Mobiltelefoni trenger vi ekstra kryptering

1
Mobiltelefoni -trenger vi ekstra kryptering?
TeleInfo

• NORTIBs fagseminar Granfos - 22.11.05
• Tore Aarønæs - daglig leder i Norsk Telecom AS

2
Dagens meny.

• Bakgrunn og historikk
• Grunnkurs i kryptering
• Markedet
• Produkteksempler
• Avslutning
• -----------------------
• Spørsmål

3
1
Bakgrunn og historikk
4
Historikk

• Krypto er et forkortet begrep for kryptografi,
  eller lære om metoder for å skjule innhold i en
  skriftlig meddelelse. Kryptering er den
  handlingen som fører til at et innhold blir
  forvrengt slik at det ikke er mulig å forstå dets
  mening uten å ha tilgangen til en nøkkel som
  kan gi det opprinnelige innholdet tilbake. Ved
  hjelp av nøkkelen kan innholdet dekrypteres.
  Kryptografiske metoder kan også benyttes til å
  beskytte et innhold mot uautorisert endring og
  spore opprinnelsen av det.
• Kryptering har vært benyttet i mer enn tusen år
  med stadig mer avanserte matematiske
  beregningsmetoder som er blitt tatt i bruk for å
  hindre at uvedkommende brøt koden.
• Moderne kryptografi benytter avanserte
  matematiske funksjoner for å forvrenge innhold i
  dokumenter og meldinger. Moderne kryptografi er
  avhengig av datamaskiner for å fungere.

5
Hva krypteres?

• Tale
• Data
• Mail/Blackberry
• Sync
• Arbeidsdok
• SMS
• IM
• Aksess til intranett
• Oppbevaring
• Disk
• Minne

6
Kryptering - Big picture
Snill
Politi Sikkerhets- myndighet
Bedrifts- aktører
Lytte
Beskytte
Industri- spionasje, Kriminelle
Toska ol
Slem
7
GSM - sikkerhetsutfordringer
8
GSM-avlytting
9
Hva gjør myndighetene?

• Myndighetene trenger avlyttingsmuligheter selv
  (Lawful interception)
• Avlytting
• Blokkering
• Plukke opp identiteter
• Lite arbeide for å forhindre ulovlig avlytting
• Dette er opptil bransjen selv
• Internasjonalt forbud mot eksport av
  krypteringsteknologi
• (Wassenaar Agreement)

10
Norsk Sikkerhetsmyndighet NSM

• NSM er fagmyndighet når det gjelder utvikling av
  sikkerhetstiltak, og tilsynsmyndighet i forhold
  til å følge opp regelverket. For å ivareta disse
  rollene skal NSM
• innhente og vurdere informasjon av betydning for
  forebyggende sikkerhetstjeneste
• utvikle tekniske og administrative
  sikkerhetstiltak, og ta initiativ til at disse
  nedfelles i regelverket
• gi informasjon, råd og veiledning
• føre tilsyn med sikkerhetstilstanden, herunder
  gjennomføre særskilte kontrolltiltak
• ivareta nasjonale og internasjonale relasjoner
  til samarbeidende tjenester
• produsere og sentralt forvalte kryptomateriell
• drifte det sentrale klareringsregister
• NSM har fagkompetanse innen kommunikasjonssikkerhe
  t, informasjonssystemsikkerhet og
  kryptosikkerhet.

11
2
Kryptering - grunnkurs
12
Kryptering basics

• Confidentiality also known as secrecy only an
  authorised recipient should be able to extract
  the contents of the message from its encrypted
  form. Otherwise, it should not be possible to
  obtain any significant information about the
  message contents.
• Integrity the recipient should be able to
  determine if the message has been altered during
  transmission.
• Authentication the recipient should be able to
  identify the sender, and verify that the
  purported sender actually did send the message.
• Non-repudiation the sender should not be able to
  deny sending the message.
• Anti-replay the message should not be allowed to
  be sent multiple times to the recipient without
  the sender knowing.
• Proof of delivery the sender should be able to
  prove the recipient received the message.

13
Ulike krypteringsstandarder

• PGP Pretty Good Privacy (PGP) is a computer
  program which provides cryptographic privacy and
  authentication. PGP was originally designed and
  developed by Phil Zimmermann in 1991.
• DES The Data Encryption Standard (DES) is a
  cipher (a method for encrypting information)
  selected as an official Federal Information
  Processing Standard (FIPS) for the United States
  in 1976, and which has subsequently enjoyed
  widespread use internationally.
• DES3 Triple DES or 3DES is based on the DES
  algorithm developed by an IBM team in 1974 and
  was adopted as a national standard in 1977. 3DES
  uses three 64-bit long keys (overall key length
  is 192 bits, although actual key length is 56
  bits).
• AES AES replaced DES around the turn of the
  century. AES isa symmetric key algorithm
  expected to become a US Federal Information
  Processing Standard early in 2001. The new U.S.
  government standard symmetric encryption
  algorithm that replaces DES.
• sikkert hundre andre

14
Kommunikasjonsnettverk
15
Ekstra kryptering på toppen?
16
Hvordan virker det?

• Autentisering/nøkkelutveksling
• Krypteringsalgoritme/-nøkkel
• Komprimeringsenhet (Codek)
• Prosessorhastighet
• Overføring/Datakanal (Datakanal - GPRS HSCSD)
• PDA eller skreddersydd enhet
• Symbian/MS Mobile (åpent system)
• Fast telefon
• Soft-Phone
• Sentral enhet for nøkkelstyring og overvåking
• 3. parts godkjenning

17
(No Transcript)
18
3
Markedet
19
To hovedmarkeder

• Lukket brukerguppe som bare snakker med hverandre
  (offentlig, firma, forsvar ol)
• Krypterte brukere som ringer til random
  mottakere (næringsliv)
• The not price sensitive users
• i.e. top executives, branch offices in
  unsafe/insecure countries etc this segment
  would typically procure less than 50 handsets per
  enterprise
• The price sensitive user
• to attack this group the handsets must be
  affordable so that they can be bought in
  sufficient numbers (i.e. the whole Liberia
  office)

20
Produkter

• Hardware based solutions
• Often heavy old fashion handset
• Limited battery capacity
• No color screen
• Others can see that an encrypted session is
  ongoing (identifiable handsets)
• High price
• Software based solutions
• Not so secure?
• Price (still high)
• No encryption of SMS and data (for most
  suppliers)
• crash between different applications on a PDA
  (if voice locks up or is in suspended mode no
  other service can be used on the PDA)

21
Markedet for ekstra kryptering
22
Kjennetegn ved et godt kryperingsprodukt

• User friendly product (all modern facilities)
• Light weight and attractive handset
• Sufficient battery capacity
• Quality of service no delays or poor sound
  quality
• User can move on to new handsets, and bring
  crypto sw along
• 3rd party approval of crypto logic necessary
• Possibly cooperating with authorities allowing
  a key to the back door
• Prevent sales to less attractive customers

23
Drivkrefter

• Internasjonalisering
• Industrispionasje
• Stadig større spredning på sensitive data
• Utrygge geografiske områder
• Krav til økt sikkerhet (salgsargument)
• 1984 George Orwell
• Kriminalitet

24
4
Produkteksempler
25
Kongsberg Defence Communication (Norge)

• Svensk håndsett
• Norsk kryptering
• NATO-godkjent
• Meget begrenset publikum
• Pris pr håndsett ca 40.000
• Fåtall reelle brukere (2000?)
• Tilbyr også telefonen uten NATO-brikken dog
  samme pris

26
Sectra (Sverige)

• Har samme produkt som KDC dog uten
  NATO-kryptering
• NSK200
• Også andre håndsett
• Tiger XS
• Myndigheter/forsvar
• Prisbilde som for KDC

27
Secetera (UK)

• Offentlig og privat utgave
• Modifisert håndsett
• Selges i USA og i Europa
• Ukjent antall enheter solgt
• Enhetspris 2.300

28
GSMK (Tyskland)

• Flere håndsettyper
• Standard PDA / MS Mobile
• Modifisert hw strippet for en rekke funksjoner
• Installert programvare på PDA
• Tilbyr softphone gratis
• Pris pr håndsett ca 22.500 SEK
• Brukere
• Myndigheter
• EU
• Hundreds of phones sold each month

29
5
Oppsummering
30
Oppsummering

• Kryptert mobiltelefoni lite utbredt
  fortrinnsvis innen offentlig/militært miljø
• Ja det er sikkerhetsrisiko ved GSM
• Trolig en liten nisje men world wide market
• Et dusin aktører på markedet i dag - de fleste lt3
  år gamle
• Produktene er mobil, fast og Soft Phone trend
  mot std håndsett
• Hovedproduktene er i dag svært dyre
• Store forskjeller i sikkerhetsnivå og
  brukerfunksjonalitet
• Ukjent, men trolig liten utbredelse i dag
• Trolig et økende marked drevet av små
  innovative aktører og frykt
• Nisje for spesielt interesserte

31
Takk for oppmerksomheten.!
32
TeleInfo www.teleinfo.no
33
Norsk Telecom AS

• Uavhengig norsk selskap som fokuserer på analyser
  av det norske telekommarkedet
• Produserer TeleInfo Markedsanalyse to ganger
  hvert år
• Brukergrupper ? bl a telemyndigheten, NHD,
  konkurransetilsynet, operatører og aktører,
  leverandører, konsulenter, finansnæringen ..
• Rapporter/analyser
• Analyse av lønnsomheten i norsk telesektor jan
  2002
• TeleInfo Markedsanalyse feb 2002
• Bredbånd i Norden nov 2002
• TeleInfo Markedsanalyse mar 2003
• Lønnsomhetsanalyse 2000-2002 feb 2004
• Scandinavian Telecom Market mar 2004
• Voice over Bredbånd mar 2004
• Norske Bredbåndsaktører mar 2004
• TeleInfo Mobil okt 2004
• Lønnsomhetsanalyse 2000-2003 des 2004
• TeleInfo Bredbånd jan 2005
• TeleInfo Kobber april 2005
• TeleInfo Voice sept 2005
• Mer informasjon på ? www.teleinfo.no

34
Tore Aarønæs

• Siv øk / MBA
• selvstendig rådgiver innen telekom - fokus på
  merkantile aspekter
• initiativtaker, eier og daglig leder av Norsk
  Telecom AS
• Foreleser, sensor og veileder ved NTNU
• engasjert som spesialrådgiver i Teleplan AS (1/98
  --gt 10/98)
• tidligere bygget opp og ledet Teleplans avdeling
  for forretningsutvikling (9/95 --gt 12/97)
• øk direktør og styresekretær i NetCom (9/92 --gt
  4/95)
• 6 år som øk.sjef/økonomidirektør hos Tor Andenæs
  AS / Avantor (86 --gt 92)
• 6 år hos Arthur Andersen Co - konsulentavdeling
  (79 --gt 85)
• Telefoner 6714 7130 - 920 44 950
• Fax 6714 4218
• e-post tore_at_teleinfo.no
• Jeg tar også gjerne innspill/info etc som kan
  muliggjøre enda bedre foredrag i fremtiden!!