Das Dokument “Decoupling the Device and Identity in Cellular Networks with vSIM” stellt vSIM vor, eine softwarebasierte SIM-Implementierung, die darauf abzielt, die Identität von Mobilfunkteilnehmern von der Hardware zu entkoppeln. Diese Entkopplung soll die Privatsphäre und Flexibilität in Mobilfunknetzen verbessern, die über herkömmliche SIM-Karten, eSIMs und iSIMs hinausgehen.

Problemstellung:

Obwohl eSIM- und iSIM-Technologien die Fernbereitstellung ermöglichen, binden sie digitale Identitäten immer noch an bestimmte Hardwareelemente. Dies erschwert die Unterstützung neuer Anwendungsfälle wie die Übertragung einer Telefonnummer an einen Cloud-KI-Dienst oder die Übertragung von Anmeldeinformationen zwischen verschiedenen Geräten unter Beibehaltung der Mobilfunkverbindung. Zudem sind Benutzer, die ihre Privatsphäre durch Identitätsrotation oder -trennung wahren möchten, durch die hardwaregebundene Natur der Sicherheitsarchitektur eingeschränkt.

vSIM-Lösung:

vSIM ist eine softwarebasierte SIM-Implementierung, die in Trusted Execution Environments (TEEs) läuft und eine sichere digitale Bereitstellung ermöglicht. Anstatt fest codierte IDs und Schlüssel zur Identitätsüberprüfung zu verwenden, beweist vSIM die Ausführung spezifischer vertrauenswürdiger Software. Dies wird durch die Nutzung von Enhanced Privacy ID (EPID) erreicht, bei der jede CPU einen eindeutigen privaten Schlüssel besitzt, während sie einen Gruppen-Public-Key teilt. Dieser Ansatz ermöglicht eine anonyme Attestierung, bei der Geräte ihre Authentizität gegenüber Anbietern nachweisen können, ohne individuelle Identitäten preiszugeben.

Design und Funktionsweise:

• Architektur: vSIM wird auf der Haupt-CPU des Geräts innerhalb eines TEE ausgeführt, was eine hardwaregestützte Isolation zwischen der sicheren Ausführung von vSIM und dem normalen Betriebssystem gewährleistet. Es implementiert Standard-SIM-Kartenfunktionen für die 5G-Authentifizierung und fügt sichere Bereitstellungsfunktionen hinzu.
• Vertrauensaufbau und Schlüsselbereitstellung: vSIM baut Vertrauen durch sicheres Booten und Remote-Attestierung auf. Der Bereitstellungsprozess beinhaltet die Generierung eines Nonce und eines ephemeren Public Keys, die mit dem Public Key des Provisioners verschlüsselt werden. Nach gegenseitiger Authentifizierung wird ein sicherer Kanal aufgebaut, über den das Teilnehmerprofil und der geheime Schlüssel für die 5G-Authentifizierung sicher übertragen werden.
• Nutzung in 5G: Nach Erhalt des Teilnehmerprofils und des geheimen Schlüssels werden diese sicher im Speicher abgelegt. vSIM stellt alle wesentlichen Funktionen zur Unterstützung der 5G-Authentifizierung bereit. Der Prozess folgt dem traditionellen Ablauf: Das Mobile Equipment (ME) leitet eine Netzanforderung an vSIM weiter, vSIM ruft den geheimen Schlüssel ab, generiert die erforderlichen kryptographischen Schlüssel und die Antwort und sendet diese sicher an das ME zur Netzwerküberprüfung zurück.

Vorläufige Arbeiten und Integration:

Die Forscher haben vSIM in Keystone, einem Open-Source-TEE-Framework für RISC-V, implementiert und in einer Qemu-emulierten Umgebung eingesetzt. Sie haben die Libsodium-Bibliothek und Tiny AES-Bibliotheken für kryptographische Funktionen portiert und die 5G-Authentifizierung gemäß dem 3GPP TS 33.501 Standard implementiert. Die Integration mit der 5G-Infrastruktur wurde durch die Erweiterung von srsRAN mit ZeroMQ verifiziert, wobei keine signifikanten Leistungseinbußen im Vergleich zur herkömmlichen USIM festgestellt wurden.

Schlussfolgerungen und zukünftige Arbeiten:

vSIM stellt eine Neukonzeption der SIM-Funktionalität dar, die die Einschränkungen traditioneller SIM-Karten überwindet und die Kompatibilität mit bestehenden Netzwerkinfrastrukturen validiert. Zukünftige Arbeiten umfassen die Integration von vSIM in eine FPGA-Implementierung von Keystone für IoT-Geräte und die Implementierung von Funktionen wie Multi-Profil-Unterstützung, um umfassende Leistungs-, Kompatibilitäts- und Kostenvorteile zu bewerten.