CC BY
149
ЖУКОВ1 Игорь Юрьевич, доктор технических наук, профессор МИХАЙЛОВ2 Дмитрий Михайлович, кандидат технических наук, доцент СТАРИКОВСКИЙ3 Андрей Викторович
УСОВЕРШЕНСТВОВАННЫЙ ПРОТОКОЛ АУТЕНТИФИКАЦИИ БЮДЖЕТНЫХ RFID-МЕТОК
В данной статье рассматривается усовершенствованный протокол аутентификации RFID-меток, в которых отсутствуют. ресурсы., необходимые для. мощных криптографических преобразований. Подобные метки являются удобным, и очень дешевым, средством, мониторинга и поэтому получили повсеместное применение. В связи с этим, их удобно называть бюджетными RFID-метками. Они используются в логистике при транспортировке грузов, в магазинах для. защиты, товаров от. кражи и т.д. Универсальное применение RFID-меток привлекает, внимание злоумышленников в целях промышленного шпионажа, вторжения, в частную жизнь, хищения, собственности пользователей, что создает, новые угрозы, безопасности и конфиденциальности информации. В целях обеспечения, безопасности использования, подобных RFID-систем, приводится. базовое описание RFID-модели и предлагается, решение на основе алгоритма RSA для. обеспечения, защищенного процесса аутентификации при обмене информацией между RF-сканером, и метками.
Ключевые слова: Протокол аутентификации, RFID-метки, криптография, безопасность, защита данных.
This article is considered, to the improved, authentication, protocol for Low-Cost RFID Tags. The proposed, protocol can guarantee the safety of RFID system.. The development of such protocol is topical as it has to be used, in logistics, in cargo transportations and in shops to protect goods from, stealing. But the frequent usage of RFID systems make such systems very attracting for attacks from, hackers. The vulnerabilities could, be used, for industrial espionage, violations on private information. Low-Cost RFID tags authentication protocols must be designed, in such way that the RFID tags are as simple as possible as far as there is no enough computational capabilities in RFID tags to carry powerful cryptographic resources. In the article the protocol based, on the RSA algorithm is provided. This protocol allows carrying the authentication, between the RF-scanner and RFID tags.
Keywords: Authentication, protocol, RFID-tags, cryptography, safety, data security.
Проблема аутентификации RFID-меток
Современный мир товарооборота невозможно представить без применения RFID-технологий. Дешевые, так называемые «бюджетные», радиочастотные метки с низкими функциональными возможностями оказались очень удобным механизмом логистики и мониторинга, и поэтому получили необыкновенно широкое распространение. Уни-
версальное применение RFID-меток привлекает внимание злоумышленников в целях промышленного шпионажа, вторжения в частную жизнь, хищения собственности пользователей, что создает новые угрозы безопасности и конфиденциальности информации. Первые упоминания о необходимости обеспечения безопасности в RFID-системах встречаются в работе S. Sarma, S. Weis, и D. Engels [1]. Авторы разработали новые облегченные криптографиче-
ские протоколы для бюджетных RFID-меток. Они создали механизм защиты от угрозы клонирования меток [1], благодаря которой злоумышленник может подменять товар в магазине меткой-клоном. При этом RFID-система, установленная в магазине, будет считать, что товар по-прежнему находится на полке. J. Hoffstein, J. Pipher, и J. Silverman использовали в смарт-картах и сетевых датчиках облегченные криптосистемы с открытым ключом, получившие на-
1 — ФГУП «ЦНИИ ЭИСУ», заместитель генерального директора;2 — НИЯУ «МИФИ», доцент;
3 —ФГУП «ЦНИИ ЭИСУ», заместитель начальника отдела.
01_2012_SPT.indd 25
звание NTRU [2]. В то же время Jacques Stern и Julien P. Stern предложили использовать электронную цифровую подпись [3]. Несмотря на то, что оба эти варианта по сравнению с раннее известными криптосистемами ведут к очень эффективным механизмам на основе открытых ключей и цифровых подписей, они все равно требуют гораздо больший объем для ресурсов, чем он доступен в бюджетных RFID-метках. Различные схемы контроля доступа к RFID-меткам предлагают в своей работе S.Weis, S. Sarma, R. Rivest, и D. Engels [4]. Метка может находиться в одном из двух режимов. В закрытом режиме метка отвечает лишь на запросы, имеющие определенный мета-идентификатор. В открытом режиме она может выполнять операции, связанные с безопасностью и настройками. Цель этой схемы гарантировать, что метка переходит в открытый режим, только если получает соответствующую команду от сопряженного RF-сканера. Отсюда можно сделать вывод, что предложенные протоколы [4] подходят по большей части для аутентификации RF-сканера. К тому же они используют стандартные криптографические хэш-функции и требуют установки генератора псевдослучайных чисел на метки, что также недостижимо в связи с ограничениями ресурсов бюджетных RFID-меток.
Условия и ограничения применения бюджетных RFID-меток
В магазине RF-сканер периодически опрашивает метки, прикрепленные к товарам, тем самым осуществляя их идентификацию. В подобной системе необходимо обеспечить защиту от кражи товара, которая может быть осуществлена установкой клона метки, при которой RF-сканер будет продолжать опрашивать ее и получать правильный ответ, тем самым не замечая подмены. В связи с этим предлагается усовершенствованный протокол аутентификации бюджетных RFID-меток типа «запрос-подтверждение», который существенно снижает угрозу подобной «атаки клонов».
В рассматриваемой RFID-системе присутствует RF-сканер и набор RFID-меток, которые, в свою очередь, состоят из антенны и соединенного с ней микро-
чипа. Память микрочипа RFID-метки рассчитана на хранение определенного количества функций, которое может варьироваться в зависимости от сложности исполнения меток. Храниться может как статическая информация, так и перезаписываемые данные, которые с помощью RF-сканера можно считывать и редактировать. Для этого RF-сканер излучает радиочастотные сигналы, после получения которых метка активируется на чтение или запись. Для работы с RFID-системой достаточно, чтобы сканер находился на расстоянии нескольких метров от метки. При этом не обязательно, чтобы метка находилась в зоне прямой видимости от сканера. Более того, возможно наличие непроводящих материалов между ними.
RFID-метки могут иметь встроенные средства поддержки криптографических процедур, контроля целостности и других механизмов защиты. При этом их стоимость будет весьма существенной. Поэтому такие решения нельзя отнести к бюджетным. Бюджетные метки, как правило, обладают емкостью не более нескольких сотен бит и являются пассивными. Они содержат несколько тысяч вентилей для логических операций, «питаются» от RF-сканера и не могут выполнять фоновые вычисления во время простоя системы. Указанной емкости бюджетных RFID-меток недостаточно даже для применения стандартной криптографической хэш-функции, такой как MD5 или SHA-1 [5]. Поэтому необходимо разработать новую упрощенную процедуру аутентификации, которую смогут поддерживать бюджетные RFID-метки. Эта процедура предусматривает создание общего ключа между RF-сканером и метками перед началом работы системы. Для обмена сообщениями между сканером и метками используется беспроводная одно-скачковая пересылка. Метки регулярно идентифицируются сканером. При этом сканер каждый раз опрашивает метки с новым запросом и осуществляет их аутентификацию путем сравнения ответа с правильным значением. Для злоумышленника задача взлома протокола сводится к созданию правильного ответа метки на запрос сканера. Если злоумышленник собирает информацию из одного или нескольких прогонов протокола, не прерывая при этом связь между сканером и меткой,
то такая атака называется пассивной. В случае если злоумышленник имитирует сканер или метку и отвечает на запросы сканера намеренно измененными сообщениями, которые были просмотрены в предыдущих прогонах, то можно говорить об активной атаке.
Модернизация протокола аутентификации на основе алгоритма RSA
Вначале следует проиллюстрировать некоторые понятия на примере простейшего протокола:
R ^ T: x®k = a, T ^ R: f(x)®k = b.
(1)
(2)
В формулах (1) и (2) R и T — это RF-сканер и RFID-метка, соответственно; к — секретный ключ между R и T; x — случайный запрос длиной n бит; f — функция отображения последовательности длиной n бит в новую последовательность аналогичной длины. Пусть I(h,k) — это функция взаимосвязи между наблюдаемой парой сообщений h = (a,b) и ключом k. Тогда можно считать верным следующее утверждение I(h,k) = H(x®f(x)), где H(x®f(x)) — функция энтропии x®f(x). Это может быть доказано так. По определению I(h,k) = H(h) — H(h\k). Из-за случайного отбора x следует равенство H(h\k) = n. Помимо этого,
H(h) = H(a,b) = H(a, a®b) = = H(a®b) + H(a\a®b) = H(x®f(x)) + + H(x®k\x®f(x)) = H(x®f(x)) + n.
Таким образом,
I(h,k) = H(x®f(x)) + n - n = H(x®f(x)).
Например, если f это тождественное отображение (то есть, f(x) = x), то нельзя получить какую-либо информацию о ключе из просмотра прогонов. Тем не менее выбор подобного отображения — это плохой выбор, так как злоумышленник может просто повторить запрос в качестве ответа. Другая крайность, когда f вырождается в константу, например, ответ заменен известным постоянным вектором. В этом случае, I(h,k) достигает максимума. Более того, если x®f(x) является взаимно однозначным отображением в m-размерное подпространство
13.04.2012 13:55:29
п-размерных векторов, тогда п-т биты ключа выбираются независимо.
Выбор линейного двоичного отображения для f опасно. Для доказательства выбираются М и I как две п*п бинарные матрицы, где М представляет отображение /, а I — единичная матрица. Злоумышленник может установить следующую систему линейных уравнений:
(M®I)k = Ma®b.
(З)
Решение этой системы для неизвестной к не единственное, если ранг матрицы МФ1 меньше п. Стоит отметить, что злоумышленник может не знать точного ключа, чтобы создать сообщение успешного ответа; достаточно узнать произвольное решение (3). Сохраняя основную структуру, можно предложить следующие направления по улучшению протокола:
♦ нелинейность: использование нелинейного f может усложнить злоумышленнику задачу;
♦ смешанные операции: вместо логической операции сложения по модулю XOR, которая линейна по отношению к бинарным векторам, могут быть использованы операции целочисленного сложения по модулю или возведения в степень. Это усложнит как определение сообщения, так и его анализ;
♦ ключи: использовать в обоих направлениях разные ключи.
Тем не менее усиление должно быть сделано осторожно и постепенно: возможны только облегченные модификации, и они должны быть сделаны после тщательного анализа.
Одна из модификаций может быть выполнена с введением функции Е, которая зашифрована алгоритмом RSA с длиной п, открытой экспонентой е и секретной экспонентой d. Тогда протокол будет выглядеть следующим образом:
Я ^ Т: х, Т ^ Я: Е(х^к),
где х — вектор, в котором 0 < т < п битам выставляется значение «1» в различных произвольно выбранных позициях; х"к обозначает побитовое «И» векторов х и к, маскируя вектор к. Значения битов в векторе к не изменяются на тех позициях, где соответствующие биты в векторе х имеют значение «1», а
остальные бита вектора к устанавливаются на значение «0».
Количество операций, когда вычисляется функция Е, зависит от двоичного веса экспоненты, а также от бинарного веса открытого (нешифрованного) текста. При этом используется повторение метода возведения в произвольную степень путем многократного возведения в квадрат и умножения: Square-and-Multiply [6]. Второй шаг протокола подтверждает, что бинарный вес открытого текста — это максимум т. Кроме того, применяется низкий вес открытой экспоненты (например, 216+1).
Пассивная атака
Злоумышленник также может попробовать определить т бит вектора к, просматривая канал и взломав шифрование функции Е(х^к) весьма сложным и изнурительным поиском битов вектора к по координатам, обозначенным вектором х. Таким образом, для этого потребуется не менее 2т попыток. Объем работы злоумышленника может быть увеличен путем увеличением т, но это также увеличивает и объем работы Т. Помимо этого, чем больше прогонов протокола атакуется, тем больше информации о векторе к может быть получено. Активная атака
Злоумышленник меняет биты на двух позициях просматриваемых запросов х: бит со значением «1» меняется на «0», а бит со значением «0» меняется на «1». Далее происходит отслеживание: ответное сообщение не изменится, если вектор к имеет значение «0» на обеих позициях, и изменится на оставшиеся три пары значений(01, 10, 11). Очевидно, что возможность нулевой пары У4. В этом случае злоумышленник имеет небольшой шанс отсканировать биты ключа.
Усиление
Ключ к постоянно смещается со смещением 5, которое является подходящим отображением дополнительного секретного значения к' и действующего вектора х: 5 = д (к', х).
Заключение
В статье представлен усовершенствованный протокол аутентификации, который по всем параметрам подходит под жесткие условия и ограничения применения бюджетных ЯРГО-меток.
Отдельно подчеркивается, что при разработке протокола аутентификации особое внимание уделено используемому количеству математических расчетов. При этом недопустимо использование сложных вычислений, требующих значительных ресурсов от всех элементов ЯРШ-системы.
Описанный протокол основан исключительно на базовых элементах, которые поддерживаются любой бюджетной ЯРГО-меткой. Стойкость данного протокола рассмотрена по отношению к некоторым характерным видам атак, однако и он может быть скомпрометирован. Поэтому целью дальнейших исследований является расширение исследовательской базы в поисках компромисса между защищенностью ЯРГО-меток и их эксплуатационными качествами ■
Литература
ї. S. Sarma, S. Weis, and D. Engels. Radiofrequency identification: Security risks and challenges./ CryptoBytes, 2003. — V. e. — N. ї. — PP. 2 — д.
2. J. Hoffstein, J. Pipher, and J. Silverman. NTRU: A ring based, public key cryptosystem./ Third International Symposium Algorithmic Number Theory (ANTS III). — Portland, Orgeon, USA, 1998. — June 21 — 25. — PP. 267 — 288.
3. Jacques Stern and Julien P. Stern. Cryptanalysis of the OTM signature scheme from. FC'02./ 7th Financial Cryptography Conference. — Guadeloupe, French West Indies, January 2003. — PP. 138 — 148.
4. S.Weis, S. Sarma, R. Rivest, and D. Engels. Security and privacy aspects of low-cost radio frequency identification systems./ First International Conference on Security in Pervasive Computing. — Boppard, Germany, March 2003. — PP. 201 — 212.
5. Баричев С.Г. Основы, современной криптографии./ Баричев С.Г., Гончаров В.В., Серов Р. Е. — М.: Горячая Линия. — Телеком, 2002.
6. Bogusch R. L. Frequency Selective Propagation Effects on Spread-Spectrum Receiver Tracking./ Proceedings of the IEEE, July 1981. — V. 69. — N. 7. — PP. 787 — 796.
01_2012_SPT.indd 27
