DISEÑO DE SEGURIDAD MEJORADO PARA CRIPTOGRAFÍA EN SISTEMAS DE COMUNICACIÓN DE MÓVILES.

Diseño de seguridad mejorado para criptografía en sistemas de comunicaciones de móviles Campo técnico La presente invención se refiere en general a aspectos criptográficos en sistemas de comunicación, y, más particularmente, a mejoras de seguridad para el GSM (Sistema Global para Comunicación de Móviles), el UMTS (Sistema Universal de Telecomunicaciones de Móviles) y sistemas de comunicación similares. Antecedentes En las comunicaciones de móviles, por ejemplo, según la normativa GSM o UMTS, la seguridad es de suma importancia. Esto está muy relacionado con el aumento del uso de las comunicaciones de móviles en relaciones comerciales y para comunicaciones privadas. En este momento se sabe que, por ejemplo, el GSM padece problemas de seguridad. Tal como se ha descrito recientemente en la referencia [1], es posible recuperar la clave de cifrado vulnerando el algoritmo criptográfico A5/2. Existen tres elecciones básicas de algoritmo para datos por conmutación de circuitos, A5/1, A5/2, A5/3, y tres algoritmos básicos para datos por paquetes, GEA1, GEA2 y GEA3. No obstante, debe observarse que existen también algoritmos de 128 bits más resistentes indicados como A5/4 y GEA4. El terminal señaliza sus capacidades, en particular el conjunto de algoritmos criptográficos que soporta, a la red. A continuación, la red selecciona qué algoritmo criptográfico usar. Obsérvese que esta señalización no está protegida. De este modo, el terminal no tiene la opción de detectar si un atacante está señalizando que debería usar el A5/2, y cuándo lo está haciendo, y que esta información se origina en un operador legítimo. En general, existen por lo menos tres tipos de ataques. El primer tipo implica que un atacante intercepte y descifre el tráfico cuando el sistema está usando el algoritmo A5/2 vulnerado. El segundo tipo de ataque comprende la interceptación de tráfico asociado al procedimiento de AKA para registrar datos de tráfico y el valor RAND que se usa. Posteriormente, una estación base falsa puede hacer que el terminal móvil ejecute un procedimiento de AKA usando el RAND registrado previamente y que, a continuación, cifre el tráfico usando el algoritmo A5/2, lo cual permite que el atacante recupere la clave criptográfica Kc. Debido a la simple dependencia con respecto al RAND, esta clave, Kc, será la misma clave que se usó para proteger el tráfico registrado. El tercer tipo de ataque implica que un hombre-en-el-medio activo obligue al terminal a usar el algoritmo A5/2, permitiendo de este modo el cálculo de la clave criptográfica. La normativa UMTS recomienda métodos que superan la mayoría de estos problemas. No obstante, se prevé un escenario en el que los terminales GSM se usarán durante un periodo de tiempo considerable hasta que la gran mayoría de usuarios se hayan convertido en propietarios de terminales UMTS. De hecho, muchos servicios avanzados estarán disponibles en teléfonos GSM y los usuarios pueden ser reacios a cambiar sus teléfonos hasta que pase un cierto tiempo. Adicionalmente, aunque el UMTS dispone de contramedidas que lo hacen resistente a estos ataques, existe evidentemente una preocupación de que avances futuros en el cripto-análisis descubran que también existen problemas similares en el mismo y/o en otros sistemas de comunicación. Por otra parte, podría haber una implicación de problemas de seguridad cuando se produzcan desplazamientos itinerantes entre tipos diferentes de redes, tales como redes GSM y UMTS. Sumario de la invención ES 2 367 692 T3 La presente invención supera estos y otros inconvenientes de las disposiciones de la técnica anterior. Es un objetivo general de la presente invención proporcionar un diseño de seguridad mejorada para sistemas de comunicación. En particular, es un objetivo de la invención proporcionar mejoras de seguridad para una comunicación cifrada que se basa en acuerdos de claves en sistemas de comunicación de móviles tales como el GSM y el UMTS. Un objetivo especial consiste en mejorar la gestión de claves para el GSM y el UMTS con el fin de limitar el impacto de la vulneración del A5/2 y ataques futuros sobre otros algoritmos. Se ha reconocido que un defecto importante en los diseños de seguridad de la técnica anterior es que, aunque la clave de seguridad criptográfica dependa de cierto desafío aleatorio, se usa la misma clave con independencia del algoritmo de seguridad concreto. Una idea básica según la invención consiste en mejorar o actualizar los algoritmos básicos de seguridad criptográfica por medio de una modificación, específica del algoritmo, de la clave de seguridad generada en el procedimiento normal de acuerdo de clave del sistema de comunicación de móviles. 2 ES 2 367 692 T3 Para la comunicación entre el terminal móvil y el lado de la red, se selecciona normalmente, o bien por parte del lado de la red o bien basándose en un acuerdo mutuo entre el móvil y el lado de la red, una versión mejorada de uno de los algoritmos básicos de seguridad criptográfica soportados por el móvil. A continuación, la clave de seguridad básica resultante del procedimiento de acuerdo de clave entre el terminal móvil y la red se modifica dependiendo de información representativa del algoritmo seleccionado para generar una clave de seguridad específica del algoritmo. Finalmente, el algoritmo de seguridad básico se aplica con la clave de seguridad específica del algoritmo, como entrada de clave para mejorar la seguridad para una comunicación protegida en la red de comunicación de móviles. Tal como se ha mencionado, la selección del algoritmo se puede realizar en el lado de la red, en cuyo caso el lado de la red transmite información representativa del algoritmo seleccionado al terminal móvil. Esta solución es consistente, por ejemplo, con el GSM actual, donde la red selecciona los algoritmos A5/1 a A5/3. No obstante, de manera alternativa, especialmente para otros sistemas de comunicación, la selección del algoritmo de seguridad mejorada según la invención se puede basar, si se desea, en un acuerdo entre el terminal móvil y el lado de la red, por ejemplo, ejecutado por medio de un procedimiento de señalización de entrada en contacto, un protocolo de oferta-respuesta o un protocolo de negociación similar. Preferentemente, los algoritmos originales implementados en hardware se mantienen iguales (por lo menos en el terminal móvil), y, para cada algoritmo original que necesita una mejora de seguridad, se define un algoritmo de seguridad actualizado (virtual), tal como un algoritmo de cifrado/criptográfico mejorado, basándose en el algoritmo original junto con la modificación de la clave específica del algoritmo. La modificación de la clave se realiza típicamente por medio de una función de modificación de clave, que procesa la clave de entrada basándose en un identificador de algoritmo o información similar representativa del algoritmo seleccionado y, posiblemente, en algunos datos adicionales para generar una clave modificada, la cual se reenvía al algoritmo de seguridad original. Si es deseable soportar, no solamente las versiones mejoradas de los algoritmos de seguridad, sino también mantener un soporte para los algoritmos básicos, por ejemplo, con fines relacionados con la interoperabilidad, el identificador de algoritmo debe poder distinguir entre los algoritmos de seguridad básicos originales y los algoritmos de seguridad mejorada. En la práctica, la solución básica únicamente requiere actualizaciones de software en los terminales y/o en el sistema de red. En una realización preferida de la invención, el problema se resuelve básicamente modificando los terminales y dejándolos señalizar que ellos (solamente) soportan versiones mejoradas actualizadas de los algoritmos básicos originales. Los esfuerzos de normalización se pueden mantener a un nivel mínimo, puesto que solamente es necesario normalizar la función de modificación y los identificadores de algoritmo. En el lado de la red, el procesado de selección del algoritmo, de modificación de la clave y de seguridad criptográfica, tal como el cifrado, se puede implementar en un único nodo, o se puede distribuir en varios nodos. Frecuentemente, la selección del algoritmo y la modificación de la clave se implementan en el mismo nodo. No obstante, alternativamente, la selección del algoritmo y la modificación de la clave se pueden distribuir, si se desea, en más de un nodo de la red. Por ejemplo, un nodo puede calcular claves específicas de algoritmo para un conjunto completo de algoritmos de seguridad, y transferir las claves a otro nodo, el cual, a continuación, selecciona una versión mejorada de un algoritmo de seguridad y extrae o deriva la clave apropiada a partir del conjunto recibido de claves. Dependiendo de la implementación del sistema, se puede realizar el cifrado real u otro procesado... [Seguir leyendo]

1. Método de mejora de la seguridad para una comunicación protegida basada en un procedimiento de acuerdo de clave (S 1) en una red de comunicaciones de móviles que presta servicio a un terminal móvil (100) que tiene por lo menos un algoritmo de seguridad criptográfico básico, comprendiendo dicho método las etapas de: - seleccionar una versión mejorada de un algoritmo de seguridad criptográfico básico para la comunicación entre el terminal móvil y el lado de la red (S2); - modificar una clave de seguridad básica resultante del procedimiento de acuerdo de clave en función de información representativa del algoritmo seleccionado para generar una clave de seguridad específica de algoritmo (S3); - aplicar el algoritmo de seguridad criptográfico básico con la clave de seguridad específica del algoritmo como entrada de clave para mejorar la seguridad para la comunicación protegida en dicha red de comunicaciones de móviles (S4). 2. Método de la reivindicación 1, en el que dicha etapa de seleccionar una versión mejorada de un algoritmo de seguridad criptográfico básico se realiza en el lado de la red, y dicho método comprende además la etapa de transmitir información representativa del algoritmo seleccionado al terminal móvil. 3. Método de la reivindicación 1, en el que dicha etapa de seleccionar una versión mejorada de un algoritmo de seguridad criptográfico básico se basa en un acuerdo entre dicho terminal móvil y dicha red. 4. Método de la reivindicación 1, en el que dichas etapas de modificar una clave de seguridad básica y aplicar el algoritmo de seguridad criptográfico básico con la clave específica del algoritmo como entrada de clave se realizan tanto en el lado de la red como en el terminal móvil. 5. Método de la reivindicación 1, en el que el algoritmo de seguridad básico junto con la modificación, específica del algoritmo, de dicha clave de seguridad básica se corresponden con la versión mejorada del algoritmo de seguridad. 6. Método de la reivindicación 1, en el que dicho terminal móvil modifica la clave de seguridad básica resultante del procedimiento de acuerdo de clave en función de dicha información representativa del algoritmo seleccionado, y reenvía la clave de seguridad modificada a un motor criptográfico para el algoritmo de seguridad básico en dicho terminal móvil. 7. Método de la reivindicación 1, en el que dicha información representativa del algoritmo seleccionado es un identificador de algoritmo que identifica la versión mejorada seleccionada del algoritmo de seguridad. 8. Método de la reivindicación 1, en el que dicha etapa de seleccionar una versión mejorada del algoritmo de seguridad se basa en una lista de algoritmos soportados del terminal móvil y una lista de algoritmos permitidos por la red. 9. Método de la reivindicación 1, en el que dichos algoritmos de seguridad se configuran para por lo menos una de confidencialidad de datos, integridad de datos y autenticación. 10. Método de la reivindicación 9, en el que dichos algoritmos de seguridad se configuran para una comunicación cifrada en dicha red de comunicaciones de móviles. 11. Método de la reivindicación 1, que comprende además las etapas de: - insertar, por parte de dicho lado de la red, información de protección contra repeticiones, en un desafío aleatorio, RAND, usado para la autenticación y el acuerdo de clave con el terminal móvil; - extraer de dicho desafío aleatorio, por parte de dicho terminal móvil, dicha información de protección contra repeticiones; y - realizar, por parte de dicho terminal móvil, una comprobación de la protección contra repeticiones basándose en la información extraída de protección contra repeticiones. 12. Método de la reivindicación 11, en el que dicha información de protección contra repeticiones se basa en un contador o se basa en el tiempo. 13. Método de la reivindicación 1, que comprende además las etapas de: - generar, por parte de dicho lado de la red, información de autenticación dependiente de la clave, por lo menos parcialmente basándose en una clave secreta compartida entre el terminal móvil y el lado de la red; 13 ES 2 367 692 T3 - insertar, por parte de dicho lado de la red, dicha información de autenticación dependiente de la clave en el desafío aleatorio, RAND, usado para la autenticación y el acuerdo de clave con el terminal móvil; - extraer de dicho desafío aleatorio, por parte de dicho terminal móvil, dicha información de autenticación dependiente de la clave; y - comprobar, por parte de dicho terminal móvil, dicha información de autenticación dependiente de la clave por lo menos parcialmente basándose en dicha clave secreta compartida, para verificar la autenticidad de la red. 14. Método de la reivindicación 13, en el que dichas etapas de generar información de autenticación dependiente de la clave y comprobar dicha información de autenticación dependiente de la clave se realizan basándose por lo menos parcialmente en un valor aleatorio iniciado desde el lado de la red y una clave derivada localmente a partir de dicha clave secreta compartida, insertándose dicho valor aleatorio en dicho desafío aleatorio, RAND, junto con dicha información de autenticación dependiente de la clave. 15. Método de la reivindicación 13, en el que dichas etapas de generar información de autenticación dependiente de la clave y comprobar dicha información de autenticación dependiente de la clave se realizan basándose por lo menos parcialmente en dicha clave secreta compartida y por lo menos un elemento de información, insertándose dicho por lo menos un elemento de información en dicho desafío aleatorio, RAND, junto con dicha información de autenticación dependiente de la clave, protegiendo así, en cuanto a integridad, dicho por lo menos un elemento de información. 16. Método de la reivindicación 15, en el que dicho por lo menos un elemento de información incluye información de protección contra repeticiones. 17. Método de la reivindicación 15, en el que dicha etapa de seleccionar una versión mejorada del algoritmo de seguridad es realizada por una red visitada, dicho por lo menos un elemento de información incluye información sobre algoritmos de seguridad permitidos por una red doméstica del terminal móvil, y dicho terminal móvil comprueba si el algoritmo de seguridad seleccionado por la red visitada está permitido por la red doméstica. 18. Método de la reivindicación 1, en el que dicha etapa de modificar una clave de seguridad básica se realiza basándose en una función de modificación criptográfica implementada por software, sensible a la clave de seguridad básica, e información representativa del algoritmo seleccionado. 19. Disposición para mejorar la seguridad para una comunicación protegida basada en un procedimiento de acuerdo de clave en una red de comunicaciones de móviles que presta servicio a un terminal móvil (100) que tiene por lo menos un algoritmo de seguridad básico, comprendiendo dicha disposición: - medios para seleccionar una versión mejorada de un algoritmo (24) de seguridad criptográfico básico para la comunicación entre el terminal móvil y el lado de la red; - medios para modificar una clave de seguridad básica resultante del procedimiento de acuerdo de clave en función de información representativa del algoritmo seleccionado, para generar una clave de seguridad específica del algoritmo; - medios para aplicar el algoritmo (24) de seguridad criptográfico básico con la clave de seguridad específica del algoritmo como entrada de clave para mejorar la seguridad para la comunicación protegida en dicha red de comunicaciones de móviles. 20. Disposición de la reivindicación 19, en la que dichos medios de selección comprenden medios para seleccionar, en el lado de la red, dicha versión mejorada de un algoritmo de seguridad criptográfico básico para la comunicación con el terminal móvil, y dicha disposición comprende además medios para transmitir información representativa del algoritmo seleccionado al terminal móvil. 21. Disposición de la reivindicación 19, en la que dichos medios de selección comprenden medios para negociar entre dicho terminal móvil y dicha red con el fin de seleccionar una versión mejorada de un algoritmo de seguridad criptográfico básico. 22. Disposición de la reivindicación 19, en la que dichos medios para modificar una clave de seguridad básica y dichos medios para aplicar el algoritmo de seguridad criptográfico básico con la clave de seguridad específica del algoritmo como entrada de clave están implementados tanto en el lado de la red como en el terminal móvil. 23. Disposición de la reivindicación 19, en la que el algoritmo de seguridad básico junto con la modificación, específica del algoritmo, de dicha clave de seguridad básica se corresponden con la versión mejorada del algoritmo de seguridad. 14 ES 2 367 692 T3 24. Disposición de la reivindicación 19, en la que dicho terminal móvil se puede hacer funcionar para modificar la clave de seguridad básica resultante del procedimiento de acuerdo de clave en función de la información representativa del algoritmo seleccionado, y para reenviar la clave de seguridad modificada a un motor criptográfico para el algoritmo de seguridad básico. 25. Disposición de la reivindicación 19, en la que dichos medios para seleccionar una versión mejorada del algoritmo de seguridad funcionan basándose en una lista de algoritmos soportados del terminal móvil y una lista de algoritmos permitidos por la red. 26. Disposición de la reivindicación 20, en la que un nodo de red se puede hacer funcionar para seleccionar una versión mejorada de un algoritmo de seguridad básico y modificar la clave de seguridad en el lado de la red, y para comunicar información representativa del algoritmo seleccionado al terminal móvil. 27. Disposición de la reivindicación 20, en la que un primer nodo de red se puede hacer funcionar para calcular, para cada uno de una pluralidad de algoritmos de seguridad criptográficos, una clave de seguridad específica del algoritmo y para transferir el conjunto calculado de claves de seguridad específicas del algoritmo a un segundo nodo de red, pudiéndose hacer funcionar dicho segundo nodo de red para seleccionar una versión mejorada de un algoritmo de seguridad básico y para extraer una clave de seguridad a partir de dicho conjunto de claves de seguridad específicas de algoritmo. 28. Disposición de la reivindicación 19, en la que dichos algoritmos de seguridad están configurados para una comunicación cifrada en dicha red de comunicaciones de móviles. 29. Disposición de la reivindicación 19, que comprende además: - medios para insertar, en el lado de la red, información de protección contra repeticiones, en un desafío aleatorio, RAND, usado para la autenticación y el acuerdo de clave con el terminal móvil; - medios para extraer de dicho desafío aleatorio, en dicho terminal móvil, dicha información de protección contra repeticiones; y - medios para realizar, en dicho terminal móvil, una comprobación de la protección contra repeticiones basándose en la información extraída de protección contra repeticiones. 30. Disposición de la reivindicación 19, que comprende además: - medios para generar, en el lado de la red, información de autenticación dependiente de la clave, por lo menos parcialmente basándose en una clave secreta compartida entre el terminal móvil y el lado de la red; - medios para insertar, en el lado de la red, dicha información de autenticación dependiente de la clave en el desafío aleatorio, RAND, usado para la autenticación y el acuerdo de clave con el terminal móvil; - medios para extraer de dicho desafío aleatorio, en dicho terminal móvil, dicha información de autenticación dependiente de la clave; y - medios para comprobar, en dicho terminal móvil, dicha información de autenticación dependiente de la clave por lo menos parcialmente basándose en dicha clave secreta compartida, para verificar la autenticidad de la red. 31. Disposición de la reivindicación 19, en la que dichos medios para modificar una clave de seguridad básica se proporcionan como una actualización de software. 32. Terminal móvil (100) para su funcionamiento en una red de comunicaciones de móviles, comprendiendo dicho terminal: - una funcionalidad (10) de autenticación y acuerdo de clave, AKA; - un motor para un algoritmo (24) de seguridad criptográfico básico; - medios para modificar una clave de seguridad básica a partir de dicha funcionalidad AKA en respuesta a información representativa de un algoritmo de seguridad criptográfico seleccionado, con el fin de generar una clave de seguridad específica del algoritmo para introducirla en dicho motor de algoritmo de seguridad criptográfico básico con el fin de mejorar la seguridad para una comunicación protegida en dicha red de comunicaciones de móviles. 33. Terminal móvil de la reivindicación 32, en el que el algoritmo de seguridad seleccionado es una versión mejorada del algoritmo de seguridad criptográfico básico, y la versión mejorada del algoritmo de seguridad básico se selecciona desde el lado de la red, y dicho terminal móvil se puede hacer funcionar para recibir información representativa del algoritmo seleccionado desde el lado de la red. ES 2 367 692 T3 34. Terminal móvil de la reivindicación 32, en el que el algoritmo de seguridad criptográfico básico junto con la modificación de dicha clave de seguridad básica en una clave de seguridad específica del algoritmo se corresponden con un algoritmo de seguridad criptográfico mejorado. 35. Terminal móvil de la reivindicación 32, en el que dichos medios para modificar una clave de seguridad básica se proporcionan como una actualización de software en el terminal móvil. 36. Nodo (300) de red para su funcionamiento en una red de comunicaciones de móviles que presta servicio a un terminal móvil (100) que soporta por lo menos un algoritmo (24) de seguridad criptográfico básico, comprendiendo dicho nodo de red: - medios para obtener, a partir de una clave de seguridad básica resultante de un procedimiento de acuerdo de clave, una clave de seguridad específica del algoritmo, correspondiente a una versión mejorada del algoritmo de seguridad criptográfico básico para su introducción en el algoritmo (24) de seguridad criptográfico básico con el fin de mejorar la seguridad para una comunicación protegida en dicha red de comunicaciones de móviles. 37. Nodo de red de la reivindicación 36, que comprende además medios para seleccionar dicha versión mejorada de un algoritmo de seguridad criptográfico básico para una comunicación protegida con un terminal móvil. 38. Nodo de red de la reivindicación 37, en el que dichos medios para obtener una clave de seguridad específica del algoritmo comprenden medios para modificar una clave de seguridad básica resultante de un procedimiento de acuerdo de clave en dicha red de comunicaciones de móviles en función de información representativa del algoritmo seleccionado. 39. Nodo de red de la reivindicación 38, en el que dichos medios para modificar una clave de seguridad básica se proporcionan como una actualización de software en el nodo de red. 40. Nodo de red de la reivindicación 36, en el que dichos medios para obtener una clave de seguridad específica del algoritmo comprenden medios para seleccionar una clave de seguridad a partir de un conjunto precalculado de claves de seguridad específicas de algoritmo correspondientes a una pluralidad de algoritmos de seguridad. 41. Nodo de red de la reivindicación 37, que comprende además medios para comunicar, al terminal móvil, información específica del algoritmo, correspondiente al algoritmo seleccionado. 16 ES 2 367 692 T3 17 ES 2 367 692 T3 18 ES 2 367 692 T3 19 ES 2 367 692 T3 ES 2 367 692 T3 21 ES 2 367 692 T3 22 ES 2 367 692 T3 23