GSM Security

Chapter 10 Real world security protocols 1

Cell Phones 1 세대 이동 전화

아나로그 , 표준이 거의 없었음 보안은 거의 고려되지 않음 복제 (cloning) 가 보안의 주 관심사였음

2 세대 이동 전화 : GSM 1982 에 시작 Global System for Mobile Communications

3 세대 3rd Generation Partnership Project (3GPP)

Chapter 10 Real world security protocols 2

AMPS

Analog(FDMA)

D-AMPS

GSMTDMA/FDMA

IS-95CDMA

1992 년 결정1996 년 개시

IS-95AIS-95B14.4kbps64kbps

CDMA1x-EVDO

GPRS EDGE WCDMA HSDPA

2.4Mbps2003 년

8Kbps

30kbps9.6kbps

384kbps

WiBro18Mbps

Wi-Fi54Mbps

10Mbps2007 년

1G 2G 2.5G 3G 3.5G

144kbps384kbps2Mbps

GSM Architecture

Chapter 10 Real world security protocols

Mobile

HomeNetwork

“land line”

air interface

BaseStation

BaseStation

Controller

PSTNInternet

Etc.Visited Networ

k

VLR

HLR

AuC

4

VLR (Visitor Location Register)HLR (Home Location Register)AuC (Authentication Center)

GSM 시스템 구성요소

휴대 전화 : cell phone SIM(Subscriber Identity Module) 을 내장

Smart card Air interface

방문 네트워크 (Visited network) 기지국 (base station) 기지국 제어기 (base station controller)

Chapter 10 Real world security protocols

SIM

5

GSM 시스템 구성요소

PSTN ( 공중 전화망 )

Home network 휴대전화가 속해 있는 망 HLR (Home Location Register) AuC (Authentication Center) IMSI/Ki 를 보관

IMSI(International Mobile Subscriber ID)

Chapter 10 Real world security protocols 6

Mobile phone: cell phone SIM(Subscriber Identity Module) 내장 SIM 은 security module 로서 다음의

정보를 갖는다 . IMSI (International Mobile Subscriber ID):

휴대전화 사용자를 구별 사용자 키 Ki (128 bits)

SIM 을 사용하는 목적은 조작을 방지하기 위한 H/W(smart card) 를 제공하는 것이다 .

Chapter 10 Real world security protocols

SIM

7

방문 네트워크 (Visited network) 다수의 기지국

하나의 셀 (cell) 마다 하나의 기지국 존재 기지국 제어기

VLR (Visitor Location Register) 은 기지국 제어기에 존재한다 . 현재 Visited network 에 방문한 휴대전화의

정보를 기록한다 .

Chapter 10 Real world security protocols 8

Home network 휴대 전화가 속한 홈 네트워크 각 휴대전화는 하나의 홈 네트워크에 등록되어

있다 . HLR (Home Location Register)

등록된 휴대전화가 현재 어떤 방문 네트워크에 있는지 기록한다 .

AuC (Authentication Center) IMSI(international Mobile Subscriber ID): 가입자

식별 번호 Ki: SIM 사용자 번호 모든 휴대전화 사용자에 대한 요금 정보를 갖는다 .

Chapter 10 Real world security protocols 9

GSM 보안의 목표 주 목표

GSM 를 공중 전화망과 같은 정도의 보안 유지 복제 방지

능동적인 공격은 고려하지 않음 ! 그때는 이러한 공격은 실현 가능성이 없었다 .

가장 큰 위협은 안전하지 않은 요금 관리

Chapter 10 Real world security protocols 10

GSM 보안 특징 익명성 (Anonymity)

사용자의 신분이 드러나지 않도록 한다 . 전화회사에는 그리 중요하지 않다 .

인증 (Authentication) 정확한 요금 청구를 위해서 필요 전화 회사에는 가장 중요한 문제 !

기밀성 (Confidentiality) 전화 회사에는 그리 중요하지 않다 .

Chapter 10 Real world security protocols 11

GSM: 익명성

IMSI 는 처음에 송신자를 식별하는데 사용된다 . 공격자가 통신 메시지의 시작 부분을 캡쳐하면 IMSI

를 알 수 있다 . 그래서 TMSI (Temporary Mobile Subscriber

ID) 를 사용 TMSI 는 자주 변경 TMSI 는 보낼 때 암호화함

익명성을 확실하게 보장하지 않는다 . 하지만 대부분의 사용자에게는 충분함

Chapter 10 Real world security protocols 12

GSM: 인증 Caller 는 기지국에 인증 상호 인증은 아니다 . challenge-response 에 의한 인증

Home network 은 RAND 를 발생하고 XRES = A3(RAND, Ki) 를 계산한다 . (A3 는 hash)

그리고 (RAND,XRES) 를 기지국에 보낸다 . 기지국은 challenge RAND 를 휴대 전화에 보낸다 . 휴대전화의 response 는 SRES = A3(RAND, Ki) 기지국은 검증 : SRES = XRES

Ki 는 홈 네트워크를 벗어나지 않는다 !

Chapter 10 Real world security protocols 13

GSM: 기밀성

데이터는 stream cipher 로 암호화 에러율이 대략 1/1000 에러율이 높아서 block cipher 를 사용할 수

없다 .

Chapter 10 Real world security protocols 14

GSM: 기밀성

1. 홈네트워크가 기지국으로부터 IMSI 를 받을 때 , 홈네트워크는 다음을 계산한다 . Kc = A8(RAND, Ki), where A8 is a hash GSM 암호화 키 : Kc

2. 그러면 Kc 는 (RAND,XRES) 와 함께 기지국으로 전송된다 .3. 기지국은 앞에서와 같이 인증 절차가 완료되면 ,4. 휴대전화는 Kc = A8(RAND, Ki) 를 계산

5. 기지국은 이미 Kc 를 알고 있다 . 따라서 휴대전화와 기지국은 대칭키를 공유한다 .

6. A5(Kc) 로부터 키스트림을 발생한다 . Ki 는 홈 네트워크를 벗어나지 않는다 !

Chapter 10 Real world security protocols 15

GSM 의 보안상의 문제점

GSM 에서 사용하는 암호 알고리즘에 결함 또한 프로토콜에 결함 가장 큰 문제는 처음 설계자들의 잘못된

보안의 가정이다 .

Chapter 10 Real world security protocols 16

GSM 보안

SRES 와 Kc 는 상관 관계가 없어야 한다 . 둘 다 RAND 와 Ki 에서 유도되었더라도

알려진 RAND/SRES pair 에서부터 Ki 를 추측하는 것이 가능하지 않아야 한다 . (known plaintext attack)

선택된 RAND/SRES pair 에서부터 Ki 를 추측하는 것이 가능하지 않아야 한다 .(chosen plaintext attack)

Mobile Base Station

4. RAND5. SRES

6. Kc 로 암호화

1. IMSI

HomeNetwork

3. (RAND,XRES,Kc)2. IMSI

17

GSM 암호 알고리즘 결함 A3/A8 는 해쉬로 COMP128 를 사용

150,000 개의 선택된 평문으로 해독될 수 있다 . SIM 에서 2 시간에서 10 시간 만에 Ki 를 구할 수

있다 . 암호화 알고리즘 A5/1

알려진 평문 공격에 2 초만에 깨진다 .

Chapter 10 Real world security protocols 18

GSM: 잘못된 가정 GSM 의 호 (call) 는 휴대 전화와

기지국 사에서 암호화 된다 . 오직 휴대전화와 기지국 만을 보호한다 .

하지만 기지국과 기지국 제어기 사이에는 암호화되지 않는다 . 이 사이에서의 통신은 마이크로파를

사용할 때가 있다 .

Chapter 10 Real world security protocols

BaseStation

BaseStation

Controller

VLR

19

GSM: SIM 공격

SIM card 에 대한 공격 Optical Fault Induction Partitioning Attacks

SIM 을 갖고 있으면 공격자는 수 초안에 Ki 을 찾아낼 수 있다 .

휴대폰을 분실했다면 수초 안에 복제해 낼 수 있다 !!!

Chapter 10 Real world security protocols 20

GSM: 프로토콜의 결함 ( 가짜 BS)

가짜 기지국은 프로토콜의 두 가지 결함을 이용한다 .

① 상호 인증이 아니다 . Caller 는 기지국에 인증을 받지만 caller 는

기지국을 인증하지 않는다 . ② air interface 에서의 암호화는 자동적으로

이루어지지 않는다 . 기지국이 암호화할 지 않을지를 결정한다 .

Chapter 10 Real world security protocols 21

GSM: 프로토콜 결함 (2/3)

Chapter 10 Real world security protocols

Mobile Base Station

RANDSRES

Fake Base Station

Noencryption

Call todestination

가짜 기지국은 보통의 전화 같은 역할을 한다 . 그래서 가짜 기지국과 합법적인 기지국 사이에는

보통의 GSM 전화 통신이 이루어지고 암호화된다 .

기지국은 통화를 엿들을 수 있다 . 요금은 가짜 기지국으로 청구된다 !

22

GSM: 프로토콜 결함 (3/3)

Chapter 10 Real world security protocols

Mobile Base Station

RANDSRES

Fake Base Station

Noencryption

Call todestination

가짜 기지국은 어떤 RAND 와 이에 해당하는 값을 보내기 때문에 SIM 에 대한 선택 평문 공격 (chosen plaintext attack) 을 할 수 있다 .

23

GSM: 프로토콜 결함 ( 재사용 )

기지국은 (RAND, XRES, Kc) 을 재사용할 수 있다 .

서비스 거부 공격이 가능하다 . jamming( 이것은 무선 통신에서 영원한 문제이다 )

Chapter 10 Real world security protocols 24

GSM 결론

GSM 은 목표를 달성했는가 ? 복제 방지 ? Yes air interface 를 PSTN 만큼 안전하게 한다 ? 아마도… 하지만 설계의 목표는 명백히 제한적이다 .

GSM 의 불안전한 보안 암호화 알고리즘의 약점 , SIM 문제 , 위조 BS, 재사용 등등 .

PSTN 불안전성 도청 , 적극적 공격 , 수동적 공격 (e.g., 코드리스 전화 ), 등등 .

GSM 의 보안은 어느 정도는 성공적이지 않는가 ?

Chapter 10 Real world security protocols 25