Vertrauenswürdiges Mobilitätsmanagement in Telekommunikationsnetzen

Motivation und Themenstellung

Der zentrale, in dieser Arbeit diskutierte Schutzkonflikt ist folgender: Ein Mobilkommunikationsteilnehmer möchte mit seinem mobilen Endgerät erreichbar sein. Er möchte jedoch nicht, daß irgendeine Instanz (z.B. Dienstanbieter, Netzbetreiber etc.) außer ihm selbst ohne seine explizite Einwilligung an Aufenthaltsinformation über ihn gelangt. In den heute existierenden Mobilkommunikationsnetzen wird dem oben formulierten Schutzinteresse jedoch nicht Rechnung getragen. In Datenbanken werden die Aufenthaltsorte der Teilnehmer gespeichert. Sobald ein Teilnehmer dem Betreiber (bzw. den Betreibern) der Datenbanken kein Vertrauen entgegen bringt, tritt der Schutzkonflikt auf.

Es ist nicht das primäre Interesse eines Netzbetreibers oder Diensteanbieters, Daten über seine Teilnehmer zu sammeln. Im Gegenteil: Je weniger Daten er zur Diensterbringung benötigt, umso weniger Kosten fallen für deren Verarbeitung (und Schutz) an. Damit wird das Ziel von Datenvermeidungs- und Datensparsamkeitstechniken klar, die in dieser Arbeit für das Gebiet der Mobilkommunikation vorgestellt, angewendet und erweitert werden. Diese Techniken sind Bestandteile einer Betrachtungsweise und Methodik, die "Mehrseitige Sicherheit" genannt wird.

Mehrseitige Sicherheit bedeutet die Einbeziehung der Schutzinteressen aller Beteiligten sowie das Austragen daraus resultierender Schutzkonflikte beim Entstehen einer Kommunikationsverbindung.

Die Realisierung von mehrseitiger Sicherheit führt nicht zwangsläufig dazu, daß die Interessen aller Beteiligten erfüllt werden. Möglicherweise offenbart sie sogar gegensätzliche, unvereinbare Interessen, die den Beteiligten bisher nicht bewußt waren, da Schutzziele explizit formuliert werden. Sie führt jedoch zwangsläufig dazu, daß die Partner einer mehrseitig sicheren Kommunikationsbeziehung in einem ausgewogenen Kräfteverhältnis bzgl. Sicherheit miteinander interagieren.

Die Arbeit verfolgt das Ziel, Sicherheitsfunktionen in der Mobilkommunikation insbesondere für das Location Management anwendbar zu machen. Daher ist Wissen über Zusammenhänge sowohl in der Mobilkommunikation als auch in der Sicherheit/Kryptographie notwendig.

Im ersten Teil der Arbeit wird eine Einführung in den Aufbau zellularer Funknetze, speziell GSM (Global System for Mobile Communication) gegeben. Die Protokolle für Location Management, Call Setup sowie die Sicherheitsfunktionen des GSM werden schematisch beschrieben. Sicherheitsdefizite werden genannt. Auf die Entgeltabrechnung und die Speicherung von Lokalisierungsinformation wird detaillierter eingegangen.

Es wird eine Analyse der GSM-Pseudonymisierungsfunktionen mittels TMSI (Temporary Mobile Subscriber Identity) vorgenommen. Das Zusammenspiel zwischen Location Management (insbesondere Location Update) und Sicherheitsfunktionen (insbesondere Pseudonymisierung) wird analysiert.

Im zweiten Teil der Arbeit werden verschiedene neue Verfahren zum Schutz des Aufenthaltsorts von Mobilfunkteilnehmern entwickelt, analysiert und bewertet. Mit Hilfe dieser Verfahren können die Mobilfunkteilnehmer eines zellularen Funknetzes erreicht werden, ohne ständig ihren Aufenthaltsort preisgeben zu müssen. Die Verfahren werden systematisiert und miteinander verglichen.

Schließlich wird ein allgemein verwendbares datenschutzgerechtes Verfahren zur Signalisierung vorgestellt (Mobilkommunikationsmixe). Ein auf UMTS (Universal Mobile Telecommunication System) aufsetzendes Architekturkonzept zur unbeobachtbaren Kommunikation (inkl. Schutz des Aufenthaltsorts) wird vorgestellt.

Systematik der Verfahren zum vertrauenswürdigen Mobilitätsmanagement

Die Unterteilung der vorgestellten Verfahren orientiert sich im wesentlichen am notwendigen Vertrauen in Teile des Netzes. Die vorgestellten Schutzkonzepte bedienen sich solcher Vertrauensbereiche.

Das Verfahren C.3 (Mobilkommunikationsmixe, siehe Abb.1) bildet einen Hauptschwerpunkt der Betrachtungen, da es den Schutz der Aufenthaltsinformation unter dem stärksten Angreifermodell realisiert und somit als Grenzfall für den erreichbaren Schutz des Aufenthaltsorts in Mobilkommunikationssystemen gelten kann.

A. Vertrauen nur in die Mobilstation A.1 Broadcast-Methode Verzicht auf Speicherung von Lokalisierungsinformation und Broadcast von Verbindungswünschen im gesamten Versorgungsbereich, Adressierung der Mobilstation über implizite Adressen. Dabei kommen sowohl verdeckte als auch offene implizite Adressen zum Einsatz. A.2 Methode der Gruppenpseudonyme Bildung von Anonymitätsgruppen und gruppenbezogenes Location Management. B. Zusätzliches Vertrauen in einen eigenen ortsfesten Bereich B.1 Adreßumsetzungsmethode (wie A.1), jedoch erfolgt über einen ortsfesten, dem gerufenen Mobilfunkteilnehmer vertrauenswürdigen Bereich, z.B. eine vertrauenswürdige ortsfeste Heimstation (Trusted Fixed Station, Trusted FS), die Adreßumsetzung von verdeckten auf sog. kurze offene implizite Adressen. B.2 Methode der Verkleinerung der Broadcast-Gebiete (wie B.1), jedoch nimmt die Trusted FS eine Verkleinerung der Broadcast-Gebiete, d.h. ein teilnehmerbestimmtes Location Management vor. B.3 Methode der expliziten vertrauenswürdigen Speicherung Speicherung von Lokalisierungsinformation und Durchführung des Location Managements in der Trusted FS. B.4 Methode der Temporären Pseudonyme (TP-Methode) Pseudonyme Speicherung von Lokalisierungsinformation im Netz und Verkettung über die Trusted FS. C. Zusätzliches Vertrauen in einen fremden ortsfesten Bereich C.1 Organisatorisches Vertrauen Abwandlung der Verfahren mit Trusted FS (B.1 bis B.4) derart, daß die Aufgaben der Trusted FS durch unabhängige, frei wählbare vertrauenswürdige dritte Instanzen (Trusted Third Party) übernommen werden. C.2 Methode der kooperierenden Chips Verlagerung der Lokalisierungsinformation und des Location Managements in ausforschungssichere, nicht veränderbare und mehrseitig sichere Hardware, Vertrauen in die physische Sicherheit der Chips. C.3 Methode der Mobilkommunikationsmixe Vertrauen in ein Datenschutz garantierendes Festnetz und "geschützte" Speicherung von Lokalisierungsinformation mit Hilfe kryptographischer Techniken, Vertrauen in einen unter Vielen. Abb.1: Systematik der Verfahren

Pseudonymes Mobilitätsmanagement mit Mixen

Das Verfahren der Mobilkommunikationsmixe realisiert den Schutz des Aufenthaltsorts unter folgendem Angreifermodell: Alle Kommunikation auf allen Leitungen des Netzes ist vom Angreifer abhörbar. Der Angreifer kennt alle Einträge der Datenbanken HLR (Home Location Register) und VLR (Visitor Location Register).

Das neue Verfahren zum Schutz des Aufenthaltsorts geht davon aus, daß die Aufenthaltsinformation LAI nicht mehr offen in den Mobilfunkdatenbanken gespeichert wird, sondern in einer geschützten, verdeckten Form, hier kurz mit {LAI} bezeichnet (siehe Abb.2). Dies wird mit Hilfe der kryptographischen Operationen eines Mix-Netzes realisiert.

Ein Mix-Netz verbirgt die Kommunikationsbeziehung zwischen Sender und Empfänger einer Nachricht. Hierzu wird die Nachricht über sog. Mixe geschickt. Ein Mix verbirgt dabei die Verkettung zwischen eingehenden und ausgehenden Nachrichten. Hierzu muß ein Mix eingehende Nachrichten speichern (Pool), bis genügend viele Nachrichten von genügend vielen Absendern vorhanden sind, ihr Aussehen verändern, d.h. sie umkodieren, die Reihenfolge der ausgehenden Nachrichten verändern, d.h. sie umsortieren und evtl. in einem Schub (Batch) ausgeben.

Abb.2: Gegenüberstellung des Verbindungsaufbaus bei GSM und Mobilkommunikationsmixen

Um Angriffe durch Nachrichtenwiederholung zu verhindern, muß zu Beginn noch geprüft werden, ob eine eingehende Nachricht bereits gemixt wurde. Damit keine Verkettung zwischen eingehenden und ausgehenden Nachrichten über deren Länge möglich ist, müssen alle (eingehenden) Nachrichten die gleiche Länge haben, ebenso die ausgehenden.

Durch die Hintereinanderschaltung von Mixen wird erreicht, daß der Schutz des Aufenthaltsorts selbst dann gewährleistet wird, wenn alle bis auf einen Mix erfolgreich angegriffen, d.h. "überbrückt" wurden.

Neue Erkenntnisse in dieser Arbeit

Die folgende Übersicht nennt kurz die wesentlichen Schwerpunkte der Arbeit und gibt die gewonnenen Erkenntnisse wieder:

1. Das Sicherheitsmanagement des GSM ist nicht geeignet, den Mehrseitigkeitsaspekt von Sicherheit zu unterstützen. Das GSM erreicht näherungsweise das Sicherheitsniveau existierender Festnetz-Telekommunikationssysteme. Der Schutz des Aufenthaltsorts von Mobilfunkteilnehmern ist unter dem Mehrseitigkeitsaspekt nicht gewährleistet.

2. Der Verzicht auf die Speicherung von Aufenthaltsinformation und der Broadcast von Verbindungswünschen über den gesamten Versorgungsbereich (A.1) benötigt bei den zu erwartenden Teilnehmerzahlen eine immense Bandbreite und ist als Massendienst nicht geeignet. Daher müssen Verfahren entwickelt werden, die effizienter und ebenso datenschutzgerecht sind. Als Zusatz- oder Mehrwertdienst hat weltweites Paging durchaus seine Berechtigung.

3. Mit Hilfe sog. vertrauenswürdiger Umgebungen im Festnetz kann der Schutz des Aufenthaltsorts effizient gewährleistet werden. Die Hinzunahme vertrauenswürdiger Umgebungen verursacht jedoch Verfügbarkeits- und Managementprobleme sowie Mehraufwand.

4. Mit Hilfe eines Datenschutz garantierenden Kommunikationsnetzes kann über den unbeobachtbaren Aufbau von Verbindungen hinaus auch der Schutz des Aufenthaltsortes von Mobilfunkteilnehmern gewährleistet werden.

5. Durch eine Kombination von Pseudonymisierung der Teilnehmer und Verkettung von Registern über anonyme Rückadressen kann die Aufenthaltsinformation datenschutzgerecht zur Signalisierung verwendet werden.

6. Das Architekturkonzept von UMTS ist geeignet, derart um Sicherheitsfunktionen erweitert zu werden, daß der Schutz des Aufenthaltsortes sowie unbeobachtbare Kommunikation möglich ist.