La sécurité des réseaux mobiles a parcouru un long chemin au cours des décennies qui ont suivi l'introduction de la cryptographie dans la norme GSM. Nous examinons en profondeur les algorithmes et les protocoles qui nous ont amenés jusqu'ici et voyons à quel point nous sommes bien préparés pour les défis quantiques de l'avenir.
Les algorithmes cryptographiques et les protocoles de sécurité font partie des principaux éléments constitutifs de la construction de solutions de communication sécurisées dans le cybermonde. Ils correspondent aux serrures qui sécurisent une maison dans le monde physique. Dans les deux cas, il est très difficile d'accéder aux actifs à l'intérieur sans une clé valide. Les algorithmes et les protocoles sont basés sur des problèmes mathématiques difficiles et infaisables par calcul, tandis que les mécanismes de verrouillage sont basés sur la difficulté de résoudre la construction physique.
Les réseaux mobiles sont une infrastructure critique et utilisent fortement les avancées des algorithmes et des protocoles cryptographiques pour assurer la sécurité des informations dans la communication et la protection de la vie privée des individus. Dans cet article de blog, nous examinons en détail les algorithmes et protocoles cryptographiques utilisés dans les communications mobiles et partageons quelques informations sur les progrès récents. Nous donnons un aperçu en tenant compte du développement de la 2G à la 5G et au-delà. De plus, nous présentons des informations détaillées sur les progrès accomplis vers la définition des profils à utiliser dans les protocoles de sécurité pour les systèmes de communication mobile. Enfin, nous donnons l'état actuel et les plans futurs des algorithmes et protocoles cryptographiques post-quantiques.
Algorithmes 3GPP/GSMA
Il peut être difficile d'avoir une vue d'ensemble des algorithmes cryptographiques utilisés dans les réseaux mobiles. Les spécifications sont réparties sur de nombreux documents, publiés sur une période de 30 ans par les trois organismes de normalisation : 3GPP, ETSI et GSMA. Les algorithmes peuvent également avoir des noms assez cryptiques, plusieurs noms étant souvent attribués au même algorithme. Par exemple, GEA5, UEA2, 128-EEA1 et 128-NEA1 sont des spécifications presque identiques de SNOW 3G pour GPRS, UMTS, LTE et NR respectivement.
Les algorithmes 3GPP/GSMA sont de trois types différents : authentification et génération de clés, chiffrement et intégrité. Les algorithmes d'authentification et de génération de clé sont utilisés dans le protocole d'authentification et d'accord de clé (AKA). Les algorithmes de chiffrement et d'intégrité sont utilisés ensemble ou indépendamment pour protéger les données du plan de contrôle et du plan utilisateur. Un aperçu de tous les algorithmes actuellement spécifiés est présenté dans les figures 1 et 2.
2G – la naissance de la sécurité des réseaux cryptographiques
Les réseaux mobiles de deuxième génération (2G ou GSM) ont une sécurité assez faible par rapport aux normes actuelles. Mais le GSM était en fait le premier système de communication grand public à utiliser la cryptographie, ce qui était à la fois révolutionnaire et controversé. À l'époque, l'exportation de la cryptographie était fortement restreinte et le GSM devait être conçu dans cet esprit. Les algorithmes de chiffrement A5/1 et A5/2 sont des chiffrements de flux basés sur LFSR prenant en charge une longueur de clé de 64 bits. A5/2 est un chiffrement dit d'exportation conçu pour n'offrir qu'un niveau de sécurité de 40 bits. L'utilisation de chiffrements d'exportation offrant une sécurité faible était courante à l'époque et d'autres normes telles que TLS prenaient également en charge les suites de chiffrement d'exportation.
Pour s'aligner davantage sur les réglementations de contrôle des exportations, les algorithmes de génération de clé COMP128-1 et COMP128-2 ont réduit la longueur effective de la clé de sortie à 54 bits en réglant la clé sur 10 bits à zéro. Alors qu’A5/1 et A5/2 répondaient pour la plupart à leurs critères de conception, COMP128-1 était un algorithme très faible et a rapidement été remplacé par COMP-128-2 et COMP128-3. Lorsque les données à commutation de paquets ont été introduites avec le GPRS, des algorithmes légèrement différents GEA1 et GEA2 ont été introduits. Semblables à A5/1 et A5/2, GEA1 et GEA2 sont des chiffrements de flux basés sur LFSR prenant en charge une longueur de clé de 64 bits, où GEA1 était le chiffrement d'exportation. Les chiffrements d'exportation A5/2 et GEA1 sont interdits dans les téléphones depuis de nombreuses années et il est interdit de prendre en charge COMP128-1 dans les réseaux et les cartes SIM. Aucun des algorithmes 2G originaux n'a été officiellement publié nulle part car ils étaient destinés à rester secrets, ce qui était une pratique assez courante à l'époque. Mais tous ont été rétro-conçus par des chercheurs universitaires près d'une décennie après leur développement.
3G - faire passer la sécurité du réseau au niveau supérieur
Les réseaux mobiles de troisième génération (3G ou UMTS) ont introduit des algorithmes de chiffrement et d'intégrité publics de niveau de sécurité 128 bits. En 3G, les algorithmes ont été sélectionnés par l'ETSI Security Algorithms Group of Experts (SAGE), qui a depuis fait des recommandations pour tous les nouveaux algorithmes pour les réseaux mobiles. La décision finale est toujours prise par 3GPP SA WG3, le groupe de travail sécurité du 3GPP. Alors que de nombreuses autres conceptions de la même époque, telles que SSH et TLS, se sont avérées présenter des défauts importants, les algorithmes 3G et leurs modes de fonctionnement sont toujours sécurisés aujourd'hui.
Les algorithmes de chiffrement 3G UEA1 et UEA2 utilisent le chiffrement par bloc KASUMI et le chiffrement de flux SNOW 3G, qui sont respectivement des versions légèrement modifiées du chiffrement par bloc MIST et du chiffrement de flux SNOW 2.0. L'algorithme d'intégrité UIA1 est CBC-MAC utilisant KASUMI et UEA2 est un MAC Carter-Wegman basé sur SNOW 3G. Pour l'authentification et la génération de clés, l'algorithme exact n'est pas standardisé et il appartient à l'opérateur de choisir l'algorithme déployé dans son réseau domestique et ses cartes SIM. 3GPP définit l'algorithme Milenage (basé sur AES-128) comme un exemple d'algorithme bien conçu et ce choix est largement utilisé dans la pratique. Tous les algorithmes 3G ont également été spécifiés pour être utilisés en 2G.
4G – préparer le terrain pour un avenir plus sûr
Les réseaux mobiles de quatrième génération (4G ou LTE) ont remplacé KASUMI par AES-128. L'algorithme de chiffrement 128-EEA2 est AES en mode compteur (AES-CTR) tandis que l'algorithme d'intégrité 128-EIA2 est AES en mode CMAC. La 4G a également introduit Tuak, une nouvelle famille d'algorithmes pour l'authentification et la génération de clés basée sur l'algorithme de hachage Keccak mais utilisant des paramètres légèrement différents de celui que le NIST a ensuite normalisé en SHA-3. Les cartes SIM sont recommandées pour prendre en charge à la fois Milenage et Tuak. La 4G a également introduit un algorithme facultatif, ZUC, pour construire les algorithmes 128-EEA3 et 128-EIA3, qui sont les seuls facultatifs à être pris en charge dans les implémentations. Il convient également de mentionner que le 3GPP spécifie au moins deux algorithmes obligatoires en raison de la pratique de sécurité consistant à disposer d'un algorithme de sauvegarde.
5G et au-delà – le besoin de vitesse
La cinquième génération (5G ou NR) utilise exactement les mêmes algorithmes utilisés en 4G. Il n'y a aucune faiblesse dans aucun des algorithmes 4G et ils offrent des performances suffisantes lorsqu'ils sont implémentés dans le matériel. Cependant, les algorithmes actuellement utilisés ne conviennent pas aux déploiements futurs car ils sont lents au niveau logiciel, ne prennent pas en charge les clés 256 bits et ne prennent en charge que les MAC 32 bits. Les performances logicielles sont essentielles pour les implémentations logicielles dans les déploiements virtualisés. Bien que ces algorithmes soient suffisamment rapides pour la 5G lorsqu'ils sont implémentés dans le matériel, ils fonctionnent bien moins bien que les algorithmes de pointe également dans le matériel et ne conviendront probablement pas à la 6G.
3GPP SA3 et ETSI SAGE ont donc commencé à travailler ensemble sur de nouveaux algorithmes conviviaux pour la virtualisation adaptés aux versions ultérieures de la 5G et de la 6G. Il est essentiel que les nouveaux algorithmes fonctionnent bien dans le logiciel sur une large gamme d'architectures (telles que x86, ARM et RISC-V) et qu'ils puissent également être efficacement mis en œuvre dans le matériel. AES-CTR remplit déjà ces critères, mais devrait s'accompagner d'un mode d'intégrité performant comme GMAC. SNOW 3G n'est pas à la hauteur, mais le nouveau chiffrement SNOW-V conviendrait parfaitement, surpassant même l'AES-GCM sur les processeurs x86.
Les nouveaux algorithmes qui seront introduits dans le 3GPP ne prendront probablement en charge qu'une longueur de clé de 256 bits et offriront des balises d'au moins 64 bits. Alors que les algorithmes 128 bits seront pratiquement sécurisés contre les ordinateurs quantiques, les réseaux cellulaires sont de plus en plus classés comme des infrastructures critiques. Déjà aujourd'hui, les gouvernements et les institutions financières imposent souvent un niveau de sécurité supérieur à 128 bits pour la protection de leurs communications.
Profils 3GPP pour TLS, IPsec, X.509, SRTP et JOSE
Alors que les réseaux mobiles utilisent certains algorithmes et protocoles de sécurité spécifiques au 3GPP, la plupart des protocoles de sécurité utilisés dans la 5G tels que TLS, DTLS, IKEv2, ESP, SRTP, X.509 et JOSE sont normalisés ou maintenus par l'Internet Engineering Task Force ( IETF). Le 3GPP a, pendant de nombreuses années, eu l'excellente tradition de mettre à jour ses profils de sécurité dans presque chaque version en suivant les recommandations des universités, de l'IETF et d'autres organisations. Une grande partie de ce travail a été conduite par Ericsson.
Les profils 3GPP généraux pour (D)TLS, IPsec et X.509 spécifiés dans TS 33.210 et TS 33.310 s'appliquent à de nombreuses interfaces 3GPP différentes. Le 3GPP possède désormais certains des profils les meilleurs et les plus sécurisés pour TLS et IPsec. Le 3GPP a été, par exemple, très précoce avec la prise en charge obligatoire de TLS 1.3 et l'interdiction de TLS 1.1 et de toutes les suites de chiffrement faibles dans TLS 1.2. Aujourd'hui, la meilleure pratique consiste à chiffrer autant d'informations que possible et à échanger des clés avec Diffie-Hellman pour activer le Perfect Forward Secrecy (PFS). Les profils sont bien en avance sur la plupart des autres industries ainsi que sur les propres profils de l'IETF. La 5G est de plus en plus qualifiée d'infrastructure critique et, à ce titre, le profilage de sécurité doit être à la pointe de la technologie.
Pour Rel-16 et Rel-17, le 3GPP a lancé des éléments de travail spécifiques aux mises à jour de sécurité, mais un travail similaire a été effectué pendant beaucoup plus longtemps dans le cadre de l'élément de travail général TEI. Pour Rel-17, 3GPP vise à imposer la prise en charge de SHA-256 dans les quelques endroits restants où MD5 ou SHA-1 est toujours utilisé, introduire Curve25519 pour l'échange de clés à faible latence dans IKEv2, permettre l'utilisation de l'agrafage OCSP et OCSP comme alternative à CRL partout, mandater la prise en charge de DTLS-STRP et AES-GCM pour SRTP et introduire un ECDSA déterministe.
Défis dans la mise à jour des profils
La mise à jour des profils pour les algorithmes cryptographiques et les protocoles de sécurité est un processus qui prend de nombreuses années en raison de la rétrocompatibilité, car les nœuds d'une version doivent souvent communiquer avec des appareils de versions beaucoup plus anciennes. Avant que des algorithmes ou des versions de protocole faibles ne soient interdits, le support d'alternatives fortes doit avoir été obligatoire pour plusieurs versions.
Compte tenu du fait que le 3GPP produit environ une version tous les 1,5 ans, il est essentiel de rendre obligatoire la prise en charge des nouvelles versions des protocoles de sécurité dès que possible, comme le 3GPP l'a fait avec TLS 1.3. Certains inconvénients de TLS 1.2 sont qu'il nécessite une grande quantité de configuration pour devenir sécurisé et ne fournit pas de protection d'identité, il devrait donc être progressivement supprimé à l'avenir.
La meilleure pratique actuelle consiste à imposer la prise en charge d'au moins deux algorithmes forts partout, de sorte qu'il y ait toujours un algorithme fort pris en charge si l'un des algorithmes est défectueux. Le National Institute of Standards and Technology (NIST) a longtemps fonctionné comme une organisation mondiale de normalisation pour les algorithmes cryptographiques. Le NIST standardise les algorithmes dans les concours ouverts, invitant les contributions des universités du monde entier. AES et SHA-3 ont tous deux été conçus par des chercheurs européens. Récemment, l'Internet Research Task Force Crypto Forum Research Group (IRTF CFRG) a complété le NIST en tant qu'organisation mondiale de développement de normes cryptographiques (ou SDO) et a standardisé des algorithmes tels que ChaCha20-Poly1305, Curve25519, EdDSA, LMS et XMSS. Le NIST a introduit de nombreux algorithmes CFRG dans ses propres normes.
Les algorithmes cassés étaient autrefois très courants, mais essentiellement tous les algorithmes standardisés par le NIST, l'IRTF CFRG et l'ETSI SAGE depuis 2000 (tels que AES, SHA-2, SHA-3, ChaCha20, KASUMI et SNOW 3G) sont restés sécurisés, sans aucune attaque pratique. . La figure 3 donne un aperçu des algorithmes et des protocoles de sécurité défectueux, faibles ou hérités. Le 3GPP a déjà interdit la plupart d'entre eux et supprimera probablement progressivement le reste dans les prochaines versions.
Sécurité post-quantique
Une grande partie des travaux futurs dans les prochaines versions consistera à introduire des algorithmes à sécurité quantique ou la cryptographie post-quantique (PQC). Les algorithmes PQC sont des algorithmes cryptographiques sécurisés contre les attaques des ordinateurs quantiques, qui se trouvent être la plupart des algorithmes, à l'exception de RSA et Elliptic-Curve Cryptography (ECC). C'est quelque chose pour lequel 3GPP est bien préparé, ayant déjà des protocoles à l'épreuve du temps comme l'identifiant caché d'abonnement 5G (SUCI) en permettant aux textes chiffrés et aux clés publiques d'avoir plusieurs milliers d'octets. Si quelqu'un construit un ordinateur quantique suffisamment grand, RSA et ECC seront probablement cassés en quelques heures.
De petits ordinateurs quantiques existent déjà, mais on ne sait toujours pas quand (ou si) des ordinateurs quantiques capables de casser ces algorithmes cryptographiques seront construits. Le 3GPP introduira probablement des algorithmes de sécurité quantique bien avant que les ordinateurs quantiques ne soient sur le point d'affecter la sécurité des systèmes 3GPP. L'introduction d'algorithmes cryptographiques non standardisés introduit probablement plus de risques qu'elle n'en résout, et le 3GPP et l'IETF ont tous deux pris la décision d'attendre la normalisation NIST des algorithmes PQC, qui est déjà en phase finale et sera prête en 2022-2024. Après cela, l'IETF normalisera l'utilisation des algorithmes PQC dans (D)TLS, IKEv2, X.509, JOSE et HPKE et dès que cela sera fait, le 3GPP introduira les nouvelles RFC IETF mises à jour.
Certains des candidats pour le niveau de sécurité post-quantique 1 dans le cycle final de la normalisation NIST PQC sont résumés dans la figure 4. Il semble très probable que l'un des algorithmes basés sur le réseau sera le principal remplacement de RSA et ECC, pour les deux Key Mécanismes d'encapsulation (KEM) et signatures. KEM fournit une interface simplifiée pour l'échange de clés et le chiffrement des clés publiques. Les algorithmes basés sur le réseau ont des clés publiques, des signatures et des textes chiffrés légèrement plus grands que ceux de RSA, mais ils sont encore plus rapides que ECC. Comme on peut le voir sur la figure 4, PQC est très pratique pour la plupart des applications. La transition vers PQC peut être considérée comme une étape plus importante que les transitions de 3DES à AES et de SHA-1 à SHA-256, car elle peut nécessiter des modifications plus importantes du protocole de sécurité. Notez que les algorithmes PQC ne reposent pas sur la mécanique quantique et que la mise en œuvre logicielle ne nécessite aucun nouveau matériel.
Les algorithmes symétriques 128 bits ne seront pratiquement pas affectés par les ordinateurs quantiques et le NIST étiquette actuellement AES-128 comme niveau de sécurité post-quantique 1. Malgré cela, le 3GPP s'oriente vers une utilisation accrue des clés et des algorithmes 256 bits tels que AES-256.
Aucun commentaire:
Enregistrer un commentaire