GSM (sistema globale per le comunicazioni mobili) è il tipo più comune di rete cellulare, utilizzato da circa 80 per cento delle reti mobili in tutto il mondo, secondo l'associazione GSM. (GPRS) General packet radio service utilizza GSM infrastruttura per gli utenti di connettersi a Internet. Per garantire che gli utenti hanno il diritto di connettersi attraverso la rete GSM, il sistema GPRS utilizza autenticazione challenge-response. Questo processo è normalmente invisibile all'utente, viene gestita dal dispositivo mobile e scheda SIM.
Challenge-Response
Poiché l'infrastruttura GSM non è sicura, l'invio di informazioni identificative presenta un grave problema di sicurezza. Qualsiasi informazione inviata potrebbe essere intercettati da terzi e usati impropriamente accedere alla rete. Utilizzando una password non aiuta la situazione poiché la password poteva essere facilmente intercettata.
Per risolvere questo problema, GPRS utilizza autenticazione challenge-response. L'idea di base è che il server invia un numero casuale per l'utente, che quindi codifica il numero casuale insieme alla password utilizzando una funzione hash. Poiché il server conosce il numero casuale e la password, si possono verificare i risultati della funzione hash.
Le funzioni hash vengono utilizzate perché agiscono come le impronte digitali: se due hash sono uguali allora i documenti originali, o le password, sono gli stessi. Ma l'hash è utile solo per corrispondenza; esso non fornisce tutte le informazioni sul contenuto del documento.
Ciò significa che la password non è mai esposto. Anche se un utente malintenzionato conosce il numero casuale, la funzione di hash utilizzata e l'output della funzione hash inviata al server, la password la determinazione è così difficile da essere quasi impossibile.
Protocollo
Su una connessione GPRS, il centro di autenticazione invia un RAND chiamato numero casuale per la stazione mobile, che poi lo invia al dispositivo mobile. La carta SIM combina RAND con la chiave utente, chiamata Ki. Questo numero maggiore viene quindi crittografato utilizzando una funzione hash e inviato al centro di autenticazione, che utilizza la stessa funzione di hash su Ki plus RAND e controlla i due risultati contro l'altro. Se corrispondono, l'utente è autorizzato alla rete.
SIM
Carta SIM del dispositivo cellulare gioca un ruolo essenziale di crittografico in questo processo. L'intero metodo si basa sul presupposto che solo il dispositivo mobile e il centro di autenticazione conoscere il valore di Ki. Se un utente malintenzionato dovesse mai scoprisse il valore di Ki, egli potrebbe fingere di essere un altro utente e accedere alla rete illegalmente.
Hardwiring Ki in un dispositivo mobile non è sicuro, poiché molte persone avrebbero accesso al dispositivo prima che diventi disponibile al consumatore. Inoltre, una volta che il dispositivo è stato acquistato, non c'è nessun modo pratico per inviare in modo sicuro il valore del Ki dal dispositivo al centro di autenticazione. Il valore di Ki che è codificato su una scheda SIM è già noto al centro l'autenticazione, evitando di dover trasmettere Ki.