乌云USIM_葛毅杰

1、密码与计算机安全实验室Lab of Cryptology and Computer Security3G/4G USIM卡的安全性分析葛毅杰上海交通大学 LoCCS实验室密码与计算机安全实验室Lab of Cryptology and Computer Security目 录1背景23G/4G的鉴权机制3对于USIM卡的旁路攻击4结论密码与计算机安全实验室Lab of Cryptology and Computer Security目 录1背景背景23G/4G的鉴权机制3对于USIM卡的旁路攻击4结论When the NSA and GCHQ compromised the security

2、of potentially billions of phones (3g/4g encryption relies on the shared secret resident on the sim), they not only screwed the manufacturer, they screwed all of us, because the only way to address the security compromise is to recall and replace every SIM sold by Gemalto.背景背景背景多种威胁密码与计算机安全实验室Lab of

3、 Cryptology and Computer Security目 录1背景23G/4G3G/4G的鉴权机制的鉴权机制3对于USIM卡的旁路攻击4结论2G早已千疮百孔早已千疮百孔2G鉴权鉴权1. 单向鉴权无法辨别伪基站2. 鉴权算法本身存在漏洞3. 面对旁路攻击显得非常脆弱3G/4G 的鉴权机制的鉴权机制3G/4G的鉴权流程的鉴权流程MILENAGE 算法算法2G vs 3G/4G2G3G/4G鉴权算法Comp128 15年前就被发现存在漏洞MILENAGE 算法基于AES-128+循环移位+异或， 没有明显漏洞 单向还是双向鉴权单向鉴权，面临着伪基站的威胁双向鉴权 可以识别伪基站其它没有对

4、于同步性和完整性的考虑采用SQN来保证同步性，并且采用许多其它策略来保证 UE、 eNB 、 MME间通信信息的完整性但是这些改进够吗但是这些改进够吗?MILENAGE 算法算法KSQNRANDf1f2f3f4f5XMACRESCKIKAKSQN AKAMFMACAUTNVerify MAC = XMACVerify that SQN is in the correct range鉴权中心鉴权中心USIM卡卡目 录1背景23G/4G的鉴权机制3对于对于USIMUSIM卡的旁路攻击卡的旁路攻击4结论加密设备电磁功耗时间温度声音旁路攻击旁路攻击(Side Channel Attack)功耗分析功耗

5、分析 简单能量分析SPA 差分能量分析DPAGuessed keyIntermediate valueKnown input+根据观察一条或几条功耗曲线的特点，来推断出加密算法的相关信息。实验环境实验环境PC+SCAnalyzerOscilloscopePower Recorder我们需要得到哪些信息？我们需要得到哪些信息？K + OPc + r,c f5+f1的流程的流程f5分析什么位置？分析什么位置？分析过程分析过程第一第一步步: 采集曲线采集曲线分析过程分析过程s第二步第二步: 得到得到 K 和和 OPCK K OPcOPcK KOPcOPc分析第一轮分析第二轮分析过程分析过程s第三步第三步: 验证通过验证通过?自定义自定义参数参数通过计算相关性来得到循环移位通过计算相关性来得到循环移位参数参数r r猜测算法参数猜测算法参数c c进而分析下进而分析下一个一个 AES AES最后我们得到需最后我们得到需要的参数要的参数r r和和c c我们的研究结果我们的研究结果目 录1背景23G/4G的鉴权机制3对于USIM卡的旁路攻击4结论结论结论结论1. USIM卡的安全性相比前一代SIM卡有着更高的安全性要求，不仅是因为数量巨大，而且也因为如今手机的应用场合多种多样。2. 基于AES128的MILENAGE算法，即