Uwierzytelnienie w systemie GSM jest realizowane na zasadzie challenge and response (wyzwanie i odpowiedź). Decyzja o uwierzytelnieniu jest podejmowana w centrali MSC i uczestniczy w nim sieć oraz karta SIM. Należy zauważyć, że aparat telefoniczny dostarcza tutaj jedynie energii potrzebnej do wykonania obliczeń, a sam w procesie nie uczestniczy.
Oprócz uwierzytelnienia w sieci (opierającego się na zasadzie „mam kartę SIM”) sama karta SIM przeprowadza również autoryzację (opierającą się na zasadzie „wiem jaki jest PIN”). Można zatem stwierdzić, że w systemie GSM stosowane jest silne uwierzytelnienie, aczkolwiek jest ono podzielone na dwa kroki: jeden bez udziału sieci a drugi już z siecią. Zaraz po włączeniu telefonu abonent musi podać PIN, przypisany do karty SIM znajdującej się wewnątrz aparatu. Trzykrotne błędne podanie wartości PIN powoduje zablokowanie się karty, która nie reaguje na kolejne próby wprowadzenia kodu. Jedynym sposobem uruchomienia karty pozostaje wtedy wprowadzenie ośmiocyfrowego kodu PUK. Po dziesięciu błędnych próbach karta ulega całkowitemu zablokowaniu lub nawet mechanicznemu zniszczeniu i nie nadaje się do użytku.
W specyfikacji systemu [17, 18] zaznaczono, że istnieje możliwość wyłączenia autoryzacji kodem PIN. Wybór należy do operatora sieci. Programując odpowiednio moduł SIM może on umożliwić abonentom dezaktywację kodu PIN. Jest to być może wygodne rozwiązanie, ale znacznie osłabia ono zabezpieczenia systemu. Uwierzytelnienie staje się bowiem w tym momencie słabe (opiera się jedynie na zasadzie „mam”) i wystarczy, że ktoś ukradnie nam telefon a już będzie mógł wykonywać połączenia na nasz koszt (dopóki nie zorientujemy się i nie zgłosimy kradzieży).
1.3.2.1 Protokół uwierzytelnienia
Na rys. nr 1.4 przedstawiłem protokół uwierzytelnienia realizowany w sieci GSM. Abonent, który wcześniej wysłał swój numer TMSI (kanałem nieszyfrowanym), teraz musi potwierdzić swoją tożsamość.
17