TECHNISCHER DATENSCHUTZ IN KÜNFTIGEN MOBILKOMMUNIKATIONSSYSTEMEN

Technical Data Protection and Security in Future Mobile Communication Systems

Kennwort: TechDatMobiKomm
Zeitraum: 11/94 - 10/97

gefördert im Schwerpunktprogramm "Mobilkommunikation"

Kurzbeschreibung des Projektes

Ausgehend von den stärksten bisher formulierten Anforderungen an den technischen Datenschutz in Mobilkommunikationssystemen soll untersucht werden, ob bzw. mit welchen Einschränkungen und wie bzw. mit welchem Aufwand sie in künftigen Mobilkommunikationssystemen erfüllt werden können. Hierzu ist einerseits zu analysieren, inwieweit dies ohne grundlegende Eingriffe in die geplante Organisations- und Protokollstruktur möglich ist. Andererseits ist herauszuarbeiten, welche zusätzlichen Datenschutzforderungen durch welche tiefergehenden Eingriffe ermöglicht werden. Migrationspfade von den heutigen Mobilkommunikationssystemen hin zu "datenschutzfreundlichen" sind aufzuzeigen, wobei im günstigsten Fall eine Architektur angestrebt wird, innerhalb derer auch im laufenden Betrieb durch Erweiterungen der Mobilkommunikationssysteme um weitere Sicherheitsmechanismen den stärksten technischen Datenschutzforderungen entsprochen werden kann.

Projektverantwortliche

• Prof. Dr. Andreas Pfitzmann
• Dipl.-Inform. Anja Jerichow
• Dipl.-Inform. Hannes Federrath
• Dipl.-Inform. Elke Franz
• Dipl.-Inform. Andreas Graubner
• Dipl.-Inform. Jan Müller

Ziele unserer Forschung im Schwerpunktprogramm

Die folgende Aufzählung enthält die im Erstantrag angegebenen Ziele für das Gesamtprojekt:

• Ziel 1 Untersuchung, wie Eigenschaften eines Funknetzes (primär realisierte Dienstmerkmale), für Schutzmaßnahmen (sekundäre Dienstmerkmale) im einheitlichen Konzept zur Integration verschiedener Mobilkommunikationsnetze (UMTS) genutzt werden können;
• Ziel 2 Vorschläge, wie – und ggf. durch welchen Mehraufwand – die ohnehin geplante Integration verschiedener Mobilkommunikationsnetze in ein einheitliches Konzept für Schutzzwecke genutzt werden kann;
• Ziel 3 Untersuchung, welche Auswirkung hierarchische Zellbereiche auf Verteilung und implizite Adressierung haben;
• Ziel 4 Untersuchung der Auswirkung hierarchischer Zellbereiche bezüglich der zur Realisierung der Datenschutzforderung (Schutz des Aufenthaltortes von mobilen Stationen) vorgeschlagenen Verwaltung des Wissens über den momentanen Ort einer mobilen Teilnehmerstation in einer ortsfesten Teilnehmerstation des betreffenden Teilnehmers;
• Ziel 5 Untersuchung der Auswirkung unterschiedlicher Betreiber für unterschiedliche Netze, denen die Teilnehmer nach eigener Wahl die Verwaltung der Mobilitätsinformation überträgt, wenn keine eigene ortsfeste Station (wie in Ziel 4 angegeben) verwendet wird;
• Ziel 6 Untersuchung, ob und wie Dienste mit (möglicherweise) unterschiedlichen Schutzanforderungen und in jedem Fall unterschiedlichen Übertragungsleistungsanforderungen (Durchsatz, maximale Verzögerung) durch Schutzmaßnahmen geschützt werden sollten;
• Ziel 7 Überprüfung, ob – und ggf. wie weit – die in [Pfit_93 Kap. 3.2.1] getroffene Annahme, daß Funkstationen peil- und identifizierbar sind, wenn sie senden, noch zutrifft;
• Ziel 8 Bei Abrücken von der Annahme in Ziel 7 entstehen völlig neue Möglichkeiten für den adäquaten Einsatz von aus Netzen mit ortsfesten Stationen bekannten Schutzmaßnahmen in Mobilkommunikationsnetzen. Diese neuen Möglichkeiten sind ggf. auszuarbeiten und bzgl. ihres Aufwands zu bewerten;
• Ziel 9 Vor dem Hintergrund weitreichender technischer Datenschutzmöglichkeiten ist zu untersuchen, wo und wie oft im Mobilkommunikationsnetz kryptographische Schlüssel erzeugt und zertifiziert, sowie wie oft und auf welchen Wegen im Mobilkommunikationssystem verteilt werden sollen;
• Ziel 10 Bewertung von Schutz und Leistung der Rasterung der Beginn- und Endzeitpunkte von Telefongesprächen (Vorgeschlagen in [Pfit_93] war eine Rasterung von 30 bzw. 60 Sekunden.);
• Ziel 11 Ebenfalls für andere Dienste soll versucht werden, eine optimale Rastergröße zu finden. Es ist zu untersuchen, ob verschiedene Dienste nicht gemeinsam gleich gerastert werden sollten, um eine Verkettungsmöglichkeit zu reduzieren;
• Ziel 12 Es ist zu untersuchen, ob – und ggf. wie – durch geeignete Signalcodierungswandlungen Ende-zu-Ende-Verschlüsselung erleichtert werden kann;
• Ziel 13 Wird Verschlüsselung auf einer hohen Protokollebene durchgeführt, so schützt sie alle Daten der entsprechenden Ebene auch gegen „neugierige" Instanzen auf allen tieferen Ebenen. Erfolgen keine weiteren Verschlüsselungen, können dann allerdings alle diese neugierigen Instanzen die auf tieferen Ebenen hinzugefügten Protokolldaten zur Kenntnis nehmen. Folglich ist zu untersuchen, auf wie vielen und welchen Ebenen eines Mobilkommunikationssystems Verschlüsselung erfolgen sollte. Entsprechendes ist bzgl. Authentifikation zu untersuchen;
• Ziel 14 Um die technische Datenschutzforderung i4 effizient realisieren zu können, muß das Zusammenspiel zwischen Authentifikation von Nachrichten und Abrechnung von Netznutzung genauer untersucht und gestaltet werden;
• Ziel 15 Die bisher erarbeiteten Mechanismen sollen zusammen mit den üblichen in [ISO7498-2] formulierten in eine gemeinsame technische Datenschutz-Architektur zusammengefaßt werden, um zunächst nur die von der demokratischen Gesellschaft jetzt gewünschten Datenschutzeigenschaften realisieren zu müssen, jedoch offen für zukünftig erhobene Forderungen zu sein. Migrationspfade von den bisher üblichen Schutz-Architekturen hin zu der zu entwickelnden sind aufzuzeigen und ihr Aufwand zu bewerten.

Schwerpunkt im 2. Jahr

Signalisierung in hierarchischen Zellbereichen

Signalisierung in hierarchischen Zellbereichen ist immer dann notwendig, wenn der Wunsch nach Kommunikation von einer mobilen Station oder zu einer mobilen Station besteht. Wollen zwei mobile Stationen des gleichen oder verschiedener Netze miteinander kommunizieren, so dürfte dies immer über den Weg des Festnetzes (zukünftig B-ISDN) erfolgen. Diese Annahme erscheint berechtigt, da im Festnetz am meisten Ressourcen bezüglich Bandbreite vorhanden sind bzw. sein werden.
Das legt nahe, den Signalisierungsprozeß in folgende Arten zu unterteilen: von der mobilen Station zum Netz (mobile originated call) und vom Netz zu der mobilen Station (mobile terminated call).

Schwerpunkt im 3. Jahr

Anonymitätsverfahren: Vertraulichkeit bei Signalisierungsprozessen und beim Datenaustausch

Möglichkeiten der datenschutzgerechten Verwaltung von Aufenthaltsinformation

Die Entwicklung von Anonymitätsverfahren zum Location Management sowie deren theoretische Betrachtung und Verallgemeinerung wird fortgesetzt.
Eine Leistungsbewertung von Broadcast und Message Service, zwei Interessensdaten schützenden Verfahren, wird durchgeführt. Diese sollen mit anderen Anonymitätsverfahren für Signalisierungsprozesse kombiniert und bezüglich ihrer Leistung analysiert und verglichen werden.
Es soll untersucht werden, wo sich welche Sicherheitsfunktionen in Kommunikationssystemen am besten anordnen lassen. Realisierungsmöglichkeiten von Ende-zu-Ende-Vertraulichkeit – insbesondere in GSM-Systemen – werden betrachtet.

Veröffentlichungen innerhalb des Projektes

• Pfit_93 Andreas Pfitzmann: Technischer Datenschutz in öffentlichen Funknetzen. Datenschutz und Datensicherung DuD 6 (1993) 451-463.
• Röhm_95 Dirk Römhild: Das Universal Mobile Telecommunication System (UMTS) aus der Sicht des Technischen Datenschutzes; Großer Beleg, TU Dresden, Institut für Theoretische Informatik, September 1995.
• ThFe_95 Jürgen Thees, Hannes Federrath: Methoden zum Schutz von Verkehrsdaten in Funknetzen. Hans H. Brüggemann, Waltraud Gerhardt-Häckl (ed.): Verläßliche IT-Systeme, Proceedings der GI-Fachtagung VIS '95; DuD Fachbeiträge, Vieweg, Wiesbaden 1995, 180-192.
• FeTh_95 Hannes Federrath, Jürgen Thees: Schutz der Vertraulichkeit des Aufenthaltsorts von Mobilfunkteilnehmern. Datenschutz und Datensicherung DuD 19/6 (1995) 338-348.
• FJKP_95 Hannes Federrath, Anja Jerichow, Dogan Kesdogan, Andreas Pfitzmann: Security in Public Mobile Communication Networks. Proc. of the IFIP TC 6 International Workshop on Personal Wireless Communications, Verlag der Augustinus Buchhandlung Aachen, 1995, 105-116.
• FJKP1_95 Hannes Federrath, Anja Jerichow, Dogan Kesdogan, Andreas Pfitzmann: Technischer Datenschutz in öffentlichen Mobilkommunikationsnetzen; Wissenschaftliche Zeitschrift der TU Dresden 6/44 (1995) 4-9.
• FJPP_95 Hannes Federrath, Anja Jerichow, Andreas Pfitzmann, Birgit Pfitzmann: Mehrseitig sichere Schlüsselerzeugung. in: Trust Center; Proceedings der Arbeitskonferenz Trust Center 95; DuD Fachbeiträge, Vieweg, Wiesbaden 1995, 117-131.
• FeJP_96 Hannes Federrath, Anja Jerichow, Andreas Pfitzmann: MIXes in mobile communication systems: Location management with privacy; Information Hiding, First International Workshop, Cambridge, UK, May/June 1996, LNCS 1174, Springer-Verlag, Heidelberg 1996, 121-135.
• Müll_96 Jan Müller: Realisierungsmöglichkeiten von Ende-zu-Ende Vertraulichkeit in GSM-Mobilfunknetzen, Studienarbeit, TU Dresden, Fakultät Informatik, Institut Theoretische Informatik, 1996.
• Puts_96 Christina Putsche: Mehrstufige Signalisierung - Betrachtungen zur Verbesserung des Datenschutzes in Kommunikationsnetzen; Diplomarbeit, Fakultät Informatik, Institut Theoretische Informatik, 1996.
• FJKP_96 Hannes Federrath, Anja Jerichow, Dogan Kesdogan, Andreas Pfitzmann, Otto Spaniol: Mobilkommunikation ohne Bewegungsprofile; it+ti 38/4 (1996) 24-29.
• KFJP_96 Dogan Kesdogan, Hannes Federrath, Anja Jerichow, Andreas Pfitzmann: Location management strategies increasing privacy in mobile communication; 12th IFIP International Conference on Information Security (IFIP/Sec '96), Chapman & Hall, London 1996, 39-48.
• FrJM_96 Elke Franz, Anja Jerichow, Jan Müller: Integration von Netzen, Netzgestaltung, Ausnutzung hierarchischer Zellstrukturen für datenschutzgerechte Signalisierung; Arbeitspapier im Projekt TechDatMobiKomm des SPP Mobilkommunikation.
• FeMü_97 Hannes Federrath, Jan Müller: Ende-zu-Ende-Verschlüsselung im GSM; Datenschutz und Datensicherheit DuD 21/6 (1997) 328-333.
• FFJM_97 Hannes Federrath, Elke Franz, Anja Jerichow, Jan, Müller, Andreas Pfitzmann: Ein Vertraulichkeit gewährendes Erreichbarkeitsverfahren; M. Zitterbart (Hrsg.): Kommunikation in Verteilten systemen (GI Fachtagung 19.-22.2.97 in Braunschweig), Informatik aktuell, Springer -Heidelberg, 1997, 77-91.
• FJKP_97 Hannes Federrath, Anja Jerichow, Dogan Kesdogan, Andreas Pfitzmann, Dirk Trossen: Minimizing the Average Cost of Paping on the Air Interface—An Approach Considering Privacy; to appear in 47th Annual International Vehicular Technology Cinference (VTC‘97), IEEE.
• FJKP1_97 Hannes Federrath, Anja Jerichow, Dogan Kesdogan, Andreas Pfitzmann, Otto Spaniol: Mobilkommunikation ohne Bewegungsprofile; in: Günter Müller, Andreas Pfitzmann (Hrsg.): Mehrseitige Sicherheit in der Kommunikationstechnik, Addison-Wesley-Longman 1997, 169-180.
• SFJKP_97 Reiner Sailer, Hannes Federrath, Anja Jerichow, Dogan Kesdogan, Andreas Pfitzmann: Allokation von Sicherheitsfunktionen in Telekommunikationsnetzen; in: Günter Müller, Andreas Pfitzmann (Hrsg.): Mehrseitige Sicherheit in der Kommunikationstechnik, Addison-Wesley-Longman 1997, 325-360.
• FrJP_97 Elke Franz, Anja Jerichow, Andreas Pfitzmann: Systematisierung und Modellierung von Mixen; Verläßliche IT-Systeme, GI-Fachtagung VIS '97, DuD Fachbeiträge, Vieweg, Braunschweig 1997, 171-190.
• FJMP_97 Hannes Federrath, Anja Jerichow, Jan Müller, Andreas Pfitzmann: Unbeobachtbarkeit in Kommunikationsnetzen; Verläßliche IT-Systeme, GI-Fachtagung VIS '97, DuD Fachbeiträge, Vieweg, Braunschweig 1997, 191-210.
• Müll_97 Jan Müller: Anonyme Signalisierung in Kommunikationsnetzen; Diplomarbeit, TU Dresden, Inst. f. Theoretische Informatik, Februar 1997.

Folgeprojekt:

SCHUTZ DER KOMMUNIKATIONSBEZIEHUNG IN MOBILKOMMUNIKATIONSSYSTEMEN (SchuKMo)
(Protection of the Communication Relation in Mobile Communication Systems)