米国 NIST CSWP 36c (初期公開ドラフト) 一時的な ID の再割り当て: 5Gサイバーセキュリティとプライバシー機能の適用 (2024.11.06)
こんにちは、丸山満彦です。
米国 NIST CSWP 36c (初期公開ドラフト) 一時的な ID の再割り当て: 5Gサイバーセキュリティとプライバシー機能の適用が公表され、コメントの募集が行われております。
対象は、
- 5G対応サービスや製品の使用者
- マネージドサービス・プロバイダー
- プロバイダに関わる技術者
- サイバーセキュリティ、プライバシーの専門家
これには、
- 商用モバイルネットワーク事業者
- 潜在的な民間5Gネットワーク事業者
- エンドユーザー組織
が含まれるとのこと...
● NIST - ITL
NIST CSWP 36C (Initial Public Draft) Reallocation of Temporary Identities: Applying 5G Cybersecurity and Privacy Capabilities | NIST CSWP 36C(初期公開ドラフト) 一時的な ID の再割り当て: 5Gサイバーセキュリティとプライバシー機能の適用 |
Announcement | 発表 |
5G technology for broadband cellular networks will significantly improve how humans and machines communicate, operate, and interact in the physical and virtual world. 5G provides increased bandwidth and capacity, and low latency. However, professionals in fields like technology, cybersecurity, and privacy are faced with safeguarding this technology while its development, deployment, and usage are still evolving. | ブロードバンド携帯電話ネットワーク向けの5G技術は、物理世界と仮想世界における人間と機械のコミュニケーション、操作、相互作用の方法を大幅に改善する。5Gは帯域幅と容量を拡大し、低遅延を提供する。しかし、技術、サイバーセキュリティ、プライバシーなどの分野の専門家は、その開発、展開、利用がまだ発展途上である中、この技術を保護することに直面している。 |
TTo help, the NIST National Cybersecurity Center of Excellence (NCCoE) has launched the Applying 5G Cybersecurity and Privacy Capabilities white paper series. The series targets technology, cybersecurity, and privacy program managers within commercial mobile network operators, potential private 5G network operators, and organizations using and managing 5G-enabled technology who are concerned with how to identify, understand, assess, and mitigate risk for 5G networks. In the series we provide recommended practices and illustrate how to implement them. All of the capabilities featured in the white papers have been demonstrated on the NCCoE testbed on commercial-grade 5G equipment . | これを支援するため、NIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、Applying 5G Cybersecurity and Privacy Capabilitiesホワイトペーパー・シリーズを立ち上げた。このシリーズは、商用モバイルネットワーク事業者、潜在的な民間の5Gネットワーク事業者、および5G対応技術を使用・管理している組織の技術、サイバーセキュリティ、プライバシーのプログラム管理者を対象としており、5Gネットワークのリスクを特定、理解、アセスメント、緩和する方法を懸念している。このシリーズでは、推奨プラクティスを提供し、その実装方法を説明する。ホワイトペーパーで紹介されているすべての機能は、商用グレードの5G機器上のNCCoEテストベッドで実証されている。 |
We are pleased to announce the availability of the fourth white paper in the series: | この度、シリーズ第4弾のホワイトペーパーが公開された: |
Reallocation of Temporary Identities — This publication provides additional details regarding how 5G protects subscriber identities (IDs). It focuses on how the network reallocates temporary IDs to protect users from being identified and located by an attacker. Unlike previous generations of cellular systems, new requirements in 5G explicitly define when the temporary ID must be reallocated (refreshed), which is explained in the document. | 一時的なIDの再割り当て - 本書は、5Gが加入者のIDをどのように保護するかについて、さらなる詳細を提供するものである。このホワイトペーパーでは、ネットワークがどのように一時的なIDを再割り当てし、攻撃者によるユーザーの特定や位置特定からユーザーを保護するかに焦点を当てている。前世代の携帯電話システムとは異なり、5Gの新しい要件では、一時IDを再割り当て(リフレッシュ)するタイミングが明示的に定義されており、本書ではこれについて説明している。 |
Abstract | 概要 |
This white paper is part of a series called Applying 5G Cybersecurity and Privacy Capabilities, which covers 5G cybersecurity- and privacy-supporting capabilities that were implemented as part of the 5G Cybersecurity project at the National Cybersecurity Center of Excellence (NCCoE). This white paper provides additional details regarding how 5G protects subscriber identities (IDs). It focuses on how the network reallocates temporary IDs to protect users from being identified and located by an attacker. Unlike previous generations of cellular systems, new requirements in 5G explicitly define when the temporary ID must be reallocated (refreshed). 5G network operators should be aware of how this standards-defined security capability protects their users and subscribers. Operators should ensure that their 5G technologies are refreshing temporary identities as described in the 5G standards. | このホワイトペーパーは、5Gサイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)の5Gサイバーセキュリティ・プロジェクトの一環として実装された、5Gサイバーセキュリティとプライバシーをサポートする機能を取り上げた「Applying 5G Cybersecurity and Privacy Capabilities」というシリーズの一部である。このホワイトペーパーでは、5Gが加入者のIDをどのように保護するかについて、さらに詳しく説明している。このホワイトペーパーでは、ネットワークがどのように一時的なIDを再割り当てし、ユーザーを攻撃者による識別や位置特定から保護するかに焦点を当てている。前世代の携帯電話システムとは異なり、5Gの新しい要件では、一時IDをいつ再割り当て(リフレッシュ)しなければならないかが明確に定義されている。5Gネットワーク事業者は、この標準定義のセキュリティ機能がどのようにユーザーと加入者を保護するかを認識しておく必要がある。事業者は、自社の5G技術が5G標準に記述されているように一時的IDをリフレッシュしていることを確認すべきである。 |
・[PDF] CSWP.36C.ipd
Overview | 概要 |
5G networks don’t associate subscribers by their names. Instead, they use a permanent identifier called the Subscription Permanent Identifier (SUPI) for managing each subscription. The SUPI is written into the Subscriber Identity Module (SIM) provided by the subscriber’s network operator. The operator also stores the SUPI in the operator’s subscriber database (UDM) as part of the provisioning of the subscriber’s services. | 5Gネットワークは、加入者を名前では関連付けない。その代わりに、各加入を管理するために加入永久識別子(SUPI)と呼ばれる永久識別子を使用する。SUPIは加入者のネットワーク事業者が提供する加入者識別モジュール(SIM)に書き込まれる。オペレータはまた、加入者のサービスのプロビジョニングの一部として、オペレータの加入者データベース(UDM)にSUPIを格納する。 |
When a mobile device connects to a 5G network for the first time, it uses its SUPI to establish the connection. During the connection process (also referred to as “registration” in technical specifications), a temporary identifier called the 5G Globally Unique Temporary UE Identity (5G-GUTI) is calculated by the network, then associated with and stored within the user equipment (UE)—the mobile device and its SIM. All subsequent signaling communication between the network and the device leverages the temporary ID (5G-GUTI) instead of the permanent ID (SUPI). | モバイルデバイスが初めて5Gネットワークに接続する際、SUPIを使用して接続を確立する。接続プロセス(技術仕様では「登録」とも呼ばれる)の間に、5G Globally Unique Temporary UE Identity(5G-GUTI)と呼ばれる一時的な識別子がネットワークによって計算され、その後、ユーザー機器(UE)(モバイル機器とそのSIM)に関連付けられ、その中に格納される。その後のネットワークとデバイス間のすべてのシグナリング・コミュニケーションは、永久ID(SUPI)の代わりに一時ID(5G-GUTI)を利用する。 |
What’s the problem? | 何が問題なのか? |
Changing or refreshing the temporary IDs with new values, also known as reallocation, supports user privacy by making it hard for malicious actors to track a specific device. In 4G networks, operators chose the frequency of reallocating devices’ temporary IDs (GUTIs). It was subsequently discovered that many networks did not refresh the temporary IDs often enough, which caused them to become quasi-permanent.1 This led to increased cybersecurity and privacy risks for 3G and 4G network subscribers.2 For example, a malicious actor could passively collect GUTIs and use them for verifying a subscriber’s presence in a certain area or for revealing their past movements in that area and enabling tracking of their future movements.3,4 Tracking subscriber movement can result in subscriber loss of trust in the networks and related consequences for an operator (e.g., loss of reputation). | 一時IDを新しい値で変更または更新すること(再割り当てとも呼ばれる)は、悪意のあるアクターが特定のデバイスを追跡することを困難にすることで、ユーザーのプライバシーをサポートする。4Gネットワークでは、通信事業者はデバイスの一時ID(GUTI)を再割り当てする頻度を選択した。このため、3Gおよび4Gネットワーク加入者のサイバーセキュリティおよびプライバシーのリスクが増大した2。例えば、悪意のある行為者はGUTIを受動的に収集し、加入者が特定のエリアに存在するかどうかを確認するため、またはそのエリアでの過去の動きを明らかにし、将来の動きを追跡できるようにするために使用することができる3,4 加入者の動きを追跡すると、加入者がネットワークに対する信頼を失い、事業者に関連する結果(評判の低下など)をもたらす可能性がある。 |
How do the 5G standards address the problem? | 5G標準はこの問題にどのように対処しているのか? |
The 5G standards starting with 3GPP release 15 in 2019 require all 5G networks to reallocate 5G-GUTIs often. It’s no longer completely left up to individual operators to determine and implement an appropriate frequency; it’s mandatory to reallocate the 5G-GUTI based on certain events associated with a specific user. The reallocation process of 5G-GUTIs decreases the link between a subscriber and their phone’s identifiers, which makes the tracking of the subscriber’s movements more difficult and protects the subscriber’s activities from exposure.⁵ This increases the overall privacy protections in the system by supporting the objective of disassociability. | 2019年の3GPPリリース15から始まる5G標準では、すべての5Gネットワークが5G-GUTIを頻繁に再割り当てすることが求められている。適切な周波数を決定し実装することは、もはや完全に個々の事業者に任されているのではなく、特定のユーザーに関連する特定のイベントに基づいて5G-GUTIを再割り当てすることが義務付けられている。5G-GUTIの再割り当てプロセスは、加入者とその携帯電話の識別子の間のリンクを減少させ、加入者の動きの追跡をより困難にし、加入者の活動をエクスポージャーから保護する。 |
Figure 1 is a simplified version of the 5G architecture that shows the components involved in 5G-GUTI allocation (from a SUPI context) and reallocation (from a 5G-GUTI context), with all other components omitted. The UE comprises a SIM and a mobile handset. There is a wireless link between the UE and the Radio Access Network (RAN). On the other side, the RAN is connected to the Core Network (CN) via backhaul traffic transport. The green highlighted UE identifiers are shown either stored at the related component or flowing over the signaling paths. Note that SUPI is encrypted into a Subscription Concealed Identifier (SUCI) while it is signaled from the | 図 1 は、5G-GUTI の割り当て(SUPI コンテキストから)と再割り当て(5G-GUTI コンテキストから)に関係するコンポーネントを示す 5G アーキテクチャの簡略版であり、その他のコンポーネントはすべて省略されている。UEはSIMとモバイル・ハンドセットから構成される。UEと無線アクセス・ネットワーク(RAN)の間には無線リンクがある。もう一方のRANは、バックホール・ トラフィック伝送を介してコア・ネットワーク(CN)に接続されている。緑色でハイライトされた UE 識別子は、関連するコンポーネントに保存されているか、またはシグナリング経路を流れて いることを示している。SUPIは、UEからCN⁶にシグナリングされる間に、Subscription Concealed Identifier(SUCI)に暗号化されることに注意してください。 |
UE to CN⁶. During initial registration and authentication, the Access and Mobility Management Function (AMF), Authentication Server Function (AUSF), and Unified Data Management (UDM) are involved in SUCI to SUPI translation. The AMF sets up a local 5G-GUTI to SUPI context during the full authentication procedure (shown as [SUPI context] in figure). Afterwards, the 5G-GUTI reallocations are managed by AMF (also called serving AMF). | UEからCN⁶にシグナルが送られる間、SUPIはSubscription Concealed Identifier(SUCI)に暗号化される。最初の登録と認証の間、アクセス&モビリティ管理機能(AMF)、認証サーバ機能(AUSF)、および統合データ管理(UDM)がSUCIからSUPIへの変換に関与する。AMFは、完全な認証手順の間に、ローカルの5G-GUTIからSUPIへのコンテキストを設定する(図では[SUPIコンテキスト]として示されている)。その後、5G-GUTIの再割り当てはAMF(サービングAMFとも呼ばれる)によって管理される。 |
Figure 1. 5G architecture components involved in the temporary ID reallocation capability | 図 1. 一時的 ID 再割り当て機能に関係する 5G アーキテクチャ・コンポーネント |
How can I use reallocation of temporary IDs? | 一時的なIDの再割り当てはどのように利用できるか? |
5G network functions compliant with 3GPP release 15 or later are required to support the mandatory reallocation of the 5G-GUTI based on certain events associated with a specific user: paging, initial registration, and mobility registration update procedures. The network can be configured to also allocate a new 5G-GUTI after each service request and the periodic registration update of the UE. | 3GPPリリース15以降に準拠する5Gネットワーク機能は、特定のユーザーに関連する特定のイベント(ページング、初期登録、モビリティ登録更新手順)に基づく5G-GUTIの強制的な再割り当てをサポートする必要がある。ネットワークは、各サービス要求およびUEの定期的な登録更新後に、新しい5G-GUTIを割り当てるように構成することもできる。 |
Network operators are encouraged to coordinate with their 5G equipment vendors to verify that the 5G-GUTIs in their network are reallocated when one of the above-mentioned scenarios occurs. | ネットワーク事業者は、上記のシナリオのいずれかが発生した場合に、ネットワーク内の5G-GUTIが再割り当てされることを確認するために、5G機器ベンダーと調整することが推奨される。 |
Organizations using 5G technologies are encouraged to understand how this capability can mitigate cybersecurity and privacy risks and to check with their service provider to ensure that 5G-GUTIs are reallocated as expected. | 5G技術を使用する組織は、この機能がサイバーセキュリティとプライバシーのリスクをどのように軽減できるかを理解し、5G-GUTIが期待通りに再割り当てされることを確認するために、サービスプロバイダに確認することが推奨される。 |
What else should I know about reallocation of temporary IDs? | 一時IDの再割り当てについて他に知っておくべきことは? |
Figure 2 shows all of the subscriber or UE related identities. The 5G-GUTI is assigned and maintained by the serving AMF, which may or may not be in the subscriber’s home network (i.e. UE may be in a visited network in roaming cases). The 5G-GUTI consists of the identity of the mobile user’s home network, i.e., Mobile Country Code (MCC) and Mobile Network Code (MNC), the AMF Identifier, and the 5G-Temporary Mobile Subscriber Identity (5G-TMSI). For completeness, it also shows a permanent identifier associated with the mobile handset itself called the International Mobile station Equipment Identity (IMEI), which may be used to make emergency calls if the SIM is not available. | 図 2 は、加入者または UE に関連するすべての ID を示している。5G-GUTIはサービングAMFによって割り当てられ、維持される。AMFは加入者のホーム・ネットワークにある場合もあれば、ない場合もある(つまり、UEはローミングの場合、訪問先のネットワークにある場合がある)。5G-GUTIは、モバイル・ユーザのホーム・ネットワークの識別、すなわち移動国コード(MCC)および移動ネットワーク・コード(MNC)、AMF識別子、および5G-Temporary Mobile Subscriber Identity(5G-TMSI)で構成される。完全性を期すため、IMEI(International Mobile Station Equipment Identity)と呼ばれる携帯端末自体に関連付けられた恒久的な識別子も示されており、これはSIMが利用できない場合に緊急電話をかけるために使用される可能性がある。 |
1. Byeongdo Hong et al., “GUTI Reallocation Demystified: Cellular Location Tracking with Changing Temporary Identifier,” NDSS ’18. Available: https://www.ndss-symposium.org/wp-content/uploads/2018/02/ndss2018_02A-4_Hong_paper.pdf | 1. Byeongdo Hong他、"GUTI Reallocation Demystified: GUTI Reallocation Demystified: Cellular Location Tracking with Changing Temporary Identifier" NDSS '18. 利用可能: https://www.ndss-symposium.org/wp-content/uploads/2018/02/ndss2018_02A-4_Hong_paper.pdf |
² Locate UE: 5G-GUTI reuse. https://fight.mitre.org/techniques/FGT5012.003 | ² UEの位置特定: 5G-GUTIの再利用。https://fight.mitre.org/techniques/FGT5012.003。 |
³ A. Shaik et al., “Practical Attacks Against Privacy and Availability in 4G/LTE Mobile Communication Systems,” NDSS ’16, San Diego, California, February 21-24, 2016. Available: https://arxiv.org/pdf/1510.07563.pdf | 3. A. Shaik 他, 「Practical Attacks Against Privacy and Availability in 4G/LTE Mobile Communication Systems,」 NDSS '16, San Diego, California, February 21-24, 2016. 利用可能:https://arxiv.org/pdf/1510.07563.pdf |
⁴ Cichonski JA, Franklin JM, Bartock MJ (2016) Guide to LTE Security. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-187. https://doi.org/10.6028/NIST.SP.800-187 | ⁴ Cichonski JA, Franklin JM, Bartock MJ (2016) Guide to LTE Security. (National Institute of Standards and Technology, Gaithersburg, MD), NIST 特別刊行物 (SP) 800-187. https://doi.org/10.6028/NIST.SP.800-187. |
⁵ The NIST “Catalogue of Problematic Data Actions and Problems” provides examples of problematic data actions and problems that individuals could experience as the result of data processing or their interactions with systems, products, or services. This catalogue describes surveillance, induced disclosure, and loss of trust. | NIST 「Catalogue of Problematic Data Actions and Problems」 は、データ処理やシステム、製品、サービスとの相互作用の結果として個人が経験する可能性のある、問題のあるデータ・アクションや問題の例を提供している。このカタログでは、監視、誘導開示、信頼の喪失について記述されている。 |
⁶ Bartock M. et al. (2024) “Protecting Subscriber Identifiers with Subscription Concealed Identifier.” Available: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.36A.ipd.pdf |
Bartock M. et al. (2024) 「Protecting Subscriber Identifiers with Subscription Concealed Identifier」. Available: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.36A.ipd.pdf |
● まるちゃんの情報瀬セキュリティ気まぐれ日記
・2024.10.09 米国 NIST NIST CSWP 36B(初期公開草案) ハードウェア対応セキュリティによる5Gシステムプラットフォームの完全性の確保:5Gのサイバーセキュリティおよびプライバシー機能の適用
« Five Eyes 日常的に悪用される脆弱性のトップ15 2023、上位の脆弱性の大半はゼロデイ (2024.11.12) | Main | 米国 NIST NIST SP 800-232(初期公開ドラフト) 制約されたデバイスのためのAsconベースの軽量暗号標準: 認証された暗号化、ハッシュ、拡張可能な出力機能 »
Comments