Усовершенствованный протокол аутентификации бюджетных RFID-меток
Автор: Жуков Игорь Юрьевич, Михайлов Дмитрий Михайлович, Стариковский Андрей Викторович
Журнал: Спецтехника и связь @st-s
Статья в выпуске: 1, 2012 года.
Бесплатный доступ
В данной статье рассматривается усовершенствованный протокол аутентификации RFID-меток, в которых отсутствуют ресурсы, необходимые для мощных криптографических преобразований. Подобные метки являются удобным и очень дешевым средством мониторинга и поэтому получили повсеместное применение. В связи с этим их удобно называть бюджетными RFID-метками. Они используются в логистике при транспортировке грузов, в магазинах для защиты товаров от кражи и т.д. Универсальное применение RFID-меток привлекает внимание злоумышленников в целях промышленного шпионажа, вторжения в частную жизнь, хищения собственности пользователей, что создает новые угрозы безопасности и конфиденциальности информации. В целях обеспечения безопасности использования подобных RFID-систем приводится базовое описание RFID-модели и предлагается решение на основе алгоритма RSA для обеспечения защищенного процесса аутентификации при обмене информацией между RF-сканером и метками.
Протокол аутентификации, rfid-метки, криптография, безопасность, защита данных
Короткий адрес: https://sciup.org/14967078
IDR: 14967078
Текст научной статьи Усовершенствованный протокол аутентификации бюджетных RFID-меток
Современный мир товарооборота невозможно представить без применения RFID-технологий. Дешевые, так называемые «бюджетные», радиочастотные метки с низкими функциональными возможностями оказались очень удобным механизмом логистики и мониторинга, и поэтому получили необыкновенно широкое распространение. Уни- версальное применение RFID-меток привлекает внимание злоумышленников в целях промышленного шпионажа, вторжения в частную жизнь, хищения собственности пользователей, что создает новые угрозы безопасности и конфиденциальности информации.
Первые упоминания о необходимости обеспечения безопасности в RFID-системах встречаются в работе S. Sarma, S. Weis, и D. Engels [1]. Авторы разработали новые облегченные криптографиче- ские протоколы для бюджетных RFID-меток. Они создали механизм защиты от угрозы клонирования меток [1], благодаря которой злоумышленник может подменять товар в магазине меткой-клоном. При этом RFID-система, установленная в магазине, будет считать, что товар по-прежнему находится на полке. J. Hoffstein, J. Pipher, и J. Silverman использовали в смарт-картах и сетевых датчиках облегченные криптосистемы с открытым ключом, получившие на-
звание NTRU [2]. В то же время Jacques Stern и Julien P. Stern предложили использовать электронную цифровую подпись [3]. Несмотря на то, что оба эти варианта по сравнению с раннее известными криптосистемами ведут к очень эффективным механизмам на основе открытых ключей и цифровых подписей, они все равно требуют гораздо больший объем для ресурсов, чем он доступен в бюджетных RFID-метках. Различные схемы контроля доступа к RFID-меткам предлагают в своей работе S.Weis, S. Sarma, R. Rivest, и D. Engels [4]. Метка может находиться в одном из двух режимов. В закрытом режиме метка отвечает лишь на запросы, имеющие определенный мета-идентификатор. В открытом режиме она может выполнять операции, связанные с безопасностью и настройками. Цель этой схемы гарантировать, что метка переходит в открытый режим, только если получает соответствующую команду от сопряженного RF-сканера. Отсюда можно сделать вывод, что предложенные протоколы [4] подходят по большей части для аутентификации RF-сканера. К тому же они используют стандартные криптографические хэш-функции и требуют установки генератора псевдослучайных чисел на метки, что также недостижимо в связи с ограничениями ресурсов бюджетных RFID-меток.
Условия и ограничения применения бюджетных RFID-меток
В магазине RF-сканер периодически опрашивает метки, прикрепленные к товарам, тем самым осуществляя их идентификацию. В подобной системе необходимо обеспечить защиту от кражи товара, которая может быть осуществлена установкой клона метки, при которой RF-сканер будет продолжать опрашивать ее и получать правильный ответ, тем самым не замечая подмены. В связи с этим предлагается усовершенствованный протокол аутентификации бюджетных RFID-меток типа «запрос-подтверждение», который существенно снижает угрозу подобной «атаки клонов».
В рассматриваемой RFID-системе присутствует RF-сканер и набор RFID-меток, которые, в свою очередь, состоят из антенны и соединенного с ней микро- чипа. Память микрочипа RFID-метки рассчитана на хранение определенного количества функций, которое может варьироваться в зависимости от сложности исполнения меток. Храниться может как статическая информация, так и перезаписываемые данные, которые с помощью RF-сканера можно считывать и редактировать. Для этого RF-сканер излучает радиочастотные сигналы, после получения которых метка активируется на чтение или запись. Для работы с RFID-системой достаточно, чтобы сканер находился на расстоянии нескольких метров от метки. При этом не обязательно, чтобы метка находилась в зоне прямой видимости от сканера. Более того, возможно наличие непроводящих материалов между ними.
RFID-метки могут иметь встроенные средства поддержки криптографических процедур, контроля целостности и других механизмов защиты. При этом их стоимость будет весьма существенной. Поэтому такие решения нельзя отнести к бюджетным. Бюджетные метки, как правило, обладают емкостью не более нескольких сотен бит и являются пассивными. Они содержат несколько тысяч вентилей для логических операций, «питаются» от RF-сканера и не могут выполнять фоновые вычисления во время простоя системы. Указанной емкости бюджетных RFID-меток недостаточно даже для применения стандартной криптографической хэш-функции, такой как MD5 или SHA-1 [5]. Поэтому необходимо разработать новую упрощенную процедуру аутентификации, которую смогут поддерживать бюджетные RFID-метки. Эта процедура предусматривает создание общего ключа между RF-сканером и метками перед началом работы системы. Для обмена сообщениями между сканером и метками используется беспроводная одно-скачковая пересылка. Метки регулярно идентифицируются сканером. При этом сканер каждый раз опрашивает метки с новым запросом и осуществляет их аутентификацию путем сравнения ответа с правильным значением. Для злоумышленника задача взлома протокола сводится к созданию правильного ответа метки на запрос сканера. Если злоумышленник собирает информацию из одного или нескольких прогонов протокола, не прерывая при этом связь между сканером и меткой, то такая атака называется пассивной. В случае если злоумышленник имитирует сканер или метку и отвечает на запросы сканера намеренно измененными сообщениями, которые были просмотрены в предыдущих прогонах, то можно говорить об активной атаке.
Модернизация протокола аутентификации на основе алгоритма RSA
Вначале следует проиллюстрировать некоторые понятия на примере простейшего протокола:
R ^ T: x ® k = a , (1)
T ^ R: f(x)®k = b. (2)
В формулах (1) и (2) R и T — это RF-сканер и RFID-метка, соответственно; k — секретный ключ между R и T ; x — случайный запрос длиной n бит; f — функция отображения последовательности длиной n бит в новую последовательность аналогичной длины. Пусть I(h,k) — это функция взаимосвязи между наблюдаемой парой сообщений h = (a,b) и ключом k . Тогда можно считать верным следующее утверждение I(h,k) = H(x ® f(x)) , где H(x ® f(x)) — функция энтропии x ® f(x) . Это может быть доказано так. По определению I(h,k) = H(h) — H(h\k) . Из-за случайного отбора x следует равенство H(h\k) = n. Помимо этого,
H(h) = H(a,b) = H(a, a®b) =
= H(a ® b) + H(a\a ® b) = H(x®f(x)) + + H(x®k\x®f(x)) = H(x®f(x)) + n.
Таким образом,
I(h,k) = H(x®f(x)) + n - n = H(x®f(x)).
Например, если f это тождественное отображение (то есть, f(x) = x ), то нельзя получить какую-либо информацию о ключе из просмотра прогонов. Тем не менее выбор подобного отображения – это плохой выбор, так как злоумышленник может просто повторить запрос в качестве ответа. Другая крайность, когда f вырождается в константу, например, ответ заменен известным постоянным вектором. В этом случае, I(h,k) достигает максимума. Более того, если x ® f(x) является взаимно однозначным отображением в m -размерное подпространство
n -размерных векторов, тогда n-m биты ключа выбираются независимо.
Выбор линейного двоичного отображения для f опасно. Для доказательства выбираются M и I как две n × n бинарные матрицы, где M представляет отображение f , а I – единичная матрица. Злоумышленник может установить следующую систему линейных уравнений:
(M⊕I)k = Ma⊕b. (3)
Решение этой системы для неизвестной k не единственное, если ранг матрицы M ⊕ I меньше n . Стоит отметить, что злоумышленник может не знать точного ключа, чтобы создать сообщение успешного ответа; достаточно узнать произвольное решение (3).
Сохраняя основную структуру, можно предложить следующие направления по улучшению протокола:
-
♦ нелинейность: использование нелинейного f может усложнить злоумышленнику задачу;
-
♦ смешанные операции: вместо логической операции сложения по модулю XOR, которая линейна по отношению к бинарным векторам, могут быть использованы операции целочисленного сложения по модулю или возведения в степень. Это усложнит как определение сообщения, так и его анализ;
-
♦ ключи: использовать в обоих направлениях разные ключи.
Тем не менее усиление должно быть сделано осторожно и постепенно: возможны только облегченные модификации, и они должны быть сделаны после тщательного анализа.
Одна из модификаций может быть выполнена с введением функции E , которая зашифрована алгоритмом RSA с длиной n , открытой экспонентой e и секретной экспонентой d . Тогда протокол будет выглядеть следующим образом:
R → T: x,
T → R: E(x^k), где x – вектор, в котором 0 < m ≤ n битам выставляется значение «1» в различных произвольно выбранных позициях; x^k обозначает побитовое «И» векторов x и k, маскируя вектор k. Значения битов в векторе k не изменяются на тех позициях, где соответствующие биты в векторе x имеют значение «1», а остальные бита вектора k устанавливаются на значение «0».
Количество операций, когда вычисляется функция E , зависит от двоичного веса экспоненты, а также от бинарного веса открытого (нешифрованного) текста. При этом используется повторение метода возведения в произвольную степень путем многократного возведения в квадрат и умножения: Square-and-Multiply [6]. Второй шаг протокола подтверждает, что бинарный вес открытого текста – это максимум m . Кроме того, применяется низкий вес открытой экспоненты (например, 216+1).
Пассивная атака
Злоумышленник также может попробовать определить m бит вектора k , просматривая канал и взломав шифрование функции E(x^k) весьма сложным и изнурительным поиском битов вектора k по координатам, обозначенным вектором x . Таким образом, для этого потребуется не менее 2m попыток. Объем работы злоумышленника может быть увеличен путем увеличением m , но это также увеличивает и объем работы T . Помимо этого, чем больше прогонов протокола атакуется, тем больше информации о векторе k может быть получено.
Активная атака
Злоумышленник меняет биты на двух позициях просматриваемых запросов x : бит со значением «1» меняется на «0», а бит со значением «0» меняется на «1». Далее происходит отслеживание: ответное сообщение не изменится, если вектор k имеет значение «0» на обеих позициях, и изменится на оставшиеся три пары значений(01, 10, 11). Очевидно, что возможность нулевой пары ¼. В этом случае злоумышленник имеет небольшой шанс отсканировать биты ключа.
Усиление
Ключ k постоянно смещается со смещением S , которое является подходящим отображением дополнительного секретного значения k' и действующего вектора x : S = g (k', x) .
Заключение
В статье представлен усовершенствованный протокол аутентификации, который по всем параметрам подходит под жесткие условия и ограничения применения бюджетных RFID-меток.
Отдельно подчеркивается, что при разработке протокола аутентификации особое внимание уделено используемому количеству математических расчетов. При этом недопустимо использование сложных вычислений, требующих значительных ресурсов от всех элементов RFID-системы.
Описанный протокол основан исключительно на базовых элементах, которые поддерживаются любой бюджетной RFID-меткой. Стойкость данного протокола рассмотрена по отношению к некоторым характерным видам атак, однако и он может быть скомпрометирован. Поэтому целью дальнейших исследований является расширение исследовательской базы в поисках компромисса между защищенностью RFID-меток и их эксплуатационными качествами
Список литературы Усовершенствованный протокол аутентификации бюджетных RFID-меток
- S. Sarma, S. Weis, and D. Engels. Radio-frequency identification: Security risks and challenges./CryptoBytes, 2003. -V. 6. -N. 1. -PP. 2 -9.
- J. Hoffstein, J. Pipher, and J. Silverman. NTRU: A ring based public key cryptosystem./Third International Symposium Algorithmic Number Theory (ANTS III). -Portland, Orgeon, USA, 1998. -June 21 -25. -PP. 267 -288.
- Jacques Stern and Julien P. Stern. Cryptanalysis of the OTM signature scheme from FC'02./7th Financial Cryptography Conference. -Guadeloupe, French West Indies, January 2003. -PP. 138 -148.
- S.Weis, S. Sarma, R. Rivest, and D. Engels. Security and privacy aspects of low-cost radio frequency identification systems./First International Conference on Security in Pervasive Computing. -Boppard, Germany, March 2003. -PP. 201 -212.
- Баричев С.Г. Основы современной криптографии./Баричев С.Г., Гончаров В.В., Серов Р. Е. -М.: Горячая Линия -Телеком, 2002.
- Bogusch R. L. Frequency Selective Propagation Effects on Spread-Spectrum Receiver Tracking./Proceedings of the IEEE, July 1981. -V. 69. -N. 7. -PP. 787 -796.