W miarę jak kraje na całym świecie zaczynają wdrażać technologię 5G, obietnice większych prędkości i lepszej obsługi czasami przesłaniają szereg problemów związanych z bezpieczeństwem wpływających na technologię komórkową nowej generacji.

Te obawy dotyczące bezpieczeństwa istnieją pomimo ulepszeń w zakresie szyfrowania danych, uwierzytelniania i prywatności wprowadzonych w ostatnich wydaniach projektu Partnerstwa Trzeciej Generacji (3GPP), organizacji standardów technicznych dla komunikacji komórkowej.

Najbardziej widoczne obawy dotyczące bezpieczeństwa 5G zostały podkreślone w walce administracji Trumpa o zakaz korzystania z technologii chińskiego giganta technologicznego Huawei z amerykańskich sieci nowej generacji. Rząd USA stara się również przekonać europejskich i innych sojuszników do unikania Huawei, co spotkało się z ograniczonym sukcesem.

Podstawowym lękiem powodującym zakaz Huawei jest to, że firma obsługuje rząd w Pekinie i może bardzo dobrze wprowadzić funkcje nadzoru do swojej technologii lub w inny sposób szpiegować chiński rząd, czyniąc 5G całkowicie niepewnym od samego początku.

Stare luki w zabezpieczeniach komórek, których nie zajmuje się 5G

Inne kwestie bezpieczeństwa w technologii 5G zostały zgłoszone przez ekspertów. Jeden z ekspertów, Roger Piqueras Jover, rozpoczął dyskusję na ten temat na tegorocznej konferencji, zauważając, że chociaż niektóre firmy zajmujące się technologiami mobilnymi reklamują 5G jako bezpieczniejszą, naukowcy zwracają uwagę na problemy i to jeszcze przed wprowadzeniem tej technologii na rynek.

W swojej prezentacji, a później w rozmowach z CSO, Jover powiedział, że główne nadrzędne problemy nękające poprzednie generacje technologii mobilnych – GSM, 4G i LTE – nie zostały uwzględnione w standardach i planach 5G.

W szczególności w specyfikacjach 5G i proponowanych architekturach nadal istnieje możliwość przechwytywania tak zwanych wiadomości wstępnego uwierzytelnienia między stacją bazową użytkownika a wieżą komórkową i może umożliwić atakującym przechwytywanie wiadomości w trybie jawnym.

„W sieci komórkowej Twój telefon odbiera wiadomości z wieży. Może to być 3G, może być 4G, może być 5G. Wieża mówi: „Hej, jestem twoim operatorem” — wyjaśnia Jover. „Nie ma kryptograficznego sposobu, aby to zweryfikować, więc bezwarunkowo ufasz, że to prawda”.

Gdy operator zaczyna kierować wiadomości, następuje kryptograficzny uścisk dłoni. Mimo to, na tym etapie wstępnego uwierzytelnienia „Jest wiele wiadomości wymienianych w obu kierunkach, którym w sposób dorozumiany ufasz. Ufasz, że rozmawiasz z prawdziwym operatorem, a operator ufa, że ​​rozmawia ze smartfonem” – mówi Jover.

Nadużywając tych niezabezpieczonych wiadomości, złośliwi aktorzy mogą robić „wszystkie rzeczy”. Zarówno standardy LTE, jak i 5G opracowane, aby udaremnić przechwytywanie międzynarodowej tożsamości abonenta mobilnego (IMSI), lub w terminologii technologii 5G, ataki na stały identyfikator subskrypcji (SUPI), ale te standardy są opcjonalne. Ogólnie rzecz biorąc, opcjonalne funkcje nigdy nie są implementowane, powiedział Jover.

Rozwiązanie w zakresie certyfikatów cyfrowych

Według Jovera jedno rozwiązanie tego problemu jest proste. Wdróż certyfikaty cyfrowe w 5G wraz ze znakami wskazującymi, że połączenie wykorzystuje technologię szyfrowania.

„Certyfikaty są używane od ponad dziesięciu lat. Ta technologia jest dość dojrzała. Dlaczego nie skorzystać z tej samej technologii?” on mówi. „Osobiście czuję się komfortowo wpisując swoją kartę kredytową na stronie internetowej”, która ma ikonę kłódki HTTPS na pasku adresu, co wskazuje na szyfrowane połączenie.

„Możesz i prawdopodobnie powinieneś użyć certyfikatów cyfrowych, aby zapewnić tym urządzeniom sposób kryptograficznego zweryfikowania, czy rzeczywiście rozmawiają ze stacją bazową”, mówi Jover.

Certyfikaty te mogą również pomóc w odfiltrowaniu witryn z niepożądanych źródeł lub lokalizacji. „Jeśli korzystasz z certyfikatów cyfrowych, możesz bardzo łatwo zdecydować, którym urzędom certyfikacji ufasz”.

Są pewne komplikacje, zauważa Jover. Po pierwsze, jak przyznał w „Wymagałoby to wielu globalnych wysiłków w zakresie standardów”, ponieważ standardy 5G nie uwzględniają obecnie tego rodzaju certyfikacji szyfrowania.

Po drugie, smartfony nie mają możliwości wcześniejszego zablokowania certyfikatów, które kiedyś były zaufane, ale teraz zostały unieważnione, ponieważ dopóki użytkownicy nie nawiążą połączenia z operatorem, nie będą mogli uzyskać dostępu do Internetu.

Chociaż pomocne może być posiadanie możliwości certyfikatów cyfrowych w sieciach 5G, „Z 5G jest 20 problemów i może to być problem numer 17”, mówi Bruce Schneier, kryptograf, współpracownik i wykładowca w Harvard Kennedy School

Certyfikaty nie rozwiążą wszystkich problemów z zaufaniem 5G

Chociaż Schneier powiedział, że nie zapoznał się z pracą Jovera, twierdzi, że istnieją znacznie większe i poważniejsze obawy związane z bezpieczeństwem, które dotyczą wdrożenia 5G.

„Nie można przeskoczyć z systemu certyfikatów, który pomaga uwierzytelniać nieuwierzytelnione wiadomości, aby rozwiązać problem „zaufania” — mówi Schneier. „Boimy się, że Huawei umieści backdoory w swoich chipach. To problem zaufania, który nie ma nic wspólnego z nieuwierzytelnionymi wiadomościami”.

Jak przyznają zarówno Jover, jak i Schneier, istnieje wiele problemów z bezpieczeństwem związanych z 5G w górę iw dół wielu warstw stosu protokołów. Obaj wydają się być fanami propozycji 5GReasoner przedstawionej przez naukowców z Purdue University i University of Iowa, która przedstawia ramy do radzenia sobie ze złożonymi i wrażliwymi na przypadek problemami związanymi z 5G. „Ten papier to najwspanialsza rzecz, jaka wydarzyła się w sieci komórkowej”, mówi Jover

Prawda jest taka, że ​​„Nikt nie chce bezpieczeństwa 5G”, mówi Schneier „Rządy lubią szpiegować 5G. Przewoźnicy nie przejmują się zbytnio. Zrobią to, co mówi prawo.

Wiele z tych luk, które przeniesiono z 4G, zostało tam umieszczonych przez rząd lub przynajmniej nie zostały naprawione w ITU” – mówi Schneier.

Krótko mówiąc, jest już za późno, aby zrobić cokolwiek z bezpieczeństwem 5G na podstawowym poziomie. Jeśli to prawda, świat będzie musiał poczekać na poprawki bezpieczeństwa w 6G, które według większości ekspertów zostanie wdrożone komercyjnie około 2030 roku.