Protocolos de Autenticacin y Canales Annimos enGSM

Alberto Peinado

Dept. Ingeniera de Comunicaciones, E.T.S.I. Telecomunicacin,Universidad de Mlaga

Campus de Teatinos, E-29071 Mlaga, Spainapeinado@ic.uma.es

Abstract. En este artculo se presenta un protocolo eficiente de autenticacinpara canales annimos usando los algoritmos A3/A8/A5. Este protocolo se deri-va de la propuesta realizada recientemente por Lee, Hwang y Yang en [4] parala autenticacin en GSM, en combinacin con el protocolo para canales anni-mos presentado por Lin y Jan en [5].

1 Introduccin

El sistema de comunicaciones mviles GSM es un sistema ampliamente utilizado querepresenta el estndar europeo de comunicaciones mviles de segunda generacin.Aunque el enorme incremento en el nmero de usuarios de comunicaciones mvilesha venido de la mano de este sistema, todava existe cierta preocupacin por dos as-pectos fundamentales; esto es, la privacidad y la autenticacin, que como es bien sabi-do, son la pieza fundamental en la seguridad de las comunicaciones, pero que en elcaso de GSM se ha demostrado poco robusta. A pesar de ello, la considerable mejoraen la calidad del servicio ofrecido a los usuarios y el abaratamiento de los costes de losterminales no ha impedido la masiva utilizacin del sistema, que ya se encuentra enfase de adaptacin al nuevo sistema de tercera generacin UMTS.

La arquitectura del sistema GSM [8] se compone de las estaciones mviles (MS) quese comunican a travs de enlaces radioelctricos con las estaciones base (BS), lascuales se encuentran conectadas a centros de conmutacin mviles (MSC). EstosMSC, que estn interconectados, son los encargados de facilitar la conexin entre losenlaces radioelctricos y la red fija. Por otra parte, el sistema dispone de una base dedatos denominada HLR que contiene el registro de todos los usuarios del sistema juntocon su localizacin, y de otra base de datos VLR ubicada en cada MSC que contieneinformacin de los usuarios visitantes en su rea de localizacin. El AUC es el centrode autenticacin de usuarios que contiene las claves individuales Ki de cada usuario, yes en consecuencia parte fundamental del proceso de autenticacin.

Si bien es cierto que UMTS ha redefinido sus funciones y servicios relacionados conla privacidad y la autenticacin con el fin de solucionar los problemas que presentabaGSM, tambin lo es el hecho de que GSM no va a desaparecer de inmediato. Es poresto, que todava continan apareciendo nuevas propuestas para mejorar la autentica-cin en GSM, definida en la recomendacin 02.09 [10] cuyos problemas se puedenresumir en los siguientes cuatro puntos:

a) GSM no proporciona al usuario la posibilidad de autenticar las estaciones base alas que se conecta.

b) GSM genera un excesivo consumo de ancho de banda entre las bases de datosHLR y VLR, debido al tipo de autenticacin utilizado.

c) El mecanismo de autenticacin obliga a los VLR a disponer de un gran espacio dealmacenamiento a los VLR

d) La autenticacin de los usuarios sobrecarga en exceso al HLR

A consecuencia de esto han venido apareciendo diversas propuestas que han intentadosolucionar total o parcialmente los mencionados problemas, al tiempo que proporcio-naban algn servicio adicional como el no-repudio o la utilizacin de canales anni-mos. Por ejemplo, en 1998 Al-Tawil et al [1] propusieron un nuevo mtodo de auten-ticacin con menor tasa de trfico de sealizacin y menor tiempo de establecimientode llamada, aunque no consegua resolver los problemas del protocolo original. Porotro lado, Lo y Chen, en 1999 [6,7] propusieron un nuevo sistema de comunicacionesseguras para GSM basado en criptografa de clave pblica. El gran inconveniente deesta propuesta es que propone una arquitectura completamente distinta a la original.En cualquier caso, y aunque los problemas exclusivos de la autenticacin quedabanresueltos, los derivados del aumento del trfico entre VLR y HLR, el espacio de alma-cenamiento en los VLR , y la sobrecarga del HLR seguan estando presentes. Parale-lamente, Stach [9] present una modificacin que proporcionaba no repudio de servi-cio gracias a la utilizacin de una funcin unidireccional adicional.

La primera propuesta que consigue eliminar parcialmente los problemas del protocolooriginal sin alterar la arquitectura original de GSM se debe a Lee et al [3], que resuel-ve los problemas b)-d). Recientemente, Lee et al [4] han propuesto una extensin delprotocolo de autenticacin GSM que resuelve a)-d), consiguiendo la autenticacinmutua entre MS y BS, la reduccin del consumo de ancho de banda entre VLR yHLR, la reduccin del tamao de almacenamiento necesario en los VLR, y la descargadel HLR permitiendo la autenticacin del MS por parte del VLR, sin necesidad deacudir en todo momento al HLR.

Este ltimo protocolo [4] sirve de punto de partida para la propuesta que se presentaen este artculo con el objetivo de proporcionar, adems, autenticacin sobre canalesannimos en GSM. Por otra parte, el protocolo de Lin y Jan [5] para autenticacinsobre canales annimos permite desarrollar en combinacin con [4] un protocolo efi-ciente de autenticacin sobre canal annimo en GSM que satisfaga los requisitos men-

cionados. Es importante mencionar que slo es utilizable la estructura general de [5],puesto que se ha demostrado en [2] la vulnerabilidad del principio de autenticacin,consiguiendo acceder ilegalmente al sistema mediante la generacin de tickets falsos.

Las siguientes secciones describen el protocolo original de autenticacin definido paraGSM, el protocolo de Lee et al [4] y el protocolo de autenticacin de canales anni-mos de Lin y Jan [5] cuya estructura general sirve de inspiracin a la propuesta de esteartculo. Finalmente, la seccin 5 presenta el protocolo propuesto para autenticacinsobre canales annimos.

2 Protocolo original de autenticacin GSM

La seguridad del sistema GSM est basada en los algoritmos A3, A5 y A8, de tal mo-do que A5 es el responsable de cifrar las comunicaciones entre MS y BS mediante unaclave de sesin K

c, que se establece previamente entre MS y BS, una vez que el MS ha

sido autenticado. Para ello, el MS debe calcular y devolver al sistema una respuestaSRES

m a partir de un desafo RAND que debe cifrar con el algoritmo A3 utilizando su

clave Ki que comparte con el HLR/AUC del sistema. Ese mismo desafo RAND sirvepara calcular la clave de sesin K

c mediante el algoritmo A8 y la clave Ki.

El proceso de autenticacin comienza cuando el MS cambia de localizacin y enva alVLR una peticin de autenticacin que contiene su identificacin temporal TMSI y eldel rea de localizacin LAI. Este nuevo VLR a partir del TMSI y a travs del antiguoVLR obtiene la identificacin IMSI del MS, para indicar al HLR del sistema queusuario es el que est solicitando la autenticacin. Cuando el HLR recibe la peticingenera n tros (RANDi, SRESi, Kci) que enva al nuevo VLR.

El VLR debe almacenar esos tros de parmetros con el fin de utilizarlos en sucesivasautenticaciones de este mismo MS. En cada una de estas autenticaciones el VLR envaal MS el desafo RANDi. El MS calcula SRESm = A3(Ki, RANDi) y lo devuelve al VLR,que lo compara con el SRESi del correspondiente tro que ha sido generado por HLR,y calcula tambin la clave de sesin K

c = A8(Ki, RANDi) que utilizar para cifrar las

posteriores comunicaciones.

Por ltimo, cuando el VLR recibe SRESm debe comprobar si su valor coincide con

SRESi. En tal caso, el MS queda autenticado.

Como se puede comprobar, este procedimiento no proporciona autenticacin mutua,puesto que solo es autenticado el MS, pero no el VLR. Es decir, el sistema controla alos usuarios que intentan acceder, pero los usuarios no pueden controlar la autentici-dad de las estaciones base a las que se conectan. Esta situacin es la que ha permitidola obtencin de la clave de usuario Ki por parte de terceras personas, y por tanto, laclonacin de tarjetas SIM, mediante el envo sistemtico de desafos al MS.

3 Protocolo LHY de autenticacin para GSM

A continuacin se describe el protocolo de Lee et al [4] (LHY) que permite resolverlos principales problemas a)-d), incluyendo la autenticacin mutua, sin modificar laarquitectura del sistema. Esto quiere decir, que los algoritmos de cifrado y funcionesunidireccionales que se utilizan son las mismas que se definen en el protocolo original,esto es, A3, A5 y A8. Del mismo modo, cada usuario MS dispone de su clave indivi-dual Ki, que solo conoce el propio usuario a travs de su SIM y el HLR.

Este protocolo est basado en la generacin de una clave secreta temporal TKi quegenera el HLR y permite al VLR autenticar al MS sin necesidad de conectarse poste-riormente con el HLR, y sin necesidad de que el VLR conozca la clave Ki.

El procedimiento de autenticacin LHY puede describirse del siguiente modo:

a) El proceso comienza de un modo similar al de autenticacin GSM original. Estoes, El MS enva al VLR un mensaje de peticin de autenticacin que contiene elTMSI y el LAI, y al que aade un sello de tiempo T, para evitar ataques por repe-ticin.

b) Del mismo modo que en el GSM original, el nuevo VLR obtiene el IMSI del MSy lo enva al HLR junto con su identidad VLR_ID y el sello de tiempo T, utilizan-do un canal seguro.

Es importante recordar que GSM no establece ningn tipo de seguridad especficaen la parte fija del sistema.

c) Cuando el HLR recibe la peticin comprueba que la identidad VLR_ID es vliday que el sello de tiempo es actual. En caso afirmativo, el HLR genera el certifica-do de la identidad de VLR, esto es, Auth_VLRh = A3(Ki, T), y la clave temporalque utilizarn MS y VLR, esto es, TKi = A3(Ki, RAND). A continuacin, utilizan-do un canal seguro, HLR le enva al VLR los parmetros Auth_VLRh, TKi, yRAND.

d) Cuando el VLR recibe el mensaje, calcula SRES = A5(TKi, RAND1), siendoRAND1 un nmero aleatorio elegido por el propio VLR, para autenticar a MS enesta llamada. La siguiente vez que el VLR tenga que autenticar al mismo MS, ge-nerar un RANDj y a partir de l el correspondiente SRESj. De este modo se liberaal HLR de gran parte de la sobrecarga debida al proceso de autenticacin.A continuacin el VLR enva al MS un mensaje con los parmetros RAND,RAND1, Auth_VLRh, y T.

e) Cuando el MS recibe el mensaje comprueba que el certificado Auth_VLRh de laindentidad de VLR es correcto, pues conoce Ki y T. Asimismo, calcula la clave

secreta temporal TKi, a partir de Ki y de RAND, utilizando el algoritmo A3. Porltimo, calcula SRES

m = A5(TKi, RAND1) y se lo devuelve al VLR.

f) Finalmente, el VLR compara el parmetros SRESm recibido con SRES. Si coinci-

de, entonces el MS se considera autenticado.

Ntese que este protocolo se basa en los algoritmos A3 y A5, y por tanto, la seguridaddel protocolo tambin depende de la seguridad de estos algoritmos. No hay que con-fundir en ningn caso los algoritmos genricos A3, A5 con sus implementacionesparticulares que han sido en varias ocasiones criptoanalizadas. Lo que este protocolopermite es una implementacin sencilla y eficiente, puesto que podr utilizar los algo-ritmos que el sistema GSM defina para su funcionamiento, evitando una sobrecarga delas aplicaciones que puede ejecutar la SIM del usuario.

4 Protocolo LJ de autenticacin sobre canales annimos

En [5], Lin y Jan presentan un protocolo (LJ) de autenticacin sobre canales annimospara redes inalmbricas que puede ser aplicado a GSM. Este protocolo fue diseadosuponiendo que existe o que se puede implementar una infraestructura de clave pbli-ca en el sistema, y se basa en la generacin de tickets de prepago que permitan suposterior utilizacin de forma annima. El procedimiento de autenticacin se divide endos fases: la fase de generacin del ticket, y la fase de autenticacin o utilizacin delticket.

En esta seccin no se describe con detalle el protocolo LJ, puesto que ya se ha demos-trado en [2] que el sistema es inseguro y pueden generarse tickets falsos para engaaral sistema y acceder sin nign problema. En cambio, su estructura general s que re-sulta til al ser combinada con el protocolo LHY. De un modo ms preciso, el proto-colo LJ supone que MS y HLR comparten una clave secreta Ki, y que todos los usua-rios MS conocen (y tienen almacenada en su SIM) la clave pblica eh del HLR, parapoder enviarle mensajes cifrados.

4.1 Fase de generacin del ticket

En esta fase se describe el proceso de generacin del ticket de prepago que solicita unMS para utilizarlo posteriormente de forma annima. Esta fase incluye la autentica-cin del MS por parte del HLR y la posterior autenticacin del HLR por parte del MSa travs del ticket generado.

a) MS 9/5 { }

&HUW77,'1+' ,,,,, 1

donde N1 es un numero aleatorio, T y Texpire son sellos de tiempo, y Certi es la informa-cin de autenticacin que utilizar el HLR

( )

77,'&HUW ,,= (1)

En este paso, MS enva a VLR informacin para que sea transferida al HLR, de for-ma que VLR no tenga acceso a ella. La nica informacin que VLR debe conocer esla identidad HD de HLR

b) VLR +/5 { }

&HUW77,'1 ,,,,1

c) HLR 9/5 ( )

7'&1 ,,,1

siendo (C,D,Texpire) el ticket generado por HLR. Los detalles de generacin de C y D

son omitidos por simplicidad. Basta considerar que existe una relacin matemticaentre ellos (que ha sido criptoanalizada en [2]) y que dependen de un parmetro oclave secreta que solo HLR conoce.

d) VLR 06 ( )

7'&1 ,,,1En este caso, VLR enva un mensaje de broadcast a todos los usuarios, de modo que eldestinatario real lo pueda identificar a travs del valor de N1.

e) MS comprueba que el ticket es vlido. Para ello comprueba las relaciones mate-mticas que existen entre ellos y la clave secreta de HLR, a travs de la clave pblicaque todos conocen.

Si la autenticacin es afirmativa, el MS considera que el ticket (C, D, Texpire) es vlido,

es decir, que lo ha emitido el HLR de su sistema. Como se puede observar, esta fasedel protocolo implementa autenticacin mutua entre MS y HLR.

4.2 Fase de utilizacin del ticket

Cuando el MS quiere utilizar un canal annimo debe utilizar el ticket generado pre-viamente por el HLR. Para ello, debe generar un identificador distinto en cada ocasin(y por tanto annimo) NewID.

a) MS VLR: NewID, T, Texpire

donde NewID = yh||B||E, esto es, la concatenacin de yh, B y E, donde B y E se generana partir de valores aleatorios combinados con el parmetro C del ticket.

b) VLR 06 r

siendo r un nmero aleatorio.

c) MS 9/5 K,L

donde K y L se generan a partir de valores aleatorios combinados con el parmetro Ddel ticket y el desafo r recibido.

d) VLR comprueba la validez del ticket a travs de las relaciones que deben cumplirlos parmetros L, K, B, E, y la clave pblica del HLR

Como se puede observar, en la fase de autenticacin no es necesaria la participacindel HLR. Por otra parte este protocolo no indica nada respecto de las claves de sesina utilizar una vez conseguida la autenticacin annima.

5 Protocolo de autenticacin para canales annimos en GSM

A continuacin se presenta un nuevo protocolo de autenticacin sobre canales anni-mos basado en la generacin de claves temporales TKi para los VLR que utiliza elprotocolo LHY, y en la generacin tickets de prepago con caducidad temporal queutiliza el protocolo LJ, estableciendo, por tanto, dos fases: la de generacin del ticket yla de utilizacin o autenticacin annima.

El objetivo es proporcionar la posibilidad de utilizar los recursos del sistema de formaannima pero impidiendo que usuarios no autorizados accedan a la red. Todo ellodebe implementarse con el menor impacto sobre la arquitectura original de GSM, ysobrecargando lo menos posible la actividad de la SIM de los usuarios. Adems, elprotocolo pretende mantener las soluciones y mejoras que incorpora el LHY sobre elprotocolo original de autenticacin de GSM.

5.1 Fase de generacin del ticket.

Al igual que el protocolo LJ, consideramos la existencia de una mnima infraestructurade clave pblica, de modo que el HLR disponga de un par de claves (pblica y priva-da) a utilizar con algn criptosistema asimtrico. Por tanto, los usuarios MS debenconocer la clave pblica del HLR de sus sistema.

En esta fase se describe el proceso de generacin del ticket de prepago que solicita unMS para utilizarlo posteriormente de forma annima. Esta fase incluye la autentica-cin del MS por parte del HLR y la posterior autenticacin del HLR por parte del MSa travs del ticket generado.

a) MS 9/5 { }

!

&HUW77,'1+' ,,,,, 1

donde N1 es un numero aleatorio, T y Texpire son sellos de tiempo, y Certi es la informa-cin de autenticacin que utilizar el HLR

( ) "#

$ % &' ( $'' 77,'&HUW ,,= (2)

En este paso, MS enva a VLR informacin para que sea transferida al HLR, de for-ma que VLR no tenga acceso a ella. La nica informacin que VLR debe conocer esla identidad HD de HLR. Certi se puede obtener cifrando con A3 y usando como claveKi. De este modo no es necesario implementar otro algoritmo de cifrado en la SIM delMS.

b) VLR +/5 { })*

+

* , -

+ .

*

+ &HUW77,'1 ,,,,1

c) HLR 9/5N1, Auth_VLRh, T, TKi, Texpire.

siendo (Auth_VLRh, TKi, Texpire) el ticket generado por HLR, donde Auth_VLRh = A3(Ki,T) y TKi = A3(Ki, Texpire).

Es importante resaltar que este mensaje debe ser enviado por una canal seguro entreHLR y VLR.

d) VLR 06N1, Auth_VLRh, T, Texpire

En este caso, VLR enva un mensaje de broadcast a todos los usuarios, de modo que eldestinatario real lo pueda identificar a travs del valor de N1.

e) MS comprueba que el ticket es vlido. Para ello comprueba que donde Auth_VLRh= A3(Ki, T) y obtiene la clave temporal TKi = A3(Ki, Texpire)

De este modo se consigue una autenticacin mutua, puesto que MS es autenticado porHLR a traves de Certi, y tanto VLR como HLR son autenticados por MS a travs deAuth_VLRh. Si la autenticacin es afirmativa, el MS considera que el ticket(Auth_VLRh, TKi, Texpire) es vlido, es decir, que lo ha emitido el HLR de su sistema.

5.2 Fase de utilizacin del ticket

Cuando el MS quiere utilizar un canal annimo debe utilizar el ticket generado pre-viamente por el HLR.

a) MS VLR: Auth_VLRh, Texpire.

b) VLR 06 RANDi

siendo RANDi un nmero aleatorio.

c) MS 9/5 SRESm

donde SRESm = A5(TKi, RANDi).

d) VLR comprueba que SRESm = A5(TKi, RANDi).

Como se puede observar, en la fase de autenticacin no es necesaria la participacindel HLR. En cuanto a la clave de sesin K

c a utilizar para cifrar posteriormente los

datos se puede continuar aplicando el mismo procedimiento que en GSM, estos es, Kc= A8(TKi, RANDi).

Por otro lado, el sistema solo tendr que acudir al HLR cuando caduque el Texpire. El

procedimiento de autenticacin es el mismo que en GSM, esto es, est basdo en unsistema desafo/respuesta, pero de tal forma que el VLR no conoce, ni puede conocerla verdadera identidad de MS.

Conclusiones

Se ha presentado un extensin o adaptacin del protocolo LHY propuesto por Lee et al[4] para que soporte la utilizacin de canales annimos, de tal modo que los VLRpuedan autenticar usuarios sin saber realmente quienes son. La adaptacin del proto-colo LHY se ha realizado aplicando algunos de los principios de funcionamiento delprotocolo LJ que Lin y Jan [5] propusieron para autenticar canales annimos en redesinalmbricas, pero que fue posteriormente criptoanalizado en [2].

Agradecimientos

Este trabajo ha sido financiado por el proyecto TIC2001-0586 Gestin del accesoseguro a redes abiertas de recursos distribuidos.

References

1. AL-TAWIL, K., AKRAMI, A., YOUSSEF, H., A new authentication protocol for GSMnetworks, Proc. IEEE 23rd Annual Conference on Local Computer Networks (LCN98),1998, pp. 21-30.

2. BARBANCHO, A.M., PEINADO, A., Cryptanalysis of anonymous channel protocol forlarge-scale area in wireless communications, Computer Networks (2003) (In Press, avail-able on line http://www.sciencedirect.com)

3. LEE, C.H., HWANG, M.S., YANG, W.P., Enhanced privacy and authentication for theglobal system for mobile communications, Wireless Networks, 5 (1999), pp. 231-243.

4. LEE, C.H., HWANG, M.S., YANG, W.P., Extension of authentication protocol forGSM, IEE Proc.-Commun., 150 (2003), pp. 91-95.

5. LIN, W.D., JAN, J.K., A Wireless-based Authentication and Anonymous Channels forLarge Scale Area, Proc. Sixth IEEE Symposium on Computers and Communications(ISCC01), 3-5 July, Tunisia, (2001), pp. 36-41.

6. LO, C.C., CHEN, Y.J., A secure communication architecture for GSM networks , Proc.IEEE Pacific Rim Conference on Communications, computers and signal processing,1999, pp.221-224.

7. LO, C.C., CHEN, Y.J., Secure communication mechanisms for GSM networks , IEEETransactions on Consumer Electronics, 45 (4), 1999, pp. 1074-1080.

8. MEHROTRA, A., GSM System Engineering, Artech House Publishers, 1997.9. STACH, J.F., PARK, E.K., MAAKI, K., Performance of an enhanced GSM protocol

supporting non-repudiation of service , Computer Communications, 22 (1999), pp. 675-680.

10. ETSI, Recommendation GSM 02.09; Security related network functions , Tech. Rep,European telecommunications Standard Institute, ETSI, June 1993.

Protocolos de Autenticacin y Canales Annimos en GSM1. Introduccin2. Protocolo original de autenticacin GSM3. Protocolo LHY de autenticacin para GSM4. Protocolo LJ de autenticacin sobre canales annimos5. Protocolo de autenticacin para canales annimos en GSMConclusionesReferencias