Усовершенствованный протокол аутентификации бюджетных RFID-меток

Современный мир товарооборота невозможно представить без применения RFID-технологий. Дешевые, так называемые «бюджетные», радиочастотные метки с низкими функциональными возможностями оказались очень удобным механизмом логистики и мониторинга, и поэтому получили необыкновенно широкое распространение. Уни- версальное применение RFID-меток привлекает внимание злоумышленников в целях промышленного шпионажа, вторжения в частную жизнь, хищения собственности пользователей, что создает новые угрозы безопасности и конфиденциальности информации.

Первые упоминания о необходимости обеспечения безопасности в RFID-системах встречаются в работе S. Sarma, S. Weis, и D. Engels [1]. Авторы разработали новые облегченные криптографиче- ские протоколы для бюджетных RFID-меток. Они создали механизм защиты от угрозы клонирования меток [1], благодаря которой злоумышленник может подменять товар в магазине меткой-клоном. При этом RFID-система, установленная в магазине, будет считать, что товар по-прежнему находится на полке. J. Hoffstein, J. Pipher, и J. Silverman использовали в смарт-картах и сетевых датчиках облегченные криптосистемы с открытым ключом, получившие на-

звание NTRU [2]. В то же время Jacques Stern и Julien P. Stern предложили использовать электронную цифровую подпись [3]. Несмотря на то, что оба эти варианта по сравнению с раннее известными криптосистемами ведут к очень эффективным механизмам на основе открытых ключей и цифровых подписей, они все равно требуют гораздо больший объем для ресурсов, чем он доступен в бюджетных RFID-метках. Различные схемы контроля доступа к RFID-меткам предлагают в своей работе S.Weis, S. Sarma, R. Rivest, и D. Engels [4]. Метка может находиться в одном из двух режимов. В закрытом режиме метка отвечает лишь на запросы, имеющие определенный мета-идентификатор. В открытом режиме она может выполнять операции, связанные с безопасностью и настройками. Цель этой схемы гарантировать, что метка переходит в открытый режим, только если получает соответствующую команду от сопряженного RF-сканера. Отсюда можно сделать вывод, что предложенные протоколы [4] подходят по большей части для аутентификации RF-сканера. К тому же они используют стандартные криптографические хэш-функции и требуют установки генератора псевдослучайных чисел на метки, что также недостижимо в связи с ограничениями ресурсов бюджетных RFID-меток.

Условия и ограничения применения бюджетных RFID-меток

В магазине RF-сканер периодически опрашивает метки, прикрепленные к товарам, тем самым осуществляя их идентификацию. В подобной системе необходимо обеспечить защиту от кражи товара, которая может быть осуществлена установкой клона метки, при которой RF-сканер будет продолжать опрашивать ее и получать правильный ответ, тем самым не замечая подмены. В связи с этим предлагается усовершенствованный протокол аутентификации бюджетных RFID-меток типа «запрос-подтверждение», который существенно снижает угрозу подобной «атаки клонов».

В рассматриваемой RFID-системе присутствует RF-сканер и набор RFID-меток, которые, в свою очередь, состоят из антенны и соединенного с ней микро- чипа. Память микрочипа RFID-метки рассчитана на хранение определенного количества функций, которое может варьироваться в зависимости от сложности исполнения меток. Храниться может как статическая информация, так и перезаписываемые данные, которые с помощью RF-сканера можно считывать и редактировать. Для этого RF-сканер излучает радиочастотные сигналы, после получения которых метка активируется на чтение или запись. Для работы с RFID-системой достаточно, чтобы сканер находился на расстоянии нескольких метров от метки. При этом не обязательно, чтобы метка находилась в зоне прямой видимости от сканера. Более того, возможно наличие непроводящих материалов между ними.

RFID-метки могут иметь встроенные средства поддержки криптографических процедур, контроля целостности и других механизмов защиты. При этом их стоимость будет весьма существенной. Поэтому такие решения нельзя отнести к бюджетным. Бюджетные метки, как правило, обладают емкостью не более нескольких сотен бит и являются пассивными. Они содержат несколько тысяч вентилей для логических операций, «питаются» от RF-сканера и не могут выполнять фоновые вычисления во время простоя системы. Указанной емкости бюджетных RFID-меток недостаточно даже для применения стандартной криптографической хэш-функции, такой как MD5 или SHA-1 [5]. Поэтому необходимо разработать новую упрощенную процедуру аутентификации, которую смогут поддерживать бюджетные RFID-метки. Эта процедура предусматривает создание общего ключа между RF-сканером и метками перед началом работы системы. Для обмена сообщениями между сканером и метками используется беспроводная одно-скачковая пересылка. Метки регулярно идентифицируются сканером. При этом сканер каждый раз опрашивает метки с новым запросом и осуществляет их аутентификацию путем сравнения ответа с правильным значением. Для злоумышленника задача взлома протокола сводится к созданию правильного ответа метки на запрос сканера. Если злоумышленник собирает информацию из одного или нескольких прогонов протокола, не прерывая при этом связь между сканером и меткой, то такая атака называется пассивной. В случае если злоумышленник имитирует сканер или метку и отвечает на запросы сканера намеренно измененными сообщениями, которые были просмотрены в предыдущих прогонах, то можно говорить об активной атаке.

Модернизация протокола аутентификации на основе алгоритма RSA

Вначале следует проиллюстрировать некоторые понятия на примере простейшего протокола:

R ^ T: x ® k = a ,                  (1)

T ^ R: f(x)®k = b.                (2)

В формулах (1) и (2) R и T — это RF-сканер и RFID-метка, соответственно; k — секретный ключ между R и T ; x — случайный запрос длиной n бит; f — функция отображения последовательности длиной n бит в новую последовательность аналогичной длины. Пусть I(h,k) — это функция взаимосвязи между наблюдаемой парой сообщений h = (a,b) и ключом k . Тогда можно считать верным следующее утверждение I(h,k) = H(x ® f(x)) , где H(x ® f(x)) — функция энтропии x ® f(x) . Это может быть доказано так. По определению I(h,k) = H(h) — H(h\k) . Из-за случайного отбора x следует равенство H(h\k) = n. Помимо этого,

H(h) = H(a,b) = H(a, a®b) =

= H(a ® b) + H(a\a ® b) = H(x®f(x)) + + H(x®k\x®f(x)) = H(x®f(x)) + n.

Таким образом,

I(h,k) = H(x®f(x)) + n - n = H(x®f(x)).

Например, если f это тождественное отображение (то есть, f(x) = x ), то нельзя получить какую-либо информацию о ключе из просмотра прогонов. Тем не менее выбор подобного отображения – это плохой выбор, так как злоумышленник может просто повторить запрос в качестве ответа. Другая крайность, когда f вырождается в константу, например, ответ заменен известным постоянным вектором. В этом случае, I(h,k) достигает максимума. Более того, если x ® f(x) является взаимно однозначным отображением в m -размерное подпространство

n -размерных векторов, тогда n-m биты ключа выбираются независимо.

Выбор линейного двоичного отображения для f опасно. Для доказательства выбираются M и I как две n × n бинарные матрицы, где M представляет отображение f , а I – единичная матрица. Злоумышленник может установить следующую систему линейных уравнений:

(M⊕I)k = Ma⊕b.               (3)

Решение этой системы для неизвестной k не единственное, если ранг матрицы M ⊕ I меньше n . Стоит отметить, что злоумышленник может не знать точного ключа, чтобы создать сообщение успешного ответа; достаточно узнать произвольное решение (3).

Сохраняя основную структуру, можно предложить следующие направления по улучшению протокола:

• ♦    нелинейность: использование нелинейного f может усложнить злоумышленнику задачу;

• ♦    смешанные операции: вместо логической операции сложения по модулю XOR, которая линейна по отношению к бинарным векторам, могут быть использованы операции целочисленного сложения по модулю или возведения в степень. Это усложнит как определение сообщения, так и его анализ;

• ♦    ключи: использовать в обоих направлениях разные ключи.

Тем не менее усиление должно быть сделано осторожно и постепенно: возможны только облегченные модификации, и они должны быть сделаны после тщательного анализа.

Одна из модификаций может быть выполнена с введением функции E , которая зашифрована алгоритмом RSA с длиной n , открытой экспонентой e и секретной экспонентой d . Тогда протокол будет выглядеть следующим образом:

R → T: x,

T → R: E(x^k), где x – вектор, в котором 0 < m ≤ n битам выставляется значение «1» в различных произвольно выбранных позициях; x^k обозначает побитовое «И» векторов x и k, маскируя вектор k. Значения битов в векторе k не изменяются на тех позициях, где соответствующие биты в векторе x имеют значение «1», а остальные бита вектора k устанавливаются на значение «0».

Количество операций, когда вычисляется функция E , зависит от двоичного веса экспоненты, а также от бинарного веса открытого (нешифрованного) текста. При этом используется повторение метода возведения в произвольную степень путем многократного возведения в квадрат и умножения: Square-and-Multiply [6]. Второй шаг протокола подтверждает, что бинарный вес открытого текста – это максимум m . Кроме того, применяется низкий вес открытой экспоненты (например, 2¹⁶+1).

Пассивная атака

Злоумышленник также может попробовать определить m бит вектора k , просматривая канал и взломав шифрование функции E(x^k) весьма сложным и изнурительным поиском битов вектора k по координатам, обозначенным вектором x . Таким образом, для этого потребуется не менее 2m попыток. Объем работы злоумышленника может быть увеличен путем увеличением m , но это также увеличивает и объем работы T . Помимо этого, чем больше прогонов протокола атакуется, тем больше информации о векторе k может быть получено.

Активная атака

Злоумышленник меняет биты на двух позициях просматриваемых запросов x : бит со значением «1» меняется на «0», а бит со значением «0» меняется на «1». Далее происходит отслеживание: ответное сообщение не изменится, если вектор k имеет значение «0» на обеих позициях, и изменится на оставшиеся три пары значений(01, 10, 11). Очевидно, что возможность нулевой пары ¼. В этом случае злоумышленник имеет небольшой шанс отсканировать биты ключа.

Усиление

Ключ k постоянно смещается со смещением S , которое является подходящим отображением дополнительного секретного значения k' и действующего вектора x : S = g (k', x) .

Заключение

В статье представлен усовершенствованный протокол аутентификации, который по всем параметрам подходит под жесткие условия и ограничения применения бюджетных RFID-меток.

Отдельно подчеркивается, что при разработке протокола аутентификации особое внимание уделено используемому количеству математических расчетов. При этом недопустимо использование сложных вычислений, требующих значительных ресурсов от всех элементов RFID-системы.

Описанный протокол основан исключительно на базовых элементах, которые поддерживаются любой бюджетной RFID-меткой. Стойкость данного протокола рассмотрена по отношению к некоторым характерным видам атак, однако и он может быть скомпрометирован. Поэтому целью дальнейших исследований является расширение исследовательской базы в поисках компромисса между защищенностью RFID-меток и их эксплуатационными качествами