OTA(3)
-
OTA SMS의 Security
APDU command를 통해 UICC(USIM)의 파일(EF)을 업데이트를 하기 위해서는 해당 EF의 Access Condition에 따라 PIN 혹은 ADM키로 인증(Verify)가 되어야 가능하다. 그렇다면 OTA SMS를 통한 EF 업데이트의 경우에도 Access Condition을 만족해야 하는가? 실제로 OTA SMS를 spy해보면 OTA Header와 바로 이어서 APDU Command가 붙어서 내려오는 것을 확인할 수 있다. 만약 이 경우에 PIN, ADM 키 값이 들어가 있다면 Spy만 한다면 해당 UICC(USIM)의 키 값을 알 수 있기 때문에 보안에 심각한 문제가 발생된다. 즉, OTA SMS를 이용한 EF 업데이트는 Access Condition에 무관하게 동작하며 PIN, ADM..
2011.09.17 -
TAR(Toolkit Application Reference)
TAR는 3 bytes로써 UICC에 탑재되어 있는 Toolkit Applet을 외부??에서 실행시키고자 할때 사용된다. 만약 'A' Applet TAR값이 0xABCDEF인 경우 OTA SMS로 실행시키고자 할때 TAR값을 0xABCDEF로 주면 OTA SMS로 'A' Applet을 구동 시킬 수가 있다. 물론 OTA SMS의 경우 MAC 인증값이 맞아야만 정상동작이 된다.
2011.09.16 -
UICC(USIM) Key Set
UICC(USIM)는 두개 이상의 Key Set을 가지고 있다. 하나의 Key Set은 3개의 Key로 구성되어 있는데 Secure Channel Encryption Key, Secure Channel MAC Key, Data Encrypt Key이며 각각의 Key는 16 bytes이다. 각 KeySet의 Key들은 보안 사항이며, 유출될 시 심각한 문제가 발생 될 수 있기 때문에 별도로 관리된다. (유출될 경우 USIM의 내용들을 마음대로 변경할 수 있고 Applet을 설치/ 삭제 할 수 있다.) 1번 Key Set은 금융용으로 사용 하며, 이통사에 따라 카드 고유의 정보를 가지고 Derivation Key를 만들어 사용하기도 한다. 2번 Key Set은 통신용으로 OTA에서 MAC 인증용으로 사용을 ..
2011.09.16