Sicherheitsanalyse in drahtlosen Netzen

throjan

Administrator
Mitarbeiter
Von unserem Mitglied barbos stammt diese Studienarbeit:

Achtung : Der WLAN Sicherheitsstandard WPA wird in dieser Arbeit nicht behandelt, da darueber zum Zeitpunkt der Erstellung dieser Arbeit noch nichts offiziell bekannt war.
28.06.2004 - Der neue Sicherheitsstandard 802.11i für drahtlose Netze ist seit dem 25.06. durch die IEEE ratifiziert (urspruenglich als WPA bezeichnet, bzw. vorweggenommen).

Studienarbeit

Sicherheitsanalyse in drahtlosen Netzen



Verfasser

Arne Wolf Kösling

E-Mail :

April 02

Carl-von-Ossietzky-Universität Oldenburg
Fachbereich Informatik
Abt. Rechnernetze & Telekommunikation

1. Gutachter: Prof. Dr. W. Kowalk

2. Gutachter: Dipl. Inform. Rüdiger Busch

Inhaltsverzeichnis

1 Sicherheitsproblematik drahtloser Netze 1

1.1 Allgemeine Verfahren und Schlüssellängen 4

1.1.1 Symmetrische Verschlüsselung 5

1.1.2 Asymmetrische Verschlüsselung 5

1.1.3 Hashfunktionen 6

1.1.4 Proprietäre Verfahren 6

2 Bluetooth 7

2.1 Einsatzgebiete / Allgemein 7

2.2 Authentisierungs- und Verschlüsselungsalgorithmen 8

2.3 Schlüsselarten 8

2.4 Sicherheits- und Betriebsmodi 10

2.4.1 Sicherheitsmodi 10

2.4.2 Betriebsmodi 11

2.4.3 Verschlüsselungsmodi 11

2.5 Algorithmen 12

2.6 Ablauf der Authentisierung und der Verschlüsselung 14

2.6.1 Initialisierung der Verbindung 14

2.6.2 Point-to-Multipoint Verbindungen 17

2.7 Sicherheitsmängel und Schwachstellen 18

2.7.1 Angriffe auf Bluetooth 20

2.7.2 Bekannte Schwachstellen in Bluetooth 1.0B 20

2.7.3 Staatliche Einflussnahme und Datenschutz 22

2.8 Ansätze zur Erhöhung der Sicherheit und Sicherungsverfahren 23

3 Wireless LAN 25

3.1 Einsatzgebiete / Allgemein 25

3.1.1 WLAN Standards 25

3.2 Authentisierungs- und Verschlüsselungsalgorithmen 26

3.3 Sicherheitslücken und Schwachstellen des WLANs 26

3.4 Wireless Equivalent Privacy Protocol (WEP) 30

3.4.1 Arbeitsweise des WEP 30

3.4.2 Spezielle Sicherheitsmängel und Schwachstellen von WEP 32

3.4.3 Ansätze zur Lösung der Sicherheitslücken in WEP 37

3.5 War Driving 39

3.6 Alternativen zur Erhöhung der Sicherheit in WLANs 42

3.7 Kritische Betrachtung des 802.1X Standards 43

4 Universal Mobile Telecommunications System (UMTS) 46

4.1 Einsatzgebiete / Allgemein 46

4.2 Sicherheitselemente in UMTS 46

4.2.1 Elemente der Sicherheitsarchitektur – Überblick über Begriffe 46

4.2.2 Integritäts- und Chiffrierschlüssel 47

4.2.3 Sicherheitsalgorithmen 48

4.3 Sicherheitsarchitektur 3G 50

4.3.1 Netzzugangssicherheit 51

4.3.2 Sicherheit im Netzbereich 53

4.3.3 Sicherheit im Benutzerbereich 54

4.3.4 Sicherheit im Anwendungsbereich 54

4.3.5 Sichtbarkeit und Konfigurierbarkeit der Sicherheitsmechanismen 55

4.4 Authentisierung, Integrität und Verschlüsselung 56

4.4.1 Aushandlung der Schlüsselalgorithmen 56

4.4.2 Lebenszeit der Schlüssel 56

4.4.3 Verschlüsselte Teilnehmerkennung 56

4.4.4 Authentifizierung und Schlüsselerzeugung 57

4.4.5 Resynchronisation der Sequenznummer 59

4.5 Sicherheit konkreter Algorithmen in UMTS und GSM 60

4.5.1 Comp128 /Algorithmen A3 und A8 im GSM 60

4.5.2 A5/0, A5/1, A5/x / Algorithmus A5 GSM 62

4.5.3 MILENAGE / Algorithmen f1,f1*,f2,f3,f4,f5,f5* in UMTS 64

4.5.4 KASUMI / Algorithmen f8 und f9 in UMTS 65

4.6 Sicherheitsmängel und Schwachstellen von UMTS 66

4.6.1 Vergleich der Sicherheitsarchitektur von UMTS und GSM 68

4.6.2 Sicherheitsalgorithmen von UMTS und GSM im Vergleich 71

4.6.3 Staatliche Einflussnahme / Datenschutz 72

5 Fazit 73

6 Abkürzungsverzeichnis 75

7 Glossar 76

8 Anhänge 83

8.1 A5/1 Algorithmus in C Quellcode 83

9 Index 87

10 Literatur 88



Abbildungsverzeichnis



Abbildung 2‑1 - Aufbau des E(0) Algorithmus. 12

Abbildung 2‑2 - Ablauf der Verschlüsselung mit E(0) 13

Abbildung 2‑3 - Modi von E(2) 14

Abbildung 2‑4 - Ablauf der Authentifizierung mittels E(1) 16

Abbildung 3‑1 - Verschlüsselung mittels WEP. 31

Abbildung 3‑2 - Entschlüsselung mittels WEP. 31

Abbildung 3‑3 - Verschlüsselter WEP Frame. 32

Abbildung 3‑4 - Fast Packet Keying von RSA und Hifn. 38

Abbildung 4‑1 - Verschlüsselung von Nachrichten. 49

Abbildung 4‑2 - Integritätsüberprüfung von Signalnachrichten. 50

Abbildung 4‑3 - Sicherheitsarchitektur 3G.. 51

Abbildung 4‑4 - Generierung des Authentication Vectors durch das AuC/HLR.. 58

Abbildung 4‑5 - Überprüfung der vom Netz gesendeten Daten durch die MS. 59

Abbildung 4‑6 - Berechnung des Resynchronisationsparameters AUTS durch die MS. 60

Abbildung 4‑7 - Authentifizierung des GSM Teilnehmers in der Heimatumgebung. 61

Abbildung 4‑8 - Comp128 Algorithmus. 61

Abbildung 4‑9 –A5 Algorithmus. 62

Abbildung 4‑10 - A5/1 LSFR Konstruktion. 63

Abbildung 4‑11 - Definiton von f1,f1*,f2,f3,f4,f5 und f5*. 64

Abbildung 4‑12 - f8 Schlüsselstromgenerator 65

Abbildung 4‑13 - f9 Integritätsfunktion. 66



Abstract

In der vorliegenden Arbeit sollen die 3 Funksysteme Bluetooth, Wireless LAN und UMTS kritisch betrachtet und hinsichtlich ihrer designgegebenen Sicherheitsvorkehrungen beurteilt werden. Dabei wird die Sicherheitsarchitektur jedes dieser Systeme zunächst erläutert. Es werden alle sicherheitsrelevanten Einzelheiten des jeweiligen Netzes aufgeführt, die für eine kritische Betrachtung notwendig sind.

Bluetooth als typisches „Wireless Personal Area Network“ (WPAN) dient in erster Linie als Kabelersatz und ist für eine Kommunikation von Computerperipherie und Kleingeräten entworfen worden. Es werden hier sowohl theoretische Angriffe auf Bluetooth aufgeführt, als auch generelle Angriffszenarien.

„Wireless LAN“ (WLAN) ist ein vollwertiges Funk LAN. Man unterscheidet hier zwei Versionen, dies ist das WLAN nach IEEE 802.11a und nach IEEE 802.11b Standard. Da das WLAN nach IEEE 802.11b einen extrem hohen Verbreitungsgrad gegenüber der a Version besitzt, behandelt diese Arbeit nur den b Standard. IEEE 802.11 zeichnet sich durch das zusätzliche Sicherungsprotokoll „Wireless Equivalent Privacy“ (WEP) aus. WEP war dazu gedacht, im Wireless LAN eine ähnliche Sicherheit gegen Abhören zu installieren, wie es in drahtgebundenen LANs aufgrund der festinstallierten Kabel der Fall ist. Es wird unter anderem auf generelle Sicherheitsmängel von WLAN eingegangen und auf jüngst bekannt gewordene Sicherheitsmängel von WEP. Ein Abschnitt behandelt das in Mode gekommene War Driving. Ferner wird der neue Standard IEEE 802.1x erläutert und ein Ausblick auf zukünftige Lösungen der WEP Sicherheitslücken gegeben.

„Universal Mobile Telecommunications System“ (UMTS) wurde 1998 von der „International Telecommunication Union“ (ITU) im Rahmen von „IMT-2000“ entwickelt und gilt als dritte Mobilfunkgeneration (3G). Es werden hier insbesondere die Integritäts- und Chiffrieralgorithmen von UMTS kritisch betrachtet und die Sicherheitsverbesserungen gegenüber dem gegenwärtigen GSM Standard aufgezeigt. Überdies werden auch die Schwachpunkte der GSM Algorithmen noch einmal herausgestellt.





Einleitung

Im Dezember 1969 war der Vorläufer des Internets, das sogenannte ARPANET, noch eine überregionale Vernetzung von 4 Rechnern zwischen einigen wenigen Universitäten in den USA. Aus diesem Grund kannten sich die Benutzer des Netzes meist untereinander. Sicherheit war kein Thema, da niemand anzunehmen brauchte, dass jemand aus diesem Umfeld daran gelegen war, das gemeinsame Netz zu sabotieren. Außerdem war die Bandbreite noch so knapp bemessen, dass eine Verschlüsselung mit ihrer zusätzlichen Netzbelastung auf wenig Gegenliebe gestoßen wäre.

Mittlerweile haben sich die Anforderungen an Computernetze geändert. Das Internet als das internationale Netz schlechthin, ist schon längst gesellschaftlich etabliert und wird von Firmen, wie auch von Privatleuten, genutzt. An das Internet gekoppelte Rechnernetze sind eine Alltagserscheinung geworden und die erforderliche Hardware ist überall günstig zu beziehen.

Mit der Verbreitung von Netzen sind die Gefahren ebenfalls gestiegen und damit die Notwendigkeit, wirksame Schutzmaßnahmen zu ergreifen, um firmeninterne Netze gegen Angriffs- und Einbruchsversuche von außen abzusichern. Private Daten oder auch Geschäftsgeheimnisse lagern auf vernetzten Rechnern, die besonderen Schutz benötigen.

Durch das Aufkommen von Vernetzung durch Funk ist die Angriffsfläche auf die sensiblen Firmennetze sogar noch erhöht worden und die neuen Protokolle für drahtlose Kommunikation besitzen neue Sicherheitslöcher, die es gilt, zu stopfen.

Diese Problematik findet ebenfalls für Weitverkehrskommunikationsnetze, wie UMTS, Anwendung. Es gilt, einerseits die Datensicherheit von Millionen von Mobilfunkteilnehmern zu wahren und deren wahre Identität für potentielle Lauscher nicht offenzulegen. Andererseits sind die Betreiber solcher Netze auf korrekte Teilnehmeridentitäten zu Abrechnungszwecken angewiesen.

In dieser Arbeit sollen exemplarisch die drei drahtlosen Kommunikationssysteme Bluetooth, Wireless LAN und UMTS hinsichtlich ihrer Sicherheitsmassnahmen untersucht werden. Dabei wird besonderer Wert auf die Herausstellung von Sicherheitslücken und potentiellen Schwachstellen gelegt.

Arne Wolf Kösling - Oldenburg, den 17. April 2002



1 Sicherheitsproblematik drahtloser Netze

Betrachtet man die Sicherheit in drahtlosen Netzen gegenüber ihren drahtgebundenen Pendants, so lässt sich feststellen, dass die Luftschnittstelle bei Funksystemen eine neue Angriffsfläche bietet, über die potentielle Angreifer einfachen Zugang zu den übermittelten Daten erhalten können. Da sich die Ausbreitung von Funkwellen in diesem Medium schlecht steuern lässt, erfordern drahtlose Netze sicherlich eine neue Bewertung des Sicherheitsaspektes.

In einem drahtlosen Netz sind mehrere Angriffszenarien denkbar, diese decken ein weites Spektrum an Möglichkeiten ab, wie das Abhören oder die Manipulation von Daten, oder aber auch nur das Stören von legitimen Verbindungen. Nimmt man den Standpunkt eines Netzadministrators ein, so zielen Angriffe immer darauf ab, zumindest eines der Ziele des Sicherheitsmanagements eines Netzes zu unterwandern, wobei das jeweilige Netz je nach Struktur und Einsatzzweck immer an individuellen Punkten eine besonders verwundbare Stelle besitzt. Das Sicherheitsmanagement als Teilbereich des Netzwerkmanagements umfasst die folgenden 6 grundlegenden Sicherheitsziele [ikm02]:

· Vertraulichkeit (confidentiality)

· Integrität (integrity)

· Verfügbarkeit (availability)

· Verbindlichkeit (accountability, non-repudiation)

· Authentizität (authenticity)

· Verlässlichkeit / Betriebssicherheit (reliability)



Vertraulichkeit (confidentiality)

Wir sprechen hier von Vertraulichkeit, wenn Information nicht durch unautorisierte Personen, Instanzen oder Prozesse eingesehen werden kann. Unterschieden werden hier

· Datenvertraulichkeit (Schutz von personenbezogenen, privaten oder geschäftskritischen Daten)

· Teilnehmer Anonymität (Schutz vor der Identifizierbarkeit eines Teilnehmers durch Dritte)

· Anonymität der Nutz- und Vermittlungs- oder Signaldaten (Schutz vor Verkehrsanalyse)



Integrität (integrity)

Dieses umfasst die Integrität von Daten und Systemen.

· Datenintegrität (Sicherstellung, dass Daten nicht in unautorisierter Weise verändert oder zerstört werden)

· Systemintegrität (Sicherstellung, dass ein System mit gewünschter Performance unbeeinträchtigt zur Verfügung steht und nicht durch unautorisierten Zugang manipuliert wurde)









Verfügbarkeit (availability)

Die Verfügbarkeit ist gewährleistet, wenn die Funktionalität von Software und Hardware nicht auf unbefugte Weise beeinträchtigt wurde.

· Funktionalität (Hard- und Softwarefehler)

· Betriebskontinuität (Katastrophen, technisches Versagen, Sabotage)



Verbindlichkeit (accountability, non-repudiation)

Dieses ist die Sicherstellung, dass Aktionen einer Instanz (Benutzer, Prozesse, Systeme, Informationen) ausschließlich dieser Instanz zugeordnet werden können und dass die Kommunikationsbeziehung und der Informationsaustausch später nicht geleugnet werden kann.

· Ausstellerauthentizität (Nachweisbarkeit der Urheberschaft, für Gebührenerhebungen)

· Beweissicherung, Protokollierung (Nachweisbarkeit von Kommunikationsvorgängen)

· Rechtssicherheit der Kommunikation

· Zertifizierung



Authentizität (authenticity)

Die Authentizität befasst sich mit der Sicherstellung der Identität eines Subjekts. Ein Subjekt kann hierbei entweder ein Benutzer, ein Prozess, ein System oder eine Information sein. Die Authentizität ist die Voraussetzung für Verbindlichkeit.

Da in einem Funksystem die übermittelten Daten potentiell von jedem abgehört werden können, kommt man im Grunde gar nicht ohne Verschlüsselung der Daten aus. Eine Integritätssicherung ist genauso wichtig, wie Verschlüsselung, weil durch die Offenheit des Funksystems ein Manipulationsversuch von außen genauso einfach, wie ein Abhörversuch ist. Integritätssicherung macht wie Verschlüsselung allerdings ohne gesicherte Authentizität des Kommunikationspartners allerdings wenig Sinn.



Verlässlichkeit / Betriebssicherheit (reliability)

Betriebssicherheit ist gegeben, wenn die konsistente und gewünschte Funktion, sowie das Verhalten der Daten und Systeme sichergestellt werden kann. Betriebssicherheit ist die Voraussetzung für Integrität und Verbindlichkeit.





Allgemeine Angriffsszenarien auf Netze sind bereits direkt aus diesen Zielen ableitbar. Spezielle Angriffszenarien ergeben sich zusätzlich aus Unzulänglichkeiten und Schwächen in der Umsetzung dieser Ziele bei konkreten Formen von Netzen, wie zum Beispiel die schwache Implementierung eines Chiffrieralgorithmus, bei dem ein InitialisierungsVector zu oft und vorhersehbar zurückgesetzt wird. Nehmen wir als Grundvoraussetzung ein drahtloses Netz an, so ergeben sich insbesondere folgende Gefährdungen nach Ordnung der obigen Aufzählung:



Angriffe auf die Vertraulichkeit und Integrität

Da es sich um Funknetze mit meist ungerichtetem Abstrahlungswinkel handelt, ist ein Angriff auf die Vertraulichkeit und Integrität der Daten unter bestimmten Rahmenbedingungen und in Kombination mit passendem Equipment relativ simpel durchzuführen. Die Funkschnittstelle liefert die Daten reinen Abhöreinrichtungen frei Haus, denn hier ist es nicht notwendig, sich erst Zugang zu einer Kabelverbindung oder einer Vermittlungsstelle zu verschaffen. Soll die Integrität von Signal- oder auch Nutzdaten manipuliert werden, so ist dieses beispielsweise mittels „Man-in-the-middle“, „false Basestations“ oder „Evil Twin“ Attacken ebenfalls möglich. Im die Integrität des gesamten Systems zu wahren, ist es auch eine Identifizierung und Entfernung von illegitimen Sendern erforderlich (ob von einem Angreifer aus Manipulationszwecken errichtet, oder von einem Mitarbeiter zur Ausweitung des Netzes) („Rogue Basestations“). So ergeben sich hier unter anderem folgende Szenarien :

· Unautorisierter Zugriff und Manipulation der Daten auf der Funkschnittstelle durch

o Abhören von Funk- und Signalisierungskanälen – Ein Angriff auf eventuell verwendete, kryptographische Verfahren kann später oder in Echtzeit erfolgen.

o Maskerading (Man-in-the-middle, false Basestations, Evil Twins)

· Manipulation der Datenintegrität (löschen, ändern, hinzufügen von Daten) von Steuer-/Signalisierungs- und Nutzdaten durch Maskerading

· Beeinträchtigung der Systemintegrität durch Errichtung von illegalen Basisstationen („Rogue Basestations“)

· Unbefugte Identifizierung von Teilnehmern des Netzes (und in zellularen Funksystemen damit Location Tracing)

· Zuordnung der Signalisierungs-/Nutzdaten zu Teilnehmern oder Geräten (und damit Verkehrsanalysen der Datenflüsse)



Außerdem besteht eine Einschränkung in der Verwendung kryptographischer Verfahren darin, dass der Staat im Rahmen strafrechtlicher Verfolgungen jederzeit einen nachträglichen Zugriff auf verschlüsselte Daten fordert. Dieser Forderung wird meist durch eine geringere Verschlüsselungsstärke entsprochen.



Angriffe auf die Verfügbarkeit

Wenn man über spezielle Gefährdungen von drahtlosen Netzwerken spricht, so ist der Punkt der Verfügbarkeit vielleicht der wichtigste. Nichts ist in drahtlosen Netzen so einfach, wie die Verfügbarkeit zu beeinträchtigen. Und keines der hier untersuchten Funknetze kann dieser Angriffsform etwas entgegensetzen. Die Verfügbarkeit lässt sich nicht nur durch den Einsatz von Störsendern untergraben. Auch sogenannte „False Basestation“ Attacken im UMTS sind geeignet, den Teilnehmer vom wahren Netz zu trennen, ohne dass dieser davon etwas mitbekommt.

Dieser Punkt sollte für das Sicherheitsmanagement drahtloser Netze sogar noch erweitert werden. Denkbar ist ein Punkt, der „Verfügbarkeit, nur innerhalb des notwendigen Abdeckungsbereichs“ fordert. Damit ist gemeint, dass die Stationen innerhalb eines Funksystems nur mit einer Leistung senden, die einerseits genügt, um auch im Randbereich des Abdeckungsbereichs Verbindungen mit ausreichender Verbindungsqualität zulässt, andererseits aber auch den Randbereich nicht weiter, als unbedingt nötig, verlässt, um Angriffe von außen auf Funksysteme zu erschweren. Angriffe auf die Verfügbarkeit durch Störsender werden so zwar einfacher, aber diese werden sich in Funknetzen vermutlich nie ganz vermeiden lassen.

Ist es einem Angreifer hier möglich, nahe genug an das zu verwundende Netz heranzukommen, so kann er mittels eines starken Störsenders im 2,4 GHz Bereich eine Nutzung des Netzes für legitime Nutzer verhindern, und so zum Beispiel eine Datenmanipulation vornehmen, oder aber eine Kommunikationssitzung übernehmen.



Es ergeben sich folgende Szenarien :

· Verhinderung einer legitimen Netznutzung durch den gezielten Einsatz von Störsendern oder Manipulation/Sabotage von Hard- oder Software („Denial of Service“ (DoS))

· Errichtung von Rogue Basestations durch den Angreifer



Angriffe auf die Authentizität und die Verbindlichkeit

Durch die bereits erwähnte Reichweite von Sendern innerhalb eines Funknetzes muss es nicht nur zu einem Einbruch kommen, um damit an Firmendaten zu gelangen, es kann ebenso versucht werden, unberechtigt Ressourcen des Firmennetzes, wie einen Internetzugang, zu nutzen. Handelt es sich um ein Netz, das ohnehin für viele Teilnehmer gegen Nutzungsgebühr offen steht, so bedeutet eine illegitime Nutzung dieser Ressourcen, zum Beispiel unter falscher Identität, eine Erschleichung von Leistungen und behindert eine korrekte Gebührenerhebung. Hier sind folgende Szenarien denkbar :

· Unberechtigte Nutzung von Diensten und damit Gebührenbetrug

· Identitätsdiebstahl von berechtigten Netzteilnehmern (Identity Fraud)

· Nachahmung des Netzes für legitime Nutzer als Teil eines Angriffs (Impersonation of the net)

· Nachahmung des Nutzers für das Netz (Impersonation of the user / Identity Fraud)


1.1 Allgemeine Verfahren und Schlüssellängen



Da sich die Zunahme der Rechnerleistung in den letzten Jahren stetig beschleunigt hat, ist es für die Sicherung der Geheimhaltung notwendig, möglichst lange Schlüssel für die Chiffrieralgorithmen zu wählen. Die Länge des Schlüssels gilt als direktes Maß der Sicherheit, sofern man ein Verschlüsselungsverfahren verwendet, das keine nachgewiesenen Schwächen hat. Ein beliebig langer Schlüssel verbietet sich allerdings, da dieser lange Berechnungszeiten erfordern würde und damit ein effizientes kryptographisches Verfahren nicht zustande käme. Außerdem gibt es in vielen westlichen Staaten Beschränkungen der Schlüssellängen, da der Gesetzgeber die Option erhalten will, die Verschlüsselung später aufgrund eines strafrechtlichen Tatverdachts brechen zu können.

Da zum Beispiel in den U.S.A. Verschlüsselung wie Munition behandelt wird, existierten lange strenge Exportrestriktionen für Verschlüsselungssoftware. Authentifizierung unterlag jedoch bisher keinerlei Einschränkungen. Vor einigen Jahren hat die U.S.A. jedoch die Exportbestimmungen gelockert und erlaubt auch die Ausfuhr von beliebig starker Kryptographiesoftware. Die exportierende Firma muss sich aber folgender Prozedur unterwerfen :

· Die Software muss dem amerikanischen „Department of Export“ zur einmaligen technischen Ansicht vorgelegt werden

· Sie darf nicht an terroristische Länder verkauft werden

· Sie darf nicht direkt an ausländische Regierungen verkauft werden. Eine Ausnahme hiervon besteht jedoch, wenn die Software eine sogenannte „Retail“ Klassifikation besitzt.






1.1.1 Symmetrische Verschlüsselung

Bei symmetrischer Verschlüsselung muss der Schlüssel sowohl dem Sender als auch dem Empfänger einer kryptographischen Nachricht gleichermaßen bekannt sein, da er sowohl zur Verschlüsselung einer Nachricht als auch zu deren Entschlüsselung verwendet wird. Es gibt hier 2 wesentliche Verfahren zur symmetrischen Datenverschlüsselung, dieses sind Stromchiffren und Blockchiffren.

Momentan wird eine Schlüssellänge von 128 Bit für symmetrische Chiffrierungsverfahren als sicher für die nächsten Jahre angenommen. Aus diesem Grund werden Verfahren, wie zum Beispiel der Blockchiffrieralgorithmus Data Encryption Standard (DES), der eine feste Schlüssellänge von 56 Bit verwendet, längst als überholt betrachtet. Als direkter Nachfolger des reinen DES kommt unter anderem Triple-DES zum Einsatz, das entweder zwei oder drei 56 Bit Schlüssel in einem dreimaligen DES Durchlauf benutzt.

Als neueste Entwicklung tritt jedoch der „Advanced Encryption Standard“ (AES) als Verschlüsselungsstandard des US-amerikanischen „National Institute of Standards and Technologie“ (NIST) die Nachfolge des DES an, da AES effizienter als Triple-DES ist. AES arbeitet entweder mit 128, 192 oder 256 Bit Schlüssellänge und bietet so Schlüsselräume, die bis zu 1,1 * 10 hoch 77 Schlüssel enthalten. Als AES Algorithmus wird der lizenzfreie und offengelegte Blockchiffrieralgorithmus Rijndael (mit großer Blockgröße) eingesetzt. Nach Schätzung der NIST reicht diese Sicherheit für die nächsten 100 Jahre. AES wird zum Beispiel von der IEEE Taskforce TGi im Temporal Key Integrity Protocol (TKIP) zur Datenverschlüsselung vorgesehen (siehe „3.5.3 Ansätze zur Lösung der Sicherheitslücken in WEP“)[Nist02].


1.1.2 Asymmetrische Verschlüsselung

Hier werden Schlüsselpaare erzeugt, von denen jeweils ein Schlüssel geheim gehalten und einer öffentlich gemacht wird. Verschlüsselung erfolgt, indem der Sender die Nachricht mit dem öffentlichen Schlüssel des Empfängers chiffriert. Danach ist der Besitzer des geheimen Pendants des öffentlichen Schlüssels, (der Empfänger) und nur dieser, in der Lage, die so verschlüsselte Nachricht wieder zu entschlüsseln. Die Sicherheit des Verfahrens beruht auf dem mathematisch schwierigen Problem der Primfaktorzerlegung großer Zahlen.

Bei asymmetrischen Verschlüsselungsverfahren, die zum Beispiel in Public Key Algorithmen Anwendung finden, sind mindestens Schlüssellängen von 1024 Bits anzusetzen. Seit bekannt ist, dass Forscher neue Spezialhardware für dieses Problem entworfen haben, werden sogar 2096 Bits als Minimum angesetzt. Um wegen der erhöhten Rechenleistung der asymmetrischen Verfahren eine effizientere Verschlüsselung zu erreichen, wird aus diesem Grund meist immer ein symmetrischer Schlüssel (Session Key) verwendet, der zu Anfang mittels des asymmetrischen Verfahrens kodiert und zwischen den Kommunikationspartnern ausgetauscht wird. Dieser sichert dann die folgenden Nachrichten für gesamte Restdauer der Kommunikationssitzung (Session). Für zeitkritische Datenübertragungen oder Sprachübertragungen eine reine asymmetrische Verschlüsselung anzuwenden, ist aufgrund der erhöhten Rechenanforderungen deswegen zu ineffizient. Zu den asymmetrischen Verfahren zählt beispielsweise RSA oder das neuere Diffie Hellmann Verfahren.








1.1.3 Hashfunktionen

Als kryptographische Hashfunktionen kommen kollisionsfreie Einwegfunktionen zum Einsatz, bei denen es unmöglich ist, dass verschiedene Eingabewerte auf ein und denselben Ausgabewert abgebildet werden. Diese Funktionen werden vorwiegend zur Integritätssicherung von Nachrichten und zur Signierung verwendet.

Mit dem Einsatz von Hashfunktionen werden Authentifizierungen realisiert und so zum Beispiel Angriffe durch Maskerading verhindert. Gängige Algorithmen sind hier MD-5, SHA-1. Jedoch kommt es in UMTS aber auch zum Einsatz des Rijndael Blockchiffrieralgorithmus, der sich, wie Hashfunktionen, durch seinen guten Einwegeigenschaften auszeichnet.


1.1.4 Proprietäre Verfahren

In vielen Unternehmen und Institutionen wurde lange Zeit fälschlicherweise angenommen, dass die Geheimhaltung der Funktionalität eines selbst entwickelten kryptographischen Verfahren zu dessen Sicherheit beträgt.

Proprietäre Verfahren kommen bei den drahtlosen Kommunikationsprotokollen, die in dieser Arbeit behandelt werden, teilweise zum Einsatz. Auch im GSM Standard boten die Geheimhaltung der kryptographischen Verfahren eine trügerische Sicherheit, die nur zumindest nur so lange gewährleistet war, bis der Quellcode durch einen Mitarbeiter, durch andere undichte Stellen oder Reverse Engineering offengelegt wird. Erst dann sind unabhängige Kryptographieexperten in der Lage, den Algorithmus zu untersuchen und Schwachstellen in ihm zu entdecken, die vorher aufgrund der Informationspolitik des jeweiligen Unternehmens für die Allgemeinheit unentdeckt geblieben sind. Obwohl bereits ein Umdenken eingesetzt hat, wird „Security by Obscurity“ dennoch von größeren Firmen in der Softwarebranche oft bevorzugt.



2 Bluetooth
2.1 Einsatzgebiete / Allgemein

Die Bluetooth Technologie wird seit 1998 als offener Standard (IEEE P802.15) von der „Bluetooth Special Interest Group“ (SIG) entwickelt, der über 1000 Firmen angehören. Darunter einige namhafte Gerätehersteller wie unter anderem Siemens, Phillips oder Nokia. Mit Bluetooth soll der Datenaustausch zwischen Geräten verschiedener Hersteller standardisiert werden. Es zeichnet sich vor allem dadurch aus, dass keine Lizenzgebühren für die Nutzung der Bluetooth Technologie anfallen und die Kosten für die Schnittstelle unterhalb von 5 amerikanischen Dollar angesiedelt werden sollen.

Bluetooth ist eine Spezifikation für drahtlose Daten- und Sprachkommunikation über kurze Funkstrecken von 10 bis zu 100 Metern. Dabei unterscheidet man nach dem benötigten Stromverbrauch in 3 Klassen von Bluetooth Geräten. Geräte der dritten Klasse verbrauchen 1mW bei 0,1 bis 10 Meter Reichweite. Die zweite Klasse dieser Geräte besitzt 10 Meter Reichweite bei 1-2,5 mW und Geräte der ersten Klasse haben bis zu 100 mW und strahlen 100 Metern weit. Die erste Klasse wird auch als „Long-Range“ Bluetooth bezeichnet.

Der primäre Verwendungszweck von Bluetooth besteht in einer drahtlosen Anbindung von typischen Geräten einer Büroumgebung, als auch für die Peripherie eines Computers. So können beispielsweise Faxgeräte, drahtlose Telefone, Scanner oder Drucker innerhalb eines „Personal Area Network“ (PAN) zusammengeschaltet werden (In diesem Fall auch als „Wireless Personal Area Network“ (WPAN) bezeichnet).

Zur Übertragung wird das lizenzfreie 2.4 GHz Band (2.400-2.835 GHz in Europa und USA) genutzt. Es sind sowohl point-to-point, als auch point-to-multipoint Verbindungen möglich, bei einer Übertragungsrate von bis zu 1 Mbit/s. Diese Datenrate wird durch den verwendeten Fehlerkorrekturmechanismus „Forward Error Correction“ (FEC) allerdings noch etwas geschmälert. Die Bluetooth Spezifikation sieht Übertragungsraten von 433,9 Kb/s für synchrone und 723,2 Kb/s für asynchrone Datenübermittlung vor. Dabei sind bis zu 3 synchrone Sprachkanäle mit jeweils 64 Kb/s und 1 asynchroner Datenkanal möglich.

Um miteinander zu kommunizieren, bilden Bluetooth Geräte untereinander Ad-Hoc Netze. Dabei können bis zu 8 Bluetooth Geräte in einem Piconet zusammenwirken, wobei das Gerät, das den ersten Kontaktaufbau initiiert, die steuernde Funktionalität eines Masters übernimmt, während alle übrigen Geräte Slaves darstellen. Wenn sich Piconets in ihrer Funkreichweite überlappen, so bilden sie ein Scatternet. Bis zu 10 Piconets können sich auf diese Weise überlappen. Mittels eines Frequenzsprungverfahrens (frequency hopping) ist eine Störung der Piconets untereinander minimal. Bluetooth Einheiten können innerhalb eines Scatternets an mehreren Piconets beteiligt sein, jedoch nicht in mehr als einem Piconet gleichzeitig eine Masterrolle übernehmen.












2.2 Authentisierungs- und Verschlüsselungsalgorithmen

Um Benutzungssicherheit und Vertraulichkeit der übertragenen Informationen zu gewährleisten sollen Bluetooth Einheiten sowohl auf dem Link-Layer als auch auf der Application-Layer Ebene Sicherungsmaßnahmen bieten.[BsecP01]. Auf der Link-Layer Ebene wird Sicherheit mittels der folgenden 4 Zahlenwerte erreicht :

· Geräteadresse BD_ADDR

· Authentifizierungsschlüssel

· Chiffrierschlüssel

· Zufallszahl RAND



BD_ADDR

BD_ADDR ist eine 48 Bit lange Geräteadresse, die nach dem „Institute of Electrical and Electronics Engineers“ (IEEE) Standard P802.15 weltweit eindeutig sein soll. Diese Adresse kann von anderen Geräten mittels einer Anfrage an das jeweilige Gerät ermittelt werden.



Authentifizierungsschlüssel

Der Authentifizierungsschlüssel wird im Initialisierungsprozess vor der eigentlichen Kommunikation erhalten und niemals über die Funkverbindung gesendet. Seine Länge beträgt immer 128 Bit. Wegen seiner Abhängigkeit von der jeweiligen Funkverbindung wird dieser Link Key genannt.



Chiffrierschlüssel

Der Chiffrierschlüssel wird durch den Authentifizierungsschlüssel erhalten und ist variabel in der Länge von 8-128 Bit. Es wird für jede Sitzung ein neuer Chiffrierschlüssel generiert. Der Chiffrierschlüssel trägt die Bezeichnung Encryption Key.

Kennzeichnend für die Verschlüsselung in Bluetooth Geräten ist es, dass die Schlüssellänge von der Hardware des jeweiligen Bluetooth Geräts in der Verbindungsschicht fest vorgegeben ist und vom Benutzer durch höhere Protokollschichten nicht erhöht werden kann, wohingegen die Authentifizierung immer mit einem 128 Bit Schlüssel erfolgt.



RAND

Jedes Bluetooth Gerät verfügt über einen eigenen Zufallszahlengenerator. Zufallszahlen werden in einigen Sicherheitsfunktionen benötigt. Die Art der Implementierung des Zufallsgenerators ist vom Standard nicht vorgeschrieben.
2.3 Schlüsselarten

Der Link-Key ist die wichtigste Schlüsselart, die Bluetooth verwendet. Mittels dieses Schlüssels authentifizieren sich die Geräte gegenseitig und dieser Schlüsseltyp dient als einer der Parameter für die Berechnung des Encryption Keys. Die Länge dieses Schlüsseltyps beträgt 128 Bit.

Ein Link-Key kann entweder semi-permanent oder temporär sein. Ein Semi-permanenter Schlüssel wird im nichtflüchtigen Speicher des Bluetooth Gerätes gespeichert und kann für spätere Kommunikationssessions wiederverwendet werden. Er lässt sich allerdings bei Bedarf wieder ändern. Ein temporärer Schlüssel ist nur für die aktuelle Kommunikationssession gültig und verfällt nach ihr.







Man unterscheidet 4 verschiedene Typen von Link Keys :

· Kombinationsschlüssel (combination keys)

· Geräteschlüssel (unit keys)

· Masterschlüssel (temporary keys/master keys)

· Initialisierungsschlüssel (init keys)



Kombinationsschlüssel (combination keys)

Der Combination Key wird von 2 Bluetooth Geräten gemeinsam erzeugt und bei jeder neuen Gerätekombination geändert. Diese Schlüsselart zum Einsatz, wenn beide kommunizierenden Geräte über genügend Speicher verfügen und bietet eine höhere Sicherheit als ein Unit Key. Er erfordert allerdings auch einigen Speicherplatz für alle Schlüssel, da für jede zustande kommende Gerätekombination ein eigener Schlüssel zu speichern ist.



Geräteschlüssel (unit key)

Der Unit Key wird nur einmal bei der Installation des Bluetooth Gerätes erzeugt. Danach wird er nur noch sehr selten bis überhaupt nicht mehr geändert. Dieser Schlüssel kommt dann zum Einsatz, wenn das zugehörige Gerät sehr wenig Speicherplatz zur Schlüsselspeicherung besitzt oder es von einer großen Gruppe von Benutzern genutzt wird. In diesem Fall hat das Gerät nur diesen eigenen Schlüssel zu speichern.

Sollte dieser Key einmal geändert werden (zum Beispiel, um einer vormals verwendeten Bluetooth Einheit den weiteren Zugriff auf dieses Gerät zu verwehren), so verlangt dieses nach einer Reinitialisierung aller Bluetooth Einheiten, die danach wieder auf dieses Gerät zugreifen möchten. Die Änderung eines Combination Keys hingegen kann immer dann problemlos stattfinden, nachdem Authentifizierung und Verschlüsselung eingeleitet wurden.



Masterschlüssel (temporary key/master key)

Dieser Schlüssel kommt nur während einer Sitzung zum Einsatz und ersetzt den eigentlichen Link Key nur vorübergehend. Es handelt sich hier um einen Sonderfall. In einem Piconet kann der Master den Link Key durch Master Key ersetzen, um eine point-to-multipoint Verbindung einzuleiten und damit den Chiffrierschlüssel zwischen Teilnehmern zu vereinheitlichen. Alle angesprochenen Slaves tauschen für diesen Zeitraum ihre derzeitigen Link Keys gegen den Master Key aus.



Initialisierungsschlüssel (init key)

Ein Init Key kommt ausschließlich dann zum Einsatz, wenn den Kombinationspartnern noch keine Combination oder Unit Keys bekannt sind. Mit dem Initialisierungsschlüssel werden die Parameter bei der Funkübertragung geschützt, die zur Errechnung der folgenden Schlüssel notwendig sind. Der Init Key wird durch eine beiderseits bekannte Zufallszahl, einem maximal 16 Oktetten langen PIN Code und der jeweiligen Geräteadresse BD_ADDR errechnet. Dieser PIN Code muss zuvor von dem Benutzer auf beiden kommunizierenden Bluetooth Geräten eingegeben werden. Ist keine Tastatur auf dem Bluetooth Gerät verfügbar, soll dieser Code standardmäßig auf 0000 gesetzt werden. Der Standard schlägt auch vor, dass man beispielsweise auf dem Application-Layer per Diffie Hellmann Protokoll eine PIN Nummer austauscht, die dann an den Schlüsselgenerierungsprozess durchgereicht wird.











Chiffrierschlüssel (Encryption Key)

Der Encryption Key wird in Abhängigkeit mit dem jeweilig gültigen Link Key errechnet. Dieser Schlüssel hat eine variable Länge von 8-128 Bit. Die Länge wurde deswegen variabel gehalten, um möglichst flexibel auf gesetzliche Verschlüsselungsbestimmungen in verschiedenen Ländern reagieren zu können. Da es in manchen Ländern Restriktionen bezüglich der erlaubten Schlüssellängen bei Verschlüsselung gibt, wird die Länge des möglichen Encryption Keys von der Hardware des Bluetooth Gerätes vorgegeben und lässt sich später softwareseitig nicht mehr erhöhen. Wenn sich zwei Bluetooth Einheiten unterschiedliche Schlüssellängen unterstützen, so kommt es zu einer Schlüsselvereinbarungsphase. Dieser Schlüsseltyp wird bei der eigentlichen Verschlüsselung als StartVector für ein linear rückgekoppeltes Schieberegister (LFSR) verwendet.
2.4 Sicherheits- und Betriebsmodi
2.4.1 Sicherheitsmodi



Die Bluetooth Spezifikation sieht 3 Sicherheitsmodi für Bluetooth Geräte vor : [Span00]

· Modus 1 : Keine Sicherheit (non-secure)

· Modus 2 : Verschlüsselung wird von der Applikationsschicht explizit aktiviert (service layer enforced security / Sicherung auf Dienstebene)

· Modus 3 : Verschlüsselung wird vor Datenaustausch vom Link-Layer automatisch aufgebaut (link layer enforced security / Sicherung auf Verbindungsebene)



Non-secure Modus 1

Der Modus 1 wird immer dann verwendet, wenn auf der entsprechenden Bluetooth Einheit keine sicherheitskritischen Anwendungen zum Einsatz kommen. Es können in diesem Modus zum Beispiel Visitenkarten ausgetauscht werden.



Service layer enforced Security Modus 2

Der zweite Modus bietet Sicherheit immer in Abhängigkeit der angeforderten Dienste. Hier gibt es zwei verschiedene Vertrauensklassen für Bluetooth Geräte und drei Sicherheitsstufen für nach außen angebotene Dienste. Die Verwaltung der Sicherheitseinteilungen erfolgt durch einen zentralen Sicherheitsmanager, der jedes Mal vor einem Verbindungsaufbau eine interne Datenbank abfragt und anhand der Daten entscheidet, ob der Verbindungswunsch des anfragenden Geräts zugelassen werden darf.

Mit vertrauenswürdigen Geräten ist immer ein semi-permanenter Link Key vereinbart und diese Geräte sind zusätzlich in der Datenbank als sichere Geräte vermerkt. Mit nicht vertrauenswürdigen Geräten wird kein semi-permanenter Link Key unterhalten, das Gerät ist in der Datenbank explizit als nicht vertrauenswürdiges Gerät vermerkt oder aber es gibt gar keine Eintragung in der Datenbank zu diesem Gerät. In diesem Fall wird dem betreffenden Gerät nur ein beschränkter Dienstzugriff gewährt.













Die angesprochenen drei Sicherheitsstufen der angebotenen Dienste gliedern sich folgendermaßen :

· Offene Dienste

Für diesen Dienst sind weder Authentifizierung noch Verschlüsselung notwendig und er steht allen Geräten unabhängig von ihrer Vertrauensklasse zur Verfügung

· Dienst erfordert Authentifizierung

Vor Gewährung des Dienstes muss sich das anfordernde Gerät korrekt identifizieren

· Dienst erfordert Authentifizierung und Autorisation

Der Zugriff kann nur nach erfolgter Authentifizierung und nachfolgender Autorisation durch den Sicherheitsmanager gewährt werden. Authentifizierung ist immer Voraussetzung für Autorisation.

Ist der jeweilige Dienst / Anwendung nicht in der Datenbank vermerkt oder genügt nicht den Rahmenbedingungen des Modus 2, so wird eine Defaultsicherheitsstufe verwendet, bei der für ankommende Verbindungen Authentifizierung und Autorisation[1], für ausgehende Verbindungen nur Authentifizierung des anderen Gerätes verlangt werden.

In der Datenbank werden nicht nur Informationen über den Vertrauensstatus verschiedener Bluetooth Einheiten und Sicherheitsstufen der Dienste abgelegt, sondern darüber hinaus noch, ob eine Verschlüsselung zwischen dem jeweiligen Gerät optional oder erforderlich ist.



Link layer enforced security Modus 3

Modus 3 veranlasst die Bluetooth Einheit, vor einem anstehenden Verbindungsaufbau ausgewählte Sicherheitsprozeduren einzuleiten. Dieses passiert unabhängig von der verbindungsanfordernden Applikation. Auf diese Weise wird automatisch eine grundlegende Sicherheit für alle Dienste geschaffen.
2.4.2 Betriebsmodi

Neben den oben beschriebenen Sicherheitsmodi besitzen Bluetooth Geräte außerdem zwei Betriebsmodi (Device Modes), die für die spätere Betrachtung von Relevanz sind : [Rul00]

· Discoverable Mode – Das Gerät antwortet auf alle Anfragen durch andere Geräte

· Non-Discoverable Mode – Geräte antworten nur auf Anfragen, die direkt an sie adressiert sind.

Ferner kann sich das Bluetooth Gerät in einem von folgenden zwei Modi sein :

· Connectable – Das Gerät antwortet auf Anfragen von Geräten, die bereits bekannt sind

· Non-connectable – Das Gerät antwortet auf keine Anfragen.
2.4.3 Verschlüsselungsmodi

Bluetooth Geräte bieten 3 verschiedene Verschlüsselungsmodi, die abhängig von dem aktuell genutzten Schlüssel sind (siehe 2.6 Ablauf der Authentisierung und der Verschlüsselung). Dieses ist entweder der Master Key oder ein semipermanenter Schlüssel.

Wird ein semipermanenter Schlüssel genutzt – dieses kann entweder ein Unit Key oder ein Combination Key sein – so werden Broadcast Nachrichten nicht verschlüsselt. Individuelle Nachrichten können wahlweise verschlüsselt oder unverschlüsselt gesendet werden.



Wenn es sich bei dem genutzten Schlüssel um einen Master Key handelt, so ergeben sich 3 verschiedene Verschlüsselungsmodi.

· Verschlüsselungsmodus 1 : keine Verschlüsselung

· Verschlüsselungsmodus 2 : Nur individueller Nachrichtenaustausch wird mit dem generellen Master Key verschlüsselt. Broadcast Nachrichten sind nicht verschlüsselt.

· Verschlüsselungsmodus 3 : Der gesamte Nachrichtenverkehr wird mittels des Master Keys verschlüsselt.
2.5 Algorithmen

Da es sich bei Bluetooth um eine offenen Standard handelt, sind die verwendeten Algorithmen in der Bluetooth Spezifikation beschrieben.



E(0)

Bei E(0) handelt es sich um den eigentlichen Verschlüsselungsalgorithmus. Dieser verwendet als Eingaben eine zuvor über die Funkschnittstelle bekanntgemachte 128 Bit Zufallszahl EN_RAND, die 48 Bit Mastergeräteadresse BD_ADDR, den Encryption Key und 26 Bits der Masterclock. Es handelt es sich um eine synchrone Stromchiffrierung, bei der die Verschlüsselungsbits bitweise modulo-2 auf ein- und ausgehende Datenströme addiert werden. Das System arbeitet mit einem zustandsbehafteten Combiner-Generator und 4 „Linear Feedback Shift Register“ (LFSR)



Abbildung 2‑1 - Aufbau des E(0) Algorithmus



Da die Chiffrierung symmetrisch ist, kann das gleiche Verfahren zur Verschlüsselung auch bei der folgenden Entschlüsselung angewendet werden. Verschlüsselt wird aber ausschließlich der Payload der versandten Pakete, nachdem CRC Bits angehängt wurden, aber vor einer „Forward Error Correction“(FEC) Kodierung[2]. Wichtig ist, dass jedes Paket separat kodiert und E(0) nach jedem Paket neu initialisiert wird. Die Masterclock wird bei Start jedes Paketes inkrementiert und sorgt so dafür, dass nacheinander ausgehende Pakete sich in mindestens einem Bit unterscheiden und sich der Schlüsselstrom bei jedem neuen Paket ändert.

Abbildung 2‑2 - Ablauf der Verschlüsselung mit E(0)



E(1)

E(1) ist eine Authentifizierungsfunktion. Hier wird unter der Verwendung von SAFER+ aus einem 128 Bit Input RAND und einem 128 Bit Key ein 128 Bit Output erzeugt (Message Authentification Code (MAC)) (siehe „2.7 Sicherheitsmängel und Schwachstellen“).

In der Bluetooth Spezifikation wird E(1) im Rahmen der Challenge-Response Authentifizierung eingesetzt. Als Eingabeparameter für den Algorithmus werden der aktuelle Link Key und eine Zufallszahl RAND verwendet. Das Ergebnis ist die Antwort SRES, die von dem Claimant (Anwärter) an den Verifier (Prüfer) gesandt und dort mittels einer analogen Berechnung überprüft wird.



E(2)

Dieser Algorithmus dient zur Erzeugung eines Link Keys für die Authentifizierungsroutine. Hier gibt es 2 verschiedene Modi. Modus 1 wird zur Erzeugung von Unit oder Combination Keys verwendet. Als Eingabeparameter kommen eine 128 Zufallszahl RAND und eine 48 Bit Geräteadresse BD_ADDR zum Einsatz. Das Ergebnis ist ein 128 Bit Schlüssel.

Der zweite Modus dient der Erzeugung von Init und Master Keys. Hier wird als Eingabeparameter eine 128 Bit Zufallszahl RAND genommen und eine Kombination einer PIN mit einer 48 Bit Geräteadresse. Die PIN ist vom Benutzer frei wählbar und kann bis zu 16 Oktetten lang sein. Je länger die PIN ist, desto weniger Bits werden von der Geräteadresse in der Kombination verwendet. Überdies wird die Anzahl der Oktetten der Kombination ebenfalls als Eingabeparameter für den Algorithmus benutzt.

Abbildung 2‑3 - Modi von E(2)[3]



E(3)

Mittels E(3) wird der Encryption Key für die Verschlüsselung erzeugt. Als Eingabeparameter werden eine 128 Bit Zufallszahl EN_RAND, eine 96 Bit „Ciphering Offset Number“ (COF) und der aktuelle 128 Bit Link Key verwendet. Das Ergebnis ist in jedem Falle ein 128 Bit langer Schlüssel. Wichtig ist hierbei, dass der erzeugte Key ein vollwertiger 128 Bit Cipher Key ist, der erst später durch eine modulo2 Operation mit einem Polynom gewünschten Grades reduziert wird, falls die erlaubte Schlüssellänge in der Bluetooth Einheit kürzer sein sollte.
2.6 Ablauf der Authentifizierung und der Verschlüsselung

Bevor eine initiale Kontaktaufnahme zwischen 2 verschiedenen Bluetooth Geräten stattfinden kann, muss der Benutzer auf beiden Geräten eine „Personal Identification Number“ (PIN) eingeben. Diese bezeichnet nicht zwangsläufig eine Ziffernfolge, sondern kann auch eine Passphrase sein, die maximal 16 Oktetten lang sein darf. Manche einfache Geräte, wie Kopfhörer werden wahrscheinlich meist keine Tastatur für die PIN Eingabe besitzen. In diesem Fall wird die PIN für das Gerät fest installiert und damit vorgegeben. Der Standard sieht hier 0000 als Defaultbelegung vor.
2.6.1 Initialisierung der Verbindung

Jegliche Initialisierungsprozedur zwischen 2 Bluetooth Einheiten besteht aus 5 Schritten.



· Erzeugung eines Initialisierungsschlüssels

· Erzeugung eines Link Keys

· Austausch des Link Keys

· Authentifizierung

· Erzeugung des Encryption Keys in dem jeweiligen Gerät.









Erzeugung des Initialisierungsschlüssels

Der Erzeugung des Initialisierungsschlüssel geht die Erzeugung einer Zufallszahl RAND auf einem der beiden Bluetooth Geräte voraus, sowie deren Austausch über die Funkschnittstelle. Mittels der Parameter PIN, BD_ADDR und RAND wird der Initialisierungsschlüssel danach von beiden Geräten unabhängig voneinander berechnet.

Die im Initialisierungsschlüssel verwendete BD_ADDR soll nach dem Standard immer von einem Bluetooth Gerät mit einer veränderbaren PIN abhängen. Aus diesem Grund können zwei Geräte nicht zusammen kommunizieren, die beide nur eine fixe PIN aufweisen. Wenn beide Geräte veränderbare PINs besitzen, so wird immer die Geräteadresse des Gerätes genommen, das RAND von dem jeweiligen Kommunikationspartner empfängt. Außerdem werden, je nach Länge der PIN, Bits aus der BD_ADDR ausgespart. Eine Bluetooth Einheit des Angreifers würde deswegen an die Bluetooth Einheit eines Opfers viele Anfragen stellen, in der PIN und BD_ADDR variieren müssten. Es ist Aufgabe von Software auf dem Application-Layer, der raschen Änderung von BD_ADDR durch exponentiell wachsende Antwortzeiten zu begegnen.



Erzeugung des Link Keys

Gleich nach der erfolgten Berechnung des Initialisierungsschlüssels wird der Link-Key vereinbart und zu diesem Zweck eventuell Daten ausgetauscht. Handelt es sich bei einem der Geräte um eine Bluetooth Einheit mit geringem Speicherplatz, so wird man sich auf den Unit Key dieses Gerätes einigen. Der Normalfall sollte es jedoch sein, dass ein Combination Key vereinbart wird.

Fällt die Entscheidung auf einen Combination Key, so wird dieser wie im folgenden beschriebenen erzeugt. Beide Bluetooth Einheiten (hier A und B) generieren jeweils eine Zufallszahl LK_RAND_A und LK_RAND_B. Danach erzeugt jedes Gerät durch den Algorithmus E(21) mit seiner eigenen Geräteadresse BD_ADDR und seiner zuvor generierten Zufallszahl als Eingabeparameter eine 128 Bit Zahl LK_K_A bzw. LK_K_B. Außerdem werden die zuvor erzeugten Zufallszahlen LK_RAND_A bzw. LK_RAND_B mit dem Link-Key verknüpft (XOR) und zwischen den Geräten über die Funkschnittstelle ausgetauscht. Das jeweils andere Gerät vollzieht die Rechnung des anderen Gerätes sodann gleich nach und berechnet auch LK_K_B bzw. LK_K_A (so, dass jedes der beiden Geräte nun sowohl LK_K_A und auch LK_K_B vorliegen hat. Das ist ohne weiteres möglich, da die jeweils andere Geräteadresse den Kommunikationspartnern bekannt ist). Danach verknüpft jedes der beiden Geräte die beiden Zahlen LK_K_A und LK_K_B per XOR. Das Resultat ist der Combination Key.

Der neue Link-Key ersetzt sofort den alten Link Key. Da der Encryption Key von dem Link Key abhängt, wird jedes Mal, wenn der Link Key ausgetauscht oder eine Verschlüsselung aktiviert wird, ebenfalls die Schlüsselgenerierungsfunktion E(3) eingeleitet und es ändert sich damit der Encryption Key.



Authentifizierung

Authentifizierung erfolgt mittels eines Challenge-Response Verfahrens.

Im Falle von Bluetooth unterscheidet die Spezifikation in Claimant (Anwärter) und Verifier (Prüfer). Mit diesem Verfahren wird geprüft, ob Claimant und Verifier über den selben symmetrischen Schlüssel (Link Key) verfügen. Zu diesem Zweck wird von dem Verifier eine Zufallszahl AU_RAND_A erzeugt und an den Claimant gesendet (Challenge). Danach nutzen beide Bluetooth Geräte den Algorithmus E(1) zusammen mit den Eingabeparametern AU_RAND_A, den Link Key, der zuvor zwischen beiden Geräten ausgehandelt wurde, und die Geräteadresse des Claimants BD_ADDR_B

.

Der Claimant sendet daraufhin das Ergebnis von E(1), die sogenannte SRES zurück an den Verifier (Response). Dieser kann bei Gleichheit der SRES und seines eigenen Berechnungsergebnisses von E(1) feststellen, dass der Claimant Kenntnis über den Link Key besitzt. Die Benutzung der Claimant Geräteadresse als einen der Eingabeparameter für E(1) soll das Verfahren vor einfachen Reflection Attacken bewahren.

Als Nebeneffekt der Authentifizierung wird ein „Authenticated Ciphering Offset“ (ACO) erzeugt, der für die Encryption Key Generierung von Bedeutung ist.



Abbildung 2‑4 - Ablauf der Authentifizierung mittels E(1)



Die Authentifizierung in der Initialisierungsphase mittels eines zuvor eingerichteten Link Keys mag unsinnig oder überflüssig erscheinen, jedoch hat er in jedem Falle seine Berechtigung. Kommt es zu einem Initialisierungsprozess, bei dem kein neuer Schlüssel generiert werden muss, da sofort ein früher ausgehandelter Link Key zum Einsatz kommt, wird mit diesem Authentifizierungsverfahren sichergestellt, dass es sich auch um die betreffende Bluetooth Einheit handelt, da nur diese im Besitz dieses Link Keys sein sollte. In anderen Fällen, in denen der Link Key vorher in dem Initialisierungsprozess vereinbart wurde, dient ein gegenseitiges Authentifizierungsverfahren als Überprüfung, ob beide Kommunikationspartner auch wirklich den gleichen Schlüssel verwenden, oder ob es einen Fehler während der Schlüsselerzeugung gegeben hat.



Verschlüsselung

Die Bluetooth Sicherheitsfunktionen arbeiten mit einer Stromverschlüsselung, deren symmetrische Verschlüsselung Schlüssellängen von 8-128 Bits verwendet.

Der Encryption Key wird mittels der Schlüsselerzeugungsfunktion E(3) aus dem aktuellen Link Key, der 96 Bit „Ciphering OFfset Number“ (COF) und einer 128 Bit Zufallszahl RAND generiert. Die COF ist entweder die, während der Authentifizierung erzeugte, Authenticated Ciphering Offset (ACO) (im Falle eines Unit oder Combination Keys als Link Key), oder aber er besteht im Falle eines Master Keys als Link Key aus einer Zahl, die sich aus zweifacher Konkatenation der 48 Bit Mastergeräteadresse BD_ADDR(Master) ergibt. Die zu verwendende Zufallszahl muss zuvor ebenfalls beiden Geräten bekannt gemacht werden, damit der resultierende Encryption Key zwischen den Einheiten übereinstimmt. Außerdem ist es notwendig, dass beide Geräte sich auf eine gemeinsame Schlüssellänge einigen, da die Geräte in ihrer maximalen Schlüssellänge beschränkt sein könnten. Für die Schlüssellängen werden 2 Grenzwerte verwendet. Die obere Grenze ist die maximal mögliche Schlüssellänge, die das Bluetooth Gerät unterstützt. Diese kann aufgrund von nationalen Forderungen oder Ausfuhrrestriktionen von einigen Ländern beschränkt sein. Die untere Grenze bildet die minimale Schlüssellänge, die von der Applikation gefordert wird, von der der Kommunikationsaufbau zwischen den beiden Bluetooth Geräten initiiert worden ist. Dieses ist wichtig, da sonst eine manipulierte Bluetooth Einheit eine Verbindung mit sehr geringer Schlüsselstärke aushandeln könnte, was die Sicherheitsforderung der betreffenden Applikation eventuell unterliefe. Kommt es nicht zur Einigung über die gemeinsame Schlüssellänge, so wird die Verbindung abgebrochen.

Wenn der Encryption Key berechnet wurde, sind die Geräte bereit, die Verschlüsselung mittels des Algorithmus E(0) anzuwenden (siehe 2.5 Algorithmen). Die Anwendung von Verschlüsselung bei der Kommunikation von Bluetooth Geräten ist optional. Ihre Nutzung ist vom Benutzer oder von der verwendeten Applikation abhängig. Wenn man die Lebensdauer von Link Key und Encryption Key vergleicht, so bleibt festzustellen, dass ein Link Key durchaus eine Kommunikationssitzung zwischen zwei Bluetooth Geräten überdauern kann. Ein Encryption Key muss währenddessen für jede verschlüsselte Sitzung neu generiert werden und ist aufgrund der verwendeten Zufallszahl mit hoher Wahrscheinlichkeit ein anderer, als ein eventuell vormals erzeugter Encryption Key mit gleichem Link Key als Eingabeparameter. Aus diesem Grund wird der Encryption Key auch als Session Key bezeichnet.
2.6.2 Point-to-Multipoint Verbindungen

Normalerweise finden Kommunikationen immer zwischen nur zwei Bluetooth Geräten statt (Point-to-Point Verbindungen). Die Sicherheitsfunktionen in Bluetooth tragen diesem Umstand Rechnung und die verwendeten Encryption Keys basieren auf den einzelnen Link Keys, die wiederum von der jeweiligen Gerät zu Gerät Verbindung abhängen. In einem Piconet kann es jedoch vorkommen, dass das Bluetooth Gerät mit Masterfunktion verschlüsselte zeitkritische Daten an mehrere Slaves gleichzeitig senden möchte (Point-to-Multipoint). Bluetooth Geräte sind aus Kostengründen bezüglich Ihrer Ressourcen beschränkt und können deswegen nicht in Echtzeit zwischen den einzelnen, zu den Verbindungen zugeordneten Encryption Keys umschalten. Ebenso kann der Master des Piconets nicht dauernd zwischen Encryption Keys für Individuellen und für Broadcast Traffic umschalten. Dieses würde in vielen Fällen zu einem inakzeptablen Kapazitätsverlust im Piconet führen, beispielsweise zu Aussetzern bei Sprachübertragungen. Deswegen sieht der Bluetooth Standard es vor, dass der Master zu diesem Zweck die individuellen Link Keys durch einen temporären Link Key zu ersetzen, der bei allen Slaves für die Dauer der Point-to-Multipoint Verbindung derselbe ist. Dieses ist der sogenannte Master Key.

Zu diesem Zweck erzeugt der Master zuerst eine 128 Bit Zufallszahl RAND und teilt sie allen betroffenen Slaves mit. Außerdem erfolgt eine Aushandlung der individuellen, maximalen Schlüssellänge zwischen Master und den jeweiligen Slaves, um festzustellen, welche Schlüssellängen akzeptiert werden können. Ist keine Einigung über die Schlüssellänge möglich, wird der betreffende Slave nicht in die Point-to-Multipoint Verbindung einbezogen. Die Erzeugung des Master Keys findet innerhalb des Mastergerätes mittels der Schlüsselerzeugungsfunktion E(22) und zwei weiteren Zufallszahlen RAND1 und RAND2 statt. Es wird deswegen nicht direkt eine Zufallzahl als Schlüssel genommen, um eine Abschwächung des Schlüssels durch einen schlechten Zufallszahlengenerator zu verhindern. Nachdem der Master die oben erwähnte dritte Zufallszahl RAND an die Slaves gesendet hat und durch die Anwendung von E(22) den Master Key erzeugt hat, benutzen sowohl der Master als auch die Slaves wiederum E(22), um mit den beiden Eingabeparametern „aktueller Link Key“ und RAND eine XOR Verknüpfung („Overlay“) zu erzeugen. Diesen Overlay verknüpft der Master mittels XOR mit dem neuen Link Key und sendet das Ergebnis an die Slaves, welche sofort ebenfalls ein XOR mit gerade diesem Overlay und der erhaltenen Bitfolge anwenden. Dadurch erhalten die Slaves Kenntnis von dem Master Key.

Ist der Master Key einem Slave mitgeteilt, so ersetzt er seinen aktuellen Link Key augenblicklich durch den neuen Link Key und leitet eine Neuberechnung des Schlüsselerzeugungsalgorithmus E(3) ein, um den neuen Encryption Key benutzen zu können, der nun ebenfalls bei allen Slaves mit identischen Master Key übereinstimmt. Der alte Link Key wird als Fallbackinformation behalten, um jederzeit darauf zurückwechseln zu können, falls der Master dieses simultan von allen Slaves verlangt. Außerdem schreibt der Standard eine neue gegenseitige Authentifizierung des Master mit den einzelnen Slaves vor, um die Korrektheit des neuen Schlüssels in jedem Slave zu testen. Dabei ist zu beachten, dass der dabei erzeugte Authentificated Ciphering Offset nicht den ACO der vorherigen Authentifizierung ersetzt, da der bei einem Fallback auf den alten Link Key bei der Erzeugung des alten Encryption Keys wieder benötigt wird.
2.7 Sicherheitsmängel und Schwachstellen


Schwachpunkte des Standards und der Implementierung

Das Frequency Hopping der Bluetooth Geräte wird gerne als Sicherheitsfeature genannt. Jedes Paket wird über eine andere Frequenz einer pseudozufälligen Frequenzfolge geschickt. Tatsache ist jedoch, dass diese Technik zwar weniger störanfällig ist, aber keine nennenswerte zusätzliche Sicherheit bietet. Mittels eines Breitbandscanners kann man alle benutzten Frequenzen simultan abhören und danach die Datenübertragung wieder in der richtigen Reihenfolge zusammensetzen.

Weiterhin enthält der Bluetooth Standard einige Ungenauigkeiten, die die Gefahr in sich bergen, dass Firmen hier aus Kostengründen an der Sicherheit sparen. So ist beispielsweise im Standard nicht beschrieben, wie der Zufallsgenerator auszusehen hat. Als Empfehlung gilt hier zwar, zum Beispiel das Rauschen eines Widerstandes für die Erzeugung eines Zufallswertes zu verwenden, aber die letztendliche Implementation bleibt den, an minimalen Kosten orientierten Firmen überlassen. An der Güte der generierten Zufallszahlen kann aber das gesamte Sicherheitskonzept von Bluetooth stehen oder fallen. Weiterhin können in den Bluetooth Geräten semi-permanente Link Keys ungeschützt lagern, da der Standard keine Maßnahmen vorsieht, Schlüssel sicher innerhalb der Geräte abzulegen. Diese Schlüssel sind aber dafür vorgesehen, noch für weitere Verbindungen mit früheren Bluetooth Einheiten verwendet zu werden und der Authentifizierungsalgorithmus beruht darauf, die Kenntnis dieser Schlüssel als Entscheidungskriterium für die erfolgreiche Identifikation eines Gerätes zu werten.

Die Topologie ist bei Ad-Hoc Netzen mit mobilen Endgeräten nicht fest vorgegeben. Es fehlt eine Beschreibung, was es für sicherheitstechnische Konsequenzen geben muss, wenn Bluetooth Geräte aus dem Empfangsbereich der anderen Geräte bewegt werden, denn diese Eigenschaft schafft zusätzliches Gefährdungspotential. Darüber hinaus ist es auf höheren Schichten offenbar möglich, über mehrere Piconets hinweg Verbindungen über größere Entfernungen aufzubauen. Im Standard findet sich keine Beschreibung, wie dabei sicherheitstechnisch vorgegangen werden soll.

Betrachtet man die Sicherheitsmodi, so könnte es bei Sicherheitsmodus 2 das Problem geben, dass die Zugangskontrolle nur einseitig von einem Gerät während des Verbindungsaufbaus erfolgen könnte. Sie ist aber im Grunde in beide Richtungen erforderlich, denn die Verbindung selbst ist in jedem Falle bidirektional (es sind hier keine unidirektionalen Verbindungen möglich). Überdies erfolgt nur eine Kontrolle des Gerätes, nicht des Benutzers, der dieses Gerät verwendet. Das muss von einer Applikation auf einem höheren Layer erfolgen.

Bei Bluetooth Geräten, die zuwenig Speicher für mehrere Schlüssel besitzen, gibt es unter anderem folgendes Problem : Nimmt ein zweites Bluetooth Gerät zu diesem Gerät Kontakt auf und muss als Verbindungsschlüssel den Unit Key des ersten Gerätes akzeptieren, so ist es sicher, dass dieser Unit Key von dem speicherarmen ersten Gerät auch bei einer folgenden Verbindung mit einem dritten Bluetooth Gerät wieder verwendet wird und ist damit dem vorherigen Verbindungspartner bekannt.

Der Benutzer hat, wie bereits anfangs erwähnt, keinen Einfluss auf die Schlüsselstärke des Verschlüsselungsalgorithmus E(0), die ja von Land zu Land, je nach nationalen Bestimmungen, variieren kann. Dieses könnte das Vertrauen in die Bluetooth Technik in manchen Ländern mit strengen Bestimmungen stark mindern.



PIN Code

Der PIN Code braucht nicht nur eine Zahlenkombination sein, sondern kann aus einer beliebigen alphanumerischen Passphrase von bis zu 16 Oktetten bestehen. Das Hauptproblem liegt darin, dass die PIN die einzige Komponente in der Schlüsselerzeugung des Init Keys ist, die nicht bekannt oder durch technische Mängel der Implementationen in den Bluetooth Geräte erraten werden kann. Aus diesem Grund sollte auf die Auswahl der PIN großer Wert gelegt werden. Da ein Benutzer vermutlich geneigt ist, schnell eine zu einfache PIN zu wählen, die von Angreifern leicht mit einer Dictionary Attacke erraten werden könnte, sollte man auf eine gute Auswahl der PIN achten. Die geringe Reichweite der Bluetooth Geräte von 10 Metern dürfte allerdings das Abhören der Kommunikation erschweren, allerdings ermöglicht Long-Range Bluetooth Verbindungen mit Geräten von bis zu 100 Meter Entfernung.

In diesem Zusammenhang ist es ganz unverständlich, dass Geräte ohne eigene Tastatur für eine PIN Eingabe nach den Vorgaben des Standards eine fixe PIN mit einer Defaultbelegung bekommen sollen. Fixe PINs nehmen den einzigen nichtvorhersagbaren Sicherheitsfaktor bei der Erstellung der Schlüssel für die Kommunikation der Bluetooth Geräte und sorgen dafür, dass praktisch kaum noch Sicherheit zwischen den Geräten gewährleistet ist. Deshalb sind fixe PINs aus sicherheitstechnischer Sicht ganz abzulehnen.



SAFER+

Bei SAFER+ handelt es sich um eine modifizierte Version des iterierten „Secure And Fast Encryption Routine“ (SAFER) Blockchriffrieralgorithmus, der als Kandidat für den American Encryption Standard (AES) von der Firma Cylink aus Sunnyvale, U.S.A eingereicht (aber im AES nicht verwendet) wurde. Der Algorithmus ist frei verfügbar und unterliegt keinerlei Copyright- oder Patentrechtlichen Einschränkungen [Saf98]. Erfunden wurde dieser Algorithmus von James Massey, Gurgen Khachatrian und Melsik Kuregian. . Bei der Funktionsweise von SAFER handelt es sich um eine Kombination von Substitution und Linearer Transformation, die in mehreren Durchläufen für eine starke Verschlüsselung des Klartextes sorgen. Der Algorithmus erfuhr jedoch noch einmal eine Überarbeitung der Schlüsselverwaltung, als Reaktion auf einen theoretischen Angriff, der von Lars Knudsen ersonnen wurde[4]. Das Ergebnis war SAFER+. Diese Variante basiert auf einer Familie von Chiffrieralgorithmen, zu denen die modifizierten Algorithmen SAFER SK-40, SAFER SK-64 und SAFER SK-128 gehören. SAFER SK-64 soll nach drei Runden immun gegen eine Lineare Kryptoanalyse sein, eine angemessene Sicherheit gegen differenzielle Kryptoanalyse soll nach sechs Runden eintreten. Nach acht Runden soll SAFER SK-64 sogar immun gegen eine differenzielle Kryptoanalyse sein.

Das Problem bei SAFER+ ist jedoch, dass die Firma Cylink intensiv mit der National Security Agency (NSA) zusammenarbeitet und deswegen vermutet werden kann, dass SAFER+ bereits in irgendeiner Form kompromittiert wurde, die der Öffentlichkeit bisher noch nicht bekannt ist. [Bruce01]


2.7.1 Angriffe auf Bluetooth


Allgemeine Angriffe

Es existieren einige Angriffmöglichkeiten auf Bluetooth, die mit stark unterschiedlichem Aufwand realisierbar sind. Angriffe auf die Verschlüsselung von Bluetooth sind zum Teil allerdings nur theoretischer Natur.

Wenn es nur darum geht, die Verfügbarkeit der Bluetooth Einheiten zu beeinträchtigen, kann man sich des Umstands bedienen, dass diese Geräte meist sehr wenig Energiereserven zu Verfügung haben, da sie häufig durch Batterien gespeist sind. Durch eine Vielzahl an Anfragen in kurzer Zeit ist so eine einfache „Denial of Service“ (DoS) Attacke durchführbar, die die Batterieleistung innerhalb kurzer Zeit aufbraucht.

Weil sich die Geräte meist direkt in Ad-Hoc Netzwerken verständigen, ist die Adresse des Quell- und des Zielgerätes direkt im Header der ausgesandten Pakete einzusehen und so eine Verkehrsflussanalyse einfach machbar. Wenn man noch einmal auf die PIN Bezug nimmt, die vom Benutzer frei gewählt werden kann, so sollte betont werden, dass die Länge der PIN nicht unbedingt 16 Oktetten betragen muss. Bei einer zu kurzen oder schlecht gewählten PIN ist der Schlüsselraum für die Initialisierungsschlüssel jedoch kleiner, beziehungsweise berechenbarer, und so eröffnet man einem Angreifer die Möglichkeit der Durchführung eines einfachen Brute-Force Angriffs.



Angriffe auf E(0)

Will man die Verschlüsselung direkt angreifen, so finden sich einige theoretische Attacken, die unter gewissen Umständen und mit unterschiedlichem Zeitaufwand denkbar wären (hier ohne Erläuterung) [Strom01].



· Inversionattacke

· Schnelle Korrelationsattacke

· Bedingte Korrelationsattacke

· Ultimative Divide und Conquer Attacke

· Time-Memory-Trade-off Attacke
2.7.2 Bekannte Schwachstellen in Bluetooth 1.0B



Wie Markus Jakobsson und Susanne Wetzel in [Jakob01] beschreiben, besitzt der Bluetooth Standard in der Version 1.0B mindestens 3 verschiedene signifikante Schwachstellen.



Abhören von Informationen und Nachahmung

Dieses ist zum Beispiel an einem öffentlichen Platz möglich, wo ein Angreifer den kompletten Prozess des Pairings der beiden Bluetooth Geräte abhören kann. Falls keine zusätzliche Sicherung auf der Applikationsebene stattfindet oder der Angreifer eine Man-In-The-Middle Attacke durchführen kann, könnte er so eine komplette Kopie aller Dokumente erhalten, die der Besitzer der Bluetooth Geräte über die Funkschnittstelle austauscht. Wenn der Angreifer das Opfer nachahmt, kann er Nutz- oder Steuerdaten verändern.

Diese Angriffe sind besonders einfach, wenn ein Gerät über so wenig Speicher verfügt, dass es stets seinen Uni Key als Link Key verwendet, wie sie in (2.7 „Sicherheitsmängel und Schwachstellen“) beschrieben ist. Gelangt der Angreifer in den Besitz des Unit Keys, so kann überdies er das betreffende Gerät fortan imitieren. Falls ein Bluetooth Gerät allerdings über ausreichend Speicher verfügt, wird ein Combination Key erzeugt. Für diesen Fall existiert aber ebenfalls eine Attacke. Diese basiert auf dem Umstand, dass man sowohl Link Key als daraus auch Cipher Key berechnen kann, wenn man in den Besitz des Initialization Keys kommt. Um diesen zu erhalten, muss man im Grunde nur die PIN der Geräte kennen. Diese ist häufig vom Benutzer und damit schwach gewählt. In einigen Fällen ist sie sogar per Default auf 0000 gesetzt. Um die PIN in den ersteren Fällen zu erhalten, kann er eine umfassende Suche über alle möglichen PINs starten, falls diese kurz und damit schwach sind. Hierfür bietet sich dem Angreifer die Möglichkeit des „Offline PIN Crunching“. Die Autoren unterscheiden in zwei Fälle.

· Abhören einer Verbindung : Der Angreifer probiert alle PINs bis zu einer bestimmten Länge aus. Jede dieser PINs überprüft er mittels abgefangener Zufallszahlen (Challenges) zwischen zwei anderen Kommunikationspartnern und testet, ob er die abgefangene Response erhält. Gibt es eine Übereinstimmung, so hat er mit hoher Wahrscheinlichkeit die korrekte PIN gefunden. Der Angreifer verhält sich hier völlig passiv und hört nur die Verbindung ab.

· Stehlen durch Teilnahme : Das Angreifergerät startet mit dem Gerät des Opfers eine Challenge-Response Authentifizierung und sendet als erstes Gerät eine Challenge. Daraufhin sendet das Opfergerät eine Response, die daraufhin von dem Angreifer untersucht wird. Er berechnet für jede zu untersuchende PIN nun eine Response und vergleicht diese mit der Response, die er von dem Opfer erhalten hat. Stimmen die Responses überein, so hat der Angreifer mit hoher Wahrscheinlichkeit die korrekte PIN gefunden.

Beide beschriebenen Angriffe erfolgen offline, sobald der Angreifer genügend Informationen in Form eines Challenge-Response Paares besitzt. Der exponentielle Zeitzuwachs, der zwischen jedem fehlgeschlagenen Authentifizierungsversuch addiert wird, gibt dem Angreifer sogar noch Zeit, die richtige PIN zu finden.

Wie bereits oben erwähnt, kann der Angreifer Besitz des Initialization Keys erlangen. Hat er diesen gefunden, so kann er aufgrund der Struktur der Bluetooth Sicherheitsarchitektur den Besitz über den Link Key und damit den Cipher Key erlangen.

Für eine dritte Attacke, in der der Angreifer bereits den Link Key zweier anderer Geräte besitzt, kann dieser eine klassische Man-in-the-Middle Attacke durchführen, indem er beide Opfergeräte nach deren beendeter Kommunikation kontaktiert und ihnen vorgaukelt, er sei die jeweils andere Bluetooth Einheit. Die Gerät indes nehmen an, dass der Kommunikationspartner die Verbindung aufbauen wollte. Beide Opfergeräte folgen einer anderen Hopfrequenz, und sehen daher die Nachrichten nicht, die sie glauben, sich gegenseitig zu schicken. Dazu muss das Angreifergerät nur entweder beide Opfergeräte zu Slaves oder beide zu Mastern machen. So kann der Angreifer ohne große Probleme beiden Geräten das jeweils andere Gerät vorgaukeln. Selbst, wenn der Angreifer nicht den aktuellen Link Key besitzt, kann er dem jeweiligen Opfergerät den Verlust des Link Keys mitteilen und so die Vereinbarung eines neuen Link Keys erzwingen.



Location Tracking

Hier nehmen die Autoren Bezug auf die Möglichkeit, dass von Bluetooth Geräten im Detectable Mode ein Bewegungsprofil erstellt werden kann, wie in (2.7.3 Staatliche Einflussnahme und Datenschutz) beschrieben.



Verwundbarkeit der Chiffrierung

Die Autoren beschreiben zwei mögliche Angriffe auf die Chiffrierung von Bluetooth. In ersten Fall rät der Angreifer die Inhalte von den drei kleineren „Linear Feedback Shift Registern“ (LFSR) und dem Summationsregister des E0 Algorithmus mit einer Wahrscheinlichkeit von 2 hoch 93. Danach errechnet er den Inhalte des vierten 39 Bit LFSR durch Reverse Engineering der anderen 3 LFSR und des Summationsregisters. Schlussendlich stellt der Angreifer fest, ob ein String der abgehörten Ausgabe mit der generierten Ausgabe übereinstimmt. Hierfür werden ungefähr 128 Bits Chiffretext und Klartext benötigt. Das Reverse Engineering und die Verifikation haben eine Komplexität von circa 2 hoch 7 Operationen. Die gesamte Attacke hat damit einen gewaltigen Aufwand von 2 hoch 100 Operationen, was aber noch geringer ist, als der Aufwand für eine Brute Force Attacke, der bei 2 hoch 128 Operationen liegt. Dieser Aufwand wird betrieben, um den Schlüssel für einen versendeten Frame zu erhalten. Um den Hauptschlüssel selbst zu erhalten, muss dieser Angriff zweimal durchgeführt werden.

Im zweiten Fall wird ein Geburtstagsangriff unternommen, um die Verschlüsselung in einer Zeit- und Speicherkomplexität von 2 hoch 66 zu brechen. Hier rät der Angreifer N interne Zustände des Chiffrieralgorithmus und berechnet den resultierenden Schlüsselstrom. Diese N Schlüsselströme werden sortiert und in eine Datenbank geschrieben. Danach werden M Bits des aktuellen Schlüsselstroms beobachtet. Falls M*N> 2 hoch 132 ist, kann man eine Kollision zwischen dem aktuellen Schlüsselstrom und einem Schlüssel in der Datenbank erwarten. Dieses zeigt M = N = 2 hoch 66 und damit eine Zeit- und Speicherkomplexität von 2 hoch 66, um die Verschlüsselung zu brechen.

Obwohl die beiden Angreife bislang nur theoretischer Natur sind, zeigen sie Verwundbarkeiten der Verschlüsselung, unter Umständen für andere und stärkere Attacken genutzt werden könnten.



Gegenmaßnahmen gegen die vorgestellten Attacken

Um den vorgestellten Angriffen begegnen zu können, schlagen die Autoren folgende Punkte zur Verbesserung des Bluetooth Standards und der Nutzung der Bluetooth Geräte vor :

· PIN Länge möglichst lang wählen und außerdem möglichst zufällig.

· Die Unit Keys der Bluetooth Einheiten schützen. Low Memory Bluetooth Einheiten sollten einen neu generierbaren Satz an Unit Keys besitzen, damit ein Angreifer den Unit Key nicht zuerst erlernen kann und danach immer in der Lage ist, die Kommunikation zwischen diesem Gerät und einem anderen zu belauschen.

· Sicherheit auf der Applikationsebene herstellen.

· Richtlinien, wer wann Master unter welchen Umständen ist. Dadurch lassen sich in etlichen Fällen Man-in-the-Middle Attacken verhindern, wie sie weiter oben beschrieben wurden.

· Physischer Schutz der Übertragung der Geräte, eventuell durch einen Faradayischen Käfig, damit keine Angriffe auf das Schlüsselaustauschprotokoll (Key Exchange) möglich sind.

· Pseudonyme gegen “Channel Access Code” (CAC) Location Attacken (siehe 2.7.3 “Staatliche Einflussnahme und Datenschutz”). Wenn zwei Geräte zufällig gewählte Pseudonyme für jede Session verwenden, ist es für einen Angreifer nicht mehr möglich, eine CAC Location Attacke durchzuführen und den Aufenthaltsort des Benutzers zu tracken. Die Vereinbarung über die Nutzung welches Pseudonyms zu welcher Zeit zwischen zwei Einheiten kann durch eine Festlegung einer Pseudozufallsfolge erfolgen, zum Beispiel bei dem ersten Schlüsselaustausch oder aber bei einer anderen Initiierung einer Verbindung zwischen den Geräten.


2.7.3 Staatliche Einflussnahme und Datenschutz


Schlüsselbeschränkungen in einigen Ländern

Während die Länge von Schlüsseln für Authentifizierungsvorgänge nicht beschränkt ist, so gibt es doch in vielen Staaten der Erde nationale Beschränkungen hinsichtlich Schlüssellängen bei Verschlüsselungsvorgängen. Mancher Staat ist sehr darauf bedacht, verschlüsselte Informationen jederzeit abhören und entziffern zu können, sei es aus geheimdienstlichen Interessen oder aus dem Grund, dass man durch nachträgliche Entschlüsselung von Geheimbotschaften und Computerdateien Kriminalität bekämpfen können möchte.

Aus diesem Anlass hat man sich in der Spezifikation des Bluetooth Standards dazu entschlossen, die Länge des Encryption Keys nicht fest vorzuschreiben, sondern eine variable Länge von 8-128 Bits zuzulassen. Die tatsächlich benutzte Länge des Schlüssels ist dann von Land zu Land unterschiedlich und wird fest in der Hardware verankert, damit keine nachträgliche Änderung durch den Benutzer oder Software mehr möglich ist.



Geheimdienste

Nach Bekanntwerden der Sicherheitslücken in Bluetooth Geräten, wie sie von Markus Jakobsson und Susanne Wetzel in [Jakob01] dargestellt wurden, wird vermutet, dass der amerikanische Geheimdienst NSA oder die CIA kleine, unauffällige Bluetooth Einheiten bauen, die zum Beispiel nach außen wie Kugelschreiber aussehen und die die Kommunikation anderer Bluetooth Einheiten unter Ausnutzung der bekannten Sicherheitsmängel belauschen könnten (siehe 2.7.2 „Bekannte Schwachstellen in Bluetooth 1.0B“).


Location Tracking

Wenn sich Bluetooth Einheiten im Betriebsmodus „Detectable“ befinden, ist die Erstellung eines Bewegungsprofils möglich. Es wäre zum Beispiel in einer Einkaufspassage nur notwendig, an einigen Plätzen Bluetooth Einheiten unterzubringen, die die Adressen von Geräten im Empfangsbereich mit Zeitstempel protokollieren. Weil die Bluetooth Adressen weltweit eindeutig sind, kann später eine Zuordnung von Personen zu Gerätenummern erfolgen, wenn die Personendaten einmal bekannt werden.

Dennoch kann man, wie in [Jakob01] beschrieben, das Bluetooth Device dazu bewegen, selbst Kontakt zu suchen. Selbst, wenn sich dieses im non-Detectable Modus befindet. Dazu muss der Angreifer allerdings zuvor Kontrolle über das Bluetooth Gerät des Opfers erlangen. In diesem Fall könnte er auch den Operationsmodus des betreffenden Bluetooth Gerätes selbst auf Detectable umstellen.

Eine weitere Möglichkeit besteht darin, dass das Gerät des Angreifers nur die Kommunikation zwischen zwei anderen Bluetooth Einheiten abhört und dann den „Channel Access Code“ (CAC) extrahiert, der den Kommunikationskanal identifiziert und auf der Bluetooth Adresse des Master Gerätes des jeweiligen Piconets basiert. Mit diesem kann der Angreifer ebenfalls den Standort von Bluetooth Geräten ermitteln, falls diese gerade kommunizieren. Diese Form des Angriffs benötigt allerdings eine modifizierte Bluetooth Einheit, die den CAC an höhere Schichten durchreicht.

Die Zuordnung eines Gerätes zu einer menschlichen Identität kann auf verschiedenen Wegen erfolgen. Zum Beispiel kann es in Situationen erfolgen, in denen die menschliche Identität auf jeden Fall bekannt sein muss. Dieses ist unter anderem bei einer Kreditkartenzahlung oder einer Identifizierung der Fall.


2.8 Ansätze zur Erhöhung der Sicherheit und Sicherungsverfahren


Initialisierungsvorgänge

Beim Initialisierungsvorgang fällt auf, dass die Sicherheit sehr von der wählbaren PIN abhängig ist. Als Alternative hätte es beispielsweise die Möglichkeit gegeben, Bluetooth Geräte so einzurichten, dass diese vorher gekoppelt werden müssen, so dass sie über Kabel einen initalen Schlüsselaustausch vornehmen können. Denkbar ist auch ein Zusatzgerät, das einen Initialschlüssel errechnet und das man danach nacheinander in beide Bluetooth Einheiten steckt. So ist wäre keine Tastatur am Gerät notwendig und auch keine fixen PINs.







Verschlüsselung

Die Verschlüsselung in den Bluetooth Geräten lässt sich erfolgreich angreifen, deswegen sollten bei Kommunikation über Bluetooth, soweit möglich, Applikationen verwendet werden, die zusätzliche Sicherheit bieten. Dies wäre unter anderem ein Virtual Private Network (VPN).


Location Tracking

Es ist notwendig, dass Bluetooth Geräte in den Betriebsmodus „non-detectable“ zu schalten, um eine Erstellung von Bewegungsprofilen zu unterbinden. Diese Bewegungsprofile sind nur so lange anonymisiert, wie keine Zuordnung der Bluetooth Adresse zu der Person erfolgen kann, die dieses Bluetooth Gerät besitzt. Eine Einleitung eines Kommunikationsvorgangs zwischen zwei Bluetooth Einheiten (Pairing) wird so allerdings erschwert und recht unbequem. Bequemlichkeit hat sich aber schon oft als Grund für verringertes Sicherheitsinteresse herausgestellt.



Verkehrsflussvertraulichkeit

Bei Bluetooth Einheiten findet immer entweder eine Point-To-Point (Master-Slave, Slave-Master) oder aber eine Point-To-Multipoint Verbindung (Master-Slaves) statt, jedoch keine Verbindungen von Slaves untereinander. Um eine Verkehrsflussvertraulichkeit zu erreichen, wäre es denkbar, auf höheren Ebenen eine Verbindung über mehrere Piconets hinweg innerhalb eines Scatternets aufzubauen, sofern alle folgenden Adressen als die jeweils aktuelle von der Payloadverschlüsselung geschützt wären. Natürlich müsste man wegen der Einsehbarkeit der Daten auf den Zwischenstationen zusätzliche Sicherungsmaßnahmen ergreifen, wie eine von der Bluetooth Sicherheitsarchitektur unabhängige Verschlüsselungssoftware.



Um sicherzugehen, ist es bei Bluetooth zu empfehlen, soweit als möglich zusätzliche Sicherungsmaßnahmen auf der Anwendungsschicht zu ergreifen, um sich nicht nur auf die unterliegenden Sicherungen verlassen zu müssen. Die Verschlüsselung von Bluetooth durch die Funktion E(0) gilt selbst bisher als sehr sicher, da die denkbaren Attacken bislang nur theoretischer Natur sind.

Da Bluetooth aufgrund seines Designs und seiner geringen Bandbreite in Zukunft vermutlich vorrangig dazu verwendet wird, Peripherie anzuschließen, statt als Übertragungstechnik zwischen Rechnern zu dienen, ist man bezüglich zusätzlicher Sicherungsmaßnahmen, wie zum Beispiel IPSec, wohl auf die Hersteller angewiesen und kann als Endanwender oft nicht selbst Initiative ergreifen.



3 Wireless LAN
3.1 Einsatzgebiete / Allgemein

Bei einem „Wireless LAN“ (WLAN) handelt es sich um ein drahtloses LAN, das als Trägermedium statt Kabeln ein Funksystem, in seltenen Fällen auch Infrarot, nutzt. Das WLAN kann dabei sowohl als Erweiterung von drahtgebundenen Netzen eingesetzt werden, als auch als eigenständiges Netzwerk auftreten.

Das Wireless LAN wurde in dem Standard 802.11 des „Institute of Electrical and Electronics Engineers „ (IEEE) definiert und hinsichtlich seiner Sicherheit mit darauffolgenden Standards erweitert. Der Standard 802.11a arbeitet im störungsarmen 5 GHz Bereich und bietet Übertragungsraten von bis zu 54 Mbit/s. Geräte nach Standard 802.11a konnten sich bisher aber im Markt nicht durchsetzen. Stattdessen ist der Standard 802.11b stark verbreitet. Mit dem Standard 802.11b bietet das Wireless LAN eine geringere Bandbreite von 11 MBit. Es nutzt wie Bluetooth für die Datenübertragung das lizenzfreie 2,4 GHz Band, in dem für WLAN in den USA 11, in Europa 15 Kanäle mit einem Kanalabstand von jeweils einem MHz zugelassen sind. 802.11b konforme Geräte nutzen ausschließlich das „Direct Sequence Spread Spectrum“ (DSSS), das das zuvor teilweise eingesetzte „Frequency Hopping Spread Spectrum“ (FHSS) abgelöst hat.

Beim FHSS Verfahren springen Sender und Empfänger gleichzeitig über eine pseudozufällige Anordnung von Frequenzen. Wenn beide Stationen korrekt synchronisiert sind, so interpretieren sie die Impulse der einzelnen Frequenzen als einen logischen Kanal. Dieses Verfahren nutzt die vorhandene Bandbreite sehr ineffektiv.

Das DSSS Verfahren erzeugt aus jedem Datenbit eine redundante Bitfolge („Chip“/ „chipping Code“), die über mehrere Frequenzbereiche gespreizt wird. Da der Chip leicht wieder rekonstruiert werden kann, ist die Fehlerkorrektur des Verfahrens sehr gut und es ist ein effizienterer Einsatz möglich, als mit FHSS.

Wireless LAN Technology hat momentan die besten Chancen, der wichtigste Standard für gebäudeinterne drahtlose Netze zu werden. WLAN kompatible Netze haben bereits jetzt einen sehr hohen Verbreitungsgrad in Firmen und privaten Haushalten gefunden. Dieses ist vor allem darin begründet, dass die notwendige Hardware bei größeren Netzwerken günstiger als eine Ausstattung der Gebäude mit Netzwerkkabeln ist.

Aufgrund des überwältigenden Verbreitungsgrades von 802.11b konformen Netzen gegenüber Netzen nach 802.11a Standard wird sich diese Arbeit im weiteren Verlauf ausschließlich auf die Sicherheitsproblematik des Standards 802.11b beschränken.
3.1.1 WLAN Standards

Die wichtigsten WLAN Standards unterhalb des IEEE 802.11 Standards sind folgende.

· IEEE 802.11a – Wireless LAN im 5 GHz Band mit Datenraten von bis zu 54 Mbit/s

· IEEE 802.11b – Wireless LAN im 2,4 GHz Band mit Datenraten von bis zu 11 Mbit/s

· IEEE 802.11e – Ein Einführung eines „Quality of Service“ für die Standards 802.11 b, g und a, um verschiedene Prioritäten an Pakete zu verteilen und so beispielsweise störungsarmes „Voice over IP“ möglich zu machen.

· IEEE 802.11g - Ein Zusatzstandard für 802.11b, der die Datenraten abwärtskompatibel auf bis zu 22 Mbit/s heben soll

· IEEE 802.11h –.Der nicht abwärtskompatible Standard für 802.11a, der diesen vollständig ersetzen soll, um Interferenz- und Überlastungsprobleme zu beseitigen.

· IEEE 802.11i – Dieser Standard soll WEP durch ein besseres, möglichst abwärtskompatibles Sicherheitsmodell ersetzen

· IEEE 802.1x – Ein Standard, der bessere Authentifizierungsmechanismen für das Sicherheitsmodell der WLANs bietet, als es bisher der Fall war.

In naher Zukunft plant die IEEE, den Standard 802.11a durch den nicht abwärtskompatiblen Standard 802.11h zu ersetzen, während die Datenraten des Standards 802.11b durch den abwärtskompatiblen Standard 802.11g auf 22 Mbit/s gesteigert werden sollen.
3.2 Authentisierungs- und Verschlüsselungsalgorithmen

Das Wireless LAN nach dem 802.11 Standard bietet zwei Stufen der Authentifizierung: Open System oder Shared Key, die beide optional genutzt werden können.

Bei „Open System“ kann jeder Access Point explizit eine Authentifizierung verlangen. Dieses funktioniert, indem der aufgeforderte Access Point entweder auf jede Assoziierungsanfrage antwortet, oder nur auf MAC Adressen von Hosts, die in einer Assoziierungstabelle des Access Points eingetragen sind. Der ganze Prozess läuft in Klartext ab. So kann sich jede Station mit dem Access Point assoziieren, selbst wenn er keinen oder einen falschen WEP Schlüssel besitzt. Faktisch ist dieses Verfahren eine Null-Authentifizierung.

Beim Verfahren des „Shared Key“ erfolgt die Authentifizierung impliziert durch die Kenntnis des gemeinsamen Schlüssels und ist nur bei Systemen verfügbar, die eine optionale Verschlüsselungsmöglichkeit besitzen. Damit der Client diese Art der Authentifizierung nutzen kann, muss er WEP installiert haben und einen gemeinsam genutzten WEP Schlüssel („Shared Secret“) kennen. Der Prozess der Authentifizierung ist ein typisches Challenge-Response Verfahren. Zuerst sendet der Access Point eine 128 Byte Zufallsbitfolge (Challenge) an die anfordernde Station, die diese mittels des „Wireless Equivalent Privacy“ Protokolls (WEP) Schlüssels verschlüsselt und zurücksendet (Response). Es besteht darüber hinaus wie bei der Open Systems Authentifizierung noch die Möglichkeit, in der Assoziierungstabelle des Access Points MAC Adressen von Netzwerkkarten einzutragen, von denen ausschließlich Authentifizierungsversuche akzeptiert werden.

Als Verschlüsselungsverfahren für WLAN empfahl die IEEE das WEP Protokoll, das hier unter 3.4 „Wireless Equivalent Privacy Protocol (WEP)“ beschrieben wird. Key Management wird vom Standard 802.11 nicht berücksichtigt.
3.3 Sicherheitslücken und Schwachstellen des WLANs

Wireless LAN Netzwerke nach 802.11b Standard sind als drahtloses Pendant des konventionellen drahtgebundenen Ethernets einer Vielzahl von Gefährdungen ausgesetzt, die sich zum Teil mit denen des gewöhnlichen Ethernets decken, zum anderen aber Zusatzgefährdungen darstellen.

Das teilweise verwendete Frequency Hopping lässt sich mittels eines Breitbandscanners umgehen, der alle möglichen Frequenzen gleichzeitig abhört. Die Pseudozufällige Sprungfolge der Netzwerkkarten lässt sich so ebenfalls ermitteln. Hinzu kommt, dass die meisten WLAN Netzwerkkarten des gleichen Herstellers entweder genau die gleiche Sprungfolge wählen, oder diese nur leicht variieren. Damit braucht ein Angreifer unter Umständen nur das gleiche Produkt einzusetzen, wie das Opfer, um dessen Sprungfolge einzuhalten.

Betrachtet man den Einsatz der drahtlosen Netze aus der Sicht von Firmen, so ergeben sich eine ganze Reihe von Gefährdungsstellen, die zum Teil allerdings auch bei privaten Wireless LANs zu berücksichtigen sind. Die Attacken auf das Wireless LAN lassen sich in 5 Hauptkategorien einordnen [Klaus01].



· Unautorisierte Hardware (Insertion Attacks)

· Abfangen und Manipulation des drahtl. Netzverkehrs (Interception and monitoring wireless Traffic)

· Fehlkonfiguration (Misconfiguration)

· Blockierung (Jamming)

· Client-Client Attacke (Client to Client Attacks)



Unautorisierte Hardware

Die Gefährdung durch unautorisierte Hardware besteht in dem Anschluss von Wireless LAN konformen Geräten an das Firmennetz, die zuvor keinen firmeninternen Sicherheitsprozess durchlaufen haben, beziehungsweise keiner Sicherheitsüberprüfung durch den Systemadministrator unterzogen worden sind. Diese Hardware kann sowohl von einem Angreifer, als aber auch von unbedachten Firmenmitarbeitern eingesetzt werden.

Bei dem unautorisierten Einsatz von Clients versucht ein Angreifer, mit seinem Wireless LAN konformes Gerät einen Kontakt mit einem Access Points des Firmennetzes herzustellen.

Der unerlaubte Einsatz von Access Points (Rogue Access Points, verbrecherische Zugangspunkte) kann die Sicherheitsvorkehrungen einer Firma unterwandern. Ein Firmenmitarbeiter könnte einen selbst erworbenen Access Point an das Firmennetzwerk anschließen, um die Reichweite des drahtlosen Netzes nach seinen Wünschen zu erweitern oder überhaupt erst eine drahtlose Nutzung für sich zu ermöglichen. Wenn dieser Access Point nicht in ausreichendem Masse abgesichert ist, wäre es möglich, dass sich ein Angreifer diesen Umstand zunutze macht und einen Angriff durch einen oben beschriebenen unautorisierten Client durchführt, um in das Firmennetzwerk einzudringen. Es ist auch möglich, dass ein aktiver Angreifer durch einen eigenen Access Point das Firmennetz kompromittiert.



Abhören und die Manipulation von drahtloser Kommunikation

Das Abhören und die Manipulation von drahtloser Kommunikation ist eine beliebte Attacke im drahtgebundenen Ethernet und ebenso im drahtlosen LAN.

Snifferprogramme, beziehungsweise Netzwerk-Analysetools für drahtlose Netze, wie zum Beispiel „Wireless Sniffer“ oder „Airopeek“ sind dazu geeignet, mittels einer Wireless LAN konformen Karte im „Promiscous Mode“ den kompletten legitimen Datenverkehr in der Abstrahlungsfläche eines drahtlosen Netzes abzuhorchen[5], Tools wie AirSnort liefern dazu auch einen eventuell notwendigen WEP Key.

Wenn der Angreifer bereits in der Lage ist, drahtlose Kommunikation abzufangen und die notwendigen Autorisierungsdaten zu ermitteln, dann kann er ebenso unter der Identität seines Opfers manipulierend in eine laufende Sitzung eingreifen und zum Beispiel eine aktuell laufende Kommunikationssitzung dieses Nutzers übernehmen (Hijacking).

Dabei bilden sogar drahtlose Heimnetzwerke der Mitarbeiter eine zusätzliche Gefahrenquelle für Firmennetze. Hier ist oft das Sicherheitsniveau geringer, als in der Firma. Handelt es sich um einen Telearbeiter oder einen Benutzer, der sich von außen (drahtgebunden) in die Firma einwählen darf, so kann ein Angreifer sehr einfach die Kommunikationssitzung und damit eventuell sensible Daten abhorchen, falls der Mitarbeiter sein Wireless LAN Equipment einsetzt.

Das Sniffen selbst ist nicht einmal auf den drahtlosen Netzverkehr beschränkt. Ist der Access Point an das drahtgebundene Firmennetz mittels eines Hubs angeschlossen, so kann der Angreifer von außen auch den drahtgebundenen Netzverkehr durch einfaches Broadcast Monitoring abhorchen. Dieser Netzverkehr wird eventuell von dem drahtgebundenen Ethernet auch über den Access Point in das drahtlose Netz geroutet, obwohl er überhaupt nicht für diesen Netzbereich gedacht war. Dies umfasst meist den gesamten Netzverkehr in dem drahtgebundenen Netzwerk, denn dieser fließt in einem Ethernet unter Umständen an jedem Rechner vorbei und damit auch an dem Access Point.

Aber selbst, wenn es zum Einsatz von Switches statt Hubs kommt oder auch der Access Point die Funktion einer Bridge besitzt, kann der Angreifer diese Einrichtungen manipulieren, um zu erreichen, dass sensible Informationen statt nur im drahtgebundenen Ethernet auch über das drahtlose Pendant gesendet wird. Um an diese Informationen zu gelangen, bedient sich der Angreifer beispielsweise der ARP-Spoofing Technik. Bei diesem Vorgehen wird er die Address Resolution Protocol Tables der Switches und des Access Points manipulieren, indem er Pakete in das Netzwerk schickt, die die gleiche Absenderadresse enthalten, wie die abzuhorchenden Zielrechner, die sich innerhalb des (geschützten) drahtgebundenen Ethernets befinden. Da die zu manipulierenden Geräte oft selbstlernend sind, nehmen sie die Hardwareadresse in ihre Tabellen auf und fangen an, die sensiblen Pakete auch in das Wireless LAN hinauszurouten. Mittels des ARP-Spoofing kann der Angreifer nicht nur einfache TCP Verbindungen übernehmen (hijacken), sondern auch sichere Verbindungen, wie SSH oder HTTPS. Wenn sich der Benutzer dann per SSH einloggen will, meldet das System zwar, dass sich Host und Zertifikat geändert haben, fragt aber nach, ob der Benutzer den neuen Daten traut. Meist wird solch ein Hinweis einfach weggeklickt. Ein Tool, mit dem sich ARP Spoofing und damit auch das Hijacken von Verbindungen realisieren lässt, ist zum Beispiel DSniff.

Hat der Angreifer Zugang zu dem drahtgebundenen Ethernet der Firma, kann er auch einen unerlaubten Access Point aufstellen, die eine stärkere Sendelistung besitzt, als die legitimen Access Points. Mit diesem Klon (Evil Twin) und einer nachgebildeten Login-Sequenz kann er Benutzer an berechtigten drahtlosen Clients täuschen und sie dazu veranlassen, ihre Zugangsdaten einzugeben und damit dem Angreifer mitzuteilen.



Fehlkonfiguration

Da sich viele Access Points im Auslieferungszustand im geringst möglichen Sicherheitsmodus befinden, um eine schnelle und einfache Inbetriebnahme zu gewährleisten, obliegt es dem Systemadministrator, diese Sicherheitsoptionen an die Erfordernisse der Firma anzupassen. Dies passiert offenbar aber meist nur in selten. (siehe : 3.5 „War Driving“). Aus diesem Grund ist unzureichende Konfiguration oder Fehlkonfiguration ein weiteres Sicherheitsproblem, das zu bedenken ist.

Durch den Umstand, dass viele Firmen einen Begriff aus dem Wörterbuch oder dem Firmenumfeld als Passwort für die Verwendung des drahtlosen Netzes vergeben und kein komplexes alphanumerisches Passwort, ist es für den Angreifer möglich, dieses mittels einer einfachen „Brute Force“ Attacke zu erhalten. Dieses ist aber für den Angreifer immerhin eine schwierigere Aufgabe, als wenn in dem Gerät das Defaultpasswort belassen werden würde, was aber eher in Heimnetzwerken passieren wird, als in größeren Firmen. Es kursieren im Internet Listen mit Standardpasswörtern vieler Netzwerkkompontenhersteller, die in den Geräten dieser Hersteller immer jeweils per Default voreingestellt werden.

Unzufriedene Mitarbeiter, die die Firma verlassen, könnten ebenfalls Zugang zu den Access Points erlangen, falls die Passwörter nach jedem Ausscheiden eines Mitarbeiters nicht geändert werden. Es ist extrem schwierig, unter diesen Umständen in größeren Wireless LANs mit vielen Clients eine vernünftige Zugangskontrolle zu dem Netz zu realisieren.

In etlichen Access Points ist das optionale Wireless Equivalent Privacy (WEP) Protokoll per Default ausgeschaltet, das eine der grundlegenden Sicherungsmaßnahmen im Wireless LAN darstellt. Seit einigen Monaten ist zwar bekannt, dass das WEP Protokoll schwach implementiert ist, jedoch ist dieses Protokoll immer noch besser, als gar keine Sicherungsmaßnahmen zu verwenden.

Einigen Systemadministratoren ist gar nicht bewusst, dass sich viele der Access Points durch das Simple Network Management Protocol (SNMP) steuern lassen. Genau wie im Falle der SSIDs vergeben die Hersteller solcher Geräte auch für den Zugang per SNMP Defaultpasswörter, die bei unzureichender Konfiguration eventuell nicht geändert werden und damit dem Angreifer eine Fülle an Optionen bieten, mit denen er Einfluss auf die Konfiguration und damit das Verhalten des jeweiligen Access Points nehmen kann.

SNMP unterscheidet zwei Bereiche, sogenannte Communities, die der Konfiguration des jeweiligen Gerätes dienen. Diese sind die Public Community und die Private Community. Bei etlicher Wireless LAN Peripherie kann man mit dem kanonischen Passwort „public“ bereits Leserechte in diesem Communities erlangen. Beispielsweise bei Herstellern wie Cisco und Lucent/Cabletron muss man immerhin das Passwort für das Schreibrecht explizit setzen, bevor überhaupt eine Schreiberlaubnis für die Management Information Base (MIB) des Gerätes gestattet wird, bei 3Com aber ist dieses Passwort bereits per Default vergeben und lautet „comcomcom“.

Viele Wireless LAN konforme Geräte bieten nicht nur eine Konfiguration über SNMP, sondern darüber hinaus noch Konfigurationsinterfaces, wie zum Beispiel über Telnet, Web oder einen seriellen Anschluss. Diese Interfaces bieten unter Umständen einen einfachen Weg in den jeweiligen Access Point, wie zum Beispiel 3Com-Geräte, bei denen sich das die SSID durch einen Blick in das Systemkonfigurationsmenü einsehen lässt. Das Defaultpasswort für die Webadministration ist bei 3Com das gleiche, wie das für den Zugang per SNMP, nämlich „comcomcom“ und ist deswegen bei einem weitgehend unkonfigurierten Access Point kein Hindernis.



Blockierung

Blockierung (Jamming) stellt ein gewaltiges Problem für das drahtlose Netz dar. Durch Denial of Service (DoS) Attacken ist es möglich, das gesamte drahtlose LAN unbenutzbar zu machen. Um solch eine Attacke zu realisieren, benötigt der Angreifer nur einen Client, der den jeweiligen Access Point mit einer extrem hohen Anzahl Pakete überlastet, oder einen Sender, der das 2,4 GHz Band mit Störsignalen belegt. Daraufhin kann mittels legitimen Clients keine Verbindung in das Netz mehr aufgenommen werden. Solche Störungen können aber auch ungewollt durch die Nutzung anderer Sender auftreten, die das gleiche Frequenzband nutzen, wie beispielweise drahtlose Telefone oder unter ungünstigen Bedingungen auch Bluetooth. Da das 2,4 GHz Band in vielen Ländern lizenzfrei zu nutzen ist, sind ungewollte Störungen durch andere drahtlose Geräte aus der näheren Umgebung sogar recht wahrscheinlich.



Client-Client Attacken

Alle Clients, die legitimen Zugang zu einem Access Point besitzen, müssen die sensiblen Zugangsdaten für die Authentifizierung gegenüber dem Access Point und die Kommunikation mit ihm speichern. Aus diesem Grund sind Client-Client Attacken ein Sicherheitsproblem, denn ein Hacker, der auf dem Client eines legitimen Benutzers eindringt, kann diese Informationen aus Konfigurationsfiles oder der Windows Registry auslesen. Cisco speichert den WEP Schlüssel allerdings in der Firmware seiner Geräte und dieser ist dann von außen schwer zu erreichen, bei Lucent/Cabletron steht er zwar leicht erreichbar in der Windows Registry, ist dort aber mit einer nicht näher dokumentierten Verschlüsselung abgelegt, im Gegensatz zu der 3Com-Software, die den Schlüssel dort im Klartext hinterlegt.

Diese sensiblen Daten auf dem Clientrechner müssen auf jeden Fall geschützt abgelegt sein, denn es ist mittels Ad-Hoc Verbindungen möglich, dass Clients untereinander Verbindungen aufbauen, unter Umgehung des Access Points. Kann der Angreifer eine solche Verbindung zu einem Clientrechner aufbauen, beispielsweise weil dieser unter anderem auch Serverdienste betriebt, so könnte es dem Angreifer ermöglicht werden, durch ein Ausnutzen von Sicherheitslücken oder Fehlkonfigurationen des jeweiligen Serverdienstes die Kontrolle über den entsprechenden Rechner zu erlangen und damit auch über die sensiblen Daten auf dem jeweiligen Rechner.

Der Angreifer kann durch oben beschriebene DoS (Denial of Service) Attacken einen Ausfall des jeweiligen Clientrechners verursachen. Störungen des Netzes können aber auch ungewollt durch einen Mitarbeiter ausgelöst werden, der seinen Client falsch konfiguriert, zum Beispiel mit einer IP Adresse oder, falls dieses konfigurierbar ist, mit einer MAC Adresse, die bereits im Netz verwendet wird.

Es gibt seit einiger Zeit eine neue Modeerscheinung, das sogenannte „War Driving“, das aber bisher überwiegend in den U.S.A. praktiziert wird. Beim War Driving werden Access Points von Wireless LANs gezielt gesucht, und deren GPS Koordinaten notiert. Die so entstandenen Access Point Maps werden dann im Internet zusammen mit Informationen über das Sicherheitsniveau der jeweiligen Access Points zugänglich gemacht, und dienen unter anderem Angreifern dazu, Schwachstellen der jeweiligen Wireless LANs zum Eindringen in das dazugehörige Firmennetz auszunutzen (siehe : 3.5 „War Driving“).
3.4 Wireless Equivalent Privacy Protocol (WEP)
3.4.1 Arbeitsweise des WEP

Die IEEE sah in ihrem Standard 802.11b das sogenannte Wireless Equivalent Privacy Protocol (WEP) als Standardsicherheitsfunktion für Wireless LANs vor. Das Protokoll hat die Aufgabe, sowohl eine Verschlüsselung und Integritätssicherung der übertragenen Daten sicherzustellen, als auch Unbefugte von der unberechtigten Nutzung des Netzes auszuschließen. Damit wird der WEP Schlüssel, der das gemeinsame „Shared Secret“ zwischen den Kommunikationspartnern darstellt, sowohl zu Authentifizierung als auch zur Verschlüsselung genutzt. Diese Vorgehensweise ist sicherheitstechnisch äußerst bedenklich. Ferner legt der Standard weder fest, wie das Shared Secret vor der Nutzung unter den Kommunikationspartnern verteilt wird, noch eine andere Form der Schlüsselverwaltung. Der WEP Algorithmus wurde an folgenden Kriterien ausgewählt [Zyren01]:

· ausreichend starkes Verfahren (reasonably strong)

· selbst synchronisierend (self synchronizing)

· effiziente Berechnung (computationally efficient)

· exportierbar (exportable)

· optional



WEP bietet 3 Sicherheitsmodi, die jeweils exklusiv aktiviert werden können.

* Keine Verschlüsselung
* 40 Bit Verschlüsselung (als 64 Bit Verschlüsselung bezeichnet)
* 104 Bit Verschlüsselung (als 128 Bit Verschlüsselung bezeichnet)



Der ursprüngliche WEP Standard wurde unter Annahme von Schlüssellängen von 40 Bit definiert. Neuere Netzwerkkomponenten bieten jedoch bereits durchgehend auch 104 Bit. Offiziell wird von 64, sowie von 128 Bits Schlüssellänge gesprochen. Es ist aber der Fall, dass hier ein 24 Bit InitialisierungsVector im Schlüssel verwendet wird, der unverschlüsselt an das Paket angehängt wird. Demzufolge ist die Angabe von 64 und 128 Bits Schlüssellänge im Grunde falsch und eine Marketinglüge.

Die Verschlüsselung mittels WEP wird folgendermaßen durchgeführt.

(PRNG = Pseudo Random Number Generator)



Abbildung 3‑1 - Verschlüsselung mittels WEP



Für den ankommenden Datenframe wird eine Checksumme mittels eines CRC-32 Verfahrens erstellt und diese an den Frame angehängt. Dieser nun erzeugte Frame wird unter Einsatz von RC4 verschlüsselt. Als Eingabeparameter für den RC4 Algorithmus werden ein InitialisierungsVector v und ein geheimer Schlüssel k verwendet, dieses bezeichnen wir als RC4(v,k). RC4 erzeugt so einen Schlüsselstrom, der mittels XOR mit dem den mit der Checksumme versehenen Datenframes verknüpft wird. Daraufhin wird der InitialisierungsVector mit dem chiffrierten Frame konkateniert und an den Empfänger gesandt.



Abbildung 3‑2 - Entschlüsselung mittels WEP



Die Entschlüsselung funktioniert genau entgegengesetzt zur Verschlüsselung. Der Empfänger trennt den InitialisierungsVector von dem empfangenen chiffrierten Datenframe, berechnet damit und dem Shared Secret ebenfalls den Schlüsselstrom und verknüpft ihn mittels XOR mit dem chiffrierten Frames. Dadurch erhält er die, mit der Checksumme versehenen, Klartextframes. Er trennt den ursprünglichen Frame von der Checksumme und berechnet nun seinerseits die Checksumme für den reinen Klartextframe. Stimmen der berechnete und der empfangene Wert nicht überein, so steht fest, dass der Inhalt des Frames während des Transportes zwischen den Kommunikationspartnern verändert wurde.



Abbildung 3‑3 - Verschlüsselter WEP Frame

Es ist noch anzumerken, dass 2 WEP Geräte mit 40 Bit und 104 Bit Level untereinander keinen Kontakt aufnehmen können. Die Geräte müssen hierfür auf dem gleichen Sicherheitslevel kommunizieren.


3.4.2 Spezielle Sicherheitsmängel und Schwachstellen von WEP


Generelle Nachteile von WEP

WEP verschlüsselt nur die Datenpakete und nicht die Managementpakete. Die SSID wird aber in Beacon- und Probepaketen mitgeschickt und ist daher von einem Snifferprogramm sehr einfach zu extrahieren. Man kann zwar das Broadcasten der SSID innerhalb der Beaconpakete ausschalten, jedoch steht dann die SSID immer noch in den Probepaketen, die immer dann gesendet werden, wenn sich ein neuer (legitimer) Client in das Wireless LAN einloggt. Ein Angreifer muss also nur auf solch einen Vorgang warten.[Klaus02]

Des weiteren wird vom Standard kein Key Management festgelegt, was problematisch ist. Ausgefeilte Key Management Techniken könnten etliche Angriffe auf WEP verhindern (siehe „Generelle Angriffe auf WEP...“)



Generelle Angriffe auf WEP zur Ermittlung des Klartextes

Die Unsicherheit des WEP Algorithmus lässt mindestens 5 Typen von Attacken auf das Wireless LAN zu [Borisov01] :



· Passive Attacken, die auf statistischen Analysen basieren (passive attacks to decrypt traffic based on statistical analysis)

· Aktive Attacken, mit denen zusätzlicher Netzverkehr von unautorisierten Mobilstationen eingespeist wird, basierend auf bekanntem Klartext (active attack to inject new traffic from unauthorized mobile stations, based on known plaintext)

· Aktive Attacken, um Netzverkehr zu entschlüsseln, indem versucht wird, den Access Point in die Irre zu führen (active attacks to decrypt traffic, based on tricking the access point)

· Wörterbuchattacken, nach einer ganztägigen Analyse des Netzverkehrs, die eine Entschlüsselung des Netzverkehrs in Echtzeit erlaubt (dictionary-building attack that, after analysis of about a day’s worth of traffic, allows realtime automated decryption of all traffic.)



Diese Attacken sind allesamt mit nur geringen Kostenaufwand zu realisieren und brauchen keinerlei exotisches Equipment. Sie sind auf 40 Bit und auf 104 Bit WEP gleichermaßen effektiv anwendbar.

Die Autoren stellten die Probleme der Verschlüsselung mit Stromverschlüsselungsverfahren, wie dem RC4, heraus. Die Eigenschaft, dass ein Schlüsselstrom kontinuierlich mit dem Klartextstrom mittels XOR verknüpft wird, führt unter anderem zu folgenden Möglichkeiten für einen Angreifer :

· XORing von 2 chiffrierten Nachrichten, die mit demselben Schlüsselstrom verschlüsselt wurden – Dies macht statistische Attacken zur Kompromittierung des Klartextes möglich.

· Umkippen eines Bits im Chiffrierten Nachrichtenstrom zur Manipulation. Dieses dreht das entsprechende Bit im Klartext um

Sicherlich besitzt WEP Sicherungen gegen beide Formen der oben erwähnten Attacken. Jedoch sind diese Sicherungen schlecht umgesetzt. Der bereits erwähnte InitialisierungsVector dient dazu, Varianten eines verwendeten Schlüssels zu erzeugen, damit für jedes zu chiffrierende Paket ein anderer RC4 Schlüssel erzeugt wird. Wenn jedoch der Angreifer mindestens 2 Nachrichten abfangen kann, die mit dem selben Schlüssel und 24 Bit InitialisierungsVector verschlüsselt sind, dann bietet ihm das die Möglichkeit zu statistischen Attacken, um den Klartext zu ermitteln. Dabei erhöht sich die praktische Anwendbarkeit solch einer statistischen Attacke enorm mit der Anzahl von Paketen mit identischen InitialisierungsVectoren. Ferner wird die Chance auf solche InitialisierungsVectorkollisionen noch durch die Tatsache signifikant erhöht, dass in einem Wireless LAN alle Rechner für gewöhnlich denselben WEP Key als Shared Secret verwenden. Geht man von einem Access Point aus, der die gesamten 11 Mbit/s Bandbreite nutzt und konstant Pakete mit 1500 Bytes Länge sendet, so braucht sich der 24 Bit Raum für InitialisierungsVectoren in 5 Stunden auf. Bei kürzeren Paketen und mehreren Kommunikationspartnern ist schon viel früher mit einer Kollision zu rechnen. Der Angreifer kann die Kollisionen der Pakete auch sehr leicht erkennen. Die InitialisierungsVectoren werden den gesendeten Paketen ja vorangestellt. Die Netzwerkkomponentenhersteller tragen zu der Möglichkeit einer Kollision ebenfalls bei. Einige WLAN Netzwerkkarten setzen den InitialisierungsVector bei jeder Neuinitialisierung der Karte auf Null zurück und inkrementieren diesen bei jedem Schritt nur um 1. Zwei Karten solch eines Herstellers, die zur gleichen Zeit verwendet werden, erzeugen so fortlaufend Kollisionen. Wenn man diesem Umstand nach dem 802.11 Standard beurteilt, so ist die Situation sogar noch schlimmer. Der Standard betrachtet das Ändern des InitialisierungsVectors nach jedem Paket sogar nur als optional und nicht zwingend.

Gelingt es dem Angreifer nach dem Abfangen zweier Nachrichten mit demselben InitialisierungsVector nun auch, korrespondierende chiffrierte und unchiffrierte Nachrichtenblöcke zu ermitteln, dann ist der nächste Schritt trivial. Er verknüpft das XOR der beiden kollidierten Nachrichten ebenfalls mittels XOR mit dem Klartext und erhält so den RC4 Schlüssel dieses Paketes. Alle weiteren Nachrichten mit demselben InitialisierungsVector werden so dem Angreifer sofort bekannt.

Um die Integrität der Nachrichten sicher zu stellen und die zweite, oben angesprochene Attacke zu verhindern, bietet WEP ein Integritätsfeld innerhalb der Nachrichten, in das eine CRC-32 Checksumme geschrieben wird. CRC-32 ist jedoch linear, dieses bedeutet, dass man die Bitdifferenz zweier CRC Werte anhand der Bitdifferenz der durch sie integritätsgesicherten Nachrichten errechnen kann. Das heißt, falls man ein Bit in der chiffrierten Nachricht umdreht, so resultiert dies in einer bestimmbaren Zahl Bits, die man im ebenfalls chiffrierten CRC Feld der Nachricht umdrehen muss, damit der CRC Wert an den neuen Nachrichtenwert angepasst ist. So kann der Angreifer beliebig den Nachrichtinhalt ändern, ohne, dass dieses aufgrund der CRC-32 Checksumme auffallen würde.



Passive Attacken, um den Netzverkehr zu entschlüsseln

Hier nutzt der Angreifer direkt die erste, oben erwähnte Methode. Er hört den Netzverkehr auf Nachrichten ab, deren InitialisierungsVector kollidiert und führt eine XOR Verknüpfung zwischen diesen Nachrichten durch. Die resultierende Bitfolge nutzt der Angreifer, um statistische Aussagen über den Inhalt der abgefangenen Nachrichten machen zu können. Dabei muss er sich nicht nur auf die Benutzerdaten stützen. IP Netzverkehr an sich ist vorhersagbar und enthält jede Menge Redundanz. Mittels dieser Redundanz kann der Angreifer bereits etliche Möglichkeiten für den Inhalt der Nachricht ausschließen. Weitere Annahmen über den Inhalt der beiden verknüpften Nachrichten reduzieren die Möglichkeiten weiter und in manchen Fällen ist es so möglich, den exakten Inhalt einer Nachricht zu ermitteln. Dabei steigt der Erfolgsfaktor mit der Zahl von kollidierten Nachrichten sprunghaft. Ist einmal auch nur ein Klartext bekannt, so sind auch alle anderen abgefangenen Nachrichten mit demselben InitialisierungsVectors kompromittiert.

Eine Erweiterung dieses Angriffs nutzt einen Host im Internet, der Nachrichten an einen anderen Host im drahtlosen Netz sendet. So kann der Angreifer die chiffrierte Version dieser Nachricht im drahtlosen Netz abfangen, verfügt sogleich über ein Chiffretext/Klartext Paar und kann alle weiteren Nachrichten mit demselben InitialisierungsVectors entschlüsseln.



Aktive Attacken zur Einspeisung von zusätzlichem Netzverkehr

Diese Attacke beruht ebenfalls auf den in der Einleitung genannten Problemen. Angenommen, der Angreifer besäße ein bestimmtes Chiffretext/Klartext Paar. Mit diesem Wissen kann er korrekt verschlüsselte Nachrichten erzeugen und diese in den Netzverkehr einschleusen.

Die Prozedur läuft dabei folgendermaßen ab. Der Angreifer erzeugt eine neue Nachricht, generiert für diese eine CRC-32 Checksumme und kehrt Bits in der originalen, chiffrierten Nachricht um. So ändert er den Klartext der Originalnachricht hin zu seiner Version. Dabei achtet er darauf, dass RC4(X) xor X xor Y = RC4(Y) ist. Das so veränderte Paket kann nun an einen Access Point oder eine Station gesendet werden und wird dort als gültiges Paket akzeptiert.

Selbstverständlich funktioniert diese Art von Angriff auch bei einer Authentifizierung, bei der der Angreifer Klartext (Challenge) und Chiffretext (Response) frei abhören kann. So ist eine illegitime Authentifizierung möglich. Aus diesem Grund ist es auch problematisch, dass Schlüssel für Authentifizierung und Verschlüsselung identisch sind.

Es ist für den Angreifer auch mit nur teilweisen Wissen über den Inhalt des Paketes möglich, ein solches zu modifizieren. Er ändert bestimmte Bits in der Nachricht und dementsprechend das CRC-32 Feld, um ein gültiges Paket zu erhalten. So kann er selektive Modifikationen auf dem Paket ausführen, wie Kommandoänderungen innerhalb einer Telnetsession oder einer FTP Session.



Aktive Attacken zur Entschlüsselung von Netzverkehr durch Irreführung des Access Points

Die zuvor beschriebene Attacke kann in einer Variante durchgeführt werden, um beliebigen Netzverkehr zu entschlüsseln. Hier macht der Angreifer keine Annahmen über den Inhalt des Pakets, sondern über dessen Header. Diese Informationen sind aufgrund der festen Strukturierung des Headers sehr einfach zu erraten. Um genau zu sein reicht es jedoch, nur die IP Adresse des Empfängers erfolgreich zu erraten. Danach kann der Angreifer die notwendigen Bits umkehren, damit die Nachricht zu einem Host im Internet geschickt wird, den er selbst kontrolliert. Diese modifizierte Nachricht schickt er nun von seiner illegalen mobilen Station an den Access Point. Dieser entschlüsselt die Nachricht für den Angreifer und sendet die entschlüsselte Nachricht durch eigene Firewalls und Gateways an den angegebenen Host. Falls die Firewall die Zielports der Nachricht nach außen gesperrt hätte, und beispielsweise nur http Verbindungen über Port 80 zuließe, so könnte man als Angreifer ebenso den Zielport in der Nachricht auf 80 korrigieren. Selbstverständlich funktioniert dieser Angriff nur, wenn das anzugreifende Netzwerk über einen Internetzugang verfügt.



Wörterbuchattacken (Table Based Attacks)

Da der Raum für die InitialisierungsVectoren aufgrund ihrer Größe auf 24 Bits beschränkt ist, kann der Angreifer eine Dechiffriertabelle aufbauen. Kennt er das Klartextpendant zu einer chiffrierten Nachricht, so ist es ihm möglich, wie oben beschrieben, den RC4 Schlüssel für den jeweiligen InitialisierungsVector zu ermitteln. Diesen speichert er mit einer Referenz auf den jeweiligen InitialisierungsVector in einer Tabelle und baut diese mit weiteren, kompromittierten RC4 Schlüsseln auf. Für diese Tabelle sind nur circa 15 GB an Speicherplatz nötig. Ist die Tabelle einmal vollständig, so kann der Angreifer alle Pakete entschlüsseln, die (mit dem gleichen Shared Secret verschlüsselt) über das drahtlose Netz gesendet werden.



Hindernisse der Hardware

Aufgrund der Tatsache, dass die Dekodierung des 2,4 GHz Signals schwierig ist, setzten die Autoren handelübliche 802.11 WLAN Produkte ein, die allerdings einiger kleiner Änderungen bedurften. Da WLAN Karten so konfiguriert sind, jegliche chiffrierte Nachrichten zu missachten, für die nicht der richtige Schlüssel vorliegt, mussten die Autoren zuerst die Konfiguration der Treiber ändern. Die Firmware war nach der Änderung so irritiert, dass sie jegliche empfangene Pakete an den PC zur weiteren Analyse weiterleitete.

Aktive Attacken sind schwierig durchzuführen, aber nicht unmöglich, da viele WLAN Karten eine programmierbare Firmware besitzen, die sich durch Reverse Engineering ermitteln und danach ändern lässt. Es handelt sich dabei ausschließlich um eine finanzielle, sowie eine Zeitfrage.


Spezieller Angriff auf WEP zur Ermittlung des WEP Schlüssels

Die Unsicherheit des WEP Protokoll wurde bereits von Adi Shamir, Scott Fluhrer und Itsik Mantin theoretisch angezweifelt und durch eine Implementation des beschriebenen Verfahrens von einem Studenten der Rice Universität und zwei AT&T Angestellten praktisch nachgewiesen (Stubblefield, Ioannidis und Rubin) [Stubble01]. Aufgrund der Art des bekannten Sicherheitslochs in der WEP Verschlüsselung bringt die 104 Bit Verschlüsselung keine zusätzliche Sicherheit gegenüber der 40 Bit Verschlüsselung. Diese Art des Angriffs baut auf den sicherheitstechnischen Problemen auf, die bereits Goldberg, Borisov und Wagner aufdeckten und die im ersten Teil dieses Abschnittes beschrieben wurden. [Borisov01].

Die sogenannte „InitialisierungsVectorattacke“ von Schamir, Fluhrer und Mantin nutzt die Tatsache, dass die Kenntnis des InitialisierungsVectors und der ersten Ausgabebytes von RC4 in einigen Fällen Informationen über die Schlüsselbits bietet. Dieses hängt von der Form des InitialisierungsVectors ab. Ist dieses der Fall, sprechen Schamir, Fluhrer und Mantin von einer „Resolved Condition“ (gelöste Bedingung). Es soll laut der Autoren sehr einfach sein, diese Fälle festzustellen. Wenn man eine größere Anzahl dieser Resolved Conditions analysiert, ergibt sich eine Tendenz zu den Bits des WEP Schlüssels. Versuche haben gezeigt, dass stets 256 Resolved Conditions ausreichten, um den vollständigen WEP Schlüssel zu ermitteln. 60 Resolved Conditions reichten dabei meist bereits für ein Byte des WEP Keys, in manchen Fällen waren jedoch mehr notwendig.

Um die notwendigen WEP Pakete abzufangen, war eine WLAN Karte mit modifizierten Treibern notwendig. Diese ermöglichte es dann, in einem Promiscous Mode alle notwendigen Pakete abfangen zu können. Mittels dieser Karte und der implementierten Attacke war es nun notwendig, das jeweils erste Byte aus den empfangenen Paketen zu kennen, um die Attacke anwenden zu können. Die Autoren nutzten das erste Byte von ARP und IP Paketen. Das erste Byte dieser beiden Pakettypen war sogar identisch, da das Netzwerk beide Pakettypen noch einmal einbettet und ihnen einen 802.2 Header voranstellt. Dieses erste Byte war 0xAA (Die SNAP Kennzeichnung).

Die nichtoptimierte Attacke lief nun folgendermaßen ab. Zuerst wurde im drahtlosen Netz eine große Anzahl von Datenpaketen gesammelt. Die Dauer dieses Vorgangs hängt stark von der gegenwärtigen Auslastung des Netzes ab. Um den WEP Schlüssel des Netzwerkes zu ermitteln, reichte es, wenn man circa 5-6 Millionen Datenpakete abfing und analysierte.

Die Autoren optimierten den Angriff noch weiter. Sie fanden heraus, dass auch noch weitere InitialisierungsVectoren als die von Shamir, Fluhrer und Mantin beschriebenen zu Resolved Conditions führten und prüften auch diese. Shamir bestätigte diese Entdeckung später. Ferner setzten die Autoren darauf, einige Schlüsselbits einfach zu erraten, was durch die Umstände begünstigt wird, dass einerseits schneller höherwertige Schlüsselbits durch die Resolved Conditions ermittelt werden können und man deswegen besser von den höherwertigen Bits hinunter zu den niederwertigen Bits vorgeht, die sich durch zunehmende Kenntnis der höherwertigen Bits schneller erschließen (beziehungsweise erraten) lassen. Andererseits nahmen die Autoren an, dass aufgrund der manuellen Eingabe des WEP Keys viele Systemadministratoren ein einfaches Passwort verwenden würden, das nur aus dem ASCII Alphabet entnommen wird.

Schamir bestätigte außerdem, dass es spezielle Resolved Conditions gibt, die einen bedeutend besseren Hinweis auf die Schlüsselbytes liefern, als gewöhnliche Resolved Conditions. Aufgrund der gefundenen Sicherheitslücke der WEP Verschlüsselung empfahlen Stubblefield, Ioannidis und Rubin folgendes für Netzbetreiber:

· Diese sollten davon ausgehen, dass der Link Layer keine Sicherheit bietet

· Es sollten höhere Sicherungsprotokolle, wie IPSec oder SSH statt WEP genutzt werden

· Alle ans Intranet angeschlossenen 802.11 Systeme sollten als extern betrachtet werden und daher mit einer Firewall gegen das restliche Netz abgeschirmt werden

· Jeder in Reichweite des 802.11 Netzes mit entsprechender Ausstattung kann theoretisch als Benutzer an dem Netzwerk teilnehmen.



RC4

RC4 ist ein Stromverschlüsselungsalgorithmus, der 1987 von Ron Rivest für RSA Data Security Inc. entworfen wurde. [Bruce01]. Ron Rivest ist ein weltweit anerkannter und kompetenter Kryptograph, der bereits den kommerziell eingesetzten, aber bislang geheimgehaltenen RC2 Blockchiffrieralgorithmus für „RSA Data Security Inc.“ (RSADSI) entwarf. Er besteht aus einem Key Scheduling Algorithmus und Ausgabegenerator. Bei WEP nutzt RC4 entweder eine 64 Bit Schlüsseleingabe oder aber eine 128 Bit Eingabe um ein RC4 Zustandsarray S zu erzeugen. Der Ausgabegenerator nutzt nun S und zwei Zähler i und j, um eine pseudozufällige Sequenz zu erzeugen.

RC steht hier offenbar für „Ron’s Code“, offiziell für „Rivest Cipher“. RC2 und RC4 erhielten von der U.S. Regierung einen besonderen Exportstatus. Produkte, die 40 oder weniger Bits Schlüssellänge unterstützen, unterliegen einem vereinfachten Exportzulassungsverfahren. Diese Schlüssellänge bietet einen Schlüsselraum von umgerechnet einer Billion. RC4 wurde bereits unter anderem in SSL verwendet.





Vorteile von RC4 sind unter anderem folgende :

· Der Schlüsselstrom ist unabhängig von dem Klartext

· Verschlüsselung und Entschlüsselung sind circa 10 mal schneller, als bei DES

· RC4 ist sehr simpel zu implementieren und wird daher oft in Software eingesetzt.

· Laut RSADSI soll RC4 sicher gegen lineare und differenzielle Kryptoanalyse sein.

Bruce Schneier vermutet, dass die amerikanische Regierung niemals den Export eines Verschlüsselungsverfahrens zulassen würde, die sie, zumindest theoretisch, nicht brechen kann. Damit die U.S. Regierung die Möglichkeit hätte, nachträglich den Schlüssel zu ermitteln, könnte sie beispielsweise eine Datenbank aufstellen, in der sie einen repräsentativen (gebräuchlichen) Klartextblock von 64 Bit Länge mit jedem möglichen Schlüssel des Verfahrens chiffriert. Will sie später ermitteln, um welchen Schlüssel es sich handelt, könnte sie die chiffrierte Nachricht mit der Datenbank abgleichen und bei Übereinstimmung prüfen, ob der zugehörige Schlüssel passt. Der Speicherbedarf für solch eine Datenbank läge nur bei circa 8 Terabyte.

Es ist hier noch einmal anzumerken, dass die gefundene Schwäche im WEP Protokoll nicht von einer Schwäche des RC4 herrührt, sondern in der Art der Implementation des RC4 innerhalb des WEP Protokolls zu suchen ist. Es wurde bisher noch offiziell nicht gezeigt, dass das RC4 Verfahren an sich Schwächen aufweist.



Fazit über die Sicherheit der WEP Verschlüsselung

Das WEP Protokoll kann nicht als sicher bezeichnet werden. Vermutlich haben die Verantwortlichen einige kryptographische Grundregeln nicht verstanden und diese deswegen auf eine schlechte und damit unsichere Weise zusammengefügt. Das macht den Einbezug von unabhängigen Experten bereits in den Entwicklungsprozess so wichtig [Borisov01].
3.4.3 Ansätze zur Lösung der Sicherheitslücken in WEP

Seit die Unsicherheit von WEP bewiesen ist, gab es seitens einiger Sicherheitssoftwarefirmen manche Überlegungen, um WEP durch eine sichere Variante zu ersetzen. Innerhalb der IEEE arbeitet gegenwärtig zu diesem Zweck eine Task Group namens Task Group i (TGi), um einen Nachfolger für WEP zu entwickeln und zu standardisieren. Die bisherigen Lösungsvorschläge indes sind so ausgelegt, dass eine Abwärtskompatibilität zumindest bei aufrüstbaren Wireless LAN Access Points gewährleistet ist. Die populärsten dieser Vorschläge sind [Schmidt02] :



· WEPplus

· Fast Packet Keying (FPK)

· WEP2

· Temporal Key Integrity Protocol (TKIP)

· WEP2002

· diverse proprietäre Lösungen unter Verwendung von

o Extensible Authentication Protocol (EAP)

o Kerberos











WEPplus

WEPplus ist eine Entwicklung von Agere Systems. Agere Systems ist die ehemalige Mikroelektronikabteilung von Lucent Technologies und stellt den ORiNOCO-WLAN Chipsatz her, der unter anderem in den WLAN Geräten von Siemens und Elsa zum Einsatz kommt.

WEPplus stellt im Grunde nur eine Erweiterung von WEP dar und ist vollkommen abwärtskompatibel zum bisherigen WEP in WLANs. Dabei ist es alleinige Aufgabe von WEPplus, statt WEP die Generierung von InitialisierungsVectoren vorzunehmen und damit zu verhindern, dass schwache Paketschlüssel erzeugt werden. Um das Netzwerk vollständig gegen schwache InitialisierungsVectoren abzusichern, ist es jedoch notwendig, alle WLAN Access Points des jeweiligen Netzes mit WEPplus aufzurüsten.

Fast Packet Keying Solution

Die Fast Packet Keying Solution, die in gemeinsamer Arbeit von RSA Security und Hifn entstand, soll die bekannte Schwäche der laxen Implementierung von RC4 beheben, indem es für jedes Paket einen neuen InitialisierungsVector generiert und außerdem einen WEP-Sitzungsschlüssel nutzt, den sie in kurzen Abständen verändert. Durch die Variation des Sitzungsschlüssel wird im Vergleich zu WEPplus zusätzlich der Zahlenraum für die Generierung des InitialisierungsVectors vergrößert. Kein InitialisierungsVector wird zweimal mit dem gleichen Sitzungsschlüssel verwendet [Mishra0]. So wird sicherstellt, dass das Wireless LAN konforme Gerät in der Lage sind, mindestens 10 hoch 31 Pakete zu senden, bei denen jeweils sicher ist, dass in einem dieser Pakete keine Wiederholung des Schlüsselstroms auftreten kann. Musste vorher damit gerechnet werden, dass sich ein Schlüsselstrom durchschnittlich binnen 5 Stunden wiederholt, so dauert dies bei der derzeitigen Übertragungsgeschwindigkeit des WLANs mindestens 4*10 hoch 21 Jahre.

Da die Fast Keying Solution den Sitzungsschlüssel generieren muss, ist nicht jeder WLAN Access Point für den Einsatz der Fast Keying Solution geeignet. Die WLAN Station muss sich für die Umstellung auf FPK aufrüsten lassen. Es ist auf jeden Fall erforderlich, dass jede Station, die in eine geschützte Kommunikation mittels FPK eingebunden werden soll, aufgerüstet werden muss.



Abbildung 3‑4 - Fast Packet Keying von RSA und Hifn



WEP2 / TKIP / WEP2002

Das WEP2 Protocol wurde von der „TaskGroup i“ (TGi) im Rahmen des Standards IEEE 802.11i im Jahre 2001 entworfen und sollte einen InitialisierungsVector mit einer Länge von 128 Bit beinhalten, ein periodisches Schlüsselupdate durchführen und optional Kerberos als Authentifizierungsprotokoll einsetzen können. Der Entwurf der TGi hatte allerdings Schwächen und wurde 2001 wieder verworfen. Es waren Known Plaintext Attacken auf die verschlüsselt übermittelten Daten möglich, außerdem war Kerberos im Zusammenspiel mit WEP2 anfällig für Dictionary Attacken.

Das Temporal Key Integrity Protocol (TKIP) ist eine neuere Entwicklung des TGi. Dieses Protokoll beinhaltet sowohl die Fast Keying Solution, als auch einen zusätzlichen sicheren Algorithmus zur Integritätssicherung. Im Gegensatz zu dem vollkommen neuen WEP2002 der TGi soll dieser Vorschlag noch Abwärtskompatibilität wahren und sieht deswegen für den Schlüsselstrom weiterhin den Stromverschlüssellungsalgorithmus RC4 vor, der in einigen WLAN Geräten in der Hardware verankert ist.

WEP2002 ist hingegen völlig neu konzipiert. Hier soll nun der Advanced Encryption Standard (AES) zum Einsatz kommen. Es handelt sich hierbei im Gegensatz zu dem bisher verwendeten RC4 um einen Blockchiffrieralgorithmus, deswegen muss nun die Länge der Datenpakete auf ein Vielfaches von 128 Byte aufgefüllt werden. Die TGi will zur Authentifizierung und Ableitung der Sitzungsschlüssel das Kerberosprotokoll einsetzen. Dieses Protokoll soll WEP als Sicherungsmechanismus für IEEE 802.11 ablösen.

Der neue IEEE Standard 802.1x ist eingeführt worden, um eine ausreichende Authentifizierung zu ermöglichen. Es erlaubt autorisierten Netzwerkzugang, die Distribution von WEP Schlüsseln und deren Update, sowie teilnehmerindividuelle Schlüssel. Dieser Standard wird von immer mehr Access Points unterstützt (siehe 3.7 „Kritische Betrachtung des 802.1X Standards“).
3.5 War Driving

Da Wireless LAN konforme Ausrüstung mittlerweile immer günstiger zu haben ist und damit Funknetze nach dem 802.11 Standard immer mehr Verbreitung finden, kommt eine neue, zweifelhafte Freizeitbeschäftigung immer mehr in Mode : das sogenannte „War Driving“. [Meuser02]

Die Ausstattung, die für das War Driving benötigt wird, ist bereits relativ günstig zu bekommen. Neben einem Laptop braucht man eine Wireless LAN Karte und ein Snifferprogramm für drahtlosen Netzwerkverkehr. Gängige Programme, die zur allgemeinen Netzwerkanalyse gedacht sind, sich damit aber auch zum Sniffen eignen, sind Wireless Sniffer, Airopeek oder Sniffer Pro.

Das Snifferprogramm sollte in der Lage sein, die Wireless LAN Karte in den Promiscous Mode zu versetzen, in dem die Netzwerkkarte jedes Paket annimmt, das sie empfangen kann, unabhängig davon, ob es an den der Karte zugehörigen Client adressiert war. Diese Eigenschaft ist hervorzuheben, da die einzelnen Snifferprogramme längst nicht mit allen verfügbaren Wireless LAN Karten ihren Dienst verrichten können.[6]

Um einen möglichst ungestörten Empfang eines laufenden drahtlosen Netzwerkverkehrs zu erhalten, ist es wichtig, eine geeignete Standortwahl zu treffen, in der Nähe einer der Access Points des zu belauschenden Netzwerks.

Meist ist eine Fokussierung auf den abzuhörenden drahtlosen Datenverkehr notwendig, dies kann durch die Angabe eines bestimmten Funkkanals (In Europa sind 14 Kanäle freigegeben, in den USA sind es 11), einer Basic Service Set ID (BSSID, die MAC Adresse eines Access Points) oder einer Extended Service Set ID (ESSID, frei wählbarer Netzname zusammengehöriger Access Points) erfolgen. Mit dem sogenannten Channel Surfing oder Channel Scanning ist es aber auch möglich, bisher unbekannte Funknetze zu finden.

Ist die Eingrenzung auf den Datenverkehr erfolgt, ist das Snifferprogramm in der Lage, alle unverschlüsselten Informationen aus den Header- und Payloadfeldern der gesendeten Paketen zu extrahieren und darzustellen. Neben einem Überblick über alle im Umkreis aktiven Funknetze stellt das Programm die frei verfügbaren Parameter der einzelnen Funknetze dar. Diese sind :



· Signalstärke

· Datenrate (1; 2; 5,5 oder 11 MBit)

· Verschlüsselung ja/nein

· verwendeter Funkkanal

· MAC Adresse der Access Points (BSSID) (Dadurch lässt sich auch der Hersteller ermitteln)

· Service Set ID (SSID)



Das Snifferprogramm hört den ersten Part einer Verbindungssitzung ab, in dem normalerweise Benutzername und Passwort vorkommen. Der Angreifer kann daraufhin bereits mit dieser abgehörten Information in das Firmennetz einbrechen.

Sind die Informationen in den Paketen verschlüsselt, ist in den meisten Fällen nur ein Key für das Wireless Equivalent Privacy Protocol (WEP) erforderlich, das in einem IEEE 802.11b konformen Netz per Option eingeschaltet werden kann und die minimale Hürde eines gesicherten Funknetzes darstellt. Dieser Key kann durch passende Tools, wie das frei verfügbare AirSnort in einem Zeitrahmen von 15 Minuten bis zu einigen Stunden ermittelt werden (siehe : 3.4.2 „Spezielle Sicherheitsmängel und Schwachstellen von WEP“).

Dabei ist hervorzuheben, von Netzwerkadministratoren dass in der Praxis offenbar äußert selten eine Sicherheitskonfiguration der betriebenen Access Points vorgenommen wird. In vielen betriebenen Funknetzen wird die erworbene Wireless LAN Ausrüstung in der Konfiguration der Herstellerfirma belassen, die per Default keine Verschlüsselung vorsieht, um die Inbetriebnahme des Netzes zu beschleunigen. Dabei ist es fast schon fahrlässig, nicht wenigstens die Verschlüsselungsoption durch WEP zu nutzen, da dieses zumindest reine Klartext-Sniffer abhält.

Wie weit das War Driving bereits gediehen ist, lässt sich durch eine Informationssuche im Internet belegen*. *Visuelle Landkarten mit „Global Positioning System“ (GPS) Koordinaten von verzeichneten Access Points drahtloser Funknetzwerke und ein Datenbankabfragetool zu den Konfigurationen der einzelnen Access Points sind leicht zu bekommen, wie zum Beispiel unter der Adresse http://www.netstumbler.com .

Durch Versuche in Manhattan, Jersey City, New England und Silicon Valley fanden die Autoren von [Ziff01] heraus, dass durchschnittlich nur nahezu 39% aller 808 gefundenen WLAN Netze WEP als minimale Sicherung aktiviert hatten. Um eine rudimentäre Sicherung des eigenen Firmennetzes zu gewährleisten, empfehlen die Autoren, folgende Punkte umzusetzen :



· WEP aktivieren. Es ist zwar nicht sehr sicher, aber zumindest in der 40 Bit Version bereits in den meisten Netzwerkkomponenten implementiert und daher kostenlos. Es ist nur nicht per default aktiviert.

· Ändern Sie die default SSID ihrer Netzwerkkomponenten. Diese ist für Angreifer leicht herauszufinden. Ferner fanden die Autoren heraus, dass das Defaultpasswort (Shared Secret) ebenfalls meist nicht geändert wurde, wenn dies bei der SSID bereits nicht der Fall war.

· Die SSID sollte keinen Bezug zu ihrer Firma haben. Das bedeutet, sie sollte weder Ihren Firmennamen, Firmenbereiche, Produkte oder etwa den Firmensitz widerspiegeln. Wenn bereits die SSID so einfach zu enträtseln ist, dann könnten dies Hacker dazu verführen, auch den zusätzlichen Aufwand zu betreiben, um ihren WEP Schlüssel zu ermitteln.

· Nennen Sie Ihre SSID nicht nach der Straße, in der sich Ihre Firma befindet. Die Autoren haben diverse Firmen gefunden, die den Straßennamen als SSID verwendeten. Das macht es für die Angreifer aber noch einfacher, Ihr Netz zu lokalisieren.

· Schalten Sie das Broadcasten ihrer SSID aus, falls dies bei ihrem Access Point möglich ist. Die Einstellung „broadcast SSID“ ist bei vielen Access Points Defaulteinstellung und bedeutet außerdem, dass der Access Point irgendeine SSID akzeptiert, egal, ob sie korrekt ist, oder nicht.

· Sie sollten auf jeden Fall das Defaultpasswort des Herstellers ändern. Diese Passwörter sind an jedem verkauften Access Point identisch und alle Angreifer, die auch nur semiprofessionell sind, kennen die Defaultpasswörter und probieren diese als erstes aus. Tools, wie NetStumbler können den Hersteller an der MAC Adresse des Access Points identifizieren.

· Sie sollten die Access Points immer möglichst in der Mitte des abzudeckenden Netzbereichs ansiedeln, nicht an den Fenstern, um die Abstrahlung nach außen zu minimieren. So können War Driver Sie schlechter lokalisieren.

· Als Netzwerkadministrator sollten Sie selbst Tools, wie NetStumbler einsetzen, um illegale (rogue) Access Points zu lokalisieren, die von den Firmenmitarbeitern selbst aufgestellt worden sind, um das Netz auf eigene Faust um drahtlose Netzabdeckung zu erweitern. Solche Access Points stehen dann meist innerhalb des, von der Firewall geschützten, Bereiches.

· Setzen Sie sich mit einem Notebook und einer WLAN Karte ausgestattet auf den Parkplatz ihrer Firma und testen Sie, was ein vermeintlicher War Driver dort von ihrem Netz mitbekommt. Häufig ist die Abstrahlreichweite des Access Points größer, als zu vermuten ist. Auch, wenn die Datenrate weit außen nur noch 1-2 Mbit/s beträgt.

· Füllen Sie die Assoziierungstabellen ihrer Access Points mit MAC Adressen von erlaubten Stationen, denen exklusiver Zugriff gewährt wird. Auch, obwohl man diese MAC Adressen als Angreifer auch herausfinden und fälschen kann, bedeutet dieses jedoch einen zusätzlichen Sicherheitsgewinn. Um den hohen Aufwand, die Tabellen aktuell zu halten, zu minimieren, gibt es höherwertige Access Points im Handel, die sich mit anderen Access Points desselben Herstellers in einem Firmennetzwerk selbstständig verständigen können, um die Tabellen immer möglichst aktuell zu halten.

· Ziehen Sie in Betracht, zusätzliche Sicherungsebenen, wie RADIUS Server zu nutzen, bevor Sie es zulassen, dass Stationen sich mit ihren Access Points assoziieren können. Obwohl der 802.11b Standard dieses nicht vorsieht, bieten es schon viele Hersteller als proprietäre Lösungen an. Man kann auch den neuen Standard 802.1x nutzen, was sogar empfehlenswert ist.

· Wenn Sie einen drahtlosen Router aufstellen wollen, überlegen Sie, ob nicht statische IPs an die Netzkomponenten verteilen wollen. Die Autoren stellten fest, dass ihnen in einigen Netzen per DHCP automatisch eine IP zugeteilt wurde. Obwohl dies einen zusätzlichen Aufwand bedeutet und Drahtlose Snifferprogramme sehr einfach eine IP aus dem Netzverkehr ermitteln können, stellt dieses doch eine zusätzliche Hürde für einfache War Driver dar.

· Falls Sie einen Drahtlosen Router und statische IPs verwenden, dann ändern Sie das IP Subnetz. Viele Netze verwenden das 192.168.1.0 Netzwerk und 192.168.1.1 als Default Routeradresse. Diese Werte kann man als War Driver aber leicht erraten.

· Kaufen Sie keine Netzwerkkomponenten, die nur 64 (40) Bit Schlüssel verwenden. Diese Schlüssel können mit einem minimalen Rechenaufwand gebrochen werden. Dennoch ist auch bereits WEP mit 128 (104) Bit Schlüsseln als unsicher bewiesen. Einigen Access Points kann per Firmwareupdate die Fähigkeit gegeben werden, 128 (104) Bit Schlüssel zu nutzen.

· Kaufen Sie nur Access Points, die eine flashbare Firmware besitzen, denn die Anzahl der nachträglich verfügbaren Sicherheitsverbesserungen ist hoch.

· Manche Produkte enthalten eine proprietäre Sicherheitslösung, wie beispielsweise “Closed Network” von Agere Systems, das die SSID nicht broadcastet. Wenn Sie in Ihrer Firma ohnehin nur die Hardware nur eines Herstellers nutzen, spielt es keine Rolle, dass diese Sicherheitslösungen nur auf dessen Produkten verfügbar ist.

· Die beste Methode zur Sicherung des eigenen Netzes ist nach Ansicht der Autoren von [Ziff01] eine Kombination der obigen Vorschläge. Die effektivste Strategie soll es jedoch sein, alle Access Points in Netz in einer demilitarisierten Zone unterzubringen und ein „Virtual Private Network“ (VPN) einzusetzen.


3.6 Alternativen zur Erhöhung der Sicherheit in WLANs

Man kann sicherlich ein Wireless LAN nicht gegen jegliche Gefahrenquelle absichern. Entweder kommt das Wireless LAN im privaten Rahmen zum Einsatz, oder aber es dient als Zugangsmedium innerhalb einer Firma mit vielen einzelnen Benutzern mit unterschiedlicher Sicherheitssensibilisierung und verschiedenen Zugriffsprivilegien. Im ersten Fall kann die Sicherung des Netzes an der Unwissenheit des Betreibers scheitern, im zweiten sind jedoch meist die Benutzer das größere Sicherheitsrisiko.

Aus diesem Grunde sollten Firmen Sicherheitsrichtlinien für die Netznutzer aufstellen, und eine Aufklärung über die Angriffsmethodiken etwaiger Angreifer durchführen. Wenn die Benutzer für bestimmte Auffälligkeiten in der Netzbenutzung sensibilisiert sind, kann vor allem die Gefahr des Eindringens von Angreifern durch Täuschungsversuche der Netzbenutzer verringert werden.

Aus Sicht der Netzwerksicherheit könnten Access Points generell als unsicher eingestuft werden, was bedeutet, dass das eigentliche firmeninterne Intranet durch Firewalls oder Virtual Private Networks (VPN) von diesen abgetrennt und der Zugang zu diesem Intranet zusätzliche Authentifizierungsmaßnahmen erfordern sollte.

Für alle Access Points im Firmennetz sollten Konfigurationsrichtlinien erstellt werden, die alle sicherheitsrelevanten Einstellungen an dem Access Point abdecken sollten, wie SSID, WEP Schlüssel, Verschlüsselungseinstellungen und SNMP Community Passwörter. Die Default Werte für diese Schlüssel sind herstellerabhängig einheitlich und deswegen sehr leicht herauszufinden, wenn sie unverändert belassen werden. Der Access Point kann auch mit einer Liste zugelassener Media Access Control (MAC) Adressen ausgestattet werden, denen exklusiv Zugriff auf diesen Access Point gewährt wird.

Der Netzwerkadministrator sollte in regelmäßigen Abständen eine Suche nach unerlaubten Access Points innerhalb des Firmennetzes vornehmen. Dieses kann er von außerhalb tun, indem er sich der Methoden des War Drivings bedient und einen 2,4 GHz Sniffer nutzt, der den Frequenzraum nach Wireless LAN Paketen mit IPs des eigenen Firmennetzes absucht. Oder aber er führt eine Suche im Firmennetz vom drahtgebundenen Netz heraus durch. Mittels der Suche nach SNMP Agentenprozessen kann er bisher unbekannte und unerlaubte Access Points finden. Durch SNMP Anfragen nach der Host ID geben sich die Access Points als 802.11 Geräte zu erkennen. Eine weitere Identifikationsmöglichkeit bieten andere Zugriffsmethoden, die der Access Point unter Umständen bereitstellt, wie Telnetzugang oder ein Webinterface. Denkbar ist auch eine Identifikation mittels Fingerprinting, das durch jeweilige Eigenarten verschiedener TCP/IP Implementationen möglich wird.

Die Clients sollten mit „Firecells“ ausgestattet sein (verteilte Personal Firewall). Hiermit lässt sich gezielt festlegen, wer Zugriff auf den Client erhält. Durch eine Intrusion Detection Software können Einbruchsversuche verringert werden, da Würmer, Viren, Trojaner und Backdoors identifiziert und entfernt werden. Durch ein Desktop-Scanning werden außerdem Fehlkonfigurationen erkannt.

Ferner ist der Einsatz zusätzlicher Sicherungsprotokolle, wie PPTP, L2TP oder IPSec zu empfehlen. Überdies höhere Sicherungsprotokolle, wie SSL und SSH oder gar eines vollständigen „Virtual Private Networks“ (VPN). VPNs bieten eine zusätzliche Sicherheits- und Authentifizierungsebenen, was stark über das hinausgeht, was meist das Sicherheitsdesign eines Wireless LAN von Haus aus mitbringt. Aufgrund der allgemeinen Verunsicherung seit dem Bekanntwerden der Schwachstellen von WEP bieten Netzwerkhersteller zunehmend proprietäre Lösungen an. Firmen, die auf diese Produkte setzen, sind zwar hinsichtlich der Sicherheit ihres drahtlosen Netzes in den meisten Fällen ausreichend abgesichert, jedoch bei einem weiteren Ausbau des eigenen Netzes fortan auf diesen Anbieter festgelegt. Mit einem VPN oder einer anderen, beliebigen Ende-zu-Ende Verschlüsselung kann man sich jedoch gänzlich von den Sicherheitsleistungen des genutzten WLANs unabhängig machen.
3.7 Kritische Betrachtung des 802.1X Standards

Seit bekannt geworden ist, dass das in IEEE 802.11a beschriebene „Wireless Equivalent Privacy“ Protokoll (WEP) erhebliche Schwächen aufweist, versuchte man mit dem Standard IEEE 802.1x ein ausreichendes Maß an Sicherheit zu schaffen und die Sicherheitsadministration von WLAN Netzwerken zu erleichtern. Eines der größten Problemen des WLANs war es, dass der Zugangsmechanismus für alle Benutzer nur ein einziges Shared Secret verwendete. Das wird mit 802.1x geändert. Hier gibt es eine Authentifizierung des individuellen Teilnehmers. Der Standard 802.1x verspricht eine zentrale, skalierbare und leicht administrierbare Authentifizierung und Zugriffskontrolle von WLAN Clients an Access Points. Zu diesem Zweck wird ein zentraler „Remote Authentication Dial-In User Service“ (RADIUS) Server (RFC 2138) und das „Extensible Authentication Protocol“ (EAP) (RFC 2284) für den Authentifizierungsvorgang verwendet. Es ist aber beispielsweise auch ein Kerberos Server oder LDAP statt einem RADIUS Server möglich. Für jeden Teilnehmer wird ein Benutzername und ein Passwort gespeichert. Der Teilnehmer nutzt das EAP Protokoll, um mit dem Access Point Kontakt aufzunehmen und der Access Point seinerseits nutzt das EAP Protokoll in Konjunktion mit dem RADIUS Protokoll, um mit dem RADIUS Server in Kontakt zu treten und die Authentifizierung durchzuführen. Der Server teilt dem Client bei erfolgreicher Authentifizierung einen individuellen Sessionschlüssel zu, den der Access Point nur zusammen mit diesem Nutzer verwenden wird. Wenn alle angebotenen Sicherheitsmassnahmen genutzt werden, dann läuft die Authentifizierung im Detail wie folgt ab :

· Der Client assoziiert sich mit dem Access Point

· Der Access Point blockiert alle Versuche des Clients, Zugriff auf das Netz zu bekommen, bis der Client vollständig im Netz angemeldet ist.

· Der Teilnehmer gibt in seinem Client seinen Usernamen und Passwort an.

· Mittels des 802.1x Protokolls und dem EAP Protokoll authentifizieren sich Client und RADIUS Server gegenseitig über den Access Point. (Dieses ist die Cisco Methode. Es sind aber auch andere Authentifizierungsprozeduren zulässig)

o Der Server sendet eine Challenge zum Client.

o Der Client erzeugt einen Hashwert auf der Kombination des Passworts, das er und der Server teilen und der Challenge.

o Der Client sendet den Passworthash als Response zum Server.

o Der Server führt selbst den Hash auf der Challenge und dem jeweiligen Userpasswort in seiner Datenbank aus.

o Der Server vergleicht die beiden Hashes und authentifiziert den Client erfolgreich, wenn die Hashes übereinstimmen.

o Damit auch der Client den Server authentifizieren kann, findet diese Prozedur auch andersherum mit einer anderen Challenge statt, die nun der Client sendet.

· Danach einigen sich Server und Client über einen Clientspezifischen WEP Schlüssel.

· Der Client stellt bei sich den WEP Schlüssel als aktuellen Schlüssel ein.

· Der Server sendet dem Access Point ebenfalls diesen Schlüssel zu.

· Der Access Point nimmt seinen Broadcast Schlüssel und verschlüsselt diesen mit dem Clientspezifischen WEP Schlüssel.

· Danach sendet der Access Point diesen verschlüsselten Schlüssel an den Client.

· Der Client entschlüsselt den Broadcast Schlüssel und er und der Access Point nutzen so lange den Broadcast Schlüssel und den Session Schlüssel, bis die Session beendet ist.



Doch auch dieser Standard weist einige Schwachpunkte auf. So stellten die Forscher Arbaugh und Mishra der Universität Maryland fest, dass 802.1x in der derzeitigen Konstellation erhebliche Schwächen aufweist und entwarfen daraufhin zwei Szenarien, in denen ein Angreifer die Authentifizierung eines legitimen Clients ausnutzen kann, um sich selbst Zugang zum Netz verschaffen.

Im ersten Fall wird eine legitime Client/Access Point Verbindung vom Angreifer nach erfolgter Authentifizierung entführt, indem er vorgibt, der angesprochene Access Point zu sein. Danach bekommt der Client vom Angreifer eine „Disassociate Nachricht“, die ihn glauben lässt, abgemeldet zu sein. Dies ist aber in Wahrheit nicht der Fall. Der Angreifer übernimmt nun die noch laufende Sitzung, während der Access Point von der Aktion nichts mitbekommt. Dieser Angriff funktioniert nur, wenn der Angreifer bestimme Timing Bedingungen einhält und WEP nicht eingesetzt wird oder bereits gebrochen ist.

Der zweite Fall ist eine Man-in-the-Middle Attacke. Hier gibt sich der Angreifer gegenüber dem Access Point als Client und gegenüber dem Client als Access Point aus. Alle Nachrichten sind so für den Angreifer einsehbar und gegebenenfalls manipulierbar. Diese Attacke ist dann möglich, wenn sich nur der Client gegenüber dem Access Point authentifiziert, aber nicht umgekehrt[7].

Nach Ansicht von Arbaugh und Mishra lässt sich das 802.1x-Protokoll mit vertretbarem Aufwand gegen die genannten Angriffe absichern. Dieses betrifft Maßnahmen zur Authentizitätssicherung der Nachrichten innerhalb des EAP sowie eine striktere Überprüfung der auftretenden Zustände in der 802.11-internen „State Machine“ bei An- und Abmeldung. Zudem sollte man sowohl Clients als auch Access Points von vornherein als nicht vertrauenswürdig ansehen und eine beiderseitige Authentifizierung auf jeden Fall zwingend machen.

Fasst man Vor- und Nachteile des Standards 802.1x zusammen, so wird man feststellen müssen, dass hier eine gewaltige Sicherheitsverbesserung stattgefunden hat. Diente vorher der gemeinsam genutzte WEP Schlüssel als Shared Secret noch als ziemlich unzureichendes Mittel, das Teilnehmergerät gegenüber dem Netz als berechtigt auszuweisen, so findet mit bewährten Sicherheitselementen, wie dem Einsatz eines RADIUS Servers, nun eine komplette Teilnehmerauthentifizierung statt. Zudem wird durch die dynamische Zuteilung von teilnehmerindividuellen Schlüsseln die Gefahr ausgeschlossen, dass ein Shared Secret durch eine undichte Stelle kompromittiert werden könnte. Das Netz hat zudem die Möglichkeit den teilnehmerspezifischen WEP Schlüssel im Verlauf der Sitzung auszutauschen und so zu verhindern, dass dieser von einem Angreifer während der laufenden Sitzung errechnet werden könnte.

Bis die TGi die Arbeit an WEP2002 offiziell beendet und es vom Draft zum Standard erhebt, werden wohl hauptsächlich Netzwerkkomponenten zum Einsatz kommen, die den Standard 802.1x unterstützen.


4 Universal Mobile Telecommunications System (UMTS)
4.1 Einsatzgebiete / Allgemein

Das „Universal Mobile Telecommunications System“ (UMTS) wurde 1998 von der „International Telecommunication Union“ (ITU) im Rahmen von „IMT-2000“ entwickelt und gilt als dritte Mobilfunkgeneration (3G). Die Weiterentwicklung des UMTS Standards erfolgt durch die „3rd Generation Partnership Project“ (3GPP), eine globale Standardisierungsinitiative, die 1998 gegründet wurde, um für die IMT-2000 Standardfamilie technische Spezifikationen zu erstellen. Zu 3GPP zählen Organisationen aus Japan, China, Korea, den USA und Europa. In Europa ist das „European Telecommunications Standards Institute“ (ETSI) Mitglied der 3GPP.

Mittels UMTS soll ein weltweit einheitlicher Mobilfunkstandard geschaffen werden, der im Frequenzspektrum 1900-2200 MHz neben Sprachübertragungen auch Datenübertragungsraten von 384 KBit/s bis zu 2 Mbit/s für komplexe Anwendungen (zum Beispiel Videoübertragungen) ermöglicht. Die maximal erreichbare Datenrate hängt vom jeweiligen Standort ab und sinkt mit steigender Bewegungsgeschwindigkeit.

UMTS basiert auf dem aktuellen Mobilfunkstandard „Global System for Mobile Communications“ (GSM), setzt im Gegensatz zu GSM aber auf dem Vielfachzugriffsverfahren „Wideband Code Division Multiple Access“ (WCDMA) auf. Um einen sukzessiven Ausbau der UMTS Netzkapazitäten zu ermöglichen, werden die ersten UMTS Geräte hybrid sein und sowohl UMTS als auch den alten GSM Standard und den GSM-Datenübertragungsdienst „General Packet Radio Service“ (GPRS) als Fallbacktechnik unterstützen. Das Roaming zwischen bestehenden GSM Netzen und den neuen UMTS Netzen soll durch die „UMTS Terrestrial Radio Access“ (UTRA) Schnittstelle erfolgen.
4.2 Sicherheitselemente in UMTS

Da UMTS ein äußerst komplexes Sicherheitsmodell beinhaltet, ist es hier notwendig, mit einer expliziten Begriffsklärung zuerst die Grundlagen für die späteren Ausführungen zu schaffen. Es wird in den weiteren Ausführungen außerdem eine Kenntnis der GMS Sicherheitsarchitektur vorausgesetzt
4.2.1 Elemente der Sicherheitsarchitektur – Überblick über Begriffe

Bei UMTS handelt es sich um ein zellulares Weitverkehrskommunikations- und Datennetz der dritten Generation (3G). Es ist in seiner Struktur und in seinen Sicherheitsmechanismen an das bisher genutzte GSM Netz der zweiten Generation (2G) angelehnt, die Sicherheitsmechanismen der 3G Netze wurden jedoch stark überarbeitet und verbessert.

Die für die Erläuterungen der Sicherheit relevanten Komponenten sind im folgenden :

· Mobilstationen (MS) – diese sind die Ausstattung des Teilnehmers des Netzes mit der er sich im zellularen System bewegt. Die Mobilstation beinhaltet das „Mobile Equipment“ (ME), das die Möglichkeit zur Funkkommunikation bietet und die „International Mobile Equipment Identity“ (IMEI) besitzt. Diese ist eine Kombination aus Seriennummer und Typzulassungscode und stellt die permanente Teilnehmeridentifizierung dar. Außerdem ist die „Universal Subscriber Identity Module“ (USIM) Karte Bestandteil der Mobilstation, die die Zugriffsberechtigung auf die Mobilstation verwaltet und Authentifizierung, sowie Verschlüsselung für die Kommunikation durchführt.

· „Visitor Location Register“ (VLR) – Die VLRs sind in größerer Anzahl im Netzbereich verteilt und speichern Informationen von Teilnehmern, die sich innerhalb ihres geographischen Zuständigkeitsbereich (Location Area) befinden. Das VLR führt eine Authentifizierung mit der MS durch und fordert die notwendigen Daten von dem zentralen Home Location Register an.

· „Home Location Register“ (HLR) – Das HLR ist eine wesentliche Komponente im Netz eines Netzbetreibers. Hier werden alle relevanten Teilnehmerdaten zentral und dauerhaft gespeichert, die der Betreiber zu Betriebs- und Abrechnungszwecken benötigt. VLRs fordern von hier Daten an, die sie zur Authentifizierung eines Teilnehmers in einer jeweiligen Location Area benötigen.

· „Authentication Center“ (AuC) – Das AuC ist meist in eine HLR integriert. Zu ihren Aufgaben gehört die Erzeugung des geheimen individuellen Teilnehmerschlüssels und dessen Zuordnung zur „International Mobile Subscriber Identity“ (IMSI). Außerdem werden hier die Parametersätze zur Authentifizierung der Teilnehmer und zur Verschlüsselung erzeugt. Der geheime Teilnehmerschlüssel stellt ein gemeinsames Geheimnis (Shared Secret) zwischen MS und HLR dar.

· „Equipment Identity Register“ (EIR) – Im EIR werden die IMEI Nummern der Mobilen Geräte gespeichert, die die Mobilgeräte weltweit eindeutig identifizieren. Mittels der IMEI können veraltete, fehlerhaftete oder gestohlene Geräte gesperrt werden.
4.2.2 Integritäts- und Chiffrierschlüssel



Integritätsschlüssel – „Integrity Key“ (IK)

Der Integritätsschlüssel ist 128 Bits lang. Es wird jeweils ein Integritätsschlüssel mittels der Funktion f4 für die Leitungsvermittelte („Circuit Switched“ (CS)) und für die Paketvermittelte („Packet Switched“ (PS)) Domäne erzeugt.

Für UMTS Teilnehmer wird der Integritätsschlüssel während der UMTS Authentifizierungs- und Schlüsselvereinbarungsphase (AKA) festgelegt, als Ergebnis der auf der USIM und im AuC/HLR verfügbaren Funktion f4. Für GSM Teilnehmer, die die UMTS-GSM Funkschnittstelle UTRAN nutzen, wird dieser Schlüssel nach der Authentifizierungs- und Schlüsselvereinbarungsphase (AKA) von GSM aus dem GSM Chiffrierschlüssel erzeugt. Der Integritätsschlüssel wird auf der USIM verwahrt und eine Kopie in der MS, die den Schlüssel bei Bedarf von der USIM anfordern kann. Sie wird so lange auf der USIM gespeichert, bis eine neue Authentifizierungsroutine eingeleitet wird oder aber der Schlüssel seine maximal erlaubte Benutzungsdauer (TRESHOLD) überschritten hat. Die MS hält den Schlüssel nur so lange im Speicher, bis das Gerät ausgeschaltet, oder aber die USIM entfernt wird. In Verbindung mit Signalisierungsnachrichten kommt der Integritätsschlüssel in Verbindung mit dem FRESH Parameter vor. Dieser FRESH Parameter wird von der Netzseite bei jedem neuen Verbindungsaufbau generiert und dem MS zugesandt. Er sorgt dafür, dass keine alten Nachrichten wiederholt eingespielt werden können (Replay Schutz). Der UMTS Standard sieht für die Integritätssicherung bislang nur den Algorithmus „Kasumi“ vor.













Chiffrierschlüssel – „Cipher Key“ (CK)

Der Chiffrierschlüssel besitzt eine Länge von 128 Bits. Es kann ein Schlüssel sowohl für die CS als auch für die PS Domäne existieren. Für UMTS Teilnehmer wird der Chiffrierschlüssel während der UMTS Authentifizierungs- und Schlüsselvereinbarungsphase „Authentication and Key Agreement“ (AKA) mittels der Funktion f3 erzeugt. Für GSM Teilnehmer, die die Funkschnittstelle UTRAN nutzen, wird nach der GSM Authentifizierungs- und Schlüsselvereinbarungsphase der Chiffrierschlüssel aus dem GSM Chiffrierschlüssel erzeugt.

Der Chiffrierschlüssel wird in der USIM gespeichert und eine Kopie in der MS hinterlegt, die den Schlüssel bei Bedarf von der USIM anfordern kann. Dieser Chiffrierschlüssel wird so lange in der USIM aufbewahrt, bis er seine maximal mögliche Benutzungsdauer TRESHOLD erreicht hat, oder aber eine neue Authentifizierungs- und Schlüsselvereinbarungsroutine eingeleitet wird. Die ME behält den Schlüssel nur so lange im Speicher, bis das Gerät ausgeschaltet, oder aber die USIM entfernt wird.

Im Falle der Chiffrierung sieht der Standard momentan einen möglichen Algorithmus vor. Hier gibt es die Möglichkeit , des Algorithmus Kasumi zu verwenden, oder aber keine Verschlüsselung.
4.2.3 Sicherheitsalgorithmen

F0

Dieses ist eine Funktion, die zur Erzeugung einer Challenge für die Authentifizierung genutzt wird.

F1,F1*

Mit f1 wird ein „Message Authentication Code“ (MAC) für gesendete Nachrichten berechnet.

MAC = f1[K](SQN,RAND,AMF)

K ist der geheime Teilnehmerschlüssel

SQN ist eine fortlaufende Sequenznummer

RAND ist eine netzseitig erzeugte Zufallszahl

AMF ist ein Authentifizierungs- und Schlüsselmanagementfeld

Die F1* ist die Authentifizierungsfunktion F1 für die Re-Synchronisation

F2

F2 hat die Aufgabe, im Authentifizierungsprozess eine Antwort XRES zu errechnen, die innerhalb den „Authentication Vectors“ von dem HLR an das VLR geschickt wird. Als Eingaben werden der geheime Teilnehmerschlüssel und eine netzseitig erzeugte Zufallszahl RAND verwendet.

F3

F3 erzeugt einen Chiffrierschlüssel, um die Kommunikation zwischen Mobilgerät und Basisstation zu verschlüsseln. Als Eingaben werden der geheime Teilnehmerschlüssel und eine netzseitig erzeugte Zufallszahl RAND verwendet.

F4

Mit f4 wird während der Authentifizierungs- und Schlüsselvereinbarungsphase (AKA) ein Integritätsschlüssel erzeugt, der in einem „Authentication Vector” an das VLR geschickt wird. Als Eingaben werden der geheime Teilnehmerschlüssel und eine netzseitig erzeugte Zufallszahl RAND verwendet.







F5,F5*

F5 dient zur Erzeugung eines Anonymen Schlüssels, der zur Erzeugung eines Authentifizierungstokens verwendet wird, das selbst im „Authentication Vector“ an die VLR geschickt wird. Als Eingaben werden der geheime Teilnehmerschlüssel und eine netzseitig erzeugte Zufallszahl RAND verwendet. F5* ist die Authentifizierungsfunktion F5 für die Re-Synchronisation.

F6

Mittels der Funktion f6 wird eine „Encrypted Mobile Subscriber Identity“ (EMSI) berechnet, die zur Teilnehmeridentifikation genutzt werden kann, falls das mobile Endgerät diese Art der Identifikation unterstützt. Andernfalls muss auf die GSM-übliche Teilnehmeridentifikation über eine „Temporary Mobile Subscriber Identity“ (TMSI) zurückgegriffen werden. Der Algorithmus f6 ist von einem Gruppenschlüssel GK abhängig und berechnet EMSI wie folgt : EMSI = f6[GK](SQN,IMSI)+GI , wobei SQN eine von der „Universal Subscriber Identity Module“ (USIM) erzeugte Sequenznummer und GI ein Gruppenidentifikator ist.

F7

f7 wird von dem „User Identity Decryption Node“ (UIDN) genutzt, um aus der EMSI und dem darin enthaltenen Gruppenidentifikator GI die „International Mobile Subscriber Identity“ (IMSI) und die von der USIM erzeugte Sequenznummer SQN zu errechnen. Der UIDN stellt einen Netzknoten im HE dar, der für den Teilnehmer die Entschlüsselung der IMSI und die Berechnung der „Temporary Encrypted Subscriber Identity“ (TEMSI) übernimmt.

IMSI = f7[GK](EMSI)

SQN = f7[GK](EMSI)

F8

Der Algorithmus f8 ist für die Signal- und Nutzdatenverschlüsselung zuständig. Es handelt sich um einen Stromverschlüsselungsalgorithmus. Hier dienen eine Verschlüsselungssequenznummer COUNT-C, die Trägeridentität BEARER, ein Richtungsbit DIRECTION und die Länge des Schlüsselstroms LENGTH als Eingaben. Als einzige Vorgabe wurde bisher nur der Algorithmus KASUMI (japanisch : Nebel) festgelegt.



Abbildung 4‑1 - Verschlüsselung von Nachrichten



F9

Mit dem Integritätsalgorithmus f9 wird die Datenintegrität von Signalisierungsnachrichten überprüft. Als Eingabewerte kommen hier der Integritätsschlüssel, eine Integritätssequenznummer COUNT-I, eine Netzseitig erzeugte Zufallszahl FRESH, ein Richtungsbit DIRECTION und die Signalisierungsnachricht MESSAGE zum Einsatz. Sender und Empfänger berechnen sich mittels f9 jeweils einen „Message Authentication Code“ MAC-I, bzw. XMAC-I. Der Empfänger der Nachricht kann nun MAC-I und XMAC-I auf Gleichheit prüfen und so die Integrität feststellen. Vom Standard wurde bisher nur KASUMI als Integritätsalgorithmus für f9 festgelegt.



Abbildung 4‑2 - Integritätsüberprüfung von Signalnachrichten

F10

Mit f10 wird die TEMSI berechnet. Sowohl vom UIDN, als auch von der USIM.

TEMSI = f10[GK](IMSI,SQN)

C3

Bei c3 handelt es sich um eine Konvertierungsfunktion, die wegen der gewünschten Abwärtskompatibilität mit GSM existiert. Aus dem Cipher-Key und dem Integrity Key von UMTS wird mit c3 ein Cipher Key für die Benutzung in GSM Netzen erzeugt.
4.3 Sicherheitsarchitektur 3G

Die Aufgabe der Sicherheitsarchitektur ist es, Eingriffe von außen auf das Funk- und Festnetz zu verhindern, Datenintegrität und die Vertraulichkeit der übermittelten Nutz- und Benutzerdaten zu sichern. Das Ziel der Entwicklung der UMTS Sicherheitsarchitektur war es dabei, eine maximale Kompatibilität zum GSM Sicherheitsmodell zu erreichen. Die UMTS Sicherheitsarchitektur gliedert sich in 5 Sicherheitsbereiche. Zusätzlich wird in die 3 Ebenen Anwendungsebene, Heimatebene und Transportebene unterschieden. Die 5 Sicherheitsbereiche sind :

· Netzzugangssicherheit

· Sicherheit im Netzbereich

· Sicherheit im Benutzerbereich

· Sicherheit im Anwendungsbereich

· Sichtbarkeit und Konfigurierbarkeit der Sicherheitsmechanismen



Abbildung 4‑3 - Sicherheitsarchitektur 3G
4.3.1 Netzzugangssicherheit

Ziel der Netzzugangsicherheit ist es, einerseits einen geschützten Zugriff auf die Serviceleistungen des Netzanbieters zu gewährleisten, der nur von legitimierten Netzteilnehmern genutzt werden kann, andererseits sollen damit illegitime Zugriffe auf das Netz oder auf die Daten seiner Teilnehmer unterbunden werden.

Zu diesem Zweck werden folgende 5 Sicherheitsmechanismen gefordert.

· Geheimhaltung der Teilnehmereigenschaften

· Gegenseitige Authentifizierung von Netz und Teilnehmer

· Vertraulichkeit der Kommunikationsinhalte

· Datenintegrität der gesendeten Kommunikationsinhalte

· Identifikation der Mobilgeräte



Geheimhaltung der Teilnehmereigenschaften

Zur Geheimhaltung der Teilnehmereigenschaften zählt der UMTS-Standard folgende 3 Sicherheitsmerkmale :

· Geheimhaltung der permanenten Teilnehmeridentität IMSI

· Geheimhaltung des jeweiligen Teilnehmerstandortes

· Geheimhaltung der vom Teilnehmer angeforderten Dienstleistungen (Services)

Geheimhaltung heißt in diesem Zusammenhang, dass es für einen Angreifer nicht möglich sein soll, durch ein Abhören der Netz-Teilnehmer Kommunikation die 3 Teilnehmereigenschaften, wie oben genannt, ermitteln zu können.











Gegenseitige Authentifizierung von Netz und Teilnehmer

Der zweite, wichtige Sicherheitsmechanismus ist die gegenseitige Authentifizierung von Netz und Teilnehmer. Hier fordert der Standard 3 Sicherheitsmassnahmen.

· Sichere Vereinbarung des Authentifizierungsalgorithmus zwischen MS und Netz

· Teilnehmerauthentifizierung

· Netzauthentifizierung



Vertraulichkeit der Kommunikationsinhalte

Für die Sicherstellung der Vertraulichkeit werden 4 Sicherheitsmassnahmen erfordert.

· Sichere Vereinbarung des Verschlüsselungsalgorithmus zwischen MS und Netz

· Sichere Vereinbarung des Chiffrierschlüssels zwischen MS und Netz

· Vertraulichkeit der Kommunikationsdaten, während sie über die Funkschnittstelle gesendet werden

· Vertraulichkeit der Signalisierungsdaten, während sie über die Funkschnittstelle gesendet werden

Ist die Authentifizierung erfolgreich verlaufen, erzeugt die USIM einen Chiffrierschlüssel CK mittels der Funktion f3 und RAND, sowie einen Integritätsschlüssel IK mittels f4 und RAND. Diese besitzen beide mit einer Länge von 128 Bit die doppelte Länge, wie der Chiffrierschlüssel CK im GSM. Die Datenverschlüsselung erfolgt mittels des Algorithmus f8.



Datenintegrität der gesendeten Kommunikationsinhalte

Zur Integritätssicherung werden folgende 3 Sicherheitsmassnahmen gefordert.

· Sichere Vereinbarung des Integritätssicherungsalgorithmus zwischen MS und Netz

· Sichere Vereinbarung des Integritätsschlüssels zwischen MS und Netz

· Sicherstellung der Datenintegrität und Herkunftsauthentizität der gesendeten Daten

Die Vereinbarung des Integritätsschlüssels geschieht während der Ausführung des Mechanismus für Authentifzierung und Schlüsselvereinbarung

Es werden für leitungsvermittelte und paketvermittelte Servicedomäne jeweils ein eigener Satz aus Verschlüsselungs- und Integritätsschlüssel erzeugt. Die Integrität der Kommunikationsdaten wird per „Message Authentication Code“ (MAC) gewährleistet. Der MAC wird dabei vom Algorithmus f9 erzeugt und an die Nachricht angehängt. Es werden Signalisierungsdaten und paketvermittelte Daten integritätsgesichert, nicht jedoch leitungsvermittelte Daten.

Normalerweise sollten alle Signalisierungsdaten integritätsgesichert sein. Es gibt jedoch Ausnahmen, wie zum Beispiel der Notrufdienst. Dies ist deswegen notwendig, da es in einem Fall eines technischen Fehlschlagens der Integritätsprüfung sonst zu einer ungewollten Beendigung der Verbindung kommen könnte. Der Aspekt der Sicherheit hat jedoch in einem Notfall keine Priorität und darf nach dem Standard kein Hindernisgrund für einen Anruf darstellen.



Identifikation der Mobilgeräte

In seltenen Fällen kann das Netz das Mobilgerät anweisen, ihm die Geräteidentifikation IMEI zuzusenden. Dies darf von der MS nur befolgt werden, wenn sich das Netz gegenüber der MS zuvor authentifiziert hat. Eine Ausnahme bilden nur Notrufe. Die IMEI sollte sicher im MS gespeichert sein.
4.3.2 Sicherheit im Netzbereich

Für die Sicherheit im Netzbereich ist es notwendig, dass die Netzknoten untereinander einen gesicherten Datenaustausch von Signaldaten durchführen können. Zusätzlich ist ein Schutz des kabelgebundenen Netzes erforderlich. Hier werden 4 Sicherheitsmechanismen gefordert :

· Authentifizierung der einzelnen Instanzen

· Vertraulichkeit der Daten

· Datenintegrität

· System zur Aufzeichnung von Betrugsinformationen



Authentifizierung der einzelnen Instanzen

Hier kommen 2 Sicherheitsmechanismen zum Einsatz :

· Vereinbarungsmöglichkeit eines Authentifizierungsmechanismus zwischen den einzelnen Netzinstanzen

· Authentifizierung der Netzinstanzen untereinander. Jede Netzinstanz sollte nur mit Netzinstanzen kommunizieren, die sich erfolgreich ihr gegenüber authentifiziert haben. So soll verhindert werden, dass manipulierte Operations- und Wartungsbefehle in das Netz eingeschleust werden.



Vertraulichkeit der Daten

Es ist wichtig, dass Signaldaten und sicherheitssensible Daten, wie Authentifizierungs- und Teilnehmerdaten innerhalb des Netzes vertraulich ausgetauscht werden können. Um zwischen den Netzelementen einen vertraulichen Datenaustausch zu ermöglichen, werden folgende 3 Sicherheitsanforderungen gestellt.

· Sichere Vereinbarung eines Verschlüsselungsalgorithmus zwischen den Netzinstanzen.

· Sichere Vereinbarung des Chiffrierschlüssels

· Vertraulichkeit der ausgetauschten Daten zwischen den beiden kommunizierenden Netzinstanzen



Datenintegrität

Um die Datenintegrität bei der Übertragung der Daten zwischen 2 Netzinstanzen zu gewährleisten, werden 2 Sicherheitsmassnahmen gefordert.

· Sichere Vereinbarung des Integritätsalgorithmus zwischen den Netzinstanzen

· Sichere Vereinbarung des Integritätsschlüssels

· Datenintegrität und Herkunftsauthentizität der gesendeten Daten



Es werden so in erster Linie die zwischen den Netzinstanzen ausgetauschten Wartungs- und Operationsdaten vor unberechtigter Manipulation auf dem Übertragungswege geschützt.



System zur Aufzeichnung von Betrugsinformationen

Dieses System soll es 3G Providern ermöglichen, untereinander Informationen über Betrugsversuche auszutauschen. Die Informationen haben strafrechtlichen Bestand und können dazu dienen, Sicherheitslücken im Netz eines Providers nachhaltig zu schließen.


4.3.3 Sicherheit im Benutzerbereich

Ziel der Sicherheit im Benutzerbereich ist es, einen sicheren Zugriff der legitimen Benutzer auf die Mobilen Stationen zu ermöglichen. Es findet ,wie bei GSM, eine SIM Karte Einsatz, die allerdings hier als USIM bezeichnet wird. Die USIM Karte wird, zumindest in der ersten Zeit der Einführung von UMTS, noch GSM Sicherheitsfunktionen unterstützen. Hier werden 2 Sicherheitsanforderungen gestellt :

· Authentifizierung des Teilnehmers gegenüber der USIM. Die Authentifizierung erfolgt mittels eines Passworts (PIN), die sicher auf der Karte verwahrt ist

· USIM-Terminal Zusammenwirken : Der Zugriff auf das Mobile Endgerät bleibt beschränkt, solange der Zugriff auf die USIM beschränkt ist. USIM und Terminal benutzen dafür einen geheimen Zugangscode, der auf der USIM verwahrt ist. Sollte die USIM bei der Überprüfung des Zugangscodes versagen, so bleibt ihm ebenfalls der Zugriff auf das Terminal verwehrt.


4.3.4 Sicherheit im Anwendungsbereich

Ziel der Sicherheit im Anwendungsbereich ist es, auf der USIM fest installierten Programmen von Operatoren oder Drittfirmen (Third Parties) mittels des „USIM Application Toolkits“ den notwendigen Zugriff auf die USIM Funktionalität zu gewähren, den sie benötigen, um einen sicheren Datenaustausch zwischen Applikationen auf verschiedenen Endgeräten zu ermöglichen. Dieses erfolgt dann auf einem Sicherheitslevel, der vom Netzoperator oder vom Application Provider festgelegt wird. Hierfür werden 4 Sicherheitsanforderungen gestellt.

· Gesicherter Datenaustausch zwischen USIM und Netz

· Netzweiter vertraulicher Teilnehmerdatenverkehr

· Zugriff auf Teilnehmerprofildaten

· IP-Sicherheit



Gesicherter Datenaustausch zwischen USIM und Netz

Für die möglichen Sicherheitslevel stehen folgende Sicherungsmaßnahmen zur Verfügung

· Authentifizierung für Anwendungen, damit zwei Applikationen in der Lage sind, sich gegenseitig ihre Identität zu belegen.

· Herkunftsauthentizität für die Anwendungsdaten, damit die Applikation zweifelsfrei die Herkunft der Daten bestätigen kann.

· Integrität der Anwendungsdaten, um eine Manipulation der übertragenen Daten zu verhindern

· Feststellung der Wiedereinspielung von Daten. Damit die Applikation bemerken kann, ob Daten wiederholt eingespielt werden (Replay Attacken).

· Folgeintegrität von Anwendungsdaten. Die Applikation soll feststellen können, ob die Daten in einer festen Folge empfangen wurden.

· Empfangsbestätigung. Die sendende Applikation soll sicher gehen können, ob die gesendeten Daten auch wirklich von der gegenüberliegenden Applikation empfangen wurden.

· Vertraulichkeit der Anwendungsdaten. Schutz vor der Einsicht der Daten seitens Dritter auf dem Übertragungswege.

Gegenüber des bisher verwendeten „GSM Application Toolkits“ stellen diese Anforderungen Erweiterungen dar, die nur erfüllt werden können, wenn zusätzliche Funktionalitäten in dem Toolkit integriert werden. Diese sind zum Beispiel eine Unterstützung des Keymanagements oder aber auch eine höhere Flexibilität bei Auswahl eines Sicherheitsalgorithmus.



Netzweiter vertraulicher Teilnehmerdatenverkehr

Hier ist es anzumerken, dass nicht nur, wie in GSM, die Vertraulichkeit der Daten während ihres Transportes auf der Funkschnittstelle gesichert ist, sondern im UMTS Standard vorgesehen ist, die Daten für ihren gesamten Transport durch das Netz zu verschlüsseln.


4.3.5 Sichtbarkeit und Konfigurierbarkeit der Sicherheitsmechanismen

Ziel dieses Sicherheitsbereichs ist es, dem Teilnehmer die Möglichkeit der Einsicht auf die, von seinem Mobilen Terminal verwendeten Sicherheitsmassnahmen zu geben und darüber hinaus die Möglichkeit, die Ausführung von Diensten (Services) an bestimmte Sicherheitslevel zu binden. Falls ein Dienst wegen des Fehlens eines Sicherheitsmerkmals nicht verfügbar ist, soll dies dem Benutzer ersichtlich sein. Hier werden folgende Sicherheitsmassnahmen eingeführt.

· Sichtbarkeit – Die Sicherheitsmassnahmen sollen für den Teilnehmer transparent gestaltet werden

· Konfigurierbarkeit – Hier soll es dem Teilnehmer ermöglicht werden, die Ausführung von bestimmten Diensten von dem Aktivitätsstatus von Sicherheitsmerkmalen abhängig zu machen. Ein Dienst ist dann also nur verfügbar, wenn alle erforderlichen Sicherheitsmerkmale aktiv sind.



Sichtbarkeit

Die Information über Sicherheitsmerkmale soll folgende Anzeigen umfassen :

· Netzzugangsverschlüsselung – Der Teilnehmer kann einsehen, welche der gesendeten Daten verschlüsselt über das Netz gesendet werden.

· Netzweite Verschlüsselung – Der Teilnehmer kann einsehen, welche der gesendeten Daten über die gesamte Netzverbindung geschützt sind

· Sicherheitslevel – Der Teilnehmer kann einsehen, welche Sicherheitslevel von dem von ihm genutzten Netz unterstützt werden. Dies hat besondere praktische Bedeutung, wenn der Teilnehmer beispielsweise von einem Netz höherer Sicherheit (3G -> UTMS) in ein Netz mit geringerer Sicherheit (2G -> GSM) wechselt.



Konfigurierbarkeit

Hier soll die sicherheitstechnische Konfigurierbarkeit der Teilnehmerumgebung bezüglich des mobilen Terminals mittels der folgenden Sicherheitsmassnahmen gewährleistet werden.

· Freigeben/Sperren der Teilnehmer-USIM Authentifizierung. Der Teilnehmer oder die Teilnehmerumgebung soll in der Lage sein, die Teilnehmer-USIM Authentifizierung zu kontrollieren.

· Akzeptanz/Abweisung von ankommenden unverschlüsseltem Verbindungsaufbau. Teilnehmer, beziehungsweise Teilnehmerumgebung sollen in der Lage sein, den Aufbau von unverschlüsselten Verbindungen kontrollieren zu können.

· Unverschlüsselter Verbindungsaufbau – Teilnehmer oder Teilnehmerumgebung sollen kontrollieren können, ob das mobile Terminal unverschlüsselte Verbindungen aufbauen kann und gegebenenfalls in der Lage sein, dieses zu verhindern

· Akzeptanz/Zurückweisung eines Verschlüsselungsalgorithmus – Teilnehmer oder Teilnehmerumgebung sollen kontrollieren können, welcher Verschlüsselungsalgorithmus für die Sicherung der übertragenen Daten verwendet werden soll und diesen bei Bedarf genehmigen oder zurückweisen.


4.4 Authentisierung, Integrität und Verschlüsselung
4.4.1 Aushandlung der Schlüsselalgorithmen

Wenn die MS mit dem Netz Kontakt aufnimmt, so teilt sie dem Netz per integritätsgesicherten Nachricht mit, welche Verschlüsselungs- („UMTS Encryption Algorithm“ (UEA)) und Integritätsalgorithmen („UMTS Integrity Algorithm“ (UIA)) sie unterstützt. Hierfür wird der zuletzt zwischen MS und Netz ausgehandelte Integritätsschlüssel verwendet. Es muss zur erfolgreichen Schlüsselaushandlung mindestens von beiden Parteien unterstützt werden. Können sich die Kommunikationspartner nicht auf einen gemeinsam unterstützten Integritätsalgorithmus einigen, den das Netz zu bestimmen hat, so wird die Verbindung beendet. Danach wird ein Verschlüsselungsalgorithmus ausgehandelt. Wenn es dort allerdings mangels gemeinsam unterstützter Algorithmen nicht zu einer Einigung kommt, so bleibt des Partnern noch die Möglichkeit, eine unverschlüsselte Verbindung aufzubauen.

Das Verbindungsmanagement des Netzes unterscheidet sich bei leitungsvermittelten und paketvermittelten Verbindungen. Es kann vorkommen, dass beide Verbindungsarten zum Handy zur gleichen Zeit aufgebaut werden, deshalb ist es wichtig, hier zu erwähnen, dass der Standard es vorsieht, dass das mobile Gerät für beide Verbindungen die selben Sicherheitsvoraussetzungen und Anforderungen an die Verschlüsselungs- und Integritätsmodi verlangt
4.4.2 Lebenszeit der Schlüssel

Um die Möglichkeit auszuschließen, dass ein einmal generiertes Schlüsselpaar immer wieder verwendet und praktisch nicht mehr ausgetauscht wird, speichert die USIM 2 Werte, Start[CS] und Start[PS]. Diese Zähler werden bei jedem Verbindungsaufbau inkrementiert. Wenn sie einen maximalen Wert erreicht haben, der vom Operator bestimmt und in der USIM gespeichert ist, dann wird der alte Schlüsselsatz von der USIM gelöscht und so die Generierung eines neuen Satzes von Verschlüsselungs- und Integritätsschlüssel erzwungen.


4.4.3 Verschlüsselte Teilnehmerkennung

Um die Vertraulichkeit der permanenten Teilnehmeridentität IMSI sicherzustellen, bedient sich UMTS entweder einer temporären Teilnehmeridentität TMSI, wie aus GSM bekannt, oder aber man nutzt die Möglichkeit einer Identifizierung über eine verschlüsselte Teilnehmerkennung EMSI (siehe 4.2.3). Die „Encrypted Mobile Subscriber Identity“ EMSI wird mittels des Algorithmus f6 berechnet und dann zusammen mit der Adresse des UIDN an das „Visitor Location Register“ (VLR) übermittelt. Dieses ist dann die „Extended EMSI“ (XEMSI). XEMSI = (EMSI,UIDN). Die „User Identity Decryption Node“ (UIDN) ist eine logische Netzkomponente, die dem „Home Location Register„ (HLR) zugeordnet werden kann. Seine Aufgaben umfassen die Auflösung der EMSI in die IMSI und die Berechnung einer „Temporary EMSI“ (TEMSI). Mittels der Funktion f7 kann die UIDN dann auch der EMSI und dem darin enthaltenen Gruppenidentifikator GI die IMSI und die, von der USIM erzeugte, Sequenznummer SQN errechnen. Die temporäre EMSI (TEMSI) wird sowohl vom UIDN, als auch von der USIM mit dem Algorithmus f10 berechnet. Die UIDN übermittelt dem „Visitor Location Register“ (VLR) die IMSI und die TEMSI. Die IMSI wird ausschließlich dann zur Identifizierung genutzt, falls die temporäre Kennung TMSI nicht verfügbar ist, also zum Beispiel bei der ersten Kontaktaufnahme des mobilen Terminals mit dem Netz.


4.4.4 Authentifizierung und Schlüsselerzeugung

Die Authentifizierung ist bei jedem Verbindungsaufbau und vor einem Location-Update zwischen Teilnehmer und Netz notwendig, wobei zwei Verfahren möglich sind.

· Authentifizierungsvektor : Dieser wird vom Home Environment (HE) des Teilnehmers an das Netz gesandt.

· Lokaler Authentifizierungsmechanismus : Bei diesem Verfahren wird der Integritätsschlüssel einer früheren Authentifizierungs- und Schlüsselfestlegungsroutine zwischen Teilnehmer und Netz genutzt. Dieser besitzt eine maximale Anzahl von möglichen Authentifizierungsvorgängen, bevor er verfällt und das Authentifizierungs- und Schlüsselfestlegungsverfahren wieder komplett eingeleitet werden muss. Dieser Vorgang findet statt, wenn zum Beispiel das VLR keine Verbindung zum AuC/HLR herstellen kann und trotzdem eine sichere Verbindung zum mobilen Terminal des Teilnehmers aufgebaut werden soll. Der lokale Authentifizierungsmechanismus wird hier im folgenden nicht näher beschrieben.

Zur Authentifizierung des mobilen Terminals des Teilnehmers werden von dem VLR, das jeweils gerade für den Verbindungsaufbau mit dem mobilen Gerät zuständig ist, eine variable Anzahl von n Parametersätze vom AuC/HLR angefordert, die hier „Authentication Vectors“ genannt werden. Diese Parametersätze beinhalten jeweils 5 Parameter, von denen die ersten 3 in ihrer Funktionalität mit dem GSM-Parametern übereinstimmen.

· Eine 128 Bit Zufallszahl RAND

· Das Ergebnis des Teilnehmerauthentifizierungsprozesses XRES

· Den Chiffrierschlüssel CK

· Den Integritätsschlüssel IK

· Das Authentifizierungstoken AUTN für die Netzauthentifizierung.



„Authentication Vectors“ sind das Äquivalent zu dem GSM-Triplet. Jeweils ein Authentication Vector wird für genau eine Authentifizierung und Schlüsselvereinbarung zwischen VLR und USIM genutzt. Dabei speichert das „Authentication Center“ im „Home Location Register“ (AuC/HLR) einen Satz von Authentication Vectors und übermittelt diese bei Bedarf an das VLR, das mit der MS eine Authentifizierung durchführen möchte.

Ein „Authentication Vector“ wird vom AuC/HLR wie folgt berechnet. Zunächst werden eine Zufallszahl RAND und eine Sequenznummer SQN erzeugt. Danach wird durch RAND und den geheimen Teilnehmerschlüssel K folgendes generiert :

· Übertragungsschlüssel CK

· Integritätsschlüssel IK

· Anonymer Schlüssel AK

· Das von der USIM zu berechnende Ergebnis XRES

Außerdem wird aus RAND, SEQ, K und einem Managementfeld AMF ein „Message Authentication Code“ (MAC) für das Authentifizierungstoken (AUTN) berechnet. Für AUTN werden erst SQN und AK mittels XOR verknüpft und das Ergebnis dann mit AMF und mit MAC konkateniert.





Abbildung 4‑4 - Generierung des Authentication Vectors durch das AuC/HLR



Die gegenseitige Authentifizierung des Teilnehmers und des Netzes spielt sich nun mittels eines Challenge-Response Verfahrens ab. Dazu sendet das VLR eine Zufallszahl RAND und ein Authentifizierungstoken AUTN als „Challenge“ an die Mobilstation. Zuerst prüft die Mobilstation das Authentifizierungstoken AUTN auf Korrektheit, indem der MAC und die SQN verifiziert werden, die neben dem anonymen Schlüssel in der AUTN enthalten sind. Mittels RAND und K kann der anonyme Schlüssel AK berechnet werden. Damit kann dann die empfangene XOR Verknüpfung von SQN mit AK rückgängig gemacht werden. Dann wird mit SQN, K, RAND und AMF der Message Authentication Code XMAC berechnet. Daraufhin kann AUTN auf Korrektheit überprüft werden, indem XMAC (errechnet) und MAC (aus dem AUTN) auf Gleichheit überprüft werden. Sind sie es nicht, wird die Authentifizierung zurückgewiesen. Wichtig ist außerdem, dass die erhaltene Sequenznummer SQN innerhalb einer bestimmten Toleranzgrenze liegt, damit sie von der Mobilstation akzeptiert werden kann. Die Sequenznummern werden während den Kommunikationsvorgängen zwischen Mobilstation und Basisstation sowohl vom AuC/HLR als auch vom USIM gespeichert. Bei der Überprüfung der SQN durch die MS muss diese Nummer größer als alle vorangegangenen Sequenznummern sein, darf jedoch nicht beliebig weit über den Zählstand der MS hinausreichen. Auf diese Weise wird es erforderlich, dass das VLR bei jedem Verbindungsaufbau einen anderen UMTS Sicherheitskontext (mittels eines neuen Authentication Vectors) aufbauen muss und nicht einen alten mehrmals verwenden kann.







Abbildung 4‑5 - Überprüfung der vom Netz gesendeten Daten durch die MS



Wenn die Überprüfung erfolgreich war, ist das Netz für die MS authentifiziert. Danach berechnet die USIM aus RAND und dem geheimen Teilnehmerschlüssel K mittels der Funktion f2 eine Antwort (RES) als „Response“ und sendet diese zurück. Diese wird dann vom VLR auf Gleichheit mit dem erwarteten Ergebnis XRES geprüft. Bei erfolgreicher Prüfung gilt auch die MS für das Netz als authentifiziert. Authentifizierung und Schlüsselvereinbarung zwischen HE und AuC/HLR kann so oft stattfinden, wie es der Netzoperator festlegt.

Dem Chiffrierschlüssel und dem Integritätsschlüssel wird überdies auch ein „Key Set Identifier“ (KSI) zugewiesen (CKSN in GSM), so dass das Netz bei späteren Verbindungsaufbauten auch wahlweise die alten Schlüssel identifizieren und damit nutzen kann, ohne noch einmal die Authentifizierungsroutine einleiten zu müssen.


4.4.5 Resynchronisation der Sequenznummer

Sollte die Sequenznummer nicht akzeptiert werden, da sie außerhalb des zulässigen Bereichs liegt, so sendet das USIM eine „Synchronisation Failure Message“. Als Parameter AUTS enthält diese Nachricht die höchste bisher akzeptierte Sequenznummer SQN[MS]. Durch einen neuen Anonymen Schlüssel AK und den Message Authentication Code (MAC) wird diese Nachricht verschlüsselt. Zur Berechnung von AUTS wird SQN[MS] mit AK mittels XOR verknüpft und danach mit MAC konkateniert.



Abbildung 4‑6 - Berechnung des Resynchronisationsparameters AUTS durch die MS


4.5 Sicherheit konkreter Algorithmen in UMTS und GSM
4.5.1 Comp128 /Algorithmen A3 und A8 im GSM

GSM verfügt über drei zentrale Sicherheitsalgorithmen, dieses sind A3,A5 und A8.

Die Algorithmen A3 und A8 sind auf der SIM Karte gespeichert und im Authentication Center des Netzbetreibers vorhanden. Diese Algorithmen sind durch die Spezifikation von GSM nicht vorgegeben und können vom Hersteller selbst festgelegt werden. Meist sind beide Algorithmen als kombinierter Algorithmus realisiert, da sie die gleichen Eingabedaten verwenden. Dieses ist der geheime Teilnehmerschlüssel K(i) und eine Zufallszahl RAND.

Der A3 dient zur Authentifizierung des Teilnehmers gegenüber dem Netz, während A8 zur Erzeugung eines 64 Bit Chiffrierschlüssels K(c) genutzt wird. Hierzu greifen die Algorithmen auf einen teilnehmerindividuellen Schlüssel K(i) zu, der sowohl in der SIM, als auch im Authentication Center gespeichert ist. Das Authentifizierungsverfahren ist ein Challenge-Response Verfahren, wie in Abbildung 4‑7 dargestellt. Das Mobilgerät nutzt eine, vom Netz gesendete Zufallszahl RAND (Challenge), um mittels des A3 Algorithmus eine Antwort SRES (Response) zu generieren, die zum Netz zurückgesandt wird. Gleichzeitig wird durch den Algorithmus A8 ein Chiffrierschlüssel K(c) generiert, der nach einer erfolgreichen Authentifizierung zur Verschlüsselung genutzt werden kann.

Abbildung 4‑7 - Authentifizierung des GSM Teilnehmers in der Heimatumgebung





COMP128

Comp128 ist ein, in Deutschland entworfener Algorithmus, mit dem bereits A3 und A8 kombiniert realisiert worden können, falls die Netzbetreiber keinen eigenen Algorithmus entwerfen wollen. Er wurde von Marc Briceno mittels Informationen aus dem Standard und per Reverse Engineering rekonstruiert. Comp128 wird von den meisten Herstellern weltweit genutzt, in Deutschland aber offenbar nur von D2 privat. Wichtig zu wissen ist hier auch, dass Comp128 nicht etwa einen 64 Bit Key erzeugt, sondern nur einen 54 Bit Key, an den innerhalb des A8 Algorithmus noch 10 Nullbits angehängt werden, was den Schlüsselraum für die Chiffrierung mit dem A5 Algorithmus auf 2 hoch 54 Bits reduziert. Wo auch immer der Comp128 zum Einsatz kommt, wird die reelle Schlüssellänge immer nur 54 Bits betragen.

Abbildung 4‑8 - Comp128 Algorithmus

Der Chaos Computer Club beschreibt auf seinen Seiten eine 1998 entdeckte Möglichkeit, eine D2/Mannesmann SIM Karte für das GSM zu klonen. [CCC01]. Um den Comp128 nutzen zu können, ist jedoch der geheime Teilnehmerschlüssel K(i) notwendig, der sich auf der SIM Karte befindet. Ian Goldberg und Dave Wagner haben einen Angriff auf Comp128 ersonnen, mit dem sich der Teilnehmerschlüssel innerhalb von 8 Stunden mit 150000 Anfragen ermitteln lässt. Es handelt sich in diesem Fall um eine „Chosen-Challenge“ Attacke. Diese ist daher möglich, da die Autoren eine verengende Pipe im Algorithmus gefunden haben, mit der man hierdurch verursachte Kollisionen bei bestimmten Eingabewerten zur Auswertung erhält. Um die Attacke durchzuführen, sendet der Angreifer verschiedene, speziell ausgesuchte Anfragen an die SIM Karte. Die SIM Karte wertet diese Anfragen als Authentifizierungsversuch und berechnet für jede dieser Anfragen eine Response RES. Indem die Antworten mit einer 2-R Attacke aus der differenziellen Kryptoanalyse analysiert werden, kann sukzessive der Teilnehmerschlüssel ermittelt werden. Für diese Attacke ist aber ein physischer Zugriff auf die SIM Karte notwendig, da ein Angriff über die Luftschnittstelle sehr zeitaufwendig wäre. Ein Angriff per Funk durch eine gefälschte Basisstation wäre aber theoretisch möglich (False Basestation Attacke). Diese müsste zwar nicht das gesamte GSM-Protokoll unterstützen, würde nach Ansicht der Autoren allerdings dennoch 10000 US-Dollar kosten und hätte den oben genannten, hohen Zeitaufwand nicht, wenn er, statt mit der MS, mit dem Authentication Center kommunizieren würde. Aus diesem Grund stellt die Sicherung des Authentication Centers eine wesentliche Aufgabe der Sicherheitsbemühungen des Netzbetreibers dar und diese Attacke sollte nicht ohne weiteres auf das AuC durchführbar sein. Dennoch stellt sie eine Gefahr dar, da er von Personen oder Institutionen mit entsprechender Ausstattung theoretisch durchgeführt werden kann.

Seit 2001 gibt es bereits eine aktualisierte Version des Comp128 Algorithmus, der als Comp128-2 bezeichnet wird. Er ist, wie der originale Comp128 nicht offengelegt. Dieser überarbeitete Algorithmus soll die Möglichkeit von Chosen-Challenge Attacken verringern.


4.5.2 A5/0, A5/1, A5/x / Algorithmus A5 GSM

A5 ist eine französische Entwicklung und ein europaweit standardisierter Stromchiffrieralgorithmus. Er ist offiziell nur Herstellern zugänglich, dennoch gibt fand A5 bereits inoffizielle Verbreitung in Literatur und im Internet. Vom A5 Algorithmus existieren mehrere Versionen, die sich in ihrer Sicherheit unterscheiden, dieses sind der originale, höherwertige A5/1 und der A5/2, der aus politischen Gründen geringere Sicherheit bietet und als Exportversion für den nahen Osten geschaffen wurde. Neben A5/2 existieren allerdings noch eine ganze Reihe von abgeschwächten Versionen. Die Familie der A5 Algorithmen wird generell als A5/x Algorithmen bezeichnet, dabei sind die meisten dieser Algorithmen schwächer als A5/1. A5/1 soll wegen des von A8 erzeugten 54 Bit + 10 Nullbit langen Chiffrierschlüssels einen Schlüsselraum von 2 hoch 54 bieten und in Europa standardmäßig genutzt werden. A5/2 bietet offenbar nur einen Schlüsselraum von 2 hoch 16 und soll vorwiegend in den USA genutzt werden. Mit A5/0 wird ferner eine unchiffrierte Kommunikation bezeichnet. Im Gegensatz zum A3 und A8 Algorithmus ist A5 im Endgerät (Mobile Equipment) implementiert. Da A5 der Geheimhaltung unterliegt, basieren viele Angaben jedoch alle nur auf Vermutungen, sowie von unabhängigen Forschern ermittelte Fakten und werden nicht offiziell bestätigt.

Abbildung 4‑9 –A5 Algorithmus



A5/1 Algorithmus

In der europäischen Version des A5 Algorithmus (A5/1) kommen 3 „Linear Shift Feedback Register“ (LSFR) der Längen 19,22 und 23 Bits zum Einsatz, deren Output von insgesamt 64 Bits mittels XOR kombiniert wird. Diese LSFRs besitzen nur spärliche Feedback Polynome. Sie sind mit ihrem mittleren Bit an einen Taktgeber gekoppelt. Dabei wird ein LSFR immer dann getaktet, wenn sein mittleres Bit mit der Mehrzahl der mittleren Bits aller drei LSFRs übereinstimmt. Das heißt zum Beispiel : Wenn LSFR1 und LSFR2 gerade eine 1 in ihrer Mitte stehen haben und LSFR3 eine 0, dann werden LSFR1 und LSFR2 getaktet, LSFR3 aber nicht. Auf diese Weise werden pro Runde mindestens 2 Register getaktet.

Die Erzeugung des Schlüsselstroms für einen einzelnen, zu versendenden Frame geht nun wie folgt vonstatten. Die drei LSFRs werden zuerst mit dem 64 Bit Chiffrierschlüssel K(c) und der 22 Bit Rahmennummer initialisiert, dafür werden die Bits des Chiffrierschlüssels erst Bit für Bit in die Register geladen. Dabei werden sie jeweils mit dem niederwertigsten Bit („Least Significant Bit“ (LSB))mit XOR verknüpft in die LSFRs geladen, und die LSFRs werden nach jedem der 64 Bit alle gemeinsam getaktet. Danach werden die 22 Bit der Rahmennummer in die LSFRs geladen, mit der Ausnahme, dass nun, nach dem oben beschriebenen Prinzip nur die LSFRs mit der Mehrzahl der mittleren Bits getaktet werden. Nachdem die LSFRs mit dem Chiffrierschlüssel und der Rahmennummer geladen worden sind, werden die Register einhundertmal getaktet und der resultierende Schlüsselstrom verworfen, um eine optimale Startposition zu erhalten. Erst dann werden 228 Bits Schlüsselstrom erzeugt, von denen die ersten 114 Bits verwendet werden, die Frames von der Mobilstation zur Basestation zu verschlüsseln und die zweiten 114 Bits, die Frames in der Gegenrichtung von der Basestation zur Mobilstation zu verschlüsseln.





Abbildung 4‑10 - A5/1 LSFR Konstruktion

Mit diesem pseudozufälligen Bitstrom der Länge 114 Bits, die mit den 114 Bits des GSM Rahmens (Normal-Burst) mittels XOR verknüpft werden, kann keine Fehlerfortpflanzung stattfinden, während eine Wiederholung des Bitstroms erst nach ungefähr 209 Minuten eintritt. Es wird alle 4,615 ms eine Folge von 114 Bits von A5 erzeugt.

Aufgrund des Schlüsselraums von 2 hoch 54 ist eine Echtzeitentschlüsselung der mittels A5/1 chiffrierten Information momentan wegen des hohen technischen Aufwands nicht durchführbar, jedoch sind andere Angriffe möglich [Peson99]. Aus diesem Grund gehen wir im folgenden davon aus, dass die verschlüsselte Kommunikation für einen nachträglichen Angriff aufgezeichnet wird.

Mittels einer „Divide and Conquer” Attacke kann der Aufwand für eine einfache „Brute Force“ Attacke von der Komplexität 2 hoch 54 auf 2 hoch 45 gesenkt werden, was einer dramatischen Reduktion des Zeitaufwandes von 2 hoch 9 entspricht. Das ist eine Verringerung des Zeitaufwand um den Faktor 512. Dabei basiert die Divide and Conquer Attacke auf einer „Known Plaintext“ Attacke, bei der der Angreifer versucht, die initialen Zustände der LSFRs mittels einer bekannten Schlüsselstromsequenz zu ermitteln. Der Angreifer braucht hierfür 64 aufeinander folgende Schlüsselstrombits, die er erhalten kann, wenn er etwas chiffrierten Text und den dazugehörigen Klartext kennt. Er kann diese Information durchaus auch aus den konstanten Informationen eines GSM Frames beziehen, wie zum Beispiel in den Frame-Headern. Hier sind zwar nicht immer 64 Bits zu bekommen, doch sind hier zumindest 32-48 Bits verwertbar, manchmal mehr. Ein einziges 64 Bit Klartextsegment reicht für den Angriff vollkommen aus.

Jovan Dj. Golic [Golic97] schlägt eine spezielle Divide and Conquer Attacke vor, die nur mit einem Aufwand von 2 hoch 41.16 bereits Erfolg hat. In der gleichen Veröffentlichung schlägt er ebenfalls eine „Time-Memory Trade-off“ Attacke vor, die auf dem Geburtstags-Paradoxon basiert.


4.5.3 MILENAGE / Algorithmen f1,f1*,f2,f3,f4,f5,f5* in UMTS

3GPP schlägt für alle Handyhersteller, die nicht selbst einen Algorithmus entwerfen wollen, für die Algorithmen f1,f1*,f2,f3,f4,f5,f5* den französischen Algorithmus MILENAGE vor. MILENAGE basiert auf dem bekannten Algorithmus Rijndael und ist von derselben Gruppe von Entwicklern entworfen worden, die zuvor KASUMI entwickelten. Rijndael ist derjenige Algorithmus, der von der NIST für den American Encryption Standard (AES) ausgewählt worden ist.

Abbildung 4‑11 - Definition von f1,f1*,f2,f3,f4,f5 und f5*



In der Designphase von MILENAGE wurde entschieden, diesen Algorithmus um eine kryptographische Kernfunktion anzulegen, die herausragend starke Qualität im Bereich der Nichtumkehrbarkeit seiner berechneten Ergebnisse aufwies (one-wayness). Für die Kernelfunktion E von MILENAGE wurde deswegen nach Empfehlung der 3GPP der Algorithmus Rijndael vorgeschlagen. Er könnte jedoch durchaus durch andere Algorithmen ersetzt werden, die 128 Bit Schlüssel akzeptierten und des Anforderungen des Standards entsprächen. Wegen der wichtigen Forderung nach Nichtumkehrbarkeit kommen für den Algorithmus allerdings nur Blockchiffrieralgorithmen und Hashfunktionen in Betracht.

Bei der Erzeugung der Ergebnissen aus den Funktionen f1,f1*,f2,f3,f4,f5 und f5* kommt es außerdem zum Einsatz eines zusätzlichen Operanden OP der Länge 128 Bit, der mit dem geheimen Schlüssel K(c) in einer nichtinvertierbaren Weise zu OP(c) durch wie folgt verknüpft wird. OP(c) = OP xor E[OP](k). E(k) entspricht der Kernelfunktion von MILENAGE unter Einsatz des geheimen Schlüssels K(c). Der erzeugte Wert OP(c) wird dann mittels XOR mit den Eingaben und Ausgaben der Kernfunktion E verknüpft.
4.5.4 KASUMI / Algorithmen f8 und f9 in UMTS

Die Algorithmen f9 und f8, die in UTMS zur Integritätssicherung, beziehungsweise zur Chiffrierung eingesetzt werden, können mit verschiedenen Chiffrieralgorithmen arbeiten. Vom Standard fest vorgegeben wurde jedoch bisher nur einer, dieses ist der japanische Algorithmus „Kasumi“ (japanisch für Nebel). Er wird auch als A5/3 bezeichnet.



Abbildung 4‑12 - f8 Schlüsselstromgenerator



KASUMI ist eine Entwicklung der „Security Algorithm Group of Experts“ (SAGE) der ETSI von 1999 und basiert auf dem Algorithmus MISTY, der von M. Matsui der Firma Mitsubishi entworfen worden ist. Dieser Algorithmus ist von Mitarbeitern von SAGE, Nokia, Motorola und Ericsson, sowie von unabhängigen Kryptographieexperten evaluiert worden und wird von der ETSI öffentlich publiziert (http://wireless.iop.org/article/news/1/9/7). Es handelt sich hierbei um einen Feistel Blockchiffrieralgorithmus, der bewusst für geringe Hardwareanforderungen entworfen wurde. Er benötigt 128 Bit Schlüssel als Eingabe.

Da es sich bei KASUMI um einen Blockchiffrieralgorithmus handelt, mussten Ergänzungen vorgenommen werden, um in der Funktion f8 einen sicheren Schlüsselstrom zu erzeugen. Hierfür wurde eine Kombination von „Output Feedback“ (OFB) und „Counter Mode“ verwendet. Dadurch sollen „Chosen Plaintext“ und „Collision“ Attacken verhindert werden.





Abbildung 4‑13 - f9 Integritätsfunktion
4.6 Sicherheitsmängel und Schwachstellen von UMTS



Das UMTS Netz verringert zwar die Verletzlichkeit gegenüber einigen Attacken, die im 2G Netz noch durchführbar waren, jedoch gibt es auch im Netz der dritten Generation einige Schwachpunkte. [TR3390000]

· Denial of Service Attacken

o Camping on a false Basestation (Nutzung einer falschen Basisstation) (Der Angreifer nutzt hier eine falsche Basisstation, um die MS des Teilnehmers dazu zu bringen, diese Basisstation als echte Komponente des Netzes anzunehmen. Ist dies einmal passiert, so ist der Teilnehmer vom wahren Netz abgeschnitten und kann keinen Dienst mehr in Anspruch nehmen. Diese Attacke funktioniert nur so lange, wie der Angreifer aktiv die Verbindung von Teilnehmer zu echten Basisstationen stört.

o Camping on a false BS/MS (Nutzung einer falschen Basisstation und einer modifizierten Mobilstation) (Der Angreifer nutzt hier ebenfalls aus, dass sich die MS des Teilnehmers auf der falschen BS anmelden will, aber lässt nur ausgewählte Dienste zu oder manipuliert sie und blockiert andere völlig. Diese Art von Angriffen sind vergleichbar mit dem Einsatz von Störsendern, der in Funksystemen generell schlecht zu unterbinden ist.





· Impersonation of the network (Nachahmung des Netzes)

o Nachahmung des Netzes durch Einschleusung eines kompromittierten Chiffrierschlüssels zwischen Teilnehmer und wahrem Netz (Der Angreifer kann mittels einer falschen Basestation und der Kenntnis eines noch nicht genutzten Authentication Vectors die MS des Teilnehmers dazu bringen, den von ihm eingeschleusten Authentication Vector zu verwenden. Der Teilnehmer selbst erfährt hiervon nichts). 3G Netze sind wegen ihrer Überprüfung der Key Freshness gegen die Wiedereinspielung eines alten Authentication Vectors gefeit. Jedoch könnte man auch in 3G Netzen einen noch nicht genutzten Authentication Vector einspielen. Neue Authentication Vectors kann ein Angreifer durch eine falsche Basestation und eine Sequenznummerkollision theoretisch abfangen und dann später mit der MS des Teilnehmers nutzen.

o Nachahmung des Netzes durch Einschleusung eines kompromittierten Chiffrierschlüssels zwischen Teilnehmer und wahrem Netz (Der Angreifer kann mittels einer falschen Basestation und der Kenntnis eines noch nicht genutzten Authentication Vectors die MS des Teilnehmers dazu bringen, den von ihm eingeschleusten Authentication Vector zu verwenden. Der Teilnehmer selbst erfährt hiervon nichts). 3G Netze sind wegen ihrer Überprüfung der Key Freshness gegen die Wiedereinspielung eines alten Authentication Vectors gefeit. Jedoch könnte man auch in 3G Netzen einen noch nicht genutzten Authentication Vector einspielen. Die 3G sind gegen kompromittierte Chiffrierschlüssel in eingeschleusten Authentication Vectoren nicht geschützt.

· Eavesdropping on user data (Abhören von Nutzdaten des Teilnehmers)

o Abhören der Nutzdaten des Teilnehmers durch Einschleusung eines kompromittieren Chiffrierschlüssels (Der Angreifer zwingt die MS des Teilnehmers mittels einer eigenen, falschen Basestation eine Verbindung mit einem kompromittieren Schlüssel mit der falschen Basestation aufzubauen, während er den Anruf über seine eigene Kennung an das wahre Netzwerk weitervermittelt). 3G Netze sind gegen die Wiedereinspielung eines alten Authentication Vectors durch Nachrichtenauthentifizierung und Überprüfung der Key Freshness durch Sequenznummern gefeit, jedoch könnte es hier allerdings auch dazu kommen, dass ein zuvor abgefangener Authentication Vector eingespielt wird, der noch nicht gebraucht wurde, wie oben beschrieben.

· Impersonation of the user (Nachahmung des Teilnehmers)

o Nachahmung des Teilnehmers gegenüber dem Netz durch Nutzung eines kompromittierten Authentication Vectors (Der Angreifer nutzt eine modifizierte MS und einen zuvor abgefangenen und noch nicht genutzten Authentication Vector, um sich unter der Identität des Teilnehmers im Netz anzumelden.)

o Übernahme ausgehender unverschlüsselter Anrufe in Netzen durch einen Angreifer (Der Angreifer bedient sich hier einer modifizierten MS und einer falschen Basestation. Er täuscht dem Teilnehmer mittels der falschen Basisstation einen eingehenden Anruf vor und veranlasst diesen, einen Verbindungsaufbau mit dem Netz vorzunehmen. Passiert dieses, so manipuliert der Angreifer die Signalisierungsnachrichten so, dass es für das Netz so aussieht, als wolle der Teilnehmer einen Anruf aufsetzen. Das Netz setzt von sich aus keine Verschlüsselung auf. Nachdem die Authentifizierung vollzogen ist, schneidet der Angreifer den Teilnehmer von Netz ab und nutzt die Verbindung mit dem Netz, um Anrufe auf Kosten des Teilnehmers vorzunehmen). Wichtig hier ist, dass 3G Netze nur teilweise gegen diese Art von Attacken gewappnet sind, durch Integritätssicherung von kritischen Signalisierungsnachrichten, Datenauthentifizierung, Replay Schutz und periodische integritätsgesicherte Kontrollnachrichten während der Verbindung. Trotzdem können unchiffrierte Verbindungen von Angreifern unter gewissen Umständen übernommen werden.

o Übernahme eingehender unverschlüsselter Anrufe in Netzen durch einen Angreifer (Der Angreifer bedient sich einer falschen Basisstation und einer modifizierten MS. Der Teilnehmer hat nur Kontakt zur falschen Basisstation. Von dieser ausgehend initiiert der Angreifer einen Anruf an den Teilnehmer auf dessen MS. Nimmt der Teilnehmer diesen Anruf an, so funktioniert die falsche Basestation wie ein Relais zwischen dem Netz und dem Teilnehmer, bis Authentifizierung und Verbindungsaufbau stattgefunden haben. Danach unterbricht der Angreifer die Verbindung zwischen Teilnehmer und Netz und kann die Verbindung mit dem Anrufer übernehmen. Auch hier sind 3G Netze nur zum Teil geschützt, da das Übernehmen der Anrufe zwischen verwendeten, periodischen Kontrollnachrichten noch möglich ist.


4.6.1 Vergleich der Sicherheitsarchitektur von UMTS und GSM

Die 3G Sicherheit basiert auf der 2G Sicherheitsarchitektur, es wurden bewährte 2G Sicherheitselemente, wie zum Beispiel die SIM Karte, übernommen. Im Sicherheitsentwurf zur Handygeneration der dritten Generation hat man jedoch bewusst versucht, die bekannten sicherheitstechnischen Nachteile der Handygeneration 2G zu beseitigen und neue Sicherheitsdienste einzuführen.

So sind Schwächen des 2G Algorithmus unter anderem folgende

· Aktive Attacken sind möglich, wie „IMSI Catching“ mittels einer False Basestation Attacke

· Es wird im bestehenden GSM Netz nicht überprüft, ob 2 Handys gleichzeitig mit der selben IMSI eingebucht sind.

· Verschlüsselung endet in den Base Stations.

· Schlüssel- und Authentifizierungsdaten werden im Klartext innerhalb des drahtgebundenen Netzes und zwischen verschiedenen Netzen übermittelt.

· Die Authentifizierung erfolgt nur einseitig, nur die MS muss sich authentifizieren.

· Es gibt keinen Integritätsschutz auf der Luftschnittstelle.

· Der Chiffrierschlüssel besitzt nur eine Länge von 64 Bits, effektiv aber nur 54, weil 10 Bits immer auf 0 gesetzt werden.

· Es sind bereits theoretische Attacken auf den A5/1 Algorithmus bekannt.

· Das GSM Design eignet sich schlecht dafür, mehr Algorithmen als nur A5/1/2 zu verwenden.

· Der Teilnehmer wird nicht informiert, ob eine Verschlüsselung angewendet wird, oder nicht.



Fasst man die Sicherheitsverbesserungen von UMTS zusammen, so ist folgendes zu nennen.

· Es gibt eine Authentifizierung des HLR gegenüber der USIM.

· Es existiert nun eine Integritätssicherung von Nutz- und Signaldaten auf der Funkschnittstelle.

· Es wird dafür gesorgt, dass die verwendeten Schlüssel relativ frisch sind (Key Freshness).

· Es werden neue und offengelegte Algorithmen verwendet.

· Die Schlüssellängen für den Teilnehmerschlüssel, den Chiffrier- und den Integritätsschlüssel betragen nun durchgehend 128 Bit.

· Die Signaldaten werden auch im drahtgebundenen (Core) Netz gesichert.

· Es ist eine durchgängige Ende-zu-Ende Verschlüsselung vorgesehen, die erst im mobilen Gerät des Teilnehmers endet.

· Der Standard sieht vor, für die Authentifizierung und Verschlüsselung zwischen mehreren Verfahren wählen zu können, sofern außer KASUMI weitere verfügbar sind.

· Der Teilnehmer soll über Status und Umfang der verwendeten Verschlüsselung informiert werden.

So gibt es in UMTS nun im Gegensatz zu GSM auch eine Authentifizierung des Netzes gegenüber GSM mittels „Authentication Token“ und fortlaufende Sequenznummern, um False Base Station Attacken zu verhindern. Weiterhin erfolgt bei UMTS eine asymmetrische Verschlüsselung der Sicherheitsschlüssel im Festnetz zwischen HLR und VLR. Diese war in GSM gänzlich ungesichert. Überdies ist nun auch eine Ende-zu-Ende Verschlüsselung vorgesehen, allerdings bisher nur für Teilnehmer im gleichen Serving Network. Normalerweise fand in 2G Netzen nur eine Verschlüsselung der Daten während der Übermittlung über die Funkschnittstelle statt. Interessant ist hier auch, dass der Authentifizierungsvorgang wie bei GSM immer noch per Challenge-Response Protokoll stattfindet und hier nirgends ein asymmetrisches Verschlüsselungsverfahren zum Einsatz kommt. Das könnte allerdings darin begründet sein, dass asymmetrische Verschlüsselungsverfahren sehr rechenintensiv sind und daher für mobile Geräte unter Umständen eine nicht unwesentliche Kostenerhöhung aufgrund der höheren Hardwareanforderungen darstellen würden.



UMTS behebt einige Attacken, die in 2G Netzen noch möglich waren, diese sind nach Untersuchung des 3GPP im Detail [TR3390000]

· Denial of Service Attacken

o User de-registration request spoofing (Der Angreifer schickt mittels modifizierter MS eine gefälschte Signalisierungsnachricht an das Netz, in der er den Teilnehmer abmeldet – Der Teilnehmer ist so nicht mehr für mobile Dienste erreichbar) – Diese Attacke war im 2G Netz möglich, da das Netz die Messages nicht authentifizieren kann. In 3G Netzen werden Signalisierungsnachrichten integritätsgesichert.

o Location update request spoofing (Der Angreifer führt mittels modifizierter MS eine Location Update Anfrage unter der Identität des Teilnehmer mittels einer gefälschten Nachricht in einer anderen Location Area an und macht ihn so in seiner augenblicklichen Location Area unerreichbar) – Diese Attacke basiert wiederum auf der Tatsache, dass in 2G Netzen die Signalisierungsnachrichten nicht integritätsgeschützt waren.

· Identity Catching Attacken (Identitäten abfangen)

o Passive identity catching (Der Angreifer fängt mittels modifizierter MS eine Identität (IMSI) ab, wenn sie vom Netz im Klartext gesendet wird) – In 2G Netzen kam es vor, dass bei Erstregistrierungen oder während der Nutzung der Mobilfunkdienste die Identität vom Netz im Klartext angefordert wurde. In 3G Netzen wird die wahre Identität zwar teilweise noch angefordert, aber nur verschlüsselt übertragen.

o Active Identity Catching (Der Angreifer nutzt eine falsche Basisstation und fordert die Identität des Teilnehmers im Klartext an) – In 3G Netzen wird dieses durch den Schutzmechanismus für die Identität verhindert. Die wahre Identität wird verschlüsselt und der Chiffrierschlüssel ist nur einer begrenzten Gruppe von Teilnehmern bekannt.

· Impersonation of the Network (Nachahmung des Netzes)

o Nachahmung des Netzes durch Unterdrückung von Verschlüsselung zwischen Teilnehmer und Angreifer (Der Angreifer gibt sich mittels einer falschen Basisstation gegenüber dem Teilnehmer mindestens so lange als Netz aus, bis es zur Anforderung von Verschlüsselung kommt, die vom Angreifer mittels modifizierter Signalisierungsnachrichten unterdrückt wird) – Diese Attacke wird von 3G Netzen mittels Nachrichtenauthentifizierung und Schutzes vor Wiedereinspielung von Nachrichten (Replay) verhindert.

o Nachahmung des Netzes durch Unterdrückung von Verschlüsselung zwischen Teilnehmer und wahrem Netz (Der Angreifer täuscht dem Netz über gefälschte Signalisierungsnachrichten mittels falscher Basestation und modifizierter MS vor, dass es eine Inkompatibilität zwischen Netz und MS gäbe. Daraufhin entscheidet sich das Netz, eine unverschlüsselte Verbindung aufzusetzen. Nachdem zwischen Netz und MS vereinbart worden ist, dass keine Verschlüsselung verwendet wird, unterbricht der Angreifer die Verbindung zwischen Netz und MS und übernimmt die Verbindung.) – 3G Netze können dieses Vorgehen verhindern, indem sie eine Nachrichtenauthentifizierung und Wiedereinspielungsschutz (Replay Inhibition) verwenden.

o Nachahmung des Netzes durch Einschleusung eines kompromittierten Chiffrierschlüssels zwischen Teilnehmer und wahrem Netz (Der Angreifer kann mittels einer falschen Basestation und der Kenntnis eines bereits genutzten Authentication Vectors die MS des Teilnehmers dazu bringen, den alten Authentication Vector noch einmal zu verwenden. Der Teilnehmer selbst erfährt hiervon nichts). 3G Netze sind wegen ihrer Überprüfung der Key Freshness gegen die Wiedereinspielung eines alten Authentication Vectors gefeit. Jedoch könnte man auch in 3G Netzen einen noch nicht genutzten Authentication Vector einspielen.

· Eavesdropping on user data (Abhören von Nutzdaten des Teilnehmers)

o Abhören der Nutzdaten des Teilnehmers durch Unterdrückung der Nutzung von Verschlüsselung zwischen Teilnehmer und Angreifer (Der Angreifer unterdrückt mittels einer falschen Basestation zwischen Teilnehmer und Netz einen Aufbau einer verschlüsselten Verbindung. Der Teilnehmer nimmt, ohne es zu wissen, unverschlüsselten Kontakt mit der falschen Basestation auf, während der Anruf von der falschen Basestation über die Kennung des Angreifers an das wahre Netz weitergereicht wird. So kann der Angreifer die Verbindung abhören.) – 3G Netze bieten das notwendige und authentifizierte Chiffriermodus Kommando und Wiedereinspielungsschutz zur Verhinderung dieses Angriffs.

o Abhören der Nutzdaten des Teilnehmers durch Unterdrückung der Nutzung von Verschlüsselung zwischen Teilnehmer und wahrem Netz (Der Angreifer täuscht mittels modifizierter MS, wie bei der Nachahmung des Netzes eine Inkompatibilität zwischen Teilnehmer und Netz vor, damit keine Chiffrierung verwendet wird, um die Verbindung abhören zu können)

o Abhören der Nutzdaten des Teilnehmers durch Einschleusung eines kompromittieren Chiffrierschlüssels (Der Angreifer zwingt die MS des Teilnehmers mittels einer eigenen, falschen Basestation eine Verbindung mit einem kompromittieren Schlüssel mit der falschen Basestation aufzubauen, während er den Anruf über seine eigene Kennung an das wahre Netzwerk weitervermittelt). 3G Netze sind gegen die Wiedereinspielung eines alten Authentication Vectors durch Nachrichtenauthentifizierung und Überprüfung der Key Freshness durch Sequenznummern gefeit, jedoch könnte es hier allerdings auch dazu kommen, dass ein zuvor abgefangener Authentication Vector eingespielt wird, der noch nicht gebraucht wurde.

· Impersonation of the user (Nachahmung des Teilnehmers)

o Nachahmung des Teilnehmers gegenüber dem Netz durch Nutzung eines kompromittierten Authentication Vectors (Der Angreifer nutzt eine modifizierte MS und einen bereits genutzten und bekannten Authentication Vector, um sich unter der Identität des Teilnehmers im Netz anzumelden.) – In 3G Netzen ist diese Attacke nicht mehr möglich, wegen dem Einsatz von Sequenznummern, jedoch könnte hier ein Authentication Vector genutzt werden, der noch nicht verwendet worden ist.

o Nachahmung des Teilnehmers gegenüber dem Netz durch die Benutzung einer abgehörten Authentifizierungsantwort. (Der Angreifer macht sich die Tatsache zunutze, dass in 2G Netzen der Authentication Vector mehrere Male genutzt werden kann und sendet mittels einer modifizierten MS eine abgefangene Response später noch einmal, falls dieselbe Challenge vom Netz wieder verwendet wird) – Dies wird in 3G Netzen durch den Einsatz von Sequenznummern verhindert

o Übernahme ausgehender unverschlüsselter Anrufe in Netzen durch einen Angreifer (Der Angreifer bedient sich hier einer modifizierten MS und einer falschen Basestation. Er täuscht dem Teilnehmer mittels der falschen Basisstation einen eingehenden Anruf vor und veranlasst diesen, einen Verbindungsaufbau mit dem Netz vorzunehmen. Passiert dieses, so manipuliert der Angreifer die Signalisierungsnachrichten so, dass es für das Netz so aussieht, als wolle der Teilnehmer einen Anruf aufsetzen. Das Netz setzt von sich aus keine Verschlüsselung auf. Nachdem die Authentifizierung vollzogen ist, schneidet der Angreifer den Teilnehmer von Netz ab und nutzt die Verbindung mit dem Netz, um Anrufe auf Kosten des Teilnehmers vorzunehmen). Wichtig hier ist, dass 3G Netze nur teilweise gegen diese Art von Attacken gewappnet sind.

o Übernahme ausgehender unverschlüsselter Anrufe in Netzen durch einen Angreifer (Der Angreifer übernimmt hier mittels einer falschen Basestation und einer MS eine chiffrierte Verbindung. Allerdings sorgt der Angreifer hier im Unterschied zum vorherigen Punkt mittels Manipulation der Signalisierungsnachrichten dafür, dass Verschlüsselung unterbleibt) – In 3G Netzen ist dies dank integritätsgesicherter Nachrichten nicht möglich.

o Übernahme eingehender unverschlüsselter Anrufe in Netzen durch einen Angreifer (Der Angreifer bedient sich einer falschen Basisstation und einer modifizierten MS. Der Teilnehmer hat nur Kontakt zur falschen Basisstation. Von dieser ausgehend initiiert der Angreifer einen Anruf an den Teilnehmer auf dessen MS. Nimmt der Teilnehmer diesen Anruf an, so funktioniert die falsche Basestation wie ein Relais zwischen dem Netz und dem Teilnehmer, bis Authentifizierung und Verbindungsaufbau stattgefunden haben. Danach unterbricht der Angreifer die Verbindung zwischen Teilnehmer und Netz und kann die Verbindung mit dem Anrufer übernehmen. Auch hier sind 3G Netze nur zum Teil geschützt, da das Übernehmen der Anrufe zwischen verwendeten, periodischen Kontrollnachrichten noch möglich ist.

o Übernahme eingehender verschlüsselter Anrufe in Netzen durch einen Angreifer (Der Angreifer übernimmt mittels einer falschen Basestation und einer modifizierten MS einen Anruf, wie im vorherigen Punkt und unterdrückt den Einsatz von Verschlüsselung durch Manipulation der Signalisierungsmaßnahmen) – 3G Netze sind gegen diese Art von Attacken geschützt, indem sie die Nachrichten integritätssichern.


4.6.2 Sicherheitsalgorithmen von UMTS und GSM im Vergleich

Wenn man GSM mit UMTS vergleicht, so treffen zwei verschiedene Philosophien über Sicherheit aufeinander. Wurde im GSM die Geheimhaltung von A3,A8 und A5 noch als ein wesentlicher Beitrag zur Sicherheit dieser Algorithmen gesehen („security by obscurity“) , so setzt man nun nach dem Bekanntwerden von Schwachstellen zunehmend auf Algorithmen, die von freien Experten bereits intensiv untersucht worden sind. So zum Beispiel im Fall von MILENAGE, der auf dem bekannten und frei zugänglichen Algorithmus Rijndael basiert. Rijndael ist bereits umfangreichen Tests unterzogen worden und hat sich so weit bewährt, dass er von der NIST zum Gewinner des AES Wettbewerbs gekürt wurde.


4.6.3 Staatliche Einflussnahme / Datenschutz

Mobilfunknetze sind in mancher Hinsicht für die Ermittlungsbehörden eines Staates von Interesse. Dass ein eingeschaltetes Handy in der Jackentasche den Aufenthaltsort des Besitzers zwangsläufig verrät, ist bereits hinlänglich bekannt, doch nicht nur diese Informationen sollen für die Strafverfolgung offengelegt werden. Der Gesetzgeber will zu Ermittlungszwecken ebenfalls Einblick in die Kommunikationsinhalte seiner Bürger erhalten. Nicht erst seit den Terroranschlägen des Jahres 2001 in den U.S.A. gibt es in Europa diverse Gesetzesentwürfe, die bereits zur Ratifizierung durch nationale Behörden vorgelegt wurden.

So planen die europäischen Strafverfolgungsbehörden seit Jahren eine Totalüberwachung des Internets, sowie der übrigen Telekommunikation und eine pauschale Speicherung der ausgetauschten Informationen, um einen nachträglichen Zugriff auf die Kommunikationsdaten aller Straftäter zu bekommen. Diese Forderungen werden von Datenschützern als auch von Telekommunikationsanbietern heftigst kritisiert. Solch ein Vorgehen kommt einer pauschalen Kriminalisierung aller Telekommunikationsnutzer gleich, außerdem wären die technischen Anforderungen als auch die damit entstehenden Kosten enorm und von den Dienstleistern kaum zu tragen. (http://www.heise.de/tp/deutsch/special/enfo/7684/1.html).

5 Fazit

Die hier vorgestellten Netze weisen zum Teil erhebliche Sicherheitsmängel auf. Teilweise handelt es sich jedoch nur um Sicherheitsbedenken und rein theoretische Angriffe, die erst in Jahren an Bedeutung gewinnen dürften, wenn Privatanwender über ausreichend Equipment verfügen, um solche Angriffe durchzuführen. Ist jedoch ein Geheimdienst am Werk, stellt keines der erwähnten Funknetze ein Hindernis dar.

Probleme von innen

Dabei dürfte das größte Problem für machbare Netzsicherheit in Firmen wohl das fehlende Bewusstsein der Systemadministratoren für die Sicherheitsproblematik der Netze sein, was zum Teil daher rührt, dass die Funktionsweise von kryptographischen Verfahren nicht immer verstanden wird und damit entweder keine Anwendung der Verfahren stattfindet oder diese in falscher Kombination oder unzureichender Form verwandt werden. (z.B. reine Verschlüsselung ohne Authentifizierung). Erschreckend ist auch, dass viele Systemadministratoren keine besondere Sicherheitssensibilisierung bei der Konfiguration drahtloser Netze an den Tag legen. Handelt es sich beispielsweise um Intranets auf Wireless LAN Basis innerhalb von Firmen, so wird anscheinend die Möglichkeit eines Angreifers auf oder vor dem Firmengelände selten bedacht. Meist wird keine Verschlüsselung verwendet oder nur die unzureichende WEP Verschlüsselung genutzt. Hinzu kommt die teilweise enorme Abstrahlungsreichweite von Access Points. Durch „War Driving“ (Suchen von ungeschützten Funknetzen, siehe 3.5 „War Driving“) waren mittels eines Notebooks mit Wireless LAN Karte zum Beispiel in Manhattan/New York [Ziff01] dutzende oder auch auf der CeBit2002 in Hannover (http://www.wavehan.de/) über 800 ungeschützte 802.11b Netzwerke einfach aufzuspüren und prinzipiell von jedem nutzbar.

Auf Benutzerseite ist eine unzureichende Sensibilisierung für Sicherheitsverfahren anzuprangern. Dürfen Benutzer selbst frei Passwörter wählen, so sind diese meist nicht einmal alphanumerisch und sehr leicht zu knacken, da sie häufig aus dem privaten Umfeld des Betroffenen gewählt werden (Geburtsdatum, Vorname der Frau oder des Kindes, Namen von Popstars oder von bekannten Sportlern...). Zu dieser Problematik ist erst kürzlich eine Studie (http://www.cnn.com/2002/TECH/internet/04/08/passwords.survey/index.html) veröffentlich worden. Außerdem sind viele Eindringlinge in Firmennetze in der Vergangenheit nur deswegen erfolgreich gewesen, weil sie Zugang zum Firmengebäude hatten und die Passwörter einiger Benutzer auf Merkzetteln gut sichtbar an den Monitor geklebt waren. Andere riefen in der betreffenden Firma an und gaben sich als vermeintlicher Mitarbeiter aus, der sein Passwort vergessen habe, um es dann von hilfsbereiten Arbeitskräften von den Merkzetteln auf dem Rechner abgelesen zu bekommen. Bekannte Hacker, wie zum Beispiel Kevin Mitnick, waren mit dieser Einbruchsmethode am erfolgreichsten. Natürlich sind diese Art von Problemen nicht spezifisch für Funknetze, aber sie betreffen diese auch.

Probleme von außen

Sicherheitsmängel ihrer Netze sind für Unternehmen unter Umständen ein nicht unerhebliches, finanzielles Problem. Ausländische Geheimdienste betreiben in Deutschland Wirtschaftsspionage, die die Industrie in erheblichem Masse schädigt. Darunter vor allem der russische Geheimdienst, aber auch der amerikanische, obwohl dieses offiziell nicht bestätigt wird. Die deutsche Industrie hat gegen diese Form der Spionage noch immer kein einheitliches Sicherheitskonzept. Allerdings verfügen auch Privatanwender über ausreichend kriminelle Energie, die Schwachpunkte drahtloser Netze auszunutzen. Durch Identitätsdiebstahl erleiden Mobilfunkunternehmen jährlich mehrere Milliarden US-$ Verlust. Im Bereich UMTS liegt es jedoch besonders an den Standardisierungsgremien, schnell Änderungen vorzunehmen. Sind erst einmal Millionen UMTS Handys auf dem Markt, ist eine nachträgliche Änderung wegen hohen Rückholkosten sicherlich ausgeschlossen.

Für Sicherheitsfirmen bedeuten besonders Sicherheitsmängel von Firmennetzen, wie Wireless LANs eine nicht unerhebliche Einnahmequelle für die nahe Zukunft. Von der Unternehmensberatung Frost & Sullivan wird für die nächsten Jahre bis 2005 eine Umsatzsteigerung für Sicherheitstechnologien in Europa bis auf 793,9 Millionen US-Dollar prognostiziert.

"In der Diskussion um drahtlose Sicherheit dreht sich momentan alles nur um Wireless Local Area Networks (WLAN)", stellte Lopez fest. "Der Bereich für Wide-Area-Network (WAN) Sicherheit ist jedoch viel größer, und Virtual Private Networks (VPN) für WANs haben die besseren Wachstumsaussichten. Davon abgesehen werden auch andere Technologien wie Wireless Transport Layer Security (WTLS) und Wireless Public Key Infrastructure (WPKI) zur Sicherung der kabellosen Kommunikation beitragen. Hier ist allerdings erst ab Ende 2004 mit einer Marktakzeptanz zu rechnen."

Es soll aber ein hoher Bedarf an drahtloser Sicherheit bestehen :

"Wir betrachten das Fehlen adäquater Angebote sogar als eine der größten Wachstumsbremsen im Markt für kabellose Kommunikation. Werden sensible Geschäftsdaten über mobile Geräte übertragen, ist das Sicherheitsrisiko meist um ein Vielfaches höher als bei stationären Anlagen in einem geschützten Unternehmensumfeld. Neben den Geräten ist die Transmissionstechnologie selbst bislang zu stark angreifbar. Ist eine gute Sicherheitslösung jedoch korrekt implementiert, dürfte das Risiko nicht höher sein als in einer 'verdrahteten' Umgebung."

Im Sektor für professionelle Dienste (dies sind Integration und Systempflege) seien von den Unternehmen Komplettlösungen gefragt.

"Ein Unternehmen, das WLANs implementiert, wird von vornherein eine Lösung wählen, die den Sicherheitsaspekt bereits beinhaltet", erläuterte Lopez. "Alles andere ist dem Kunden zu kompliziert.", so Jose Lopez, Sicherheitsexperte bei Frost & Sullivan [DKgolem01]









6 Abkürzungsverzeichnis

3GPP


3rd Generation Partnership Project

ACO


Authenticated Ciphering Offset

AES


Advanced Encryption Standard

AK


Anonymity Key

AKA


Authentication and Key Agreement

AP


Access Point

AuC


Authentication Center

AV


Authentication Vector

BD_ADDR


Bluetooth Device Address

BS


Basestation

BS


Bearer Service

BSSID


Basic Service Set ID

BT


Bluetooth

CA


Certification Authority

CAC


Channel Access Code

CIA


Central Intelligence Agency

CK


Cipher Key

COF


Ciphering Offset Number

DES


Data Encryption Standard

DoS


Denial of Service

DSSS


Direct Sequence Spread Spectrum

EIR


Equipment Entity Register

EMSI


Encrypted Mobile Subscriber Identity

ESSID


Extended Service Set ID

ETSI


European Telecommunications Standards Institute

FEC


Forward Error Correction

FHSS


Frequency Hopping Spread Spectrum

FPK


Fast Packet Keying Solution

GPRS


General Packet Radio Service

GSM


Global System of Mobile communications

HE


Home Environment

HLR


Home Location Register

IEEE


Institution of Electrical and Electronics Engineers

IETF


Internet engineering task force

IK


Integrity Key

IMEI


International Mobile Equipment Identifier

IMSI


International Mobile Subscriber Identity

IMT-2000


International Mobile Telecommunications 2000

IMUI


International Mobile User Identity

IPSec


IP Security

ITU


International Telecommunication Union

KDC


Key Distribution Center

L2TP



Layer 2 Tunneling Protocol

LAI


Local Area Identifier

LDAP


Lightweight Directory Access Protocol

LFSR


Linear Feedback Shift Register

LM


Link Manager

LMP


Link Manager Protocol

LMP


Link Manager Protocol

MAC


Message Authentification Code

MAC


Media Access Control

MIB


Management Information base

MS


Mobile Station

NIST


National Institute of Standards and Technology

NSA


National Security Agency

PIN


Personal Identification Number

PIN


Personal Identification Number

PIN


Personal Indentification Number

PKI


Public Key Infrastructure

PPTP



Point-To-Point Tunneling Protocol

QoS


Quality of Service

RAI


Routing Area Identification

RC4


Rivest Cipher 4

RSA


Rivest Shamir Adleman

SAFER


Secure and Fast Encryption Routine

SIG


Special Interest Group (as in Bluetooth SIG)

SIM


Subscriber Identity Module

SNMP


Simple Network Management Protocol

TDMA


Time Division Multiple Access

TKIP


Temporal Key Integrity Protocol

TMSI


Temporary Mobile Subscriber Identity

TMUI


Temporary Mobile User Identity

UEA


UMTS Encryption Algorithms

UIA


UMTS Integrity Algorithms

UIDN


User Identity Decryption Node

UMTS


Universal Mobile Telecommunications System

USIM


Universal Subscriber Identity Module

UTRAN


UMTS Terrestrial Radio Access Network

VLR


Visitor Location Register

VPN


Virtual Private Network

WCDMA


Wideband Code Division Multiple Access

WEP


Wireless Equivalent Privacy

WLAN


Wireless Local Area Network

WPAN


Wireless Personal Area Network

XEMSI


Extended Encrypted Mobile Subscriber Identity




7 Glossar

3rd Generation Partnership Project (3GPP)


Vereinigung verschiedener Interessengruppen zur Standardisierung der dritten Generation des GSM-Standards (UMTS)

Access Point (AP)


Im WLAN bezeichnet der Access Point funktional die Brücke zu den drahtgebundenen Netzen, er ist also direkt an Ethernet, Token Ring oder ATM angeschlossen. Über Funk steht ein solcher Access Point mit allen angeschlossenen Netzknoten in Verbindung und übernimmt zentrale Funktionen wie Filterung, Roaming-oder die Sicherheit. Der Access Point bildet eine in sich geschlossene Funkzelle.

Advanced Encryption Standard (AES)


Von der amerikanischen NIST wurde in einem offiziellen Wettbewerb Rijndael als Algorithmus für AES gewählt. AES ist der Nachfolger von DES

Authenticated Ciphering Offset (ACO)


Zahlenwert, der für den Authentifizierungs- und Verschlüsselungsprozess bei Bluetooth gebraucht wird. Wird im Laufe der Authentifizierung errechnet und für die Generierung des Chiffrierschlüssels benutzt.

Authentication and Key Agreement (AKA)


Authentifizierungs- und Schlüsselvereinbarungsphase im UMTS

Authentification Center (AuC)


Das Authentisierungszentrum ist eine Komponente des Switching-Subsystems eines GSM-Netzes . Neben den teilnehmerrelvanten Daten , die im HLR gespeichert werden, werden die Verschlüsselungsdaten und die Daten für die Authentifikation im Authentifikationszentrum, AuC verwahrt.

Authentification Vector


Wird im GSM und UMTS zur Authentifizierung verwendet

Authentifizierung


Aufgaben- und benutzerabhängige Zugangs- und/oder Zugriffsberechtigung für Systemfunktionen mit dem Zweck, den gesamten Anwendungsbetrieb vor Missbrauch zu schützen.

Bearer Service (Trägerdienst)


Trägerdienste sind Datentransportdienste, die von Betreibergesellschaften angeboten werden. Diese Dienste beziehen sich immer auf die Funktionen der untersten drei Schichten des ISO/OSI-Referenzmodells

Bluetooth


Funktechnik zur Überbrückung kurzer Distanzen. Bluetooth funkt in der lizenzfreien Frequenz bei 2,45 GHz und soll bis zu einem MBit/s Daten übertragen können. Die Reichweite beträgt bis zu 100 Meter.

Bluetooth Device Address (BD_ADDR)


Weltweit eindeutige Adresse eines Bluetooth Gerätes

Central Intelligence Agency (CIA)


Amerikanischer Geheimdienst, der den Auftrag hat, aktiv Spionage in „nicht befreundeten“ Staaten der U.S.A. zu betreiben, sowie ebenfalls untergründig in die inneren Angelegenheiten dieser Staaten einzugreifen, um die Politik nach amerikanischen Interessen zu beeinflussen.

Challenge


Eine Anfrage, die innerhalb eines Challenge-Response Authentifizierungsprotokolls an den Kommunikationspartner gestellt wird und mit einer Response beantwortet werden muss. Diese Response gibt dem Anfragenden Aufschluss darueber, ob der Angefragte über ein gemeinsames Geheimnis verfügt, das als Erfolgskriterium für die Authentifizerung gewertet wird.

Channel Access Code (CAC)


Bezeichnet im Bluetooth eine Kennzeichnung für einen Channel, auf dem zwischen einem Master und einem Slavegerät eine Kommunikation abläufen. Der CAC ist von der Adresse des Mastergerätes abhängig.

Cipher Key (CK)


In UMTS wird dieser Schlüssel zur Verschlüsselung verwendet

Ciphering Offset Number (COF)


Zahl, die von Bluetooth neben anderen Werten zur Erzeugung des Encryption Keys genutzt wird.

Combination Key


Bezeichnung für einen Kombinationsschlüssel in Bluetooth, der im Zusammenwirken von 2 Bluetooth Geräten erstellt wird. Ein Combination Key ist ein Link Key

Comp128


Ein Verschlüsselungsalgorithmus, der im Rahmen einer GSM Authentifizierung eingesetzt wird.

Data Encryption Standard (DES)


Blockchiffrierverfahren, das mit 56 Bit Schlüsseln arbeitet.

Denial of Service (DoS)


Attacke, um die Verfügbarkeit eines Servers oder eines anderen Gerätes für den Gerätebesitzer oder einen Nutzer der Dienstleistungen dieses Gerätes zu unterbinden.

Direkt Sequence Spread Spectrum (DSSS)


Fehlerkorrigierendes Übertragungsverfahren, bei dem die zu übertragenden Bitfolgen auf sogenannte Chips oder chipping Codes aufgespreizt werden

Encrypted Mobile Subscriber Identity (EMSI)


Dient der Teilnehmeridentifikation

Encryption Key


Ist ein Verschlüsselungsschlüssel und wird in Bluetooth aus dem aktuellen Link Key berechnet.

Equipment Entity Register (EIR)


Hier werden die IMEI Nummern von verwendeten Mobilfunkgeräten gespeichert.

European Telecommunications Standards Institute (ETSI)


Das ETSI ist eine gemeinnützige Organisation, deren Hauptaufgabe in der verbindlichen Festlegung der Telekommunikationsstandards besteht, welche zukünftig innerhalb und außerhalb Europas eingesetzt werden sollen.

Evil Twin Attacke


Der Angreifer nutzt eine falsche Basestation, die sich nach aussen für Netzteilnehmer wie die legitime Basisstation verhält, aber dazu gedacht ist, Authentifizierungsdaten abzufangen. Die Basisstation verfügt über eine größere Sendeleistung als die legitime Station.

Extended Encrypted Mobile Subscriber Identity (XEMSI)


Dient der vertraulichen Übermittlung der Teilnehmeridentität im UMTS

False Basestation Attacke


Hier setzt der Angreifer eine falsche Basisstation als Teil eines Angriffes ein. Die Basisstation verfügt über eine größere Sendeleistung als die legitime Station.

Fast Packet Keying Solution (FPK)


Entwicklung von RSA Data Security Inc. Wird genutzt, um Sicherheitslücken des WEP Prokolls zu schliessen

Frequency Hopping Spread Spectrum (FHSS)


Frequenzsprungverfahren. Wird in einigen Funknetzen eingesetzt, um die Rekonstruktion der übermittelten Daten zu erschweren. Dient überdies dazu, die Störungen mehrerer, simultan kommunizierender Verbindungen durch unterschiedliche Hoppingsequenzen zu minimieren.

Funkschnittstelle


Die Luftschnittstelle (auch Funkschnittstelle), ist standardisiert und spezifiziert die übertragungsrelevanten Parameter eines Mobilfunksystems.

General Packet Radio Service (GPRS)


Es handelt sich um eine Weiterentwicklung des GSM-Kernnetzes, das die Versendung von Paketdaten ermöglicht. Nutzt das verfügbare Frequenzspektrum auf äußert effiziente Weise, sodass die Benutzer auf eine größere Bandbreite zugreifen können, als bei reinen GSM Verbindungen. Kann auch in TDMA-Netzen verwendet werden. Die maximale Übertragungsrate beträgt 115 KBit/s.













Global System of Mobile communications (GSM)














Wurde als paneuropäische Norm für digitale Mobilfunknetze geschaffen, um grenzüberschreitendes Roaming zu ermöglichen. GSM hat sich inzwischen zur weltweit vorherrschenden Norm für digitale Mobiltelefonie entwickelt. Arbeitet mit der TDMA-Funkschnittstelle. Es wird zur Zeit in den 900-MHz-, 1800 MHz- und 1900

MHz- Frequenzbereichen verwendet



Home Environment (HE)




Dieses ist die Funkausstattung des Teilnehmers im ganzen.



Home Location Register (HLR)


Datenbank mit kundenrelevanten Daten und Verweis auf VLRs, in denen sich der Teilnehmer gegenwärtig aufhält.

Identity Fraud


Identitätsdiebstahl, meist zur unerlaubten Nutzung (Erschleichung) von Leistungen. In den USA eines der größten Betrugsprobleme.

IEEE 802.11


Standardfamilie der IEEE für drahtlose Netze (WLANs)

IEEE 802.15


Standardfamilie der IEEE für WPANs

IEEE 802.1x


Standard der IEEE zur Einführung von befriedigenden Authentifizierungen im Rahmen der Funknetzen nach 802.11

Init Key


Der Inititalisierungsschlüssel wird von Bluetooth Geräten aus der eingegeben PIN berechnet und dient den Geräten zur initialen Kontaktaufnahme.

Institute of Electrical and Electronical Engineers (IEEE)


Verband amerikanischer Ingenieure, der sich auch Normungsaufgaben widmet und z.B. in der Arbeitsgruppe 802.11 die Standardisierung von drahtlosen Netzen vorantreibt.

Integrity Key (IK)


Dieser Schlüssel wird im UMTS zu Integritätssicherung verwendet

International Mobile Equipment Identifier (IMEI)


Fünfzehnstellige Gerätenummer eines Mobiltelefons. So, wie der Mobilfunkanschluss des Teilnehmers durch den PIN gegen Missbrauch abgesichert ist, ist auch das Mobiltelefon selbst nochmals geschützt.

International Mobile Subscriber Identity (IMSI)


Eine weltweit eindeutige 15stellige Zahl, die als Identifikation eines Mobilfunkteilnehmers in einem GSM oder einem UMTS Netz dient.

International Mobile Telecommunications 2000 (IMT-2000)


Initiative ITU - ursprünglich mit "Future Public Land Mobile Telephone System (FPLMTS)" bezeichnet - zur Entwicklung eines global ausgerichteten diensteintegrierenden mobilen Kommunikationssystems der sog. dritten Generation, das sowohl satellitengestützte als auch terrestrische Lösungen einbezieht.

International Mobile User Identity (IMUI)


Permanente Identität des Teilnehmers, die in funktionellem Zusammenhang zur TMUI steht.

International Telecommunication Union (ITU)


Die ITU ist eine weltweit tätige Organisation, in der Regierungen und der private Telekommunikationssektor den Aufbau und Betrieb von Telekommunikationsnetzen und Telekommunikationsdiensten koordinieren.

Internet engineering task force (IETF)


Eine offene internationale Gemeinschaft von Netzwerkdesignern, professionellen Anwendern und Herstellern, die zur Entwicklung des Internet und dessen reibungslosem Betrieb beitragen.

IP Security (IPSec)


Sicherungsprotokoll auf der dritten Ebene des ISO/OSI Basisreferenzmodells. Wird zur Realisierung von VPNs genutzt und ist das Standardsicherungsprotokoll für Ipv6

ISO/OSI Basisreferenzmodell


Open System Interconnection; das von der ISO definierte Schichtenmodell für Kommunikation und Datenübertragung

Kasumi


Verschlüsselungsalgorithmus (jap. Für Nebel). Wird in UMTS zur Integritätssicherung und zur Verschlüsselung genutzt



Layer 2 Tunneling Protocol (L2TP)





Sicherungsprotokoll auf der zweiten Ebene des ISO/OSI Basisreferenzmodells. Das L2TP-Protokoll ist ein Tunnelingprotokoll, das von der IETF entwickelt wurde und der gesicherten Kommunikation in Virtual Private Networks, VPN , dient

Lightweight Directory Access Protocol (LDAP)


Protokoll für den Zugriff auf Verzeichnis-Dienste, z.B. das (interne) Telefonbuch eines großen Unternehmens



Linear Shift Feedback Register (LSFR)




Register, das in Implementationen von Verschlüsselungen verwendet wird, um Shiftoperationen auf Bitwerten ausführen zu können, die unter Umständen Rückmeldung für den Verschlüsselungsalgorithmus erzeugen

Link Key


Bezeichnet in Bluetooth einen Schlüsseltyp, der für die Verbindung zwischen 2 oder mehreren Bluetooth Geräten genutzt wird

Link Manager Protocol (LMP)


Verantwortlich für den Aufbau, die Authentifizierung und Verschlüsselung von Funkkanälen zwischen zwei kommunizierenden Bluetooth Einheiten

Local Area Identifier (LAI)


2 Byte langer Code, der den Teilnehmer in der Location identifiziert, in der er sich gegenwärtig aufhält.

Location Tracking


Protokollierung des Aufenthaltsort in Verbindung mit dem Zeitpunkt eines Gerätes oder einer Person.

Management Information base (MIB)


Baumförmig strukturierter Datenbestand einer Netzwerkkomponente, die das SNMP unterstützt.

Man-In-The-Middle Attacke


Angriffsart, bei der der Angreifer sich in eine legitime Verbindung zweier Kommunikationspartner zwischenschaltet und sich gegenüber den Teilnehmern als jeweils der andere Partner ausgibt.

Master Key


Ein Master Key oder Temporal Key wird übergangsweise zwischen mehr als 2 Bluetooth Geräten verwendet, damit der Master allen Slavegeräten des Piconets gleichzeitig verschlüsselte Nachrichten zukommen lassen kann.

Media Access Control (MAC)


Jede Netzwerkkarte besitzt eine weltweit einmalige hexadezimale Hardware Adresse. Sie wird auch Media Access Control (MAC) Adresse genannt, die die weltweit eindeutige, unveränderliche 48 Bit lange Hardwareadresse einer Netzwerkkarte beschreibt.

Message Authentification Code (MAC)


Es handelt sich hier um einen Hashwert, der mittels eines Hashverfahrens und eines geheimen Schlüssels über die Nachricht gebildet wird, der der MAC angehängt wurde. Der MAC dient zur Sicherung der Herkunftsauthentizität

Milenage


Ein Verschlüsselungsalgorithmus, der im Rahmen einer UMTS Authentifizierung eingesetzt wird. Ferner wird er zur Schlüsselerzeugung verwendet

National Institute of Standards and Technology (NIST)


Die NIST fördert den OSI Implementors Workshop (OIW), der ein offenes Forum für die Entwicklung von in den USA gültigen Vereinbarungen für offene Standards darstellt. Legte den Advanced Encryption Standard fest.

National Security Agency (NSA)


Amerikanischer Geheimdienst, der den Auftrag hat, fremde Nachrtichtenverbindungen abzuhören und die Nachrichtenkommunikation der eigenen Regierung zu schützen.

Netzwerkmanagement


Aufgabenfeld eines Netzwerkadministrators, das das Management eines Netzwerkes bezeichnet.

Paketvermittlung (Packet switched Network)


Informationen werden in Datenpakete aufgeteilt und unabhängig voneinander auf verschiedenen Verbindungsstrecken zum Bestimmungsort befördert. Für mobilen Zugang ist das Verfahren besonders attraktiv, denn es beansprucht nur dann Bandbreite, wenn tatsächlich Daten übertragen werden. GPRS ist zum Beispiel ein paketorientiertes Verfahren. Die Alternative zur Paketvermittlung ist das Leitungsvermittlungsverfahren.

Personal Identification Number (PIN)


Dient dazu, Bluetooth Geräten eine initiale Kontaktaufnahme inklusive Authentifizierung zu ermöglichen.

Piconet


Bezeichnet eine Ansammlung von 2 bis 8, miteinander kommunizierenden Bluetooth Einheiten.

Point-to-Point Tunneling Protocol (PPTP)



Sicherungsprotokoll auf der zweiten Ebene des ISO/OSI Basisreferenzmodells. Entwicklung von einem Konsortium um Microsoft.

Quality of Service (QoS)


garantierte Verfügbarkeit von Bandbreite als Qualitätsmerkmal paketvermittelter Leitungen und zukünftig GPRS

RAND


Bezeichnung für eine Zufallzahl

Remote Authentication Dial-In User Service (RADIUS)


Verfahren, damit RAS-Server Zugangsberechtigungen (Username, Passwort) anhand einer zentralen Rechte-Datei überprüft werden können; RADIUS ist in der Regel ein Prozess auf einem Unix-Rechner

Replay Attacken


Angriffe durch Wiedereinspielung von vorher aufgezeichneten Signalisierungsdaten oder Authentifizierungsdaten. Wird z.B. durch die Nutzung von Zeitstempeln oder Sequenznummern verhindert

Response


siehe Challenge

Rijndael


Blockverschlüsselungsverfahren, das von der amerikanischen NIST in einem offiziellen Wettbewerb zu AES, dem Nachfolger des DES Verfahrens gewählt wurde.

Rivest Cipher 4 (RC4)


Entwicklung des amerikanischen Krpytographen Ron Rivest, der diesen Stromverschlüsselungsalgorithmus für die amerikanische Firma RSA Data Security Inc. entwarf.

Rivest Shamir Adlemann (RSA)


Public-Key-Verschlüsselungsverfahren von Rivest, Shamir und Adleman, das auf der Problematik beruht, große Zahlen in ihre Primfaktoren zu zerlegen

Rogue Basestation


Unerlaubte Basisstation, die von einem Angreifer oder aber unter Umständen von den Mitarbeitern einer Firma selbst aufgestellt wurde, um das Netz um drahtlose Arbeitsumgebungen zu erweitern.

Routing Area Identification (RAI)


Dient dazu, den Teilnehmer in der Area zu identifizieren, in der er sich gerade aufhält

Scatternet


Bezeichnung für eine Überlagerung der Übertragungsreichweite von mehreren Piconets

Secure and Fast Encryption Routine (SAFER)


Blockverschlüsselungsalgorithmus. Entwicklung der amreikanischen Firma Cylink. War erfolglos Kandidat für den AES. Cylink arbeitet eng mit der amerikanischen Regierung und damit vermutlich auf mit den amerikanischen Geheimdiensten zusammen.

Sequenznummer (SQN)


In UMTS verwendet, um eine Authentifizierung des Netzes gegenüber der MobilStation zu ermöglichen

Service Set ID (SSID)


ID eines Access Points in eines Wireless LAN, kann geändert werden

Shared Secret


Es handelt sich um ein gemeinsames Geheimnis, das zwei Verbindungspartner jeweils kennen müssen, um eine Authentifizierung oder Verschlüsselung miteinander durchführen zu können.

Sicherheitsmanagement


Teilbereich des Netzwerkmanagements, das sich unter anderem mit der Sicherheit in Netzwerken befasst.

SIM Application Toolkit


Gewährt Third-Party Herstellern einen einheitlichen Zugriff auf die GSM SIM Funktionalität

Simple Network Management Protocol (SNMP)


Protokoll, um in einem Netzwerk Daten von Netzwerkkomponenten abzufragen, oder diese zu steuern. Wird im Rahmen des Netzwerkmanagements eingesetzt.

Subscriber Identity Module (SIM)


Karte einer GSM Mobilstation, die teilnehmerspezifische Daten und unter anderem den A8 Algorithmus enthält











Symmetrische Kommunikation












Zwei-Weg-Kommunikation, bei der in beiden Richtungen die Übertragung gleich großer Datenmengen stattfindet. Symmetrische Kommunikation wird unter anderem bei Videokonferenzen verwendet, aber nicht bei Video-on-demand.

Temporal Key


Siehe Master Key

Temporal Key Integrity Protocol (TKIP)


Noch in Entwicklung der Task Group i der IEEE. Beinhaltet FPK und neueren Algorithmus zur Integritätssicherung. Mit TKIP soll noch Abwärtskompatibilität zu WEP gewahrt werden





Temporary Mobile Subscriber Identity (TMSI)






Temporäre Identität, die nur in der Location oder Routing Area gültig ist, in der Teilnehmer gegenwärtig registriert ist



Temporary Mobile User Identity (TMUI)


Temporäre Identität des Teilnehmers, die nur vom VLR erzeugt wird

Time Division Multiple Access (TDMA)


Zur Zeit ist auch die Bezeichnung "ANSI-136" geläufig. Der Standard wird auf dem amerikanischen Kontinent, im asiatisch-pazifischen Raum und in anderen Gebieten verwendet. Dienste stehen für die Frequenzbereiche 800 MHz und 1900 MHz zur Verfügung.

UMTS Encryption Algorithms (UEA)


Die Verschlüsselungsalgorithmen, sich sich innerhalb von UMTS zu Verschlüsselung nutzen lassen.

UMTS Integrity Algorithms (UIA)


Die Integritätsalgorithmen, sich sich innerhalb von UMTS zu Integritätssicherung nutzen lassen.

UMTS Terrestrial Radio Access Network (UTRAN)


Name für den Teil des UMTS-Netzwerks (RNC und Base Stations), der die Schnittstelle zwischen alten GSM Geräten und dem UMTS Netz bildet.

Unit Key


Ein Geräteschlüssel eines Bluetooth Gerätes, der während seiner Lebensdauer so gut, wie nie geändert wird. Wird bei speicherarmen Bluetooth Geräten als Link Key verwendet.

Universal Mobile Telecommunications System (UMTS)


Dieses System stellt 3G-Dienste bereit. UMTS löst das GSM Mobilfunksystem ab.

Universal Subscriber Identity Module (USIM)


Karte einer UMTS Mobilstation. Dieses ist das Pendant zur GSM SIM Karte.

User Identity Decryption Node (UIDN)


Der UIDN stellt einen Netzknoten im HE dar, der für den Teilnehmer die Entschlüsselung der IMSI und die Berechnung der „Temporary Encrypted Subscriber Identity“ (TEMSI) übernimmt.

USIM Application Toolkit


Gewährt Third-Party Herstellern einen einheitlichen Zugriff auf die UMTS USIM Funktionalität

Virtual Private Network (VPN)


Verbindung, die zwischen Rechnern in einer offenen, nicht vertrauenswürdigen (hostile) Netzumgebung aufgebaut werden kann und so ein virtuelles, privates Netzwerk ermöglicht.

Visitor Location Register (VLR)


Datenbank mit Kopien aus dem HLR und Informationen zum Aufenthaltsort des Teilnehmers. Verwaltet die TMSI

War Driving


Bezeichnet das Aufspüren und Nutzen von Firmen-Funknetzen meist zur unrechtmässigen Nutzung ihres Zugangs zum Internet.



WEP2002




Völlig neues Sicherheitskonzept für drahtlose LANs. Soll WEP in naher Zukunft völlig ersetzen und ist nicht abwärtkompatibel

WEPplus


Entwicklung von Agere Systems. Wird genutzt, um für das angeschlagene WEP Protokoll bessere Initialisierungsvektoren zu generieren.



Wideband Code Division Multiple Access (WCDMA)




Ermöglicht eine große Anzahl gleichzeitiger störungsarmer Verbindungen und eine Kapazitätserweiterung in zellularen Funknetzen.



Wireless Equivalent Privacy (WEP)




Sicherungsprotokoll für Funksysteme nach IEEE 802.11 Standard. Sollte gleichwertige Sicherheit, wie bei Benutzung von Kabeln schaffen.

Wireless LAN (WLAN)


Drahtloses Funknetzwerk nach dem IEEE Standard 802.11

Wireless Personal Area Network (WPAN)


Drahtloses Netzwerk auf kleinstem Raum nach IEEE 802.15. Meist zum Anschluss von Peripherie oder zur Synchronisation von PDAs mit Computern. Beispielsweise Bluetooth ist ein WPAN.








8 Anhänge
8.1 A5/1 Algorithmus in C Quellcode



typedef struct {

unsigned long rl,r2,r3;

} a5 ctx;



static int threshold(rl, r2, r3)

unsigned int rl;

unsigned int r2.

unsigned int r

{

int total;



total = (((r1 >> 9) & 0x1) == 1) +

(((r2 >> 11) & 0x1) == 1) +

(((r3 >> 11) & 0x1) == 1);



if (total > 1)

return (0);

else

return (1):

}



unsigned long clock_r1(ctl, r1)

int ctl

unsigned lonq r1:

{

unsigned long feedback;



ctl ^= ((rl >> 9) & Oxl);

if (ctl)

{

feedback = (r1 >> 18) ^ (r1 >> 17) ^ (r1 >> 16) ^ (r1 >> 13);

r1 = (r1 << 1) & Ox7ffff;

if (feedback & 0x01)

r1 ^= 0x01:

}

return (r1);

}



unsigned long clock_r2(ctl, r2)

int ctl;

unsigned long r2;

{

unsigned long feedback;



ctl ^= ((r2 >> 11) & 0x1);

if (ctl)

{

feedback = (r2 >> 21) ^ (r2 >> 20) ^ (r2 >> 16) ^ (r2 >> 12);

r2 = (r2 << 1) & 0x3fffff;

if (feedback & 0x01)

r2 ^= 0x01;

}

return (r2):

}



unsigned long clock_r3(ctl, r3)

int ctl

unsigned long r3;

{

unsigned long feedback;



ctl ^= ((r3 >> 11) & 0x1,

if (ctl)

{

feedback = (r3 >> 22) ^ (r3 >> 21) ^ (r3 >> 18) ^ (r3 >> 17);

r3 = (r3 << 1) & 0x7fffff;

if (feedback & 0x01)

r3 ^= 0x01:

}

return (r3);

}



int keystream(key, frame, alice, bob)

unsigned char *key; /* 64 bit session key */

unsigned long frame; /* 22 bit frame sequence number */

unsigned char *alice; /* 114 bit Alice to Bob key stream */

unsigned char *bob; /* 114 bit Bob to Alice key stream */

{

unsigned long rl; /* 19 bit shift register */

unsigned long r2; /* 22 bit shift register */

unsigned long r3; /* 23 bit shift register */

int i; /* counter for loops */

int clock_ctl; /* xored with clock enable on each shift register

unsigned char *ptr; /* current position in keystream */

unsigned char byte; /* byte of keystream being assembled */

unsigned int bits; /* number of bits of keystream in byte */

unsigned int bit; /* bit output from keystream generator */



/* Initialise shift registers from session key */



r1 = (key[0] I (key[1] << 8) 1 (key[2] << 16) ) & 0x7ffff;

r2 = ((key[2] >> 3) 1 (key[3] << 5) 1 (key[4] << 13) 1 (key[5] << 21)) &

0x3fffff;

r3 = ((key[5] >> 1) 1 (key[6] << 7) 1 (key[7] << 15) ) & 0x7fffff;



/* Merge frame sequence number into shift register state, by xor'ing it

* into the feedback path

*/

for (i=0;i<22;i++)

{

clock_ctl = threshold(r1, r2, r2);

r1 = clock r1(clock_ctl, r1);

r2 = clock_r2(clock_ctl, r2);

r3 = clock_r3(clock_ctl, r3);

if (frame & 1)

{

r1 ^= 1;

r2 ^= 1;

r3 ^= 1;

frame = frame >> 1;

}



/* Run shift registers for 100 clock ticks to allow frame number to

* be diffused into all the bits of the shift registers

*/



for (i=0;i<100;i++)

{

clock_ctl = threshold(r1, r2, r2);

r1 = clock r1(clock_ctl, r1);

r2 = clock_r2(clock ctl, r2);

r3 = clock r3(clock_ctl, r3);

}



/* Produce 114 bits of Alice->Bob key stream */



ptr = alice;

bits = 0;

byte = 0;

for (i=0;i<114;i++)

{

clock_ctl = threshold(r1, r2, r2);

r1 = clock rl(clock_ctl, r1);

r2 = clock_r2(clock ctl, r2);

r3 = clock_r3(clock_ctl, r3);



bit = ((rl >> 18) ^ (r2 >> 21) ^ (r3 >> 22)) & 0x01;

byte = (byte << 1) | bit;

bits++;

if (bits == 8)

{

*ptr = byte;

ptr++;

bits = 0;

byte = 0;

}

}

if (bits)

*ptr = byte;



/* Run shift registers for another 100 bits to hide relationship between

* Alice->Bob key stream and Bob->Alice key stream.



for (i=0;i<100;i++)

{

clock_ctl = threshold(r1, r2, r2);

r1 = clock_r1(clock_ctl, r1);

r2 = clock r2(clock_ctl, r2);

r3 = clock r3(clock ctl, r3);

}



/* Produce 114 bits of Bob->Alice key stream



ptr = bob;

bits = 0:

byte = 0;

for (i=U;i<114;i++)

{

clock_ctl = threshold(r1, r2, r2);

r1 = clock r1(clock_ctl, r1);

r2 = clock_r2(clock ctl, r2);

r3 = clock_r3(clock ctl, r3);



bit = ((r1 >> 18) ^ (r2 >> 21) ^ (r3 >> 22)) & 0x01;

byte = (byte << 1) | bit;

bits++;

if (bits == 8)

{

*ptr = byte;

ptr++

bits = 0;

byte = 0;

}

}

if (bits)

*ptr = byte;



return (0);



}



void a5_key(a5_ctx *c, char *k)(

c->rl = k[0]<<11|k[1]<<3 | k[2]>>5 ; /* 19 */

c->r2 = k[2]<<17|k[3]<<9 | k[4]<<1 I k[5]>>7; /* 22 */

c->r3 = k[5]<<15|k[6]<<8 | k[7] ; /* 23 */

}



/* Step one bit in A5, return 0 or 1 as output bit. */

int a5_step(a5 ctx *c){

int control;

control = threshold(c->r1,c->r2,c->r3);

c->r1 = clock_r1(control,c->r1);

c->r2 = clock_r2(control,c->r2);

c->r3 = clock_r3(control,c->r3);

return( (c->r1^c >r2^c->r3)&1);

}



/* Encrypts a buffer of len bytes. */

void a5_encrypt(a5_ctx *c, char *data, int len)l

int i,j;

char t;



for(i=0:i<len i++)

for(j=0;j<8;j++) t = t<<1 | a5_step(c)

data^=t;

}

}



void a5_decrypt(a5_ctx *c, char *data, int len){

a5_encrypt(c,data,len);

}



void main(void){

a5_ctx c;

char data[100];

char key[] = {1,2,3,4,5,6,7,8};

int i,flag;



for(i=0;i<100;i++) data = i;



a5_key(&c,key);

a5_encrypt(&c,data,100);



a5_key(&c,key);

a5_decrypt(&c,data,1);

a5_decrypt(&c,data+1,99);



flag = 0;

for(i=0;i<100;i++) if(data!=i)flag = 1;

if(flag)printf("Decrypt failed\n"); else printf("Decrypt succeeded\n");

}




9 Index
10 Literatur

[Borisov01]


Security of the WEP Algorithm [online][*.htm], Copyright : Nikita Borisov, Ian Goldberg, David Wagner [28.01.2002], erhältlich im Internet unter

http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

[Bruce01]


Schneier, Bruce : Angewandte Kryptographie. Addison Wesley, 2001.

[BsecP01]


Specification of the Bluetooth System - Profiles [online][*.pdf], Copyright : 2001 Bluetooth.org [02.02.2002], erhältlich im Internet unter http://www.bluetooth.com/pdf/Bluetooth_11_Profiles_Book.pdf

[BsecS01]


Specification of the Bluetooth System - Core [online][*.pdf], Copyright : 2001 Bluetooth.org [02.02.2002], erhältlich im Internet unter http://www.bluetooth.com/pdf/Bluetooth_11_Specifications_Book.pdf

[CCC01]


GSM Cloning : Technischer Hintergrund [online][*htm], Copyright : 2001 Chaos Computer Club [21.03.2002], erhältlich im Internet unter http://www.ccc.de:8080/thema/gsm/

[DKgolem01]


Drahtlose Kommunikation ist ein extremes Sicherheitsrisiko [online][*.htm], Copyright : 2002 Golem Redaktion [19.02.2002], erhältlich im Internet unter http://www.golem.de/0202/18068.html

[Funck00]


Authentifizierungsprotokolle und Sicherheitsmechanismen im Mobilfunk [online][*.pdf], Copyright : 2000 Thomas Funck [14.03.2002], erhältlich im Internet unter http://wwwhegering.informatik.tu-muenchen.de/Events/Sarntal/Sarntal2000/sicherheit-mobilfunk.pdf

[Gold01]


GSM Cloning [online][*.htm], Copyright : 2000 David Wagner und Ian Goldberg. [21.03.2002], erhältlich im Internet unter http://www.isaac.cs.berkeley.edu/isaac/gsm.html

[Golic97]


Cryptanalysis of Alleged A5 Stream Cipher [online][*.htm], Copyright : 1997 Jovan Dj. Golic [25.03.2002], erhältlich im Internet unter http://jya.com/a5-hack.htm

[HotSpot02]


Funknetze: Hot Spots heißer als erwartet [online][*.htm], Copyright : 2002 Heise Redaktion [19.02.2002], erhältlich im Internet unter http://www.heise.de/newsticker/data/ea-18.02.02-000

[ikm02]


Vorlesung Sicherheitsmanagement [online][*.pdf], Copyright : 2001 Universität Zürich [02.03.2002], erhältlich im Internet unter http://www.ifi.unizh.ch/ikm/Vorlesungen/IM2/SS01/IM2_files/Vorlesung/sicherheitsmgmt_9.pdf

[Jakob01]


Security Weaknesses in Bluetooth [online][*.pdf], Copyright : 2001 RSA Security [08.04.2002], erhältlich im Internet unter http://www.rsasecurity.com/rsalabs/staff/bios/mjakobsson/bluetooth/bluetooth.pdf

[Klaus01]


Wireless LAN Security FAQ [online][*.pdf], Copyright : Internet Security Systems Inc., Author : Christopher W. Klaus [31.01.2002], erhältlich im Internet unter

http://documents.iss.net/whitepapers/wireless_LAN_security.pdf

[Kowalk02]


W. Kowalk: Rechnernetze

http://einstein.kowalk.informatik.uni-oldenburg.de/rechnernetze/

[Kowalk94]


W. Kowalk/M. Burke: Rechnernetze. Teubner 1994.





[Meuser02]


Auf Horchposten im Funknetz (LANline 01/2001) [online][*.htm], Copyright : Peter Meuser [31.01.2002], erhältlich im Internet unter

http://www.lanline.de/aktuelle-ausgabe/01_2002/lan_0102_024.html

[Mishra02]


An Initial Analysis of the IEEE 802.1X Standard [online][*.pdf], Copyright : 2002 Arunesh Mishra, William A. Arbaugh [18.02.2002], erhältlich im Internet unter http://www.rsasecurity.com/rsalabs/technotes/wep-fix.html

[Nist02]


AES - Advanced Encryption Standard [online][*.htm], Copyright : 2002 NIST [19.02.2002], erhältlich im Internet unter http://csrc.nist.gov/encryption/aes/

[Peson99]


GSM Interception [online][*.htm], Copyright : 1999 Lauri Pesonen [25.03.2002], erhältlich im Internet unter http://www.dia.unisa.it/ads.dir/corso-security/www/CORSO-9900/a5/Netsec/netsec.html - chap4

[Repp00]


Sicherheitskonzepte des UMTS Standards [online][*.pdf], Copyright : 2000 Dirk Reppekus [14.03.2002], erhältlich im Internet unter http://www.fernuni-hagen.de/NT/kurse/sem_2000/umts.pdf

[RSA01]


WEP Fix using RC4 Fast Packet Keying [online][*.htm], Copyright : 2001 RSA Security [13.02.2002], erhältlich im Internet unter http://www.rsasecurity.com/rsalabs/technotes/wep-fix.html

[Rul00]


Bluetooth Datensicherheit (Folien) [online][*.pdf], Copyright : 2000 Universität Siegen [02.03.2002], erhältlich im Internet unter http://www.datensicherheit.nrw.de/dokumente/ws001129/talk6.pdf

[Saf98]


SAFER+ - Cylink Coperation’s Submission for the Advanced Encryption Standard [online][*.pdf], Copyright : 1998 Cylink Coperation [11.03.2002], erhältlich im Internet unter http://csrc.nist.gov/encryption/aes/round1/conf1/saferpls-slides.pdf

[Schmidt02]


Schmidt, Michael

„Datenpanzer - Alternativen zur Funknetzverschlüsselung WEP“. c’t, Ausgabe 4/2002, S.178-180

[Span00]


Sicherheitsaspekte von Ad-Hoc Netzwerken am Beispiel von Bluetooth (Seminararbeit) [online][*.pdf], Copyright : 2000 Martin Kähmer [02.03.2002], erhältlich im Internet unter http://www-i4.informatik.rwth-aachen.de/teaching/seminars/arbeiten/ws00-01/Security-AdHoc-Bluetooth.pdf

[Strom01]


Sicherheit aktuell verwendeter Stromchiffren [online][*.pdf], Copyright : 2000 Fernuniversität Hagen [12.03.2002], erhältlich im Internet unter http://ks.fernuni-hagen.de/aktuelles/archiv/23.5.pdf

[Stubble01]


Using the Fluhrer, Mantin, and Shamir Attack to break WEP [online][*.pdf], Copyright : 2001 Rice University [08.04.2002], erhältlich im Internet unter http://www.cs.rice.edu/~astubble/wep_attack.pdf

[TR3390000]


A guide to 3rd Security TR 33.900 [online][*.pdf], Copyright : 2000 3GPP [25.03.2002], erhältlich im Internet unter ftp://ftp.3gpp.org/TSG_SA/WG3_Security/_Specs/33900-120.pdf

[Ziff01]


Exploiting and protecting 802.11b Wireless Networks [online][*.htm], Copyright : 2001 Ziff Davis Media Inc. [13.02.2002], erhältlich im Internet unter http://www.extremetech.com/print_article/0,3428,a%3D13880,00.asp

[Zyren01]


IEEE 802.11 Tutorial [online][*.pdf], Copyright : Jim Zyren, Al Petrick [28.01.2002], erhältlich im Internet unter http://www.wi-fi.org/downloads/IEEE_80211_Primer.pdf






[1] Da dem Sicherheitsmanager in diesem Fall keine Daten über die Sicherheitsklasse des Dienstes zur Verfügung steht, entscheidet er nur danach, ob das Gerät als vertrauenswürdig oder nicht vertrauenswürdig gilt.

[2] begrenzt den Einfluss von Störsignalen, besonders bei Langstreckenverbindungen

[3] Bitte beachten Sie, dass im Bluetooth Standard und in der weiteren Ausführung der E(2) Algorithmus zu Unterscheidung der beiden Modi entweder E21 (Modus 1) oder E22 (Modus 2) genannt wird.

[4] Dieser fand heraus, dass für jeden Schlüssel mindestens 1 bis zu 9 Schlüssel existierten, der bestimmte unterschiedliche Klartexte in identische Chiffretexte verschlüsselt. Dies ist kein Beweis für eine verminderte Sicherheit von SAFER als Verschlüsselungsalgorithmus, verringert aber die Sicherheit bei seinem Einsatz als Einweg-Hashfunktion bei weniger als 8 Durchläufen.

[5] Wie solche Attacken ablaufen können, ist im Kapitel 3.5 „War Driving“ weiter unten beschrieben

[6] Welche Wireless LAN Karten unterstützt werden, ist programmabhängig, es werden im allgemeinen aber bekanntere Karten von Cisco oder Lucent unterstützt.

[7] Dieses Problem ist laut der Wireless Ethernet Compatibility Alliance (WECA) aber schon behoben.

[GK1]oder C++ ?
 
Oben