Sicurezza nel GSM e Smart Card. A cura di Marco Canu Marco Cascianelli Luca de Angelis Emanuele Garuglieri Paola Ranaldi

Transcript

1 Sicurezza nel GSM e Smart Card A cura di Marco Canu Marco Cascianelli Luca de Angelis Emanuele Garuglieri Paola Ranaldi

2 Storia e panoramica sull architettura GSM A cura di Marco Cascianelli

3 Cronologia 1921 il Dipartimento di Polizia di Detroit sperimenta comunicazione one-way centrale-volanti 1935 E.H.Armstrong inventa la Frequency Modulation (la modulazione varia proporzionalmente al segnale analogico da trasmettere, segnale modulante, come frequenza di un segnale sinusoidale ausiliario). Già tra la fine degli anni 40 fu evidente la mancanza di un numero sufficiente di canali radio per soddisfare le richieste di tutti i settori

4 Cronologia Fine anni 40 singolo trasmettirore FM, copertura ristretta, commutazione manuale delle chiamate nella stazione radio. Banda di 120 KHz Anni 60 riduzione della banda necessaria a 60KHz Anni 70 riduzione della banda a 25 KHz

5 Passaggio ai sistemi trunked I primi sistemi utilizzavano più trasmettitori indipendenti, con una frequenza fissa per ogni utente. In seguito vennero introdotti i sistemi trunked, con selezione dinamica dei canali liberi inizialmente manuale ed in seguito automatizzata

6 Sistemi a celle Concepiti negli anni 40, sperimentati negli anni 60, commercializzati negli anni 80 invece di usare trasmettitori ad elevatra potenza per coprire vaste ma limitate aree, servendo un numero ristretto di utenze, usano stazioni distribuite su celle geografiche limitate Ogni cella usa frequenze diverse da quelle usate nelle celle adiacenti

7 Sistemi a celle I trasmettitori necessitano di minore potenza per coprire una cella senza interferire con quelle non adiacenti operanti alle stesse frequenze I terminali mobili devono essere in grado di sintonizzarsi sulle frequenze relative alla cella Il passaggio dalle frequenze di una cella a quelle della cella adiacente si chiama handover

8 Collocazione delle celle È importante trovare il giusto equilibrio tra grandezza delle celle e numero di suddivisioni della banda. Uno studio attento garantisce un numero non eccessivo di handover e basso rischio di interferenza tra celle a fronte di una banda necessaria limitata

9 Collocazione delle celle Il territorio viene suddiviso in aree (celle) adiacenti, che utilizzano un numero ridotto di frequenze. La grandezza delle celle può variare per esigenze relative al servizio richiesto o alla conformazione del territorio

10 TACS Acronimo di Total Access Communication System 1979 AMPS negli USA (Advanced Mobile Phone Standard) 1981 NMT nei paesi scandinavi (Nordic Mobile Telephone) 1985 TACS in Gran Bretagna 1000 canali; MHz ETACS: 1320 canali; MHz 1990 in Italia viene adottato l ETACS a seguito della saturazione del sistema RTMS

11 TACS limiti Standard diversi incompatibili in vari paesi Roaming internazionale limitato per sicurezza e incompatiblità Sfruttamento inefficiente della banda, limite di utenze gestibili per zona (segnale analogico) Bassa qualità del segnale dovuta alla sensibilità al rumore Grande numero di ricetrasmettitori necessari, per l alto numero di canali Costi alti dei terminali, per l impossibilità di politiche commerciali di scala (standard incompatibili) Impossibile autenticare un terminale Impossibile criptare il segnale, e trasmettere dati

12 GSM 1982 La CEPT crea il Group Special Mobile 1985 Il GSM sceglie definitivamente la via del digitale TDM Time Divisione Multiplexing Bassa sensibilità al rumore (=> celle più piccole=>più utenze possibili) Cifratura dei messaggi Identificazione con chiave segreta degli apparati Trasmissione dati MHz, MHz

13 GSM 1987 Memorandum of Understanding, per apertura del servizio nel GSM passa all ETSI, viene rettificato il significato dell acronimo: Global System for Mobile Communications 1990 phase 1: prime specifiche 1993 phase 2: integrazione servizi supplementari 36 reti GSM in 22 paesi Con DCS1800 e PCS paesi attualmente usano GSM

14 Architettura GSM Operation Support Subsystem Network Service Management Centre Operation and Manintenance Centre Home Location Register Network Subystem Equipment Identity Register Unico canale protetto Autentication Centre Base Transceiver Station Base Station Controller Base Station Subsystem (gestione della copertura radio) Mobile service Switching Centre Visitor Location Register Mobile Station Rete GSM

15 Architettura GSM SS7 : rete di segnalazione AuC SS7 HLR MSC VLR SS7 MSC VLR A SS7 A A A BSC BSC BSC BSC Abis BTS Abis BTS Abis BTS Abis BTS Abis BTS Abis BTS Abis BTS Abis BTS Um Um Um: cifrata Abis: non cifrata

16 Procedura di chiamata Verso MS: Utente PSTN compone MSISDN Il GMSC richiede all HLR la posizione dell abbonato L HLR ottiene dal VLR l MSRN Il GMSC usa l MSRN per l instradamento verso l MSC da cui dipende l utente mobile L MSC ottiene dal VLR il LAI che identifica le BSS a cui inviare la paging request La MS risponde alla ricerca inviando alla BSS una channel request La MS usa il canale ottenuto per inviare una paging response

17 Procedura di chiamata La BSS invia la paging response al VLR tramite l MSC associato L MSC riceve dal VLR una complete call che rimanda alla MS tramite BSS L MS invia al MSC una call confirmation L MSC, tramite il GMSC, fa arrivare alla PSTN il tono di chiamata L MSC assegna un canale di chiamata alla BSS, che a sua volta ne assegna uno alla MS La MS squilla; appena l utente risponde l MS invia una connect all MSC che invia una answer al PSTN tramite GMSC MSC e GMSC interconnettono il canale GSM e il circuito PSTN e la chiamata ha corso

18 Procedura di chiamata Da una MS (ala rete telefonica) La MS trasmette alla BTS una channel request La BSS manda una request for service alla MSC L MSC ottiene dal VLR info sull abbonato L MS manda una setup con le informazioni necessarie alla MSC L MSC ottiene dal VLR in risposta alla setup una complete call, e comunica alla MS una call proceeding

19 Procedura di chiamata L MSC assegna un canale alla BSS, che ne assegna uno a sua volta alla MS L MSC contatta la PSTN, e al address complete message fa giungere il tono di chiamata all utente mobile Quando dalla PSTN giunge una answer l MSC connette il canale GSM al circuito PSTN, e la chiamata ha corso

20 Procedura di handover L handover è gestito dalle BSC con i dati continuamente inviati dalla MS sulla qualità del segnale e sulla posizione della MS stessa Gli algoritmi di handover producono sempre una lista di celle candidate a partire dalla migliore

21 Procedura di handover Tra celle sotto lo stesso BSC: La BSC invia una handover command con le informazioni sul nuovo canale La MS cambia canale e invia una handover completed

22 Procedura di handover Tra BSC sotto lo stesso MSC La BSC invia una handover required alla MSC L MSC invia l handover request all altra BSC, la quale predispone un canale per la MS L MSC invia tramite la BSC d origine un handover command alla MS

23 Procedura di handover Tra BSC sotto MSC differenti Il BSC di partenza invia un handover required all MSC L MSC contatta l altro MSC, il quale ottiene dal VLR un numero di istradamento per la connessione tra MSC Il secondo MSC fa predisporre la BSC necessaria e manda le info all MSC di partenza L MSC di partenza attiva la connessione i istruisce la MS per il passaggio di canale

24 Canali radio MHz (25 MHz) per uplink MHz (25 MHz) per downlink Le portanti uplink e downlink sono scelte a 45Mhz di distanza Tra due canali radio adiacenti ci devono essere 200 KHz Totale di 124 canali in entrambe le direzioni

25 Canali logici MS Broadcast channels bcch bcch fcch sch Common control channels pgh rach agch BTS Dedicated control channels sacch facch sdcch

26 GSM Burst Il burst è un quanto di trasmissione GSM Normal burst: traffico e controllo 57 bit information 26 bit training sequence ms guard period 6 bit tail bit

27 GSM Burst Frequency correction burst: fcch 142 fixed bit Synchronization burst: sch 64 bit sync sequence 39 bit coded information: frame tdma e id BTS 6 bit tail bit 8,25 bit guard period

28 GSM Burst Access burst: racch, primo accesso alla BTS 41 bit training sequence 36 bit coded information 8 e 3 bit head bit e tail bit 68,25 guard period Dummy burst Burst privo di informazioni usato nel bcch

29 Problemi dell interfaccia aerea Perdite da spazio libero: attenuazione funzione del quadrato della distanza e del quadrato della frequenza Perdite da ostruzione Propagazione multipercorso (Rayleigh fading)

30 Ottimizzazione dell interfaccia aerea Codifica del canale: frame da 260 bit (20ms di conversazione) 50 bit più importanti: classe 1a, 3 bit di parità 132 bit media importanza: classe 1b, 4 bit di coda 78 bit meno importanti: classe 2a Dopo la codifica di canale dei bit di classe 1, i 189 bit vengono convoluti con r=1/2; i 378 bit ottenuti, con i 78 di classe 2, formano il frame di 456 bit

31 Ottimizzazione dell interfaccia aerea Interleaving: suddivisione del frame da 456 bit in 8 blocchi da 57 bit con distribuzione uniforme; i primi 4 blocchi vengono spediti in prima posizione nei primi 4 burst. I successivi 4 vengono spediti in seconda posizione dei successivi 4 burst

32 Ottimizzazione dell interfaccia aerea Equalizzazione: sulla base della sequenza di training viene per quanto possibile dedotta la distorsione da Rayleigh fading Time advance: i tre time slot di compensazione tra trasmissione e ricezione possono essere ridotti di massimo 63 bit per compensare eventuali ritardi di trasmissione (tramite sacch 2 volte al secondo)

33 Ottimizzazione dell interfaccia aerea Frequency hopping: ad ogni time slot viene scelta la frequenza con miglior campo Modulazione GMSK: ad ogni bit di trasmissione le frequenze di 0 e 1 vengono shiftate di esattamente 180 ; inoltre un filtro gaussiano viene applicato a monte dello sfasamento per ridurre le componenti fuori banda, di disturbo per i canali adiacenti

34 Le Sim Card e MD5 A cura di Emanuele Garuglieri

35 Sim Card Acronimo di Subscriber Identity Module. Funzioni: Identificare l utente del servizio GSM Contenere dati Crittare la conversazione In quanto evoluzione nel campo della telefonia delle Smart Card non ha solo funzioni di storage ma anche funzioni computazionali Punto di Forza: Autosufficienza

36 Sim Card: Struttura fisica Composta da tre elementi: Supporto plastico Circuito stampato Circuito integrato Comunicazione con l esterno tramite appositi pin I requisiti di resistenza sono definiti nel documento ISO7816.

37 Sim Card: Il Chip La capacità di una qualsiasi smart card (la sim in questo contesto) deriva dal suo circuito integrato, solitamente composto da: Microprocessore Rom (contiene l OS) Ram (utilizzata come in tutti i calcolatori) Eeprom (con funzioni di storage)

38 Sim Card: Interfaccia SIM-Mobile Station Scambio di dati a 9600 bit/s tramite una linea seriale bidirezionale utilizzata in modalità half duplex. Questo pemette di evitate attacchi massici alla carta.

39 Sim Card: Chiavi Dentro ad ogni sim card c è un area di sistema che può contenere differenti chiavi di sicurezza, e per ciò segrete. Ciclo di vita e chiavi correlate: Nella fase di fabbricazione viene aggiunto un chiave di fabbricazione KF, unica, che deriva da una master key (MK) del produttore. Nella fase di pre-personalizzazione la chiave di fabbricazione viene rimpiazzata da una chiave personalizzata, KP, dopodichè verrà attivato un blocco delle personalizzazioni(vper), inoltre vengono disabilitate le istruzioni di accesso fisico alla memoria. Nella fase di personalizzazione vengono scritti i dati e le applicazioni sulla card e vengono inseriti i codici PIN e PUK e viene scritto un blocco Vutil. Nella fase di utilizzo è possibile modificare il codice PIN ma non il PUK e le politiche di sicurezza sono gestite dall applicazione.

40 Sim Card: Invalidazione Per invalidare una sim card ci sono due modi: L applicazione scrive un blocco di invalidazione sul file principale Il sistema di controllo blocca irreversibilmente l accesso, il PIN e il PUK sono stati inseriti errati.

41 Sim Card Struttura logica MF File organizzati in maniera gerarchica per mezzo di directory: Master File (MF) è la root del file system, ed è selezionato automaticamente al reset. Elementary File (EF) sono I repository dei dati. EF 0 EF n DF 0 EF 00 EF 0n Dedicated File (DF) sono le directory del file system e possono contenere sia DF che EF. Esse consentono di installare più di un applicazione all interno della Smart Card. DF n EF n0 DF n0 EF n00 EF n0n EF nn

42 Sim Card Controllo degli Accessi Il principio fondamentale di controllo di accesso è basato sulla corretta presentazione dei PIN e sulla loro gestione. Ad ogni file è associato una intestazione che indica le condizioni o i requisiti di accesso e lo stato corrente.

43 Sim Card Livelli di accesso Esistono vari livelli di accesso: Always: nessuna restrizione Never: l accesso al file è proibito Card Holder Verification 1: CHV1 regola l accesso, il PIN1 è stato inserito Card Holder Verification 2: CHV2 regola l accesso, il PIN2 è stato inserito Administrative: l allocazione dei livelli e i relativi requisiti sono sotto la responsabilità di una appropriata autorità amministrativa

44 Sim Card PIN e PUK Personal Identifier Number: serve per accedere alle funzionalità e ai dati della smart card. Se inserito in maniera scorretta un numero n di volte necessita di un altro codice di sblocco (PUK). Se anche quest ultimo viene inserito errato un numero n di volte, successive, provoca il Blocco Irreversibile, eventualmente invalidando permanentemente la carta.

45 Sim Card Capacità Crittografiche Utilizzo del DES e del tripledes Punto debole :Ampiezza di banda dell interfaccia seriale Soluzione:nessuna, codifica simmetrica lenta.

46 Sim Card Capacità Crittografiche Utilizzo del RSA con chiave tra 512,768 e 1024 bit. Punto debole: Capacità computazionali elevate Soluzione:Teorema cinese del resto La chiave è memorizzata nell Eeprom e non è accessibile dall esterno. Oltre al RSA vengono utilizzati anche i DSA che si basano su algoritmo MD5 che è una evoluzione del MD4

47 Sim Card Capacità Crittografiche MD5 Message Digest (MD5) Ron Rivest Funzione hash che dato un messaggio in input genera una sequenza (fingerprinter) di lunghezza fissa (128 bit). MD5 è una funzione hash one-way, cioè: dato un qualsiasi M, deve essere computazionalmente semplice calcolare H(M); dato un qualsiasi h, deve essere computazionalmente impraticabile calcolare un M tale che h = H(M);

48 Corollario: Funzione hash senza collisioni Una funzione di hash sicura deve essere senza collisioni (collision-resistant): dato un qualsiasi M, deve essere computazionalmente impraticabile trovare un M M tale che H(M ) = H(M) (funzione debolmente senza collisioni); deve essere computazionalmente impraticabile trovare una coppia (M, M ), con M M, tale che H(M) = H(M ) (funzione fortemente senza collisioni). L idea è che, anche se necessariamente esistono messaggi diversi che producono lo stesso hash, non è praticabile trovarli.

49 Corollario: Attacco ad una funzione hash Le due proprietà sull assenza di collisioni (debole e forte), corrispondono a due diversi tipi di attacchi a forza bruta: attacco a forza bruta semplice : trovare un messaggio che produca un dato hash (cioè un hash uguale a quello di un messaggio dato); attacco del compleanno (birthday attack): trovare due messaggi che producano lo stesso hash, indipendentemente dal valore di questo hash. La complessità dei due attacchi è molto diversa! se l hash è lungo m bit, la complessità del primo è 2 m, quella del secondo è 2 m/2.

50 Sim Card Capacità Crittografiche MD5 MD5 è una funzione hash sicura

51 Sim Card Capacità Crittografiche MD5 Algoritmo di preprocessamento: 1- Il messaggio N viene riempito (padding) con altri bit in modo da diventare N=64 mod 512. Il padding è un 1 seguito da 0 fino a soddisfare la regola enunciata precedentemente. Se la misura originale è già corretta si aggiungono comunque 512 bit. 2- Viene aggiunto una sequenza di 64 bit che rappresenta la lunghezza del messaggio in input prima dello svolgersi del punto Dividiamo il messaggio in blocchi di 512 bit ed ogni blocco in 16 sottoblocchi mj da 32 bit. In questo modo otteniamo dei blocchi di 512 bit che andranno processati singolarmente tramite la funzione hash e il cui risultato sarà l input della iterazione successiva. Con questo preprocesso ci assicuriamo che due messaggi (diversi) non vengono rappresentati nello stesso modo.

52 Sim Card Capacità Crittografiche MD5 Algoritmo: 1-4 registri da 32 bit che rappresentano il digest vengono inizializzati con le seguenti 4 sequenze: A = 0x B = 0x89abcdef C = 0xfedcba98 D = 0x Dette Variabili di concatenamento (chaining variables). Ad ogni passo si fornisce il digest al passo successivo come input. 2- Copia il contento dei registri in 4 variabili a,b,c,d 3- Applica una funzione fp scelta tra 4 (F,G,H,I) a 3 registri scelti tra a,b,c,d 4- Aggiungi al quarto registro il risultato ottenuto nel passo 3 5- Somma il sotto-blocco di testo del messaggio, mj, al risultato ottenuto nel punto 4

53 Sim Card Capacità Crittografiche MD5 6- Somma un valore costante Ti al risultato del punto precedente 7- Effettua una rotazione Sk verso destra, considerando il registro come circolare. 8- Sommo al risultato del passo 7 una delle altre tre variabili (in mod 2 32 ) e pongo il risultato al posto di quest ultima, sostituisco il contenuto di ognuna delle altre tre con quella alla sua sinistra 9- ripeti 16 volte dal passo 3 al 8 con la stessa funzione scelta la prima volta e variando j e i 10- ripeti 4 volte dal passo 3 al 9 con una funzione hash diversa da quella o quelle utilizzate precedentemente, azzerando j e variando i e k. 11- somma i contenuti delle variabili a,b,c e d ai rispettivi registri A,B,C e D. 12- ripeti per ogni blocco di 512 bit dal passo 2 al concateno i registri A,B,C,D e ottengo il message digest.

54 Sim Card Capacità Crittografiche MD5 La funzione fp è scelta tra le seguenti: F(x,y,z) = (x and y) or (not x and z) G(x,y,z) = (x and z) or (y and not z) H(x,y,z) = x xor y xor z I(x,y,z) = y xor (x or not z).

55 Sim Card Capacità Crittografiche MD5 mj Tk

56 Sim Card Capacità Crittografiche MD5 Punti di forza del MD5: Sicurezza: E computazionalmente difficile trovare due messaggi che danno lo stesso valore di hash. Sicurezza Diretta: MD5 non è basato su nessuna assunzione, come la difficoltà della fattorizzazione. Velocità: MD5 è integrabile per software ad alta velocità.e basata su semplici manipolazioni sui bit. Semplicità e Compattezza: MD5 è semplice, senza strutture dati e programmi complicati. MD5 è stato attaccato con parziale successo da den Boer and Bosselaers. Idea: Evoluzione SHA.

57 DSS e Teorema Cinese del Resto A cura di Luca de Angelis

58 Teorema Cinese del Resto (1) Def: Siano m ed n due naturali primi tra loro; siano a,b Z. Allora il sistema di congruenze seguente, ha una soluzione in Z. x x a(mod b(mod n) m) Inoltre, se x 0 Z è una soluzione, le soluzioni del sistema sono tutti e soli gli interi x con: x x 0 (mod mn )

59 Teorema Cinese del Resto (2) Dimostrazione (prima parte): 1) Soluzioni intere del tipo x=b+km, con k numero intero, se e solo se b+km è congruo a(mod n); 2) Poiché m ed n sono primi tra loro, segue che m ha inverso in Z n ; 3) Si calcola il numero k 0 := m -1 (a-b) e si moltiplica tutto per m; 4) Quindi si ha mk 0 =(a-b), cioè congruo ad (a-b)(mod n); 5) Segue che b+ mk 0 è congruo ad a(mod n); 6) Da qui si trova x 0 := b+ mk 0 è una soluzione del sistema.

60 Teorema Cinese del Resto (3) Dimostrazione (seconda parte): 7) Sia x 0 la soluzione precedente. 8) Un intero x è soluzione del sistema se e solo se è congruo ad x 0 (mod n) e ad x 0 (mod m); 9) Cioè se e solo se (x - x 0 ) = m e (x - x 0 ) = n; 10) Essendo m ed n primi tra loro questo si verifica se e solo se (x - x 0 ) = mn = mn 11) Ossia se e solo se x è congruo ad x 0 (mod mn). Cvd.

61 Teorema Cinese del Resto (4) Def: Siano dati r numeri naturali n 1, n 2,., n r a due a due primi tra loro; sia n = n 1 n 2 n r. Siano inoltre a 1, a 2,, a r r numeri interi. Allora il sistema di congruenze lineari x a (mod n ), 1 i i i r ha una soluzione in Z. Se l intero x 0 è una soluzione, allora le altre soluzioni del sistema sono tutti e soli gli interi x con: x x (mod n n... 2 n 0 1 r )

62 Digital Signature Standard (DSS) E uno standard per l autenticazione e la firma digitale proposto dal NIST in collaborazione con l NSA Il DSS non è un algoritmo, ma specifica una serie di algoritmi da utilizzare per implementarlo: DSA (raccomandato dal NIST) RSA ECDSA Viene anche specificata quale funzione hash utilizzare per comprimere il messaggio e per generare la firma: SHA-1 (specificata nel relativo standard: SHS)

63 Digital Signature Alghoritm (DSA) (1) Parametri: p = numero primo, tale che 2 L-1 <p<2 L con L ; q = numero primo, divisore di p-1 con <q<2 160 ; g = h (p-1)/q mod p, dove h è un intero e 1<h<p-1 tale che h (p-1)/q mod p>1; x = intero casuale o pseudocasuale con 0<x<q y = g x mod p k = intero casuale o pseudocasuale con 0<k<q

64 Digital Signature Algorithm (DSA) (2) I parametri p, q e g sono pubblici e possono essere condivisi con un gruppo di utenti x e y sono rispettivamente la chiave privata e la chiave pubblica k e x sono usati per generare la firma. Anche k deve essere segreto e viene rigenerato ogni volta

65 Generazione della firma La firma è la coppia di valori (r,s) così definiti: r = (g k mod p)mod q; s = (k -1 (SHA-1(M)+xr)mod q. SHA-1(M) è una stringa di 160 bit che è l output della funzione hash; k -1 è l inverso moltiplicativo di k, mod q;

66 Verifica della firma (1) Il destinatario conosce p, q, g e la chiave pubblica del mittente e riceve M, r, s : Se non è 0<r <q e 0<s <q allora la firma è violata; w = (s ) -1 mod q; u 1 = ((SHA-1(M ))w)mod q; u 2 = (r w) mod q; v = ((g u1 y u2 mod p) mod q. Se v=r la firma è corretta!

67 Verifica della firma (2) Teo: Se nella firma ricevuta M =M, r =r e s =s allora v=r Dimostrazione: Si ha che: 1. w = (s ) -1 mod q = s -1 mod q e s = (k -1 (SHA-1(M)+xr)mod q segue che: (SHA-1(M)+xr)w mod q = k mod q; 2. u 1 = ((SHA-1(M ))w)mod q = (SHA-1(M)w)mod q; 3. u 2 = (r w) mod q = rw mod q; Essendo y = g x mod p: 4. v = ((g u1 y u2 mod p) mod q = (g (SHA-1(M)+xr)w mod p) mod q = (g k mod p) mod q = r = r. Cdd.

68 Critiche a DSA Non può essere usato per la crittazione e la distribuzione di chiavi Vero E stato sviluppato dall NSA, quindi ci potrebbe essere una trapdoor Forse E più lento di RSA Sì e No RSA è uno standard de facto Vero Può essere coperto da licenze Vero La chiave è troppo corta Era Vero

69 Confronto DSA-RSA DSA RSA DSA con p, q, g in comune Generazione della chiave 14 sec Secret 4 sec Precalcolo 14 sec N/A 4 sec Generazione della firma 0.03 sec 15 sec 0.03 sec Verifica della firma 16 sec 1.5 sec 10 sec

70 Secure Hash Standard (SHS) Questo standard specifica 4 algoritmi hash sicuri, da utilizzare negli standard di firma digitale: SHA-1; SHA-256; SHA-384; SHA-512. Sono sicuri perché sono unilaterali, e sono sia debolmente che fortemente senza collisioni

71 Secure Hash Alghoritms Ognuno dei 4 algoritmi può essere descritto in due passi: Preprocessamento; Calcolo dell hash. Gli algoritmi si differenziano principalmente per: Lunghezza del messaggio di input; Lunghezza del message digest; Lunghezza dei blocchi e delle word utilizzati dalle funzioni interne; Sicurezza rispetto all attacco del compleanno.

72 SHA - Proprietà Message Size (bit) Block Size (bit) Word Size (bit) MD Size (bit) Security (bit) SHA-1 < SHA-256 < SHA-384 < SHA-512 <

73 SHA-1 Preprocessamento Il preprocessamento deve essere eseguito prima del calcolo della funzione hash Si può dividere in tre sotto-passi: 1. Padding del messaggio M; 2. Parsing del risultato in blocchi; 3. Setting dei valori iniziali.

74 SHA-1 Padding Lo scopo di questa operazione è far sì che la lunghezza del messaggio ottenuto sia un multiplo di 512 bits Se la lunghezza del messaggio M è di l bits, si aggiunge un 1 seguito da k zeri, con: l k = 448 mod 512 Rimangono 64 bit che servono ad esprime la lunghezza del messaggio iniziale.

75 SHA-1 Parsing Lo scopo di questa operazione è dividere il messaggio ottenuto precedentemente in N blocchi di m bits In questo caso si divide in N blocchi da 512 bit: M (1), M (2),, M (N) Ogni blocco è diviso in 16 word da 32 bit. Quindi l i-esimo blocco si può esprimere in: M (i) 0, M (i) 1,, M (i) 15

76 SHA-1 Settings Lo scopo di questa operazione è di settare il valore iniziale H (0) dell hash In questo caso si hanno 5 word da 32 bit: H (0) 0 = 0x H (0) 1 = 0xefcdab89 H (0) 2 = 0x98badcfe H (0) 3 = 0x H (0) 4 = 0xc3d2e1f0

77 SHA-1 Calcolo dell hash E un algoritmo iterativo: l hash di un passo dipende dall hash del passo precedente; ogni iterazione calcola dei valori di A,B,C,D,E che vengono sommati ai successivi Ogni passo è composto da 4 round con 20 operazioni ciascuno; Ogni operazione è fatta da una funzione su tre variabili, scorrimenti ed addizioni simili ad MD5

78 SHA-1 Funzioni e Costanti Ognuna delle 4 funzioni vale solo per 1 round e sono così definite (in ordine): f t ( x, y, z) Ch(x,y,z) = (x y) ( x z) Parity( x, y, z) = x y z = Maj( x, y, z) = (x y) (x z) ( y z) Parity( x, y, z) = x y z Sono usate 4 costanti. Una diversa per ogni round di un passo: K t = = = = = 5 a ed 8 9 eba f 1bbcdc 1 ca 62 c1 d 6

79 SHA-1 Schema Operazione

80 SHA-1 Algoritmo (1) 1. Si entra ne ciclo principale (FOR i=1 to N). Il blocco i-esimo M (i) è esteso fino a 80 word da 32 bit W 0, W 1,, W 79 in questo modo: 1. W t = M t, con t = W t = (W t-3 W t-8 W t-14 W t-16 )<<<1, con t = Si inizializzano 5 variabili a, b, c, d, e con i rispettivi valori dell hash precedente 3. Si entra nel ciclo interno: FOR t=0 to 79 TEMP = (a<<<5)+f t (b,c,d)+e+w t +K t e = d d = c c = b<<<30 b = a a = TEMP

81 SHA-1 Algoritmo (2) 4. Si calcola l i-esimo hash intermedio H (i) : H 0 (i) = a + H 0 (i-1) H 1 (i) = b + H 1 (i-1) H 2 (i) = c + H 2 (i-1) H 3 (i) = d + H 3 (i-1) H 4 (i) = e + H 4 (i-1) 5. Alla fine il Message Digest viene calcolato concatenando i valori riportati dal passo n-esimo: H 0 (N) H 1 (N) H 2 (N) H 3 (N) H 4 (N) Il risultato finale è una stringa di 160 bit

82 SHA-1 Sicurezza Finora non si conoscono attacchi contro SHA-1 Poiché produce un Message Digest di 160 bit, è più sicuro agli attacchi brute force degli algoritmi che producono MD a 128 bit (in primis MD4 e MD5)

83 SHA-1 vs MD5

84 Il modello di sicurezza nel GSM A cura di Paola Ranaldi

85 Introduzione Tutto l'intero costrutto per la sicurezza si fonda su criteri inerenti l'identificazione dell'abbonato, introdotti specificamente con il sistema GSM. L'abbonato è identificato univocamente dal codice IMSI che, unitamente alla chiave personale di autenticazione Ki, costituiscono le credenziali di identificazione. L'innovazione particolare è che le procedure di autenticazione e crittografia al fine di garantire maggiore sicurezza e protezione nel sistema si esplicano in modo che queste informazioni non vengano trasmesse sul canale radio. Precisamente, per l'autenticazione si utilizza un meccanismo di tipo challenge-response, mentre per la crittografia dei dati trasmessi si adotta una chiave di sessione Kc, ed anch'essa non viene mai trasmessa sul canale radio.

86 Mobile Station (MS) Mobile Equipment(ME): Dispositivo mobile fisico Identificatori: IMEI International Mobile Equipment Identity Subscribe Identity Module(SIM) Smart Card che contiene le chiavi, gli identificatori e gli algoritmi Idenificatori: K i chiave di identificazione del sottoscrittore IMSI International Mobile Subscriber Identity TMSI Temporary Mobile Subscriber Identity MSISDN Mobile Station International Service Digital Network PIN Personal Identity Number protecting a SIM LAI location area identity Il modello di sicurezza del GSM è basato su un segreto condiviso tra l HLR della rete di appartenenza del sottoscrittore e la carta SIM del sottoscrittore: K i

87 Gli algoritmi Algoritmo di autenticazione della MS (A3) Algoritmo di generazione della chiave di sessione (A8) Algoritmo di autenticazione e generazione della chiave di sessione (COMP128) Algoritmo di cifratura (A5)

88 Autenticazione della MS (A3) e generazione di Kc di sessione (A8) Quando la MS vuole comunicare con la rete GSM,entrando nell area di una MSC invia una richiesta di accesso alla BTS che la inoltra alla MSC Alla richiesta di identificazione della MS alla rete, l HLR fornisce alla MSC cinque tuple contenenti: RAND, un numero casuale a 128 bit SRES, calcolata su RAND e sulla chiave Ki, utilizzando l algoritmo A3 Kc, la chiave di sessione. Essa viene calcolata mediante l algoritmo A8 che prende in input RAND e ki L MSC invia la RAND della prima tupla alla MS SIM IMSI / TMSI RICHIESTA D ACCESSO RAND RETE GSM GEN. RANDOM RAND Ki A3 A3 ki SRES A8 A8 TRATTA RADIO KC

89 Autenticazione della MS (A3) e generazione di Kc di sessione (A8) La MS calcola una SRES con l algoritmo A3 utilizzando la RAND ricevuta dalla MSC, e la chiave Ki che risiede nella SIM La MS invia la SRES alla MSC La MSC confronta la SRES inviatagli dalla MS con quella contenuta nella tripla del HLR La MS calcola la chiave di sessione Kc mediante l algoritmo A8 che prende in input RAND e ki SIM IMSI/TMSI RICHIESTA D ACCESSO RETE GSM RAND GEN. RANDOM RAND Ki A3 A3 ki SRES SRES A8 SRES?= SRES A8 KC TRATTA RADIO KC

90 Crittografia dei dati trasmessi ( A5) La chiave di sessione kc viene usata per la codifica sul canale via etere. La stessa kc viene utilizzata fin quando l MSC non identifica nuovamente la MS, nel qual caso ne viene generata una nuova ME SIM ki RAND A8 RAND A8 ki OPERATORE GSM Fn kc A5 kc A5 Fn Data XOR Ciphertext XOR Data

91 Elementi del sistema GSM SIM: A3, A8; MS: A5 IMSI\TMSI Ki BTS: A5; Kc NS (Network Subsystem) MSC AuC VLR; HLR; EIR; A3, A8 IMSI\TMSI, LAI, Ki gen. Num. pseudocasuali

92 Sicurezza della rete La scelta di generare un numero casuale (RAND) è dovuta al fatto che se tale stringa non fosse generata, il valore SRES trasmesso dalla MS alla BTS sarebbe sempre lo stesso: si potrebbe dunque effettuare un attacco a ripetizione Sia l A3 che l A8 sono memorizzati nella SIM. Questo significa che l operatore può decidere quali algoritmi utilizzare indipendentemente dai produttori di hardware e dagli altri operatori. Infatti, l autenticazione funziona anche negli altri paesi, poiché le reti locali chiedono le 5 triple all HLR della rete di appartenenza dell abbonato. Così la rete locale non deve sapere niente riguardo gli algoritmi A3 ed A8 utilizzati. L abbonato è identificato univocamente dal codice IMSI e dalla chiave personale di autenticazione ki Per la crittografia dei dati trasmessi si adotta una chiave di sessione Kc per garantire maggiore sicurezza e protezione del sistema le procedure di autenticazione e crittografia si esplicano in modo che IMSI, Ki e kc non vengano mai trasmesse sul canale radio.

93 L anonimato Quando una MS entra in un area MSC diversa e accende il segnale radio utilizzando per la prima volta la SIM, obbligatoriamente viene usata la sua vera identità IMSI. Per proteggere l IMSI di un utente sull interfaccia aerea L IMSI, non appena conclusa con successo l autenticazione, viene sostituita con un identificazione provvisoria TMSI, ed è proprio questa ad essere resa pubblica nella rete e ad essere utilizzata in tutte le comunicazioni successive Appena si conclude con successo l autenticazione, la rete assegna alla SIM un TMSI e lo trasmette in forma cifrata alla MS dove poi viene decifrato L MS risponde confermando l avvenuta ricezione e memorizza Il TMSI nella SIM. Da questo momento, per tutte le comunicazioni successive, il codice TMSI è utilizzato al posto del codice IMSI Il codice TMSI è valido solo nella Location Area (LA) in cui è stato rilasciato. Per comunicazioni al di fuori della LA è necessario l utilizzo del LAI in aggiunta al TMSI Ogni volta che si compie una Location Updating il VLR assegna una nuova TMSI alla MS e la invia insieme al messaggio che comunica l esatto aggiornamento della localizzazione (Location Updating Accept) Il codice TMSI, quando il processo di crittografia è stato attivato può essere riallocato anche in caso di altri accessi alla rete (TMSI ReallocationRequest-TMSI Reallocation Confirmation)

94 Comp128 Invece di utilizzare due algoritmi distinti, A3 ed A8, la maggior parte degli operatori GSM utilizza un unico algoritmo, chiamato COMP128. Ki (128 bit), RAND (128 bit) Ki (128 bit), RAND (128 bit) A3 SRES (32 bit) A8 Kc (64 bit) ALGORITMO DI AUTENTICAZIONE ALGORITMO DI GENERAZIONE DELLA CHIAVE DI SESSIONE KC

95 Comp128 Invece di utilizzare due algoritmi distinti, A3 ed A8, la maggior parte degli operatori GSM utilizza un unico algoritmo, chiamato COMP128. Ki (128 bit), RAND (128 bit) Comp128 SRES (32 bit), Kc (54 bit)

96 Comp Vengono creati: Un array x[ ] formato da 32 byte Un array bit[ ] formato da 128 byte Negli ultimi 16 byte di x[ ] viene immesso RAND presente in input

97 Comp Viene creata un iterazione per cui per 8 volte vengono eseguiti i seguenti passi:

98 Comp Viene creato l array simoutput[ ] di 96 bit dei quali: I primi 32 rappresentano SRES Gli altri 64 ( di cui gli ultimi 10 sono sempre posti uguali a zero) rappresentano la chiave kc

99 Comp128 Il COMP128 e' considerato un algoritmo debole In generale anche gli altri algoritmi utilizzati dal GSM lo sono. Infatti: gli ultimi 10 bit della chiave di sessione kc sono posti uguali a zero. Lo spazio delle chiavi si riduce da 2 64 a Si è riscontrato che questo avviene in tutte le implementazioni di A3/A8, incluse quelle che non usano COMP128 per la generazione della chiave e sembra sia una caratteristica voluta. In realta' vi e' il forte e fondato sospetto che siano utilizzati proprio per questo. Durante il processo di standarizzazione del protocollo piu' volte diversi governi si espressero a favore di algoritmi deboli per rendere possibile l'intercettazione ed il controllo delle chiamate.

100 Algoritmo di cifratura A5 L algoritmo A5 è lo stream cipher utilizzato per cifrare i frame che vengono inviati via etere Ciascun frame contiene 114 bit e rappresenta una parte della comunicazione tra MS e BTS e viceversa. I cifratori di tipo stream cipher operano bit a bit producendo per ogni bit di testo in chiaro un singolo bit cifrato in uscita. MS OPERATORE GSM Kc (64 bit) Kc (64 bit) Fn (22 bit) A5 A5 Fn (22 bit) 114 bit 114 bit Data(114 bit) XOR Ciphertext (114 bit) XOR Data (114 bit)

101 Algoritmo di cifratura A5 Uno stream cipher è tipicamente implementato come un exclusive-or(xor) tra il flusso dei dati ed una opportuna sequenza di bit chiave (keystream). L efficacia in termini di sicurezza dipende quindi dalle proprietà della Keystream: una keystream completamente casuale è certamente più efficace di una deterministica a breve periodo MS Fn (22 bit) A5 Kc (64 bit) keystream (114 bit) Kc (64 bit) A5 Fn (22 bit) keystream (114 bit) OPERATORE GSM Data(114 bit) XOR Ciphertext (114 bit) XOR Data (114 bit)

102 Algoritmo di cifratura A5 Fn è il numero del frame da cifrare Kc viene utilizzata per tutta la sessione, durante la quale il numero del frame cambia Viene generata un unica keystream per ciascun frame Una telefonata può essere decifrata qualora l attaccante conosca Kc in quanto il numero di frame viene trasmesso in chiaro MS Fn (22 bit) A5 Kc (64 bit) Kc (64 bit) A5 OPERATORE GSM Fn (22 bit) keystream (114 bit) keystream (114 bit) Data(114 bit) XOR Ciphertext (114 bit) XOR Data (114 bit)

103 Algoritmo di cifratura A5 I tre LFSR Il generatore delle keystream è costituito da 3 LFSR di lunghezze differenti. Organizzati in modo non lineare, che corrispondono ai tre polinomi delle connessioni: X 19 + x 5 + x 2 + x + 1 x 22 + x + 1 x 23 + x 15 + x 2 + x + 1 Tali polinomi sono stati scelti primitivi in modo che i corrispondenti registri abbiano periodo massimale: il periodo massimo di un registro a K bit è 2 k -1

104 Algoritmo di cifratura A5 I tre LFSR La lunghezza totale dei tre LFSR è di 64 bit. Gli LFSR sono lunghi rispettivamente 19, 22 e 23 bit e le funzioni utilizzate sono polinomi di feedback sparsi. Tutti e tre i registri sono temporizzati in base al valore del loro bit centrale

105 Algoritmo di cifratura A5 I tre LFSR Ad ogni passo ciascun registro viene shiftato se il suo bit centrale concorda con il valore di maggioranza dei bit centrali dei tre registri. Per esempio, se i bit centrali dei tre registri sono rispettivamente 0,1 e 1, gli ultimi due registri vengono shiftati, invece se i bit centrali sono rispettivamente 0, 1 e 0, allora vengono shiftati il primo ed il terzo registro. Così, ad ogni round, vengono shiftati almeno due registri. Lo XOR dei bit meno significativi dei tre registri rappresenta un bit della keystream.

106 Algoritmo di cifratura A5 I tre LFSR: inizializzazione I tre LFSR vengono inizializzati con una combinazione non lineare della chiave di sessione Kc ed il numero di frame. I 64 bit di Kc vengono inizialmente caricati nei tre registri r1, r2 ed r3 bit a bit, in modo sequenziale. Durante il caricamento dei bit della chiave, la regola di shift dei registri che contengono i bit di maggioranza è disabilitata. Il caricamento dei bit viene mostrato nel seguente esempio:

107 Algoritmo di cifratura A5 I tre LFSR: inizializzazione Dopo il caricamento dei bit della chiave di sessione ciascuno dei 22 bit del numero di frame viene messo in XOR con i tre valori di feedback dei registri stessi. Durante il caricamento di ciascun bit del numero di frame, vengono shiftati i registri il cui bit centrale concorda con il bit di maggioranza.

108 Algoritmo di cifratura A5: la keystream di output Dopo che i registri sono stati inizializzati con la chiave di sessione Kc ed il numero del frame corrente: i primi 100 bit di output della keystream vengono scartati allo scopo di distribuire i bit del numero di frame in modo casuale nei tre LFSR; vengono prodotti 114 bit di output della keystream, che vengono utilizzati per cifrare il frame da MS a BTS; vengono scartati altri 100 bit di output dell keystream per nascondere la relazione tra i primi 114 bit ed i succesivi 114 bit della keystream; vengono prodotti 114 bit di output della keystream, che vengono utilizzati per decifrare il frame successivo ricevuto dalla BTS. Ad ogni passo, viene prodotto un bit della keystream. L'algoritmo restituisce una keystream di 228 bit. La cifratura effettiva avviene mettendo in XOR 114 bit della keystream e 114 bit del messaggio in chiaro. Successivamente, l algoritmo A5 viene reinizializzato con la stessa chiave Kc ed il numero del frame successivo.

109 Algoritmo di cifratura A5: Esistono tre versioni dell algoritmo A5: A5\1 : la versione più forte e meno diffusa A5\2 : la versione più debole per cui non esistono limiti di esportazione A5\3 : la nuova versione, non ancora utilizzata nei sistemi GSM L A5 è stato giudicato troppo sicuro per essere esportato dagli USA in medioriente. Così l algoritmo originale è stato rinominato A5\1, mentre le successive versioni sono indicate con A5\X Nel 1998 due ricercatori della California University di Berkeley sono riusciti a rompere gli algoritmi A5\2+A3\A8 ponendo seriamente in evidenza la responsabilità di enti governativi (la CIA e l NSA)nella scelta di algoritmi così deboli L anno successivo il gruppo di Berkley annuncia di aver violato con successo anche l A5\1

110 Poche garanzie di riservatezza E possibile concludere che intercettare e decrittare al volo una telefonata sia fattibile per chi abbia a disposizione mezzi e risorse (10000 dollari è la stima per un apparecchiatura di intercettazione di alta qualità). In realtà ascoltare le nostre conversazioni è molto più semplice: l architettura GSM prevede che la conversazione sia cifrata dal telefono alla cella, la BTS, ma da questo punto in poi il traffico viaggia in chiaro. Così l operatore e le autorità competenti non avranno difficoltà ad ascoltare le telefonate. Allora la scelta di algoritmi deboli è da imputarsi a progetti di controllo e di spionaggio non legati alla collaborazione con un operatore, a cui può far comodo intercettare una telefonata senza l autorizzazione o la collaborazione di qualcuno.

111 Attacchi alla Sicurezza nel GSM A cura di Marco Canu

112 Cronologia degli Attacchi 1991 Prima Implementazione del GSM. Aprile 1998 La Smartcard Developer Association (SDA) assieme a dei ricercatori di Berkeley ha rotto l algoritmo COMP128 registrato nella SIM riuscendo a ricavare K i nell arco di alcune ore. Scoprendo tra l altro che la chiave di sessione Kc utilizza solo 54 bits. Agosto 1999 Il debole A5/2 è stato rotto con un semplicissimo PC nell arco di pochi secondi. Dicembre 1999 Alex Biryukov, Adi Shamir e David Wagner hanno pubblicato lo scema di rottura del più resistente algoritmo A5/1. In una conversazione di 2 minuti, e con un tempo di attacco nell ordine di 1 secondo. Maggio 2002 Il gruppo di ricerca dell IBM ha scoperto una nuova strada per estrarre velocemente la chiave del COMP128 utilizzando un attacco basato su SIDE EFFECTS. Settembre 2003 Un gruppo di ricercatori israeliani del Technion Insitute of Technology di Haifa è riuscito a violare il sistema GSM basato sulle code di correzione dell errore.

113 Tipologie di Attacchi Algoritmi di Cifratura (Attacchi all Algoritmo A5/x) Attacco Brute-Force Attacco Divide-and-Conquer (Known Plaintext) Time-Memory Trade-Off SIM Card (Recupero della chiave k i ) Attacchi Logici Attacchi Fisici Rottura dell Algoritmo COMP128 Attacco Chosen Challeng Partitionin Attack Architettura di Rete (Insicurezza strutturale della Rete) Intercettazione Segnali Operazioni di Rete Recupero Chiave dall Authentication Center (AuC)

114 Algoritmo A5/1 Debolezza della Chiave Un gruppo di ricercatori dell Università della California ritiene che la semplicità nel rompere l A5/1 sia dovuta al fatto che il governo lo abbia deliberatamente indebolito per fini di sorveglianza delle comunicazioni. Sebbene l A5/1 utilizzi una chiave a 64 bit, i ricercatori hanno scoperto che gli ultimi 10 bit sono settati a 0 Questo significa che con computer estremamente potenti, a disposizione delle varie agenzie governative, potrebbe essere possibile, abbastanza velocemente, decodificare una conversazione. Algoritmi A5/x A5/1 utilizzato nei paesi europei (Kc di 54 bit) A5/2 utilizzato negli USA (Kc di 16 bit) A5/0 utilizzato in medio oriente (non cifra la comunicazione)

115 Algoritmo A5/1 Attacco Brute-Force Un attacco Brute-Force in Real-Time non è realizzabile, essendo la complessità di tale attacco di 2 54 operazioni. E altresì possibile memorizzare i frame della comunicazione tra MS e BTS e lanciare l attacco successivamente. Con un calcolatore PIV 3GHz con 55M transistor, se l implementazione di tre LFSR richiedesse circa 2000 transistor, la ricerca esaustiva nello spazio delle chiavi richiederebbe circa 25 ore. (15 giorni con un PIII 600MHz) Possibilità di ridurre la complessità (riducendola di 1/3) interrompendo la ricerca su una particolare chiave appena si incontra un bit non valido nella Keystream.

116 Algoritmo A5/1 Attacco Divide-and-Conquer Riduce la complessità da 2 54 tentativi dell attacco di forza bruta a 2 45 (2 9 =512) Attacco known-plaintext. Tenta di determinare lo stato iniziale degli LFSR da una sequenza di keystream conosciuta. E sufficiente conoscere solo 64 bit consecutivi della keystream calcolati dalle coppie testo in chiaro-testo cifrato a lui note. Attacco implementato indovinando il contenuto dei due LFSR più corti e computando il terzo dalla keystream conosciuta mediante la risoluzione di equazioni lineari appropriate. Questo attacco richiederebbe in media 2 40 tentativi, nell'ipotesi in cui gli shift dei primi due registri non fossero dipendenti dal terzo registro. J.Golic ha proposto un altro attacco divide-and-conquer basato sulle stesse assunzioni con la complessità media di circa stati interni possono essere raggiunti a partire dai 2 64 stati iniziali da cui è possibile ottenere, indovinando n bit dei primi due registri, delle semplici equazioni lineari. La cui risuluzione ha complessità media di J. Golic: Ulteriore attacco Trade-Off Tempo-Memoria basato sul Paradosso del Compleanno.

117 Algoritmo A5/1 A5/2 ed Attacco Man-in-the-Middle Attacco ad A5/2 Chiave Kc di 16 bit Attacco Known-Plaintext Basso ordine algebrico. Code di correzione dell errore. Complessità Temporale inferiore ad 1 sec. Attacco Man-in-the-Middle L attaccante si finge BTS e MS in fasi successive Riceve la comunicazione crittata da MS (calcolato con A5/2) Ottiene Kc dal frame ricevuto conosciendo il numero di frame

118 Recupero della Chiave Ki Attacco Fisico alla SIM e Rottura COMP128 La chiave Ki è il cardine della sicurezza nel GSM Una volta recuperata la chiave si ha completo accesso ai servizi dell utente truffato. Capacità del Sistema di Individuare chiamate contemporanee Se l attaccante è interessato solo all ascolto delle chiamate dell'abbonato resta invisibile alla rete GSM. La SDA (The Smartcard Developers Association) e l'isaac (Internet Security, Applications, Authentication and Cryptography) hanno scoperto un difetto nell algoritmo COMP128 che rende capaci effettivamente di recuperare la chiave segreta Ki, dalla SIM. L attacco richiede l'accesso fisico alla SIM ed è di tipo chosen-challenge. La chiave segreta può essere dedotta dalle risposte SRES mediante crittoanalisi differenziale. Se il lettore di smartcard utilizzato per implementare l attacco lancia 6.25 query al secondo alla SIM, l attacco richiede circa 8 ore per essere portato a termine. Necessari challange alla SIM, per generare le SRES e le chiavi di sessione K c Applicazione dell Ingengeria Sociale

119 Attacco al COMP128 Tipologia e Complessità Temporale Il COMP128 è un algoritmo di autenticazione. Ampiamente utilizzato dai Service Provider del GSM. Si tratta di un attacco di tipo chosen-challenge attack. Nel quale si formulano alla SIM una serie di richieste tratte da uno specifico insieme di input. La SIM applica l algoritmo alla propria chiave segreta e all insieme di input scelti, restituendone la risposta. L analisi delle risposte porta alla comprensione ed alla rottura dell algoritmo, con la conseguente individuazione della chiave. Realizzare tale attacco richiede un accesso alla SIM (sia esso logico o fisico), ed un semplice pc per elaborare le operazioni. E necessario interrogare la Smart Card per almeno volte, mentre sono necessari calcoli aggiuntivi relativamente irrisori. Sebbene l algoritmo fosse segreto, lo studio e la sua comprensione sono stati resi possibili dalla lettura di documenti pubblici e dall analisi del comportamento di un elevato numero di Carte.

120 Attacco al COMP128 Debolezza e Trucchi per la crittoanalisi L attacco si basa sull esistenza di una pipe'' all interno del COMP128. In particolare i bytes i,i+8,i+16,i+24 all output del secondo round dipendono unicamente dai bytes i,i+8,i+16,i+24 che sono in input all algoritmo. In particolare: I Bytes i,i+8 dell input sono i bytes i,i+8 della chiave, I bytes i+16,i+24 dell input sono i bytes i,i+8 dell input di prova. L attacco si basa quindi sulla variazione dei bytes i+16,i+24 di input (i.e. I bytes i,i+8 del challenge) mantenendo costante il resto dell input. Il paradosso del compleanno ci garantisce una rapida collisione dei bytes i,i+8,i+16,i+24 dell output dopo due round. Tale collisione sarà evidenziata dalla collisione dell output dell algoritmo. Ogni collisione ci permette di apprendere due bytes i,i+8 con l analisi dei primi 2 round. ``2-R attack'', nella terminologia della Crittoanalisi Differenziale.

121 Recupero della Chiave Ki Attacco Logico alla SIM: via Etere I ricercatori dell'sda (The Smartcard Developers Association) e dell ISAAC (Internet Security, Applications, Authentication and Cryptography) sono sicuri che l'attacco precedentemente descritto possa essere lanciato anche via etere. L attacco via etere è basato sul fatto che la MS deve rispondere ad ogni challange inviatagli dalla BTS. Un attaccante potrebbe impersonare la BTS legittima inviando alla MS obiettivo delle challenge per risalire alla chiave segreta mediante le risposte a queste challenge. Durata ipotetica 8-13 ore. Possibilità di dividere l attacco in più momenti.

122 Insicurezza Strutturale della Rete Intercettazione Segnali delle Operazioni di Rete Le trasmissioni sono cifrate solo tra la MS e la BTS. Dopo la BTS, i segnali vengono trasmessi in chiaro nelle operazioni di rete. Le comunicazioni avvengono via Cavo, ma anche attraverso le microonde e le comunicazioni satellitari. La rete di segnalazione SS7 utilizzata dagli operatori della rete GSM è completamente insicura se l attaccante ne guadagna l accesso diretto. Se l Attaccante potesse accedere a tale rete potrebbe: Conoscere RAND, SRES e Kc consentendogli l intercettazione on-the-fly di qualsiesi chiamata. Provare ad accedere all HLR (Home Location Register) di una particolare rete. Conoscere la chiave Ki di tutti gli abbonati. Attacchi di Ingegneria Sociale

123 Insicurezza Strutturale della Rete Recupero della Chiave dall AuC Lo stesso attacco utilizzato per il recupero di Ki da una SIM card può essere utilizzata per recuperare la chiave Ki dall AuC. La procedura di base è identica alla procedura utilizzata nella MS per accedere alla SIM. L Authentication Center risponde alle richieste fatte dalla rete GSM e restituire triple valide da utilizzare nell'autenticazione della MS. La differenza è che l AuC è molto più veloce nel processare le richieste di quanto non lo sia la SIM card. La sicurezza dell AuC gioca un ruolo fondamentale riguardo alla possibilità di eseguire o meno questo attacco.

124 Intercettazione delle Chiamate Sebbene: Sia stato rotto l algoritmo COMP128 Siano state messe appunto strategie per attaccare gli A5/x di cifratura delle conversazioni Vari scienziati nel mondo sembrano essere unanimi sul fatto che l intercettazione e la decodifica real-time di una chiamata via-etere sia ancora impossibile nonostante lo spazio delle chiavi sia ridotto. Esistono, tuttavia, altri tipi di attacchi al sistema che sono attuabili e sembrano essere minacce molto reali. Sono stati, infatti, implementati alcuni attacchi che non sfruttano nessuno dei difetti degli algoritmi di sicurezza.