Zabezpečenie dôvernosti a    ochrany proti tretej osobe

Protokol SSL

PGP

S/MINE

Mobil banking

WAP banking

Telephonebanking

Kontaktné centrum

Platobné karty

SET

Visa 3-Domain Secure

Master Card Secure Payment  system

Copyright © Marek Lednický, 2006. All Rights Reserved

Mobil Banking

     GSM (Group Special Mobile, alebo Global System for Mobile communications) je celoeurópsky štandard mobilnej komunikácie. V roku 1982 bola na Európskej konferencií pôšt a telekomunikácií (CEPT) založená skupina Group Special Mobile. Bezpečnosť samotných mobilných sietí a komunikácie v nich nemôže koncový používateľ príliš ovplyvniť, pretože je takmer plne v réžií samotných prevádzkovateľov verejných mobilných sietí.

Bezpečnosť v GSM/GPRS

     Každý mobilný používateľ má pridelený jedinečný identifikátor IMSI (International Mobile Subscriber Identity), ktorý sa skladá z trojmiestneho kódu zeme MCC (Mobile Country Code), dvojmiestneho kódu mobilnej siete MNC (Mobile Network Code) a desaťmiestneho identifikačného čísla mobilného používateľa. IMSI je uložené v SIM karte v mobilnom zariadení. Informácie o zákazníkovi sú uložené v mobilnej sieti domáceho prevádzkovateľa v registri HLR (Home Location Register).

Autentifikácia GSM/GPRS

     Nevyhnutným krokom pred samotným začiatkom komunikácie prostredníctvom mobilnej stanice a siete GSM je autentifikácia. Tento krok sa však môže uskutočniť, až po registrácií. Počas nej mobilná stanica zašle SGSN, žiadosť o prístup do siete. Autentifikácia GSM/GPRS je založená na mechanizme výzva - odpoveď. Autentifikáciu uskutočňuje uzol SGSN, ktorý vygeneruje ako výzvu náhodné 128 bitové číslo. Autentifikácia sa na strane používateľa uskutočňuje na SIM karte prostredníctvom autentifikačného mechanizmu A3/A8. Na SIM karte bežia algoritmy špecifické pre prevádzkovateľa, ktoré ako vstup použijú náhodné číslo a privátny kľúč uložený na SIM karte a vytvoria 32 bitovú odpoveď (SRES) a taktiež 64 bitový kľúč, ktorý sa následne použije pre šifrovanie komunikácie. Prijatú odpoveď SRES si SGSN preverí oproti vlastnému výpočtu a na základe zhody autentifikuje používateľa. Privátny kľúč používateľa sa nikdy neprenáša sieťou.      Anonymita používateľov je v sieťach GSM/GPRS je zachovaná, tým že identita používateľov je chránená používaním dočasnej identity TMSI (Tempomry Mobile Subscriber Identity). Pri autentifikácií sa vždy posiela TMSI,namiesto IMSI, ktorú používateľovi pridelí SGSN siete GPRS, do ktorej sa používateľ hlási. IMSI musí mobilnej stanici v otvorenej podobe poslať iba jednu informáciu, pri prvom kontakte so sieťou, alebo pokiaľ IMSI nemôže získať inak vo väzbe na aktuálnu TMSI. Pri ďalšej komunikácií sa už vychádza z TMSI.      Jednostrannosť autentifikácie v GSM je nedostatkom, pretože prebieha autentifikácia iba používateľa, ale neuskutočnuje sa autentifikácia siete.

Utajenie dát GSM/GPRS

     Šifrovanie prenášaných dát v sieti GSM/GPRS ich chráneni pri prenose chrbticovou a rádiovou časťou siete proti odpočúvaniu. Na šifrovanie sa použije 128 bitové náhodné číslo, ktoré SGSN a mobilná stanica použila pri autentifikácií a privátny kľúč uložený na SIM a tiež v HLR. Prostredníctvom algoritmu A8 sa vygeneruje šifrovací kľúč. Dáta prenášané medzi používateľom a sieťou sa šifrujú pomocou algoritmu GPRS-A5.

Bezpečnosť UMTS

     Vďaka dostatočnej šírke pásma UMTS umožňuje zabezpečiť väčšiu úroveň zaistenia bezpečnosti ako pri predchádzajúcivh technológiach. Vysoká bezpečnosť zodpovedá predpokladaným aplikáciám UMTS v podnikovom prostredí a elektronického obchodu, kde sa v rámci transakcií sprostredkovávajú citlivé osobné informácie. Bezpečnosť UMTS má dve úrovne:

• bezpečnosť 3GPP- zaisťuje prístup k sieti UMTS a bezpečnú komunikáciu medzi prvkami GPP, týkajúce sa vzdušného rozhrania a prístupovej siete,
• bezpečnosť na aplikačnej vrstve - chráni komunikáciu medzi koncovými bodmi pri využití IPsec.

UMTS samozrejme taktiež podporuje VPN, ktoré môžu použiť kombináciu tunelov.

Bezpečnostná architektúra UMTS

Špecifikácie UMTS sa zaoberajú bezpečnosťou v piatich základných oblastiach a tomu zodpovedá aj bezpečnostná architektúra:

• bezpečnosť prístupu k sieti - bezpečný prístup používateľov k sieti je chránený proti útokom na prístupové rádiové spojenie,
• bezpečnosť siete - bezpečnosť výmeny informácií medzi uzlami siete je v rámci signalizácie, ochrana proti útokom z pevnej siete,
• bezpečnosť používateľa - ochrana používateľa v rámci jeho využívania mobilných zariadení,
• bezpečnosť aplikácií - bezpečnosť výmeny správ medzi aplikáciami u používateľa v sieti,
• priehľadnosť a možnosť konfigurácie bezpečnostných opatrení – informácie o stave zapojenia nejakého bezpečnostného prvku a o tom, či používanie služieb na tomto prvku závisí.

UMTS ponúka nasledujúce mechanizmy na ochranu používateľa:

• utajenie identity používateľa - trvalú identitu používateľa, ktorému sa daná služba poskytuje, nemožno odpočúvať na rádiovom prístupovom spoji,
• utajenie miesta výskytu užívateľa - prítomnosť používateľa v danej oblasti nie je možné zistiť odpočúvaním rádiového prístupového spoja,
• utajenie väzby služieb na používateľa – útočník nemôže odpočúvaním rádiového spoja zistiť, či sa rôzne služby poskytujú konkrétnemu používateľovi.

Autentizácia UMTS

     Autentifikácia medzi mobilným zariadením a sieťou je v UMTS založená na module USIM (Universal Subscriber Identity Module), ktorý je obdobou SIM v GSM. Veľkosť USIM pre objem dát je 64 KB. USIM je pre používateľa prístupná až po zadaní správneho hesla.       Nevyhnutným krokom pre zaistenie integrity a utajenia prenášaných informácií sa musí mobilný terminál a sieť dohodnúť na súbore šifrovacích kľúčov. To sa odohráva vo fáze autentifikácie a dohody o kľúčoch (AKA, Authentication and Key Agreement) medzi USIM a HLR. Zahájenie dohadovania kľúčov je vyvolané zahájením autentifikácie. Informácia používaná na autentifikáciu používateľa a siete sa skladá z autentifikácie vektora 3G a každý vektor obsahuje päť autentifikačných parametrov:

• 128 bitové náhodné číslo - výzva (RAND),
• očakávaná odpoveď (XRES) premenlivej dĺžky,
• 128 bitový šifrovací kľúč (CK),
• 128 bitový kľúč integrity OK),
• token sieťovej autentifikácie (AUlN).

     Stanica použije RAND na výpočet svojej autentifikačnej odpovede (RES) a taktiež kľúča CK a IK. Rovnaký výpočet sa uskutoční na strane siete. RAND sa používa na vstupe algoritmu spolu s kľúčom K, ktorý sa generuje pri vytváraní nového zákazníckeho záznamu. K sa nikdy neprenáša v sieti a je bezpečne uložený v USIM a v autentifikačnom centre siete. XRES je odpoveď, ktorá sa očakáva po výzve na autentifikáciu. RES sa porovná s XRES na zistenie autenticity USIM. CK sa následne používa pre šifrovanie na strane užívateľa a siete, podobne ako kľúč IK pre zachovanie integrity prenášaných správ. AUTN používa používateľ na autentifikáciu siete, teda domáceho prostredia HE (Home Environment), ktoré poslalo autentizačné vektory. Pri tejto metóde nie je obmedzený počet autentifikácií a výmeny kľúčov.