdanto Tietoturvallisuus liityntäverkoissa Liityntäverkon turvallisuus 2G-verkoissa Vastavuoroinen todennus Todennuksen salaus MILENAGE Väliaikaiset tunnisteet Salaus UTRAN-verkossa Signalointidatan eheys GSM:n ja UMTS:n turvallisuuden yhteentoimivuus Viranomaiskuuntelu Yhteenveto Viitteet 1 2 Johdanto Johdanto (jatk.) Tietoturvallisuus Erityisasemassa mobiilissa kommunikaatiossa Radioyhteys verkon turvattomin kohta Päästä-päähän tyyppiset yhteydet voidaan turvata tehokkaasti -> Sotilasverkot Yleiset langattomat verkot: yhteydet pisteestä moneen pisteeseen -> Tarvitaan erilaisia mekanismeja Tietoturvallisuus laaja alue Teknologiat Inhimilliset tekijät Turvallisuus eri sukupolvien verkoissa 1G Ei paljon turvallisuuteen liittyviä piirteitä Mitä on tietoturvallisuus 2G Turvallisuus keskittyy radioyhteyteen ja liityntäverkkoon 3G Turvallisuus laajempi käsite Liityntäverkon lisäksi muitakin osia turvattu Uudenlaiset palvelut (mm. sähköinen kaupankäynti) luo riskejä Piiri- ja pakettikytkentäisen maailman yhdistäminen tuo haasteita 3 4 Turvallisuusarkkitehtuuri Liityntäverkon turvallisuus (IV) Palveluntarjoajan Käyttäjän sovellus Sovelluskerros sovellus (III) USIM HE Palvelu/kotikerros (II) SN ME AN Siirtokerros Liityntäverkon turvallisuus (II) Verkkotason turvallisuus (III) Käyttäjätason turvallisuus (IV) Sovellustason turvallisuus (V) Turvallisuuden näkyvyys ja muokattavuus Radioliityntäverkko muuttuu Vaatimukset liityntäverkon turvallisuudelle säilyvät UMTS:ssa Tilaajan todentaminen Käsitteitä 3G:n turvallisuudessa Luottamuksellisuus (puhe ja data) Turvallisuusmekanismien näkyvyys Yksityisyys Esim. satunnainen tieto/jatkuva seuraaminen UMTS-yhteyden käytettävyys 5 6 1

2 Liityntäverkon turvallisuus (jat.) Verkon luotettavuus (toimivuus) Mahdollistetaan signalointidatan eheydellä, joka estää kontrolliviestien lisäämisen, poistamisen ja korvaamisen Kryptografia tärkein tekijä turvallisuuden saavuttamisessa. Kommunikointi voidaan tehdä epäymmärrettäväksi salauksella (ciphering, encryption) Liityntäverkon turvallisuus 2Gverkoissa Kryptograafisten menetelmien hyödynnys Turvallisuustekniikat Käyttäjän todennus (autentikointi) Kommunikoinnin salaus radiorajapinnassa Väliaikaisten tunnisteiden (identity) käyttö 3G:n turvallisuuden suunnitteluperiaatteena on siirtää 2G:n turvallisuustekniikat 3G-verkkoihin 7 8 Käyttäjän todennus GSMverkossa Liityntäverkon turvallisuus 2Gverkoissa (jatk.) UE Todennuksen käsittely RAND RES VLR RAND, SRES, Kc AuC (HLR) Todennuspyyntö Todennusvektoreiden Puutteita Aktiiviset hyökkäykset mahdollisia Kontrollidata herkkä häiriöille Osa turvallisuusarkkitehtuurista salaista Avaimet alttiita väsytysmenetelmille Uhkat pieniä <-> kustannukset UMTS:n turvallisuustekniikat: Vastavuoroinen todennus (käyttäjä ja verkko) Väliaikaiset tunnisteet Radioyhteyden salaus Signalointidatan eheyden suojaus UTRAN:ssa 9 10 Vastavuoroinen todennus Vastavuoroinen todennus (jatk.) Osapuolet: Kotiverkko Palveluverkko (SN) Terminaali (erityisesti USIM) Idea: SN tarkistaa tilaajan identiteetin (haaste-vaste) Terminaali tarkistaa, että kotiverkko on valtuuttanut SN:n tekemään niin -> Terminaali kytkeytyy oikeaan verkkoon Samalla luodaan salaus- ja eheyden suojaus avaimet Avainasemassa avain K (128 bittiä) Vain USIM:n ja kotiverkon tiedossa Authentication and Key Agreement (AKA) Käyttäjä tunnistetaan SN:ssä VLR/SGSN lähettää todennuspyynnön todennuskeskukselle (Authentication Centre, AuC) AuC generoi todennusvektorit ja lähettää ne takaisin VLR/SGSN:lle VLR/SGSN lähettää käyttäjän todennuspyynnön USIM:lle USIM tarkastaa, että lähetetyt parametrit on generoinut AuC. Vastaus VLR/SGSN:lle VLR/SGSN tarkistaa, että vastaus OK

3 Vastavuoroinen todennus (jatk.) Todennusvektorien AuC:ssa UE VLR /SGSN IMSI AuC AMF Generoi SQN RAND Todennuksen käsittely RAND, AUTN RAND, AUTN XRES, CK, IK Todennusvektoreiden f1 MAC K f2 f3 f4 f5 XRES CK IK AK RES SQNAK AUTN Tunnisteen käsittely USIM:ssa AUTN RAND f5 AK SQNAK AMF MAC SQN f2 f3 f4 K f1 RES CK IK XMAC =? Tunnisteen käsittely USIM:ssa (jatk.) f1-f5 operaatiokohtaisia Joku salakuuntelija voisi poimia RAND ja AUTN-parin ja käyttää niitä Suojaus: SQN muuttuu USIM tarkistaa, että myös saatu SQN tarpeeksi iso Poikkeamia voi tapahtua SQN-numeroiden luonti Käyttäjällä oma järjestysnumero Perustuu globaaliin laskuriin Yhdistelmä SQN ja K synkronoituja USIM:n ja AuC:n välillä Jos synkronointi menee vikaan ja SQN ei ole sallituissa rajoissa -> uudelleensynkronointi-proseduuri Uudelleensynkronointi MILENAGE UE Todennuksen käsittely RAND, AUTN AUTS VLR /SGSN RAND, AUTS AuC Uudet tunnistevektorit Todennusvektoreiden 3GPP:n esimerkkejä f1, f1*, f2, f3, f4, f5, f5*:ksi Vain suosituksia, funktiot operaattorikohtaisia Vaatimuksia: laskennallisesti mahdotonta johtaa K, kun muut parametrit tiedetään Voidaan implementoida IC-kortille, jossa 3.25 MHz mikroprosessori, 8 kilotavun ROM, 300 tavun RAM Prosessointiaika (AK, XMAC, RES, CK, IK) < 500 ms joustavuus maailmanlaajuinen saatavuus

4 Algoritmien suunnittelukriteerejä: 1. Ilman avaimia funktiot f1:f5 käytännössä täysin aivan satunnaisia ja riippumattomia funktioita 2. Käytännöllisesti mahdotonta päätellä K:ta ja OP:ta (Operator Variant Algoritm Configuration Field) syötteitä manipuloimalla ja vasteita analysoimalla 3. Yritykset 1. ja 2. rikkomiseksi merkityksettömiä, jos ne vaativat > operaatiota 4. Yritykset 1. ja 2. rikkomiseksi tulee analysoida jos ne vaativat 2 64 operaatiota (jotta yrityksillä ei vakavia seurauksia) 5. Suunnittelurakenteet tunnettuja, turhan kompleksisuuden välttäminen Exclusive-OR, poissulkeva TAI biteittäin ketjutus E[x] k lohkosalauksen tulos kun x syöte, k avain rot(x,r) x:n syklinen rotaatio r:llä bittiä eteenpäin X[i] X:n i. bitti OP c = OP E[OP] K c1,,c5 128-bittisiä vakioita, r1,,r5 kokonaislukuja c1= , r1=64 c2= , r2=0 c3= , r3=32 c4= , r4=64 c5= , r5= RAND (SQN, AMF) laajennettuna 128-bittiseksi E k Rijndael-algoritmi lohkosalauksessa (E K [x]) Syöte: teksti P o, P 1,...,P 15 ja avain K o, K 1,...,K 15 State-tavut a o,o, a 1,0,... -> salatut tavut C o, C 1,...,C 15 Round Key rk r,i,j : kierroksen r avain rot(x,r 1 ) c 1 E K rot(x,r 2 ) rot(x,r 3 ) rot(x,r 4 ) rot(x,r 5 ) c 2 c 3 c 4 c 5 E K E K E K E K f3 f4 f5* f1 f1* f5 f2 21 a 0,0 a 0,1 a 0,2 a 0,3 a 1,0 a 1,1 a 1,2 a 1,3 a 2,0 a 2,1 a 2,2 a 2,3 a 3,0 a 3,1 a 3,2 a 3,3 S-box: epälineaarinen 240 alkioinen kokonaislukuvektori, luvut [0;255] rk 0,0 rk 0,1 rk 0,2 rk 0,3 rk 1,0 rk 1,1 rk 1,2 rk 1,3 rk 2,0 rk 2,1 rk 2,2 rk 2,3 rk 3,0 rk 3,1 rk 3,2 rk 3,3 22 Väliaikaiset tunnisteet Rijndael-algoritmin kulku 1. Round Key:n lisäys, a i,j =a i,j rk i,j 2. Tavujen korvaus S-box:n mukaan 3. Rivien shiftaus vasemmalle 4. Sarakkeiden sekoitus 5. Round Key:n lisäys 6. Tavujen korvaus S-box:n mukaan 7. Rivien shiftaus vasemmalle 8. Round Keyn: lisäys 9 kertaa Pysyvä tunniste: IMSI Käyttäjän identifiointi UTRAN:ssa TMSI CS-osassa P-TMSI PS-osassa VLR/SGSN allokoi tunnisteet käyttäjälle säilyttää väliaikaisten ja pysyvien tunnisteiden vastaavuuden terminaali kuittaa Jos kuittausta ei saavu käytettään molempia tunnisteita (uplink) tai IMSI:ä (downlink)

5 Väliaikaiset tunnisteet (jatk.) Väliaikaisilla tunnisteilla vain lokaali merkitys Kuinka SN tietää IMSI:n aluksi? Alueiden identiteetit lisätty väliaikaisiin tunnisteihin; Local Area Identity (LAI) TMSI:iin ja Routing Area Identity (RAI) P- TMSI:iin. Vastaava IMSI vanhalta verkolta Salaus UTRAN-verkossa Todennuksen jälkeen turvallista kommunikointia Salausavain CK: Ydinverkko ja terminaali tietävät Salaus/purkaus terminaalissa ja RNC:ssä CN lähettää CK:n RAN:iin RANAP-viestillä security mode command RNC laittaa salauksen päälle lähettämällä RRC secure mode command:n terminaalille Salaus perustuu jonosalaukseen (stream cipher) Käyttö vapaaehtoista, salaustunniste terminaalissa kertoo onko salaus käytössä vai ei Jonosalaus UTRAN:ssa Salaus UTRAN-verkossa CK/128 MAC SDU tai RLC PDU (hyötydata) COUNT-C/32 DIRECTION/1 BEARER/5 LENGTH f8 MASK Salattu MAC SDU tai RLS PDU Salaus tapahtuu MAC- tai Radio Link Control (RLC)- tasolla Salauksen purkuoperaatio samanlainen kaksi tekstiä P1 ja P2, salatut P1 ja P2 (samat salausparametrit) P1 P2 = P1 P2 Salatuista teksteistä voidaan päätellä alkuperäiset -> MAC- ja RLC-tasoilla, jossa salaus tapahtuu, PDUkohtaiset laskurit (COUNT-C) f8: jonosalausfunktio Perustuu uuteen lohkokoodausalgoritmiin KASUMI Samat suunnitteluperiaatteet kuin MILENAGE:ssa Eheyden suojaus Tarkoituksena tunnistaa yksittäiset kontrolliviestit todennuksen jälkeisten tunnisteiden varmistus RRC-tasolla (Radio Resource Control) terminaalin ja RNC:n (Radio Network Controller) välillä Myös IK siirretty RNC:n security mode command:lla Perustuu Message Authentication Code:iin (MAC) Luodaan yksisuuntaisella funktiolla f9 Vaste MAC-I lisätään jokaiseen signalointiviestiin (RRCviesti) MAC-I generoidaan vastaanottavassa päässä ja tarkistetaan KASUMI:a voidaan käyttää lohkokoodaukseen Eheyden suojausta ei ole käyttäjätasolla Olemassa kuitenkin periodic local authentication Viestin todennuskoodin (Message Authentication Code, MAC) RRC-viesti DIRECTION/1 COUNT-I/32 IK/128 FRESH/32 f9 MAC-I

6 UMTS:n ja GSM:n yhteentoimivuus UMTS-tilaajien todennus UMTS AKA kun käyttäjä liittynyt UTRAN:iin kun käyttäjä liittynyt GSM BSS:ään ja ME on R99+ (kykenevä UMTS AKA:an) ja VLR/SGSN on R99+ GSM AKA kun käyttäjä liittynyt GSM BSS:ään ja ME on R99+ (ei kykene UMTS AKA:n) tai ME on R98- kun käyttäjä liittynyt GSM BSS:ään ja VLR/SGSN on R98- AuC lähettää 5 parametria kun pyyntö R99+VLR/SGSN:ltä, muutoin 3 UMTS:n ja GSM:n yhteentoimivuus (jatk.) GSM-tilaajien todennus: GSM AKA aina käytössä ME johtaa UMTS:n salaus/eheysavaimet CK:n ja IK:n GSM:n salausavaimesta Kc Viranomaiskuuntelu Viranomaiskuuntelu Salaus voi olla lailla rajoitettua Verkon omistajilla velvollisuus mahdollistaa puheluiden kuuntelu ja datan keräys RAN Saatavissa oleva informaatio Sovituslaite Kuuntelulaite CORE Mitä tietoa verkosta saadaan? Piirikytkentä MSISDN IMSI IMEI Tapahtumatyyppi ja -aika Numero, josta ja johon soitetaan Paikkatieto Perus- ja lisäpalvelut Kohteen puhelunlopettamisen syy Tekstiviestin sisältö Pakettikytkentä MSISDN IMSI IMEI Tapahtumatyyppi ja aika PDP-tyyppi ja -osoite Access Point Name (APN) Reititysaluekoodi Tekstiviestin sisältö Syy sisällön aktivoinnin epäonnistumiselle Interception Area Telekuuntelu ja -valvonta Suomessa Telekuuntelu ja -valvonta Suomessa Perustuslaki, 10: Jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton.... Lailla voidaan säätää lisäksi välttämättömistä rajoituksista viestin salaisuuteen yksilön tai yhteiskunnan turvallisuutta taikka kotirauhaa vaarantavien rikosten tutkinnassa, oikeudenkäynnissä ja turvallisuustarkastuksessa sekä vapaudenmenetyksen aikana Pakkokeinolaki, luku 5a: Telekuuntelu: Yleisen tai muun teletoimintalain soveltamisalaan kuuluvan televerkon kautta teleliittymään tulevan tai siitä lähtevän viestin kuuntelua tai tallentamista salaa viestin sisällön selvittämiseksi Televalvonta, tekninen tarkkailu Edellytykset: Kun voidaan epäillä Suomen itsemääräämisoikeuden vaarantamisesta, taposta, murhasta, panttivangin ottamisesta, törkeästä ryöstöstä, törkeästä kiristyksestä Säädetty maksimirangaistus > 6 kk vankeutta Telelaitoksen avustamisvelvollisuus: Telelaitoksen on suoritettava televerkkoon telekuuntelun ja -valvonnan edellyttämät kytkennät sekä annettava tutkinnanjohtajan käyttöön telekuuntelun toimeenpanoa varten tarpeelliset tiedot, välineet ja henkilöstö. Telekuuntelulupia Televalvontalupia Lupia tekniseen valvontaan : törkeät huumausainerikokset 77%, henkirikokset 10%, törkeät kätkemisrikokset 5,5%

7 Telekuuntelu ja -valvonta Suomessa Tulossa Lakiuudistus, joka helpottaa kuuntelulupien saamista Teleyritysten pitää säilyttää tunnistetietoja väh. 3 kk EU: Sähköisen viestinnän tietosuojadirektiivi Maat voivat säätää omia poikkeuksia Tuloksena olisi viestinnän tietosuojalaki Lausuntokierroksella, voimaan ennen lokakuuta 2003 Yhteenveto Evoluutio 1G: ei turvallisuutta 2G: Todennus (tripletti), radioyhteyden salaus ja tunnisteet 3G: Edellisen lisäksi signalointidatan eheys (kvintetti) UMTS:n salausparametreja K, RAND, AMF, OP, DIRECTION, BEARER AUTN, AUTS AK, CK, IK RES, XRES, MAC, XMAC, MAC-I SQN, COUNT-C, COUNT-I, FRESH, LENGHT Yhteenveto (jatk.) Viitteet f1-f5: salausfunktioita todennuksessa operaattorikohtaisia MILENAGE f8: salaus UTRAN:ssa f9: signalointidatan eheyden suojaus telekuuntelu, televalvonta ja tekninen tarkkailu 1) H. Kaaranen et al., UMTS Networks: Architecture, Mobility and Services. 2) VM, Valtionhallinon tietoturvallisuuskäsitteistö, nasto/sisallys.htm 3) 3GPP TS , 3G Security; Security architecture (R99). 4) 3GPP TS , Specification of the MILENAGE algorithm set (R99) 5) Suomen laki, 6) Eduskunnan oikeusasiamiehen kertomus toiminnastaan vuonna )