[ SEGURIDAD/GSM ]
Análisis y evaluación de los parámetros de seguridad
de las comunicaciones móviles digitales celulares


Prof. Dr. Javier Areitio Bertolín
Director del Grupo de Investigación Redes y Sistemas.
ESIDE Facultad de Ingeniería. Universidad de Deusto (UD)

En este artículo se identifican, analizan y evalúan los Mecanismos Criptográficos de seguridad en torno al estándar de comunicación digital celular GSM para la Comunicación Móvil Itinerante de Información (voz, datos, fax, vídeo, etc.) con gran cobertura geográfica.

Las motivaciones referentes a la Seguridad en los Sistemas de Telecomunicaciones Celulares son asegurar las conversaciones y datos de señalización de potenciales interceptaciones así como impedir posible fraude en telefonía celular. Con los sistemas de telefonía celular analógicos más antiguos como AMPS (Advanced Mobile Phone System) y TACS (Total Access Communication System) es relativamente simple para cualquiera aficionado a cuestiones de radio interceptar conversaciones telefónicas celulares con un simple "scanner" de la policía. Otra consideración referente a la seguridad de los sistemas analógicos de telecomunicaciones celulares que tiene que ver con la identificación de credenciales utilizando el ESN (Electronic Serial Number) es que se transmite en claro (sin cifrar). Con equipos sofisticados es posible recibir el ESN y utilizarlo para cometer fraude de teléfono celular "suplantando" otro teléfono celular y realizando llamadas con él. El procedimiento en donde la estación móvil registra su localización con el sistema también es vulnerable a la interceptación y permite monitorizar la localización del abonado incluso cuando una llamada no está en progreso. Los mecanismos de seguridad (confidencialidad, autenticación, etc.) incorporados en GSM hacen que sea el estándar de comunicaciones móviles más seguro actualmente disponible, particularmente en comparación con los sistemas analógicos antes citados. Parte de la seguridad mejorada de GSM se debe al hecho de que es un sistema digital que utiliza un algoritmo de codificación de voz, modulación digital GMSK (Gaussian Minimum Shift Keying), lento salto de frecuencia y arquitectura de ranuras de tiempo TDMA (Time Division Multiple Access). Para interceptar y reconstruir esta señal deberían necesitarse equipos más caros y especializados que un simple "scanner" de la policía para realizar la recepción, sincronización y decodificación de la señal. Además, las capacidades de cifrado y autenticación aseguran la seguridad de las conversaciones de teléfono celular GSM y de las credenciales de identificación del abonado contra posibles escuchas clandestinas.

ARQUITECTURA DE GSM

La arquitectura de GSM (figura 1) consta de varios Subsistemas: (1) La Estación Móvil (ó MS, Mobile Station). Son teléfonos digitales que pueden ir integrados como terminales en vehículos, pueden ser portables e incluso portátiles. Un dispositivo denominado SIM (Subscriber Identity Module) que es básicamente una tarjeta inteligente proporciona la información del cliente sobre los usuarios como los servicios que han suscrito y su identificación en la red. (2) Subsistema de Estación Base (ó BSS, Base Station Subsystem). El BSS es una colección de dispositivos que soportan el interface de radio de redes de conmutación. Los principales componentes del BSS son: (a) Estación Tranceptora de Base (ó BTS, Base Transceiver Station) que consta de los modems de radio y el equipo de antenas. (b) El Controlador de Estación Base (ó BSC, Base Station Controller) que gestiona las actividades de radio de varias BTS y conecta a un único NSS (Network and Switching Sub-System). En términos del modelo OSI del ISO, la BTS proporciona el interface físico a la MS donde el BSS es responsable de los servicios de nivel de enlace para la MS. Desde el punto de vista lógico el equipo transcodificador está en la BTS, sin embargo, un componente adicional denominado TRAU (Trancoder/Rate Adapter Unit) también puede proporcionar servicios de transcodificación de señal. (3) El Subsistema de Conmutación y Red (ó NSS, Network and Switching Sub-System) proporciona la conmutación entre el subsistema GSM y las redes externas (PSTN, PDN,...) junto con las bases de datos utilizadas para la gestión adicional de la movilidad y de los abonados. Los principales componentes del Subsistema de Conmutación y Red (ó NSS) son: (a) El Centro de Conmutación de Servicios Móviles (ó MSC, Mobile Services Switching Center). (b) Los Registros de Localización Doméstico y de Visitas (ó HLR, Home Location Register y VLR, Visiting Location Register). Las bases de datos de HLR y VLR se interconectan utilizando la Red de Control (estándar de telecomunicaciones) SS7 (Signaling System 7). (4) El Subsistema de Operaciones (ó OSS, Operation Sub-System). Proporciona las funciones de soporte responsables de la gestión del mantenimiento y servicios de red. Los componentes del OSS son responsables del mantenimiento y operación de la red, de la gestión de los equipos móviles y de la gestión y cobro de la cuota.

NIVELES DE COMUNICACION. Calales interface aéreo.

El colectivo de componentes y servicios identificables en GSM requiere la utilización de varios protocolos para poder controlar las llamadas, transferir información y proporcionar gestión global del sistema. Desde la perspectiva de la estación móvil (ó MS) existen cuatro niveles para la comunicación: (1) El interface RF (Radio Frecuency) a la BTS. (2) El nivel de gestión de recursos de radio (ó RR, Radio Resources) al BSC. (3) Gestión de la Movilidad (ó MM, Mobility Management). (4) Gestión de las Comunicaciones (ó CM, Communications Management) al registro VLR del MSC. Se utilizan protocolos adicionales para proporcionar servicios de Control que se gestionan entre el sistema de conmutación y los componentes de gestión. El canal de transmisión entre la MS y la BTS es el único componente que es único a las redes celulares GSM, modificado para funcionar sobre diferentes frecuencias en el caso de PCS y reemplazado totalmente en el caso de sistemas de comunicación por satélite. El interfaz entre la MS y la BTS consta de un canal TDMA de salto de frecuencia que se divide en varios subcanales, unos se utilizan para la transmisión de información de usuario y el resto los utilizan los protocolos de control convenidos. Para incrementar la vida de la batería y reducir la interferencia entre estaciones que operan en células adyacentes, los transmisores de la MS y de la BTS adaptan automáticamente su potencia de transmisión. Se utilizan nueve canales en el interfaz aereo: (1) FCCH (Frecuency Correction Channel). Proporciona información de sincronización de frecuencias en una ráfaga. (2) SCH (Synchronization Channel). Sigue a la ráfaga FCCH (8 bits finales), proporciona una referencia para todas las ranuras de una frecuencia dada. (3) PAGCH (Paging and Access Grant Channel). Utilizado para la transmisión de información de paginación que se pide en el establecimiento de una llamada a una estación móvil (ó MS). (4) RACH (Random Access Channel). Canal no limitado utilizado por la MS para pedir conexiones desde la red terrestre. Ya que este canal lo utilizan los usuarios de la red para el primer intento de acceso, se utiliza un esquema de acceso aleatorio para ayudar a evitar colisiones. (5) CBCH (Cell Broadcast Channel). Utilizado por la red terrestre para la transmisión no frecuente de difusiones. (6) BCCH (Broadcast Control Channel). Proporciona información de estado de acceso a la MS. La información proporcionada sobre este canal la utiliza la MS para determinar si se pide ó no una transición a una nueva célula. (7) FACCH (Fast Associated Control Channel). Se utiliza para el control de los "handovers" (paso de un usuario móvil de una célula a otra). (8) TCH/F (Traffic Channel, Full Rate). Para voz a 13 Kbps ó datos a 12, 6 ó 3,6 Kbps. (9) TCH/H (Traffic Channel, Half Rate). Para voz a 7 Kbps ó datos a 6 ó 3,6 Kbps. El salto lento de frecuencias (ó "slow frequency hopping") se utiliza en los canales de tráfico que estan centrados a intervalos de 200 KHz entre 890 y 915 MHz y 935 y 960 MHz. Utilizando el salto de frecuencias lento, se obtiene una diversidad de frecuencias que mejora la calidad de la señal global pero no dá énfasis a los canales de ruido. Cada ráfaga de transmisión se completa antes de conmutar las frecuencias. Los protocolos RR (Radio Resource) son responsables de la asignación y reasignación de canales de tráfico entre la MS y la BTS. Estos servicios son: controlar el acceso inicial al sistema, paginar para llamadas terminadas en el móvil, "handover" de llamadas entre células, control de potencia, y terminación de llamadas. Los protocolos RR proporcionan los procedimientos para la utilización, asignación, reasignación y liberación de los canales GSM.

GESTION DE LA MOVILIDAD EN GSM

Una de las características principales utilizadas en todas las clases de redes GSM (celulares, PCS (Personal Communication System) y satélite (por ejemplo LEO (Low Earth Orbit)) es la capacidad para soportar el "roaming" (ó "itinerancia", es decir, el poder cambiar de un país a otro) de los usuarios. Utilizando la red de señalización de control, los MSCs interactúan para localizar y conectar a los usuarios en toda la red. Los "Registros de Localización" se encuentran incluidos en las Bases de Datos del MSC para ayudar a la función de determinar cómo y si las conexiones deben realizarse para los usuarios itinerantes (ó "usuarios roaming"). Cada usuario de una estación móvil GSM tiene asignado un HLR (Home Location Register) que se utiliza para contener la localización del usuario y los servicios del abonado. Un registro separado, denominado VLR (Visitor Location Register) se utiliza para seguir la pista de la localización de un usuario. Cuando el usuario cruza el área cubierta por el HLR, la estación móvil notifica una nueva VLR de su paradero actual. El VLR a su vez utiliza la red de control (basada en SS7) para señalar la HLR de la nueva localización de la estación móvil. Utilizando esta información, las llamadas terminadas en el móvil se pueden encaminar al usuario utilizando la información de localización contenida en el HLR del usuario.

CLASES DE SERVICIOS GSM

El nivel de gestión de comunicaciones proporciona tres clases de servicios primarios: control de llamadas, servicios suplementarios y servicio de mensajes cortos. Los servicios de control de llamadas son responsables del encaminamiento de llamadas, determinar quién es responsable de los costos de la llamada y la organización que tiene que recibir el pago. Los servicios suplementarios son el reenvío de llamadas, llamada en espera, aviso de cargo, "call barring", passwords para seguridad, etc.. El nivel de gestión de las comunicaciones incluye servicios para manipular servicios de mensajes cortos, que son más eficientemente manipulados utilizando transferencias orientadas a paquetes que las conexiones tradicionales de conmutación de circuitos soportadas por el sistema GSM principal.

CANAL DE RADIO GSM. ESTRUCTURAS DE TRAMA TDMA
Tipos de canales y tipos de ráfagas. Codificación de espectro. Codificación de canal, Interleaving.

El estándar GSM especifica las bandas de frecuencia de 890 a 915 MHz. para la banda del enlace saliente y 935 a 960 MHz. para la banda del enlace entrante; cada banda se divide en canales de 200 KHz.. Otras características del interface de canal de radio son la alineación de tiempo adaptativa, la modulación GMSK, la transmisión y recepción discontínua y el salto de frecuencia lento. La alineación de tiempo adaptativa permite a la estación móvil corregir su ranura de tiempo de transmisión para retardos de propagación. La modulación GMSK proporciona eficiencia espectral e interferencia fuera de banda baja requerida en el sistema GSM. La transmisión y recepción discontínua se refiere a la caída de potencia de la estación movil durante períodos de inactividad y sirve al doble propósito de reducir la interferencia entre canales y aumentar el tiempo de vida de la batería de la unidad portable. El salto de frecuencias lento es una característica adicional del interfaz de canal de radio GSM que ayuda a contrarestar efectos de desvanecimiento Rayleigh y de la interferencia entre canales. Los canales de 200 KHz. de cada banda se subdividen en ranuras de tiempo de 577 milisegundos. Juntando ocho ranuras de tiempo se forma "una trama" TDMA de 4,6 milisegundos. Juntando 26 ó 51 tramas TDMA se forma una "multitrama" (120 ó 235 milisegundos) dependiendo de si el canal es para tráfico ó datos de control. Juntando 51 ó 26 multitramas (de nuevo, dependiendo del tipo de canal) se forma una "supertrama" (6,12 segundos). Una "hipertrama" se compone de 2048 supertramas, totalizando una duración de 3 horas, 28 minutos, 53 segundos y 760 milisegundos. La estructura de trama TDMA tiene asociado un número de secuencia de 22 bits que identifica de forma única una trama TDMA dentro de una hipertrama dada. La figura 1(c) muestra las diversas estructuras de tramas TDMA. Los distintos canales lógicos que son convertidos en la estructura de tramas TDMA pueden ser agrupados en canales de tráfico (ó TCHs, Traffic Channels) utilizados para transportar voz ó datos de usuario y canales de control (ó CCHs, Control Channels) utilizados para transportar señalización y datos de sincronización. Los canales de control se dividen en canales de control de difusión, canales de control común y canales de control dedicados. Cada ranura de tiempo dentro de una trama TDMA contiene datos modulados denominados ráfaga (ó "burst"). Existen cinco tipos de ráfagas: normal, corrección de frecuencia, sincronización, "dummy" (de relleno) y ráfagas de acceso. La tasa de bits del canal de radio es de 270,833 Kbps que corresponde a la duración de una ranura de tiempo de 156,25 bits. La ráfaga normal se compone de una secuencia de arranque (ó "start") de tres bits, 116 bits de carga útil (ó "payload"), 26 bits de secuencia de entrenamiento utilizada para ayudar a contrarestar los efectos de la interferencia multicamino, 3 bits de secuencia de parada (ó "stop") necesitados por el codificador de canal y un período de guarda (de una duración de 8,25 bits) que es un "colchon" para permitir tiempos de llegada diferentes de ráfagas en ranuras de tiempo adyacentes desde estaciones móviles dispersas geograficamente. Dos bits de la carga útil de 116 bits se utilizan por el canal de control asociado rápido (ó FACCH, Fast Associated Control Channel) para señalar que una ráfaga dada ha sido tomada, dejando un total de 114 bits de carga útil. La figura 1(d) muestra la estructura de una ráfaga normal. El algoritmo de codificación de voz utilizado en GSM está basado en un codificador predictivo lineal excitado por impulso rectangular con predición a largo término (ó RPE-LTP, Rectangular Pulse Excited linear predictive coder with Long-Term Prediction). El codificador de voz produce muestras a intervalos de 20 milisegundos a una tasa de bits de 13 Kbps, produciendo 260 bits por muestra ó trama. Estos 260 bits se dividen en 182 bits de clase 1 y 78 bits de clase 2 basándose en una evaluación subjetiva de su sensibilidad a los errores de bits, siendo los bits de clase 1 los más sensibles. La codificación de canal supone la adición de bits de comprobación de paridad y codificación convolucional de media tasa de la salida de 260 bits del codificador de voz. La salida del codificador de canal es una trama de 456 bits, que se divide en 8 componentes de 57 bits y se entremezcla ("interleaved") sobre ocho tramas consecutivas TDMA de 114 bits. Cada trama TDMA consta de dos conjuntos de 57 bits procedentes de dos tramas separadas de codificador de canal de 456 bits. El resultado de la codificación de canal y del entremezclado es para contrarestar los efectos de desvanecimiento de interferencia de canal y otras fuentes de errores de bits.

DESCRIPCION DE LAS CARACTERISTICAS DE SEGURIDAD

Los aspectos de seguridad de GSM se describen en las recomendaciones GSM 02.09 (Aspectos de Seguridad), 02.17 (Módulos de Identidad del Abonado ó SIMs), 03.20 (Funciones de Red Relacionadas con la Seguridad) y 03.21 (Algoritmos Relacionados con la Seguridad). La seguridad en GSM consta de los siguientes aspectos: (1) Autenticación de la Identidad del Abonado. (2) Confidencialidad de la Identidad del Abonado. (3) Confidencialidad de los Datos de Señalización. (4) Confidencialidad de los Datos del Usuario. El abonado se le identifica de forma única utilizando la Identidad de Abonado Móvil Internacional (ó IMSI, International Mobile Subscriber Identity). Esta información junto con la clave individual de autenticación de abonado (Ki) constituyen las "credenciales de identificación" sensibles, análogas al ESN (Electronic Serial Number) de los sistemas analógicos como AMPS (Advanced Mobile Phone System) y TACS (Total Access Communication System). El diseño de los esquemas de cifrado y autenticación es tal que esta información sensible nunca se transmite por el canal de radio. En su lugar se utiliza un mecanismo de "desafío-respuesta" para realizar la autenticación. Las conversaciones reales se cifran utilizando una clave temporal de cifrado generada aleatoriamente (Kc). La Estación Móvil (ó MS, Mobile Station) se identifica por medio de la Identidad Temporal de Abonado Móvil (ó TMSI, Temporary Mobile Subscriber Identity) que emite la red y puede cambiarse periódicamente (por ejemplo durante momentos de no intervención ó "hand-offs") para mayor seguridad. Los mecanismos de seguridad de GSM se implementan en tres elementos diferentes del sistema: (1) El Módulo de Identidad del Abonado (ó SIM, Subscriber Identity Module). (2) El Aparato portátil GSM también denominado Estación Móvil ó MS (Mobile Station). (3) La Red GSM. El SIM contiene la IMSI, la clave individual de autenticación del abonado (Ki), el algoritmo de generación de claves de cifrado (denominado A8), el algoritmo de autenticación (denominado A3) y el Número de Identificación Personal (ó PIN, Personal Identification Number). El aparato GSM (portatil ó portable) contiene el algoritmo de cifrado (denominado A5). Los algoritmos de cifrado (A3, A5 y A8) también están presentes en la red GSM. El Centro de Autenticación (ó AUC, Authentication Center), parte del Subsistema de Operación y Mantenimiento (ó OMS, Operation and Maintenance Subsystem) de la red GSM consta de una Base de Datos de Información de identificación y autenticación de abonados. Esta información consta de la IMSI, de la TMSI, de la Identidad de Area de Localización (ó LAI, Location Area Identity) y de la clave individual de autenticación de abonado para cada usuario. Para que funcionen los mecanismos de autenticación y confidencialidad se requiren tres elementos: el SIM, el aparato GSM y la red GSM. Esta distribución de credenciales de seguridad y de algoritmos de cifrado proporciona una medida adicional de seguridad para asegurar la privacidad de las conversaciones telefónicas celulares y la prevención de fraude en la telefonía celular. La figura 2 especifica la distribución de información de seguridad entre los tres elementos del sistema GSM: el SIM, la estación móvil y la red GSM. Dentro de la red GSM, la información de seguridad se distribuye entre el AUC (Authentication Center), el Registro de Localización Doméstico (ó HLR, Home Location Register) y el Registro de Localización del Visitante (ó VLR, Visitor Location Register). El Centro de Autenticación (ó AUC) es responsable de generar los conjuntos de RAND (Número aleatorio), SRES (Respuesta Firmada) y Kc (clave de cifrado temporal generada aleatoriamente) que se encuentran almacenados en el HLR y en el VLR para su utilización posterior en los procesos de autenticación y cifrado.

PROCESO DE AUTENTIFICACION

La red GSM autentifica la identidad del abonado utilizando un mecanismo de "desafio-respuesta". Se envía a la estación móvil un número aleatorio de 128 bits (denominado RAND). La estación móvil (ó MS) calcula la respuesta firmada de 32 bits (denominada SRES, Signed Response) basándose en el cifrado del número aleatorio (RAND) con el algoritmo de autenticación (denominado A3) utilizando la clave individual de autenticación de abonado (Ki). Al recibir del abonado la respuesta firmada (SRES), la red GSM repite el cálculo para verificar la identidad del abonado. Nótese que la clave individual de autenticación de abonado (Ki) nunca se transmite sobre el canal de radio. Está presente en el SIM del abonado, así como en las Bases de Datos del AUC, HLR y VLR. Si el SRES recibido coincide con el valor calculado, la estación móvil ha sido autentificada con éxito y puede continuar. Si los valores no coinciden la conexión se termina y se indica un fallo de autenticación a la estación móvil. La figura 3 muestra el mecanismo de autenticación. El cálculo de la respuesta firmada (SRES) se realiza dentro del SIM. Esto proporciona mayor seguridad, debido a que la información del abonado confidencial como la IMSI ó la clave individual de autenticación del abonado (Ki) nunca salen del SIM durante el proceso de autenticación.

PROCESO DE CONFIDENCIALIDAD DE LOS DATOS Y SEÑALIZACION EN GSM

El SIM contiene el algoritmo de generación de claves de cifrado (denominado A8) que se utiliza para producir la clave de cifrado (Kc) de 64 bits. La clave de cifrado se calcula aplicando el mismo número aleatorio (RAND) utilizado en el proceso de autenticación con el algoritmo de generación de la clave de cifrado (A8) con la clave individual de autenticación de abonado (Ki). La clave de cifrado (Kc) se utiliza para cifrar y descifrar los datos transmitidos entre la estación móvil y la estación base. Se proporciona un nivel adicional de seguridad al haber medios para cambiar la clave de cifrado, haciendo al sistema más resistente contra posibles "escuchas clandestinas". La clave de cifrado puede cambiarse a intervalos regulares según lo requieran las consideraciones de seguridad y diseño de red. La figura 4 muestra el cálculo de la clave de cifrado (Kc). De una manera similar al proceso de autenticación, el cálculo de la clave de cifrado (Kc) tiene lugar internamente dentro del SIM. Por tanto, la información sensible como la clave individual de autenticación de abonado (Ki) nunca la revela el SIM. Las comunicaciones de datos y voz cifradas entre la estación móvil y la red se realizan utilizando el algoritmo de cifrado A5. La comunicación cifrada se inicia por un comando de "petición de modo de cifrado" desde la red GSM. Al recibir este comando, la estación móvil empieza el cifrado y descifrado de datos utilizando el algoritmo de cifrado (A5) y la clave de cifrado (Kc). La figura 5 muestra el mecanismo de cifrado.

PROCESO DE CONFIDENCIALIDAD DE LA IDENTIDAD DEL ABONADO

Para asegurar la confidencialidad de la identidad del abonado se utiliza la TMSI. La TMSI se envía a la estación móvil después de que han tenido lugar los procedimientos de autenticación y cifrado. La estación móvil responde confirmando la recepción de la TMSI. La TMSI es válida en el área de localización en la que fue emitida. Para comunicaciones fuera del área de localización, es necesario además de la TMSI, la LAI (Location Area Identification). El proceso de asignación/reasignación de la TMSI se muestra en la figura 6.

CONSIDERACIONES SOBRE EL ALGORITMO A5 DE CIFRADO GSM Y LOS ALGORITMOS A3 Y A8

El algoritmo A5 es un "cifrador en flujo" formado por tres LFSRs (Linear Feedback Shift Registers) controlados por reloj de grados 19, 22 y 23 (figura 2(b)). El control de reloj es una función "thereshold" (ó umbral) de los bits del medio de cada uno de los tres registros desplazamiento. La suma de los grados de los tres registros es 64. La clave de sesión de 64 bits se utiliza para inicializar los contenidos de los registros desplazamiento. El número de trama TDMA de 22 bits se alimenta en los registros desplazamiento. Se generan dos corrientes de claves de 114 bits para cada trama TDMA que son operados con XOR (operador "o-exclusiva", es decir suma módulo 2) con los canales de tráfico "uplink" (enlace ascendente) y "downlink" (enlace descendente). En un principio el algoritmo A5 tuvo una longitud de clave "efectiva" de 40 bits, posteriormente 64 bits y en un futuro próximo 128 bits. Los algoritmos A3 y A8 de GSM son funciones unidireccionales "hash" dependientes de la clave. Los algoritmos A3 y A8 de GSM son similares en funcionalidad y se implementan como un único algoritmo denominado COMP128.





Figura 1












Figura 1(B)












Figura 1(C)












Figura 1(E)












Figura 1(F)












Figura 1(G)



Copyright © 2003 por Aero ENDOR Webmasters. Reservados todos los derechos.
Q S O Radios no se hace responsable por el contenido publicado de fuentes externas.