GSM Security

1. GSM Security Chapter 10 Real world security protocols

2. Cell Phones • 1세대 이동 전화 • 아나로그, 표준이 거의 없었음 • 보안은 거의 고려되지 않음 • 복제(cloning)가 보안의 주 관심사였음 • 2세대 이동 전화: GSM • 1982에 시작 • Global System for Mobile Communications • 3세대 • 3rd Generation Partnership Project (3GPP) Chapter 10 Real world security protocols

3. 1G 2G 2.5G 3G 3.5G D-AMPS GSM HSDPA GPRS EDGE WCDMA AMPS TDMA/FDMA 30kbps 384kbps 144kbps 384kbps 2Mbps 10Mbps 2007년 Analog (FDMA) 9.6kbps 8Kbps IS-95 CDMA IS-95A IS-95B CDMA1x- EVDO 14.4kbps 64kbps 2.4Mbps 2003년 1992년 결정 1996년 개시 WiBro 18Mbps Wi-Fi 54Mbps

4. GSM Architecture VLR (Visitor Location Register) HLR (Home Location Register) AuC (Authentication Center) air interface Mobile Base Station AuC VLR “land line” HLR PSTN Internet Etc. Visited Network Base Station Controller Home Network Chapter 10 Real world security protocols

5. GSM 시스템 구성요소 • 휴대 전화: cell phone • SIM(Subscriber Identity Module)을 내장 • Smart card • Air interface • 방문 네트워크(Visited network) • 기지국(base station) • 기지국 제어기(base station controller) SIM Chapter 10 Real world security protocols

6. GSM 시스템 구성요소 • PSTN (공중 전화망) • Home network 휴대전화가 속해 있는 망 • HLR (Home Location Register)  • AuC (Authentication Center)  IMSI/Ki를 보관 • IMSI(International Mobile Subscriber ID) Chapter 10 Real world security protocols

7. Mobile phone: cell phone • SIM(Subscriber Identity Module) 내장 • SIM은 security module로서 다음의 정보를 갖는다. • IMSI (International Mobile Subscriber ID): 휴대전화 사용자를 구별 • 사용자 키 Ki (128 bits) • SIM을 사용하는 목적은 조작을 방지하기 위한 H/W(smart card)를 제공하는 것이다. SIM Chapter 10 Real world security protocols

8. 방문 네트워크(Visited network) • 다수의 기지국 • 하나의 셀(cell) 마다 하나의 기지국 존재 • 기지국 제어기 • VLR (Visitor Location Register)은 기지국 제어기에 존재한다. • 현재 Visited network에 방문한 휴대전화의 정보를 기록한다. Chapter 10 Real world security protocols

9. Home network • 휴대 전화가 속한 홈 네트워크 • 각 휴대전화는 하나의 홈 네트워크에 등록되어 있다. • HLR (Home Location Register) • 등록된 휴대전화가 현재 어떤 방문 네트워크에 있는지 기록한다. • AuC (Authentication Center) • IMSI(internationalMobile Subscriber ID): 가입자 식별 번호 • Ki: SIM 사용자 번호 • 모든 휴대전화 사용자에 대한 요금 정보를 갖는다. Chapter 10 Real world security protocols

10. GSM 보안의 목표 • 주 목표 • GSM를 공중 전화망과 같은 정도의 보안 유지 • 복제 방지 • 능동적인 공격은 고려하지 않음! • 그때는 이러한 공격은 실현 가능성이 없었다. • 가장 큰 위협은 • 안전하지 않은 요금 관리 Chapter 10 Real world security protocols

11. GSM 보안 특징 • 익명성(Anonymity) • 사용자의 신분이 드러나지 않도록 한다. • 전화회사에는 그리 중요하지 않다. • 인증(Authentication) • 정확한 요금 청구를 위해서 필요 • 전화 회사에는 가장 중요한 문제! • 기밀성(Confidentiality) • 전화 회사에는 그리 중요하지 않다. Chapter 10 Real world security protocols

12. GSM: 익명성 • IMSI는 처음에 송신자를 식별하는데 사용된다. • 공격자가 통신 메시지의 시작 부분을 캡쳐하면 IMSI를 알 수 있다. • 그래서 TMSI (Temporary Mobile Subscriber ID)를 사용 • TMSI는 자주 변경 • TMSI는 보낼 때 암호화함 • 익명성을 확실하게 보장하지 않는다. • 하지만 대부분의 사용자에게는 충분함 Chapter 10 Real world security protocols

13. GSM: 인증 • Caller는 기지국에 인증 • 상호 인증은 아니다. • challenge-response에 의한 인증 • Home network은 RAND를 발생하고 XRES = A3(RAND, Ki)를 계산한다. (A3는 hash) • 그리고 (RAND,XRES)를 기지국에 보낸다. • 기지국은 challengeRAND를 휴대 전화에 보낸다. • 휴대전화의 response는 SRES = A3(RAND, Ki) • 기지국은 검증: SRES = XRES • Ki는 홈 네트워크를 벗어나지 않는다! Chapter 10 Real world security protocols

14. GSM: 기밀성 • 데이터는 stream cipher로 암호화 • 에러율이 대략 1/1000 • 에러율이 높아서 block cipher를 사용할 수 없다. Chapter 10 Real world security protocols

15. GSM: 기밀성 • 홈네트워크가 기지국으로부터 IMSI를 받을 때, 홈네트워크는 다음을 계산한다. Kc = A8(RAND, Ki), where A8 is a hash GSM 암호화 키 : Kc • 그러면 Kc는 (RAND,XRES)와 함께 기지국으로 전송된다. • 기지국은 앞에서와 같이 인증 절차가 완료되면, • 휴대전화는 Kc = A8(RAND, Ki)를 계산 • 기지국은 이미 Kc를 알고 있다. 따라서 휴대전화와 기지국은 대칭키를 공유한다. • A5(Kc)로부터 키스트림을 발생한다. • Ki는 홈 네트워크를 벗어나지 않는다! Chapter 10 Real world security protocols

16. GSM의 보안상의 문제점 • GSM에서 사용하는 암호 알고리즘에 결함 • 또한 프로토콜에 결함 • 가장 큰 문제는 처음 설계자들의 잘못된 보안의 가정이다. Chapter 10 Real world security protocols

17. GSM 보안 1. IMSI • SRES와 Kc는 상관 관계가 없어야 한다. • 둘 다 RAND와 Ki에서 유도되었더라도 • 알려진 RAND/SRES pair에서부터 Ki를 추측하는 것이 가능하지 않아야 한다. (known plaintext attack) • 선택된 RAND/SRES pair에서부터 Ki를 추측하는 것이 가능하지 않아야 한다.(chosen plaintext attack) 2. IMSI 4. RAND 3. (RAND,XRES,Kc) 5. SRES Mobile Home Network Base Station 6. Kc로 암호화

18. GSM 암호 알고리즘 결함 • A3/A8는 해쉬로 COMP128를 사용 • 150,000개의 선택된 평문으로 해독될 수 있다. • SIM에서 2시간에서 10시간 만에 Ki를 구할 수 있다. • 암호화 알고리즘 A5/1 • 알려진 평문 공격에 2초만에 깨진다. Chapter 10 Real world security protocols

19. GSM: 잘못된 가정 • GSM의 호(call)는 휴대 전화와 기지국 사에서 암호화 된다. • 오직 휴대전화와 기지국 만을 보호한다. • 하지만 기지국과 기지국 제어기사이에는 암호화되지 않는다. • 이 사이에서의 통신은 마이크로파를 사용할 때가 있다. Base Station VLR Base Station Controller Chapter 10 Real world security protocols

20. GSM: SIM 공격 • SIM card에 대한 공격 • Optical Fault Induction • Partitioning Attacks • SIM을 갖고 있으면 공격자는 수 초안에Ki을 찾아낼 수 있다. • 휴대폰을 분실했다면 수초 안에 복제해 낼 수 있다!!! Chapter 10 Real world security protocols

21. GSM: 프로토콜의 결함(가짜 BS) • 가짜 기지국은 프로토콜의 두 가지 결함을 이용한다. ①상호 인증이 아니다. • Caller는 기지국에 인증을 받지만 caller는 기지국을 인증하지 않는다. ②air interface에서의 암호화는 자동적으로 이루어지지 않는다. • 기지국이 암호화할 지 않을지를 결정한다. Chapter 10 Real world security protocols

22. GSM: 프로토콜 결함(2/3) RAND Call to SRES destination No Mobile Fake Base Station Base Station encryption • 가짜 기지국은 보통의 전화 같은 역할을 한다. • 그래서 가짜 기지국과 합법적인 기지국 사이에는 보통의 GSM 전화 통신이 이루어지고 암호화된다. • 기지국은 통화를 엿들을 수 있다. • 요금은 가짜 기지국으로 청구된다! Chapter 10 Real world security protocols

23. GSM: 프로토콜 결함(3/3) RAND Call to SRES destination No Mobile Fake Base Station Base Station encryption • 가짜 기지국은 어떤 RAND와 이에 해당하는 값을 보내기 때문에 SIM에 대한 선택 평문 공격(chosen plaintext attack)을 할 수 있다. Chapter 10 Real world security protocols

24. GSM: 프로토콜 결함(재사용) • 기지국은(RAND, XRES, Kc)을 재사용할 수 있다. • 서비스 거부 공격이 가능하다. • jamming(이것은 무선 통신에서 영원한 문제이다) Chapter 10 Real world security protocols

25. GSM 결론 • GSM은 목표를 달성했는가? • 복제 방지? Yes • air interface를 PSTN 만큼 안전하게 한다? 아마도… • 하지만 설계의 목표는 명백히 제한적이다. • GSM의 불안전한 보안 • 암호화 알고리즘의 약점, SIM 문제, 위조 BS, 재사용 등등. • PSTN 불안전성 • 도청, 적극적 공격, 수동적 공격 (e.g., 코드리스 전화), 등등. • GSM의 보안은 어느 정도는 성공적이지 않는가? Chapter 10 Real world security protocols