STIR/SHAKEN, ein Kommunikationssicherheits-Framework, wurde als Reaktion auf wachsende Bedenken hinsichtlich der Verbreitung und Auswirkungen unerwünschter Anrufe in Telekommunikationsnetzen eingeführt. Es wird geschätzt, dass jeden Monat zwischen 3 und 5 Milliarden „Robocalls“ getätigt werden – und dass über 40 % dieser Kommunikation irgendwie mit Betrug in Zusammenhang steht.
[Bildquelle: magna5global.com]
Um sie bei ihren Bemühungen zu unterstützen, Zugang zu wertvollen Informationen oder finanziellen Vermögenswerten zu erhalten, greifen kriminelle Akteure oft auf eine Technik zurück, die als Spoofing bekannt ist. Hier verwenden sie verschiedene Methoden, um den offensichtlichen Ursprung ihrer ausgehenden Anrufe zu ändern, in der Hoffnung, den Empfänger dazu zu bringen, einen Anruf zu beantworten, von dem sie glauben, dass er von einem bekannten Ort, einer bekannten Person oder Institution stammt.
Am milderen Ende der Skala kann eine solche Täuschung dem Täter helfen, ein offenes Ohr für eine Werbekampagne oder eine Umfrage zur Informationsbeschaffung zu gewinnen. In schwerwiegenderen Fällen kann Spoofing von Betrügern und Kriminellen verwendet werden, um Anrufempfänger dazu zu bringen, Gelder freizugeben oder vertrauliche Daten preiszugeben.
[Bildquelle: ftc.gov]
Die Federal Communications Commission (FCC) befürwortet seit 2014 Initiativen zur Einschränkung dieser Art von Aktivitäten. Als Reaktion darauf hat die Telekommunikationsbranche das Kommunikationssicherheits-Framework und den Technologiestandard STIR/SHAKEN entwickelt.
Tatsächlich hat die FCC am 30. Juni 2021 Regeln verabschiedet, die von Telekommunikationsdienstanbietern verlangen, eine STIR/SHAKEN-Lösung einzusetzen – es ist also definitiv etwas Wissenswertes.
Was bedeutet RÜHREN/GESCHÜTTELT?
STIR/SHAKEN ist ein kombiniertes Akronym. Der STIR-Teil leitet sich aus den Anfangsbuchstaben von Secure Telephony Identity Revisited ab und stellt eine Absichtserklärung für das dar, wofür das Technologie-Framework geschaffen wurde.
SHAKEN ist ein Konstrukt aus dem Ausdruck Secure Handling of Asserted Information Using toKENs. Dies weist auf die digitale Methodik hin, die bei der Verwaltung von Kommunikationsdaten unter dem STIR/SHAKEN-Protokoll verwendet wird.
Über den Schriftzug hinaus ist STIR eigentlich eine Arbeitsgruppe innerhalb eines Internet-Standardisierungsgremiums namens IETF (Internet Engineering Task Force). Diese Organisation hat eine Reihe von Protokollen entwickelt, die zur Erstellung digitaler Signaturen für Telefonanrufe verwendet werden. SHAKEN umfasst die Standards, die regeln, wie STIR von Telekommunikationsdienstanbietern in ihren Netzwerken eingesetzt werden sollte. Es wurde offiziell von der Alliance for Telecommunications Industry Solutions (ATIS) entwickelt und ist vom American National Standards Institute (ANSI) akkreditiert.
Grundprinzipien von STIR/SHAKEN
Die STIR-Arbeitsgruppe verfügt über eine Charta, die sie dazu verpflichtet, Mechanismen zu definieren, die die Überprüfung der Berechtigung eines Anrufers zur Verwendung einer bestimmten Telefonnummer ermöglichen.
Um dies zu erreichen, verwendet das STIR/SHAKEN-Framework digitale Zertifikate, um die Sicherheit der Ursprungsnummer für einen Telefonanruf zu gewährleisten. Diese Zertifikate basieren auf den Techniken der Common-Public-Key-Kryptografie, bei der jeder Dienstanbieter ein digitales Zertifikat von einer Zertifizierungsstelle erwerben muss, der andere Telefondienstanbieter vertrauen.
[Bildquelle: getvoip.com]
Im Wesentlichen ermöglicht die kryptografische Zertifikatstechnologie der Partei, die einen Anruf erhält, zu überprüfen, ob die anrufende Nummer korrekt ist und nicht gefälscht wurde. Bei einem STIR/SHAKEN-Anruf unterschreibt (oder bestätigt) der ursprüngliche Dienstanbieter seine Beziehung zum Anrufer und sein Recht, die anrufende Nummer zu verwenden.
Innerhalb des Session Initiation Protocol (SIP) einer digitalen Sprachkommunikation bietet STIR die Möglichkeit, die Anrufer-ID zu authentifizieren. Das SHAKEN-Protokoll definiert die End-to-End-Architektur, die zur Implementierung der Anrufer-ID-Authentifizierung mithilfe von STIR im Telefonnetz erforderlich ist.
Ein typischer RÜHREN/SCHÜTTELN-Workflow
Wenn jemand einen Anruf einleitet, sendet der Anrufer eine SIP-INVITE, die an den ursprünglichen Dienstanbieter gesendet wird. Nach dem Empfang überprüft der Anbieter die Quelle des Anrufs und die anrufende Nummer, um deren Attestierungsstufe zu ermitteln. Normalerweise stehen drei Optionen zur Verfügung:
- Bei der vollständigen oder „A“-Bestätigung weiß der Dienstanbieter, wer der Kunde ist, und kann für sein Recht bürgen, eine bestimmte Telefonnummer zu verwenden.
- Bei der teilweisen oder „B“-Bestätigung kennt der Dienstanbieter den Kunden, kennt aber nicht die Quelle der Telefonnummer.
- Bei der Gateway- oder „C“-Bestätigung kann der Dienstanbieter die Quelle eines Anrufs (die beispielsweise ein internationales Gateway sein kann) nicht authentifizieren – obwohl der Dienstanbieter den Anruf in das Netzwerk einleitet.
Der ursprüngliche Dienstanbieter verwendet einen Authentifizierungsdienst, um einen verschlüsselten SIP-Identitätsheader zu erstellen. Dieses besteht aus mehreren Elementen, darunter:
- Die Nummer, von der der Anruf kommt
- Die Empfangsnummer
- Das aktuelle Datum und ein Zeitstempel des Anrufs
- Die Beglaubigungsebene
- Eine eindeutige Ursprungskennung, die bei der Rückverfolgung des Anrufs hilft
Danach werden die SIP-Einladung und der SIP-Identitäts-Header an den abschließenden Anbieter gesendet, der die SIP-Einladung an einen Verifizierungsdienst weiterleitet. Wenn der Anruf erfolgreich verifiziert wird, trifft der terminierende Anbieter eine endgültige Entscheidung darüber, ob der Anruf abgeschlossen oder blockiert wird. Bei dieser Entscheidung berücksichtigen sie die Bestätigungsstufe sowie andere Faktoren, wie z. B. relevante Informationen, die in ihren eigenen Anrufanalysen enthalten sind.
Wie es im Detail funktioniert
Hinter den Kulissen besteht eine typische STIR/SHAKEN-Implementierung aus mehreren Komponenten. Sie beinhalten:
Der STI-Authentifizierungsserver (STI-AS): Dies stellt eine als REST-API bekannte Anwendungsprogrammierschnittstelle bereit, die für das Signieren von Anforderungen verantwortlich ist. Dazu hat die API Zugriff auf private Schlüssel im SKS (Secure Key Store).
Der STI-Verifikationsserver (STI-VS): Dadurch wird die REST-API bereitgestellt, die bei der Verarbeitung von Verifizierungsanfragen eine Rolle spielt. Diese API ruft auch öffentliche Schlüssel aus dem öffentlichen Internet ab, indem sie die in der Verifizierungsanforderung enthaltene URL verwendet.
Der Authentifikator: Dies ist die Komponente im Trägernetzwerk, die die Authentifizierungs- und Signaturdienste aufruft, um digitale Signaturen zu erstellen und zu verifizieren.
Der sichere Schlüsselspeicher (SKS): Da jeder private Schlüssel, der bei der STIR/SHAKEN-Verifizierung verwendet wird, ein Geheimnis ist, das nur dem Träger bekannt ist, der den Anruf unterzeichnet, ist es wichtig, diese Vermögenswerte zu schützen. Das SKS dient hierfür als sicherer Aufbewahrungsort. Es stellt auch die privaten Schlüssel bereit, wie sie von der STI-AS beim Signieren von Anforderungen verwendet werden.
Das STI Certificate Repository (STI-CR): Dieser sichere Webserver hostet öffentliche Zertifikate und kann von Dienstanbietern über das öffentliche Internet aufgerufen werden. Jeder Dienstanbieter mit privaten SHAKEN-Schlüsseln in einem sicheren Schlüsselspeicher sollte ein entsprechendes STI-CR haben, in dem seine öffentlichen Zertifikate veröffentlicht werden.
Der Schlüsselverwaltungsserver (SP-KMS): Dies bietet eine automatisierte Zertifikats- und Schlüsselverwaltung und erfüllt eine Reihe von Funktionen. Das SP-KMS fordert und empfängt ein Token von der STI-PA über eine HTTP-Schnittstelle, zusätzlich zum Anfordern eines STI-Zertifikats von der STI-CA. Es generiert auch ein privates und ein öffentliches Schlüsselpaar zum Signieren und Verifizieren und speichert sie jeweils im SKS und im STI-CR.
Aktuelle und zukünftige Anwendungen von STIR/SHAKEN
Mit der zunehmenden Verbreitung von STIR/SHAKEN werden Echtzeit-Analysesysteme besser in der Lage sein, zwischen gefälschten und echten Anrufen zu unterscheiden, und sie werden besser in der Lage sein, fehlerhafte Kommunikation herauszufiltern, die das Telefonerlebnis für Netzwerkteilnehmer beeinträchtigen kann.
STIR/SHAKEN hat auch das Potenzial, eine standardisierte Methode zur Rückverfolgung der Herkunft von Anrufen bereitzustellen. Dies war bisher angesichts der Anzahl unterschiedlicher Netzwerke und Verbindungen, die typischerweise beteiligt sind, schwierig zu erreichen. STIR/SHAKEN enthält jedoch eine standardisierte Verfolgungsfunktion, die den Ursprungspunkt eines Anrufs in jedem Netzwerk darstellt. Dies eröffnet die Möglichkeit, den Rückverfolgungsprozess zu rationalisieren.
In Zukunft könnte die Übernahme von STIR/SHAKEN es auch ermöglichen, irgendeine Form von standardisierter Anzeige zu schaffen, die Anrufempfängern bestätigt, dass die Anrufer-ID der Partei, die einen eingehenden Anruf einleitet, vollständig verifiziert wurde. Dies könnte beispielsweise eine Anzeige des Anrufernamens und des Anrufzwecks sein.
Um sofort mit der Verwendung von STIR/SHAKEN zur Authentifizierung von Anrufen in Ihrem Netzwerk zu beginnen, können Sie hier bei IDT auf unser kostenloses Tool zugreifen.