Die Verwundbarkeit des globalen Positionierungs systems (GPS) ist allgemein anerkannt. Hoch frequenz störungen, die durch Störungen und Spoofing verursacht werden, werden verwendet, um ein wichtiges Synchronisations system zu verschlechtern, das Positions-, Navigations- und Zeitinformationen (PNT) für kritische nationale Infrastrukturen bereitstellt.
Ein Großteil dieser HF-Störungen geht von elektronischen Geräten, Funkantennen oder Modems aus, die stark genug sind, um die relativ schwachen Signale an GNSS-Empfänger (Global Navigation Satellite System) zu übertönen. Diese Verwundbarkeit schafft ein verlockendes Ziel für schlechte Schauspieler.
"Die Bösewichte haben immer mehr Bedrohungen, deshalb müssen wir Wege finden, um sie zu analysieren und anzugehen", sagte Rod Bryant, Senior Director of Technology für die Positionierung beim Funkspezialisten U-Blox.
"Die übermäßige Abhängigkeit von GPS und anderen Navigationshilfen sowie wachsende Sicherheitslücken wie Jamming, Spoofing und andere Arten von Interferenzen machen die Notwendigkeit terrestrischer Backups für aktuelle GNSS-Systeme deutlich. Wir werfen einen genauen Blick auf den Umfang des Problems und mögliche Abhilfemaßnahmen in unserem bevorstehenden GPS-Spezialprojekt."
Diese Schutzmaßnahmen reichen von der Authentifizierung von Navigationsnachrichten und der Signalverschlüsselung für das europäische Galileo-System bis hin zu Anti-Spoofing-Frameworks für GPS mit ähnlichen Nachrichtenauthentifizierungsschemata.
Bevor wir uns mit diesen und anderen Ausfallsicherheitsansätzen befassen, erhalten Sie einen Überblick über die zunehmenden Bedrohungen für GNSS sowie eine Momentaufnahme der Auswirkungen von GPS-Interferenzen in den letzten Jahren.
Jamming und Spoofing
Das Stören eines GPS-Signals erfordert kaum mehr als das Erzeugen eines HF-Signals, das stark genug ist, um GNSS-Übertragungen zu übertönen. Typischerweise sendet ein kleiner Sender Funksignale im gleichen Frequenzband wie ein GPS-Gerät. Die daraus resultierenden Interferenzen stören den Empfang auf GPS-Geräten.
GPS Signal Störsender unterscheiden nicht, was normalerweise zu Kollateralschäden führt. GPS-abhängige Flugsicherung, Such- und Rettungsaktionen, das Stromnetz und Mobiltelefondienste sind alle anfällig für GPS-Störfälle.
Während Störsender einfach GNSS-Signale blockieren, was eine genaue Positionierung schwierig oder unmöglich macht, beinhaltet GPS-Spoofing die absichtliche Übertragung von Signalen ähnlich wie GPS, jedoch mit falschen Standortinformationen. Durch die Replikation von GNSS-Signalen kann ein Spoofer einen Empfänger täuschen, dass er sich zu einem bestimmten Zeitpunkt oder an einem anderen Ort befindet.
Spoofing verursacht alle Arten von Chaos. Zum Beispiel kann es verwendet werden, um autonome Fahrzeuge zu entführen und sie auf alternativen Routen zu senden. Durch Spoofing können die von Fahrzeugmonitoren aufgezeichneten Routen geändert oder Geofences unterbrochen werden, die zur Bewachung von Betriebsbereichen verwendet werden. Es stellt auch ein Risiko für kritische Infrastrukturen dar, einschließlich Strom-, Telekommunikations- und Transportsysteme.
Jan van Hees, Direktor für Geschäftsentwicklung und Marketing beim GNSS-Empfängerhersteller Septentrio, stellte diese Analogien zur Verfügung: „Beim Stören wird so viel Rauschen erzeugt, dass das [Satellitensignal] verschwindet. Spoofing ist wie ein Phishing-Angriff auf das Signal. "
GPS-Störungen nehmen zu
Die US-Küstenwache hat kürzlich eine wachsende Anzahl hochkarätiger Vorfälle mit GPS-Störungen verfolgt. Zum Beispiel hat der Verlust des GPS-Empfangs in israelischen Häfen im Jahr 2019 GPS-gesteuerte autonome Krane funktionsunfähig gemacht, Kollateralschäden durch den syrischen Bürgerkrieg. Im Jahr 2016 wurden mehr als 20 Schiffe vor der Krim-Halbinsel als Opfer eines GPS-Spoofing-Angriffs angesehen, bei dem die Positionen der Schiffe auf elektronischen Kartenanzeigen auf Land verschoben wurden.
GNSS-Störungen veranlassten die Maritime Administration des US-Verkehrsministeriums im vergangenen Jahr, vor GPS-Störungen zu warnen. Die Botschaft an die Industrie betonte die Notwendigkeit, alternative PNT-Systeme zu verwenden. Aus Angst vor Selbstzufriedenheit hob die Agentur Interferenzquellen hervor, darunter Mehrwegeausbreitung, atmosphärische Bedingungen und Probleme mit dem GNSS-Segment wie fehlerhafte Daten-Uploads.
Nach GPS-Störvorfällen über Norwegen, die wahrscheinlich aus dem nahe gelegenen Russland stammen, hat die europäische Luftfahrtbehörde Eurocontrol seit 2018 einen Anstieg der GNSS-Interferenzvorfälle um 2.000 Prozent verzeichnet. In einem Bericht wurde auch betont, dass RFI-Störungen unverhältnismäßig sind: Während sich die Mehrheit der RFI-Hotspots in Konfliktgebieten befindet, Sie wirken sich auch auf die Zivilluftfahrt in Entfernungen von bis zu 300 km aus, was den Störsender-Overkill widerspiegelt.
In einem anderen Szenario wurden Störsender verwendet, um die Position gestohlener Luxusautos und voll beladener Versandbehälter zu verbergen. Laut Guy Buesnel, einem Spezialisten für GNSS-Schwachstellen bei Spirent Communications, hat das FBI 2014 ein Bulletin herausgegeben.
Buesnel hob die Bemühungen der Regierung hervor, das Bewusstsein für GNSS-Schwachstellen zu schärfen. In einem Bericht werden beispielsweise die wirtschaftlichen Auswirkungen eines vollständigen Verlusts von GNSS auf Großbritannien über einen Zeitraum von fünf Tagen auf 5,2 Mrd. GBP geschätzt.
Diese und parallele Bemühungen der USA haben zu Bemühungen geführt, die Widerstandsfähigkeit von GNSS-Systemen zu erhöhen. "Genauigkeit ist wichtig, aber es ist wichtig, das Vertrauen in das System zu gewährleisten, und wir brauchen Zuverlässigkeit und Verfügbarkeit", sagte van Hees von Septentrio. "Können Sie beispielsweise unter widrigen Bedingungen Signale empfangen?"
Vertrauen erfordert auch Schritte wie Signalfingerabdruck, um Spoofer von einem Satellitensignal zu unterscheiden. Beispielsweise können Signalstärke und Timing von einem Spoofer ein Werbegeschenk sein, insbesondere da die Satellitenübertragung eine geringere Signalstärke aufweist. Die Signalverschlüsselung ist eine weitere Option, einschließlich eines Frameworks namens Open Service Navigation Message Authentication (OSNMA).
Buesnel von Spirent betonte die Notwendigkeit von Audits und Risikobewertungen als wesentliche Bestandteile der PNT-Sicherheit, Ausfallsicherheit und Robustheit. "Tests, um ein quantitatives Verständnis der Reaktion bestehender Systeme auf reale Bedrohungen zu erhalten und vorgeschlagene Minderungsmaßnahmen zu bewerten, sind ein wesentlicher Bestandteil davon", sagte er. „Unerwartetes Verhalten oder Konsequenzen sind häufig das Ergebnis eines Mangels an gründlichen Tests und Risikobewertungen, die durchgeführt wurden, bevor ein System bereitgestellt wurde."
Signal verschlüsselung
Der für das europäische GNSS-System entwickelte OSNMA-Anti-Spoofing-Dienst ermöglicht sichere Übertragungen von Galileo-Satelliten zu verschlüsselungsfähigen GNSS-Empfängern. Während der abschließenden Tests wird OSNMA den Benutzern bald kostenlos zur Verfügung stehen.
OSNMA sichert Galileo-Signale, indem es die Authentifizierung von Navigationsdaten ermöglicht, die Satellitenstandortdaten enthalten. Es verwendet eine hybride symmetrische / asymmetrische Kryptographietechnik. Ein geheimer Schlüssel auf dem Satelliten wird verwendet, um eine digitale Signatur zu erzeugen. Sowohl die Signatur als auch der Schlüssel werden an die Navigationsdaten angehängt und an den Empfänger übertragen. OSNMA ist abwärtskompatibel, sodass die Positionierung ohne OSNMA weiterhin funktioniert.
Die Europäische GNSS-Agentur sagte, dass OSNMA-Testsignale von der Galileo-Konstellation unter Verwendung der Ersatzbits aus aktuellen Navigationsnachrichten gesendet werden, so dass ältere Open-Service-Dienste unberührt bleiben. Die ersten Tests im letzten November umfassten acht Galileo-Satelliten. Die Tests werden in den nächsten Monaten fortgesetzt.
Septentrio sagte, sein Empfänger habe Navigationsdaten vom ersten OSNMA-verschlüsselten GNSS-Satellitensignal authentifiziert. Selbst eine sichere Authentifizierung über OSNMA birgt potenzielle Schwachstellen. "Bei OSNMA besteht eine Sicherheitslücke in der Art und Weise, wie der Schlüssel bereitgestellt wird", sagte Bryant von U-Blox. "Wenn Sie ein cleverer Spoofer sind, können Sie Ihre Signale verzögern, um den Schlüssel zu erfassen." Dennoch glaubt Bryant, dass OSNMA in Europa für einige Anwendungen wahrscheinlich obligatorisch wird.
Er glaubt auch, dass das GPS-Authentifizierungssystem diese Sicherheitsanfälligkeit möglicherweise überwinden könnte. Das vorgeschlagene Chimären-System zum Sichern von GPS-Signalen fügt verschlüsselte digitale Signaturen und Wasserzeichen ein, die in das Satellitensignal codiert sind. Die Signalauthentifizierungsverbesserung authentifiziert gemeinsam sowohl die Navigationsdaten als auch den Ausbreitungscode des zivilen GPS-Signals.
Chimera verwendet das Konzept der Zeitbindung, bei dem der Spreizcode durch Markierungen unterbrochen wird, die kryptografisch unter Verwendung eines Schlüssels generiert werden, der aus der digital signierten Navigationsnachricht abgeleitet ist. Die Navigationsnachricht und der Verbreitungscode können nicht unabhängig voneinander generiert werden. Durch Bit-Commitment wird sichergestellt, dass ein Spoofer erst nach der Ausstrahlung die richtigen Marker generieren kann.
Es werden zwei Varianten angegeben: ein "langsamer" Kanal für eigenständige Benutzer und ein "schneller" Kanal für eine schnellere Authentifizierung, wenn Out-of-Band-Informationen verfügbar sind. Im letzteren Fall wird die Bindung erreicht, indem die Offenlegung der kryptografischen Schlüssel verzögert wird.
NIST, DHS zu dem Fall
Anfang dieses Jahres veröffentlichte das US-amerikanische National Institute of Standards and Technology (NIST) seine endgültigen Leitlinien zur Cybersicherheit für PNT-Dienste. In den Leitlinien werden die Cybersicherheitsrisiken für PNT- und GPS-Dienste sowie die Auswirkungen auf die nationale und wirtschaftliche Sicherheit berücksichtigt.
"Bevor wir mit der Entwicklung dieses Profils begannen, wurden viele Anstrengungen zur Sicherung von PNT-Diensten unternommen, aber es gab keine formelle Referenz für die Risikominderung, die jeder nutzen konnte", sagte Jim McCarthy von NIST, Mitautor der Leitlinien.
Die USA. Die Direktion für Wissenschaft und Technologie des Department of Homeland Security (DHS) hat Anfang dieses Jahres ebenfalls Ressourcen bereitgestellt, die zum Schutz kritischer Infrastrukturen vor GPS-Spoofing entwickelt wurden. Diese kostenlosen Tools umfassen eine PNT-Integritätsbibliothek und eine Epsilon-Algorithmus-Suite, die beide die PNT-Ausfallsicherheit erhöhen sollen
Die zunehmende Abhängigkeit von GPS für militärische, zivile und kommerzielle Anwendungen erhöht die Anfälligkeit für PNT-Systeme gemäß der im Januar herausgegebenen Weltraumrichtlinie 7. „GPS-Benutzer müssen einen möglichen Signalverlust einplanen und angemessene Schritte unternehmen, um die Integrität der empfangenen GPS-Daten und des Entfernungsmessungssignals zu überprüfen oder zu authentifizieren, insbesondere in Anwendungen, in denen bereits geringe Verschlechterungen zum Tod führen können“, warnt die Richtlinie.
Die PNT-Integritätsbibliothek und die Epsilon-Algorithmus-Suite beheben dieses Problem, indem sie Benutzern eine Methode zur Überprüfung der Integrität empfangener GPS-Daten bereitstellen. Die neuen Tools werden dazu beitragen, "die Ausfallsicherheit gegen potenziellen GPS-Signalverlust zu verbessern", sagte Brannan Villee. PNT-Programmmanager beim DHS.
"Da GPS-Signale gestört oder gefälscht werden können, sollten kritische Infrastruktursysteme nicht unter der Annahme entworfen werden, dass GPS-Daten immer verfügbar oder immer genau sind", fügte Jim Platt hinzu, Leiter strategischer Verteidigungsinitiativen bei der Cybersecurity and Information Security Agency Nationales Risikomanagementzentrum.
"Die Anwendung dieser Tools bietet eine erhöhte Sicherheit gegen GPS-Störungen. Das DHS empfiehlt jedoch auch eine ganzheitliche Verteidigungsstrategie, die die Integrität der PNT-Daten vom Empfang bis zur Verwendung im unterstützten System berücksichtigt “, sagte Platt.
GNSS-Signale sind zunehmend anfällig, und die Bemühungen um Ausfallsicherheit wirken sich weiterhin auf Interferenzen und Spoofing-Bedrohungen aus. Die OSNMA-Architektur ist in Bezug auf Tests weit fortgeschritten und steht in Europa kurz vor der Verbreitung. Die Chimären-Spezifikation für GPS befindet sich noch in den frühen Testphasen.
Letztendlich muss die GNSS-Signalsicherheit ganzheitlich betrachtet werden, sind sich Experten einig, wobei viele Faktoren berücksichtigt werden, darunter Signaldiversität, Fingerabdruck und Verschlüsselung. Nur dann kann der Ausgabe von PNT-Systemen vertraut werden.