3G4G SIM卡安全分析与防护-郁昱.docxVIP

3G/4GSIM卡安全分析与防护

郁昱

上海交通大学密码与计算机安全实验室

(谷大武刘军荣郭筝葛毅杰等)

年初Citizenfour的一则报道

“WhentheNSA

“WhentheNSAandGCHQ

compromisedthesecurityof

potentiallybillionsofphones

(3G/4Gencryptionreliesonthe

sharedsecretresidentonthe

SIM),theynotonlyscrewedthe

manufacturer,theyscrewedallofus,becausetheonlywayto

addressthesecuritycompromiseistorecallandreplaceeverySIM.”

报告提纲

?背景

1)2G/3G/4GSIM安全

2)密码学简介,2G/GSM的密码认证协议

?我们的工作

1)3G/4G密码认证协议和MILENAGE算法

2)旁路攻击/差分功耗分析

3)策略、演示与结果

?经验教训

第一部分背景

移动通信技术(1-4G)

?1G:模拟信号

?2G:GSMvs.CDMA数字信号

?3G/4G:UMTS/LTE高速数据传输

什么是(U)SIM卡?

?(U)SIM=(Universal)SubscriberIdentityModule

?(U)SIM卡是一类智能卡(迷你计算机系统).

?SIM卡上存储了

ICCID(序列号)

IMSI(E.g.310150123456789)必威体育官网网址信息USA+ATT+idnumber

?2GSIM卡:主密钥K

?3G/4GUSIM卡:

主密钥K,运行商必威体育官网网址参数OPc,r1,…,r5,c1,…,c5.

必威体育官网网址信息窃取/破解

后带来的安全隐患

CLONING

TAPPINGTFQJANFRAUDULENTCALLS

OTPAUTHENTICATION

(U)SIM上实现了哪些密码功能?

Cryptology(密码技术)inanutshell

Cryptology=“Cryptography”+“Cryptanalysis”

?Cryptography(密码学)

保护各种信息安全属性的密码算法设计，如AES分组加密(必威体育官网网址性)、

HMAC（完整性）、SHA-3(防碰撞函数)、RSA数字签名(不可抵赖性)等

?Cryptanalysis(密码分析)

1.数学密码分析:数学上破解密码算法本身

2.物理密码分析:破解密码算法的物理实现

物理密码分析方法通常更为强大

inputoutputcrypto-system

input

output

crypto-system

(U)SIM上实现的

密码算法/协议

?AKA:AuthenticationKeyAgreement

?Authentication(认证/权鉴/鉴权):确认用户的合法身份.

例：Bob对Alice进行认证：Challenge-and-Response.

?KeyAgreement(密钥协商,用词不准确):生成sessionkey

Bob:kAlice:k“IamAlice

Bob:k

R

Checkif

Checkif

RES=Enck(R)Ks=Enck(R+1)

RES=Enck(R)

Ks=Enck(R+1)(使用Ks加密的通讯)

2GGSMAKA协议

2GGSM使用的AKA算法:COMP128-1(A3+A8)

2GGSM使用的加密算法:A5

安全性:

1.COMP128-1算法有致命缺陷(narrowpipeattacks[BGW98])

2.单向认证的局限性(伪基站攻击,DEFCON2010)

3.旁路攻击(差分功耗攻击[RRST02,ZYSQ13])

第二部分我们的工作

3G/4G相对于2G

安全措施的提升

2G

3G/4G

认证算法

COMP128-1

设计上致命缺陷

MILENAGE,基于AES-128加密算法,目前公认数学安全

认证机制

单向认证(基站认证S