Дистанционно-ограниченные протоколы
Дистанционно-ограниченные протоколы (англ. Distance-bounding protocols) — криптографический протоколы аутентификации, основанные на определении расстояния между взаимодействующими лицами. Впервые протокол был разработан Стефаном Брандсом (англ. Stefan Brands) и Дэвидом Чаумом (англ. David Chaum) в 1993 году[1].
Основная идея заключается в достоверности знаний доказывающего участника («Prover»), путем проверки подлинности этих знаний проверяющим участником («Verifier») и в необходимости, что доказывающий участник находится на расстоянии от проверяющего, не более определенного[2].
Данные протоколы позволяют предотвратить такие виды криптографических атак на RFID-системы, как: атака посредника; обман, выполненный мафией; обман, выполненный террористами; мошенничество с расстоянием[3].
Описание
Протокол Брандса-Чаума
Идея дистанционно-ограниченного протокола Брандсона-Чаума[1] основана на принципе «вызов-ответ». Пусть имеется два участника: - доказывающая сторона, которая доказывает свое знание секрета. - проверяющая сторона, которая проверяет подлинность этого секрета. Перед обменом сообщений, стороны и генерируют случайную последовательность -бит, и соответственно. Параметр является секретным параметром протокола. Данный протокол разбивается на две части:
- Сначала происходит мгновенных обменов битами - сторона после получение бита от отправляет ответный бит незамедлительно(«low-level distance-bounding exchange»).
- После этого отправляет сообщение с его секретным ключом стороне . Далее проверяющая сторона с помощью протокола идентификации проверяет достоверность секрета, а также вычислить расстояние(«upper-bound distance») между участниками , где - время между отправлением бита и получением .
Данный протокол предотвращает обман, выполненный мафией с вероятностью .[4]
Измененная версия протокола Брандса-Чаума
При реализации протокола Брандсона-Чаума в случае когда, сторона знает через какое время придет следующий бит, ответный бит стороне может отослать заранее, тем самым, совершив мошенничество с расстоянием между участниками[1].
Один из вариантов предотвращении данного обмана, заключается в случайном изменении времени отправления бита стороной .
Другой вариант - это измененная версия протокола Брандсона-Чаума, предотвращающая сразу два вида мошенничества. Как и в основной версии, обе стороны генерируют случайную последовательность -бит. При мгновенных обменов битами сторона отсылает бит стороне , в свою очередь, сторона отсылает бит стороне . После обмена, сторона должна отправить биты с секретным ключом стороне по защищенному протоколу. Сторона проверяет равенство и после этого с помощью протокола идентификации проверяет достоверность секрета.
Недостаток протокола в том, что он не обрабатывает ошибки, связанные с потерей бита при обмене.[5]
Протокол Ханке-Куна
В 2005 году Герхард Ханке(англ. Gerhard P. Hancke) и Маркус Кун(англ. Markus G. Kuhn)[2] предложили свою версию дистанционно-ограниченного протокола, широко применяемая в RFID-системах[6].
Пусть имеются две стороны: («RFID-reader») и («RFID-token»). Сторона генерирует случайным образом одноразовый ключ и отправляет стороне . Использовав псевдослучайную функцию (MAC или криптографическую хеш-функцию) обе стороны генерируют последовательность бит: ,где , a - секретный ключ, известный обеим сторонам.
После этого, начинается серия из мгновенных обменов битами между двумя сторонами: сгенерированное случайным образом стороной бит («отклик») отправляется стороне , при этом, если бит , то сторона отправляет в ответ бит , в противном случае, бит . Сторона же проверяет полученный бит на равенство со своим битом , а также для каждого вычисляет расстояние между и , и проверяет, чтобы , где , - время между обменом битами, - скорость света, - фиксированная величина.
Если сторону удовлетворяют условия, то обмен считается успешным.
Вероятность атаки выполненной мафией и обмана с расстоянием при использовании данного протокола равна .[4]
Также, на основе данного протокола, был создан протокол Ту-Пирамуту(англ. Tu-Piramuthu), который снижает вероятность успешной атаки до (для одного обмена битами).[7]
Недостатком протокола является потеря производительности при передаче подписанного сообщения, так как из-за возможности потери битов вследствие шума, сообщение нельзя послать через канал быстрого обмена битами.[5]
Протокол Мунильи-Пейнадо
Для уменьшения вероятности мошенничества, на основе протокола Ханке-Куна, в 2008 году Ортиз Мунилья(англ. Ortiz Munilla) и Пейнадо(англ. Peinado)[8] создали свою версию дистанционно-ограниченного протокола. Главной особенностью протокола является возможность обнаружения атаки вовремя обмена битов[9]. Обмен битами разбивается на две категории:
- Полный отклик («full challenge») - стандартный обмен битами.
- Пустой отклик («void challenge») - никакого обмена битами не происходит.
Стороны и заранее договариваются, на какой итерации произойдет пустой отклик. Если во время пустого отклика, сторона получает бит или , то заключает, что протокол ненадежный.
Перед началом медленной фазы стороны разделяют секрет , получают секретный ключ протокола и псевдослучайную функцию , выдающую случайную последовательность бит размера , и устанавливают временной порог одиночного обмена битами .
Далее, в медленной фазе, стороны и после генерации одноразовых ключей и , соответственно, обмениваются этими ключами, для вычисления . Получившаяся последовательность -бит разбивается на последовательность размера бит, и по бит каждый. Бит устанавливает, какой отклик вовремя быстрой фазы будет пустым или полным: если , или , то - пустой отклик, в противном случае - полный отклик, где биты .
После этого, в быстрой фазе, происходит аналогичный обмен битами, с помощью последовательностей и , как и в протоколе Ханке-Куна. В конечном итоге, если сторона считает протокол надежным, то она отправляет стороне .
Вероятность успешной криптоатаки равна .[8]
Недостатком протокола является сложная реализация трех (физических) состояний протокола.[10]
Протокол Хитоми
В 2010 году Педро Перис-Лопес (исп. Pedro Peris-Lopez), Хулио Эрнандес-Кастро (исп. Julio C. Hernandez-Castro) и др. на основе протокола «Швейцарского-ножа» создали протокол Хитоми[11]. Протокол обеспечивает аутентификацию между считывателем и передатчиком и гарантирует конфиденциальность[12].
Протокол разбивается на 3 части: две медленные фазы - подготовительная и финальная; и быстрая фаза - быстрый обмен битами между считывателем (он же ) и передатчиком (он же ).
В ходе подготовительной фазы выбирает случайное число и отравляет его стороне . После этого, генерирует 3 случайных числа , , и вычисляет временные ключи и , где - псевдослучайная функция, зависящая от секретного ключа , а и два постоянных параметра. Далее, постоянный секретный ключ разделяется на два регистра и . И в завершении фазы, отправляет стороне числа , , .
Дальше наступает фаза из быстрых обменов битами: на итерации, генерирует случайный бит и отравляет , зафиксировав, при этом, время . Сторона получает бит , который может не равняться биту , из-за ошибок в канале связи или стороннего вмешательства. В ответ, отправляет бит , и незамедлительно, после получение бита , который не обязан равняться , сторона фиксирует время и вычисляет время .
В финальной фазе, отправляет сообщение и стороне , где - уникальный идентификатор передатчика. В конечном итоге, разбивает ошибки на три типа:
- , но
- , но
Если суммарное количество ошибок удовлетворяет начальным условиям стороны , и, в случае необходимости аутентификации, стороне удовлетворяет число , полученное от , то протокол является надежным для обмена.
Вероятность криптоатаки выполненной мафией или мошенничества с расстоянием .[4]
Примечания
- ↑ 1 2 3 Brands, Chaum, 1994.
- ↑ 1 2 Hancke, Kuhn, 2005.
- ↑ Jannati, 2015.
- ↑ 1 2 3 Brelurut, Gerault, Lafourcade, 2016, с. 18.
- ↑ 1 2 Kim, Avoine, 2009.
- ↑ Chong Hee Kim et al, 2008.
- ↑ Baghernejad, Bagheri, Safkhan, 2014.
- ↑ 1 2 Munilla, Peinado, 2009, с. 293-295.
- ↑ Avoine, Bingol et al, с. 13-14.
- ↑ Chong Hee Kim et al, 2008, с. 4-5.
- ↑ Lopez, Castro, 2010, с. 19-22.
- ↑ Abyaneh, 2011.
Литература
- Brands S. A., Chaum D. Distance-Bounding Protocols (англ.): Extended abstract // Advances in Cryptology — EUROCRYPT ’93: Workshop on the Theory and Application of Cryptographic Techniques Lofthus, Norway, May 23–27, 1993 Proceedings / T. Helleseth — 1 — Berlin: Springer Berlin Heidelberg, 1994. — P. 344—359. — 465 p. — ISBN 978-3-540-57600-6 — doi:10.1007/3-540-48285-7_30
- International Journal of Critical Infrastructure Protection (англ.) — Elsevier BV. — Vol. 11. — P. 51—61. — ISSN 1874-5482; 2212-2087
- Progress in Cryptology — INDOCRYPT 2009 (англ.): 10th International Conference on Cryptology in India, New Delhi, India, December 13-16, 2009. Proceedings / B. Roy, N. Sendrier — Springer Berlin Heidelberg, 2009. — P. 293—295. — ISBN 978-3-642-10627-9
- Gerhard P. Hancke, Markus G. Kuhn. An RFID Distance Bounding Protocol // SECURECOMM '05 Proceedings of the First International Conference on Security and Privacy for Emerging Areas in Communications Networks. — IEEE Computer Society Washington, DC, USA, 2005. — С. 67–73. Архивировано 21 октября 2016 года.
- Chong Hee Kim, Gildas Avoine, Fran ̧cois Koeune, Fran ̧cois-Xavier Standaert, Olivier Pereira. The Swiss-Knife RFID Distance Bounding Protocol // Information Security and Cryptology – ICISC 2008. — Springer Berlin Heidelberg, 2008. — С. 98-115.
- Yu-Ju Tu, Selwyn Piramuthu. RFID Distance Bounding Protocols // In 1st International EURASIP Workshop in RFID Technology, Vienna, Austria. — 2007.
- Chong Hee Kim, Gildas Avoine. RFID distance bounding protocol with mixed challenges to prevent relay attacks // Universit ́e Catholique de Louvain Louvain-la-Neuve, B-1348, Belgium. — 2009.
- Fatemeh Baghernejad, Nasour Bagheri, Masoumeh Safkhan. Journal of Electrical and Computer Engineering Innovations // JECEI, Vol.2, No.2. — 2014.
- Pedro Peris-Lopez, Julio C. Hernandez-Castro, Christos Dimitrakakis, Aikaterini Mitrokotsa, Juan M. E. Tapiador. Shedding light on RFID distance bounding protocols and terrorist attacks // Computer Science, Cryptography and Security. — 2010.
- Agnes Brelurut, David Gerault, and Pascal Lafourcade. Survey of Distance Bounding Protocols and Threats // University Clermont Auvergne, LIMOS, France. — 2016.
- Gildas Avoine, Muhammed Ali Bingol, Suleyman Kardas, Cedric Lauradoux, Benjamin Martin. A Framework for Analyzing RFID Distance Bounding Protocols.
- Mohammad Reza Sohizadeh Abyaneh. Secutity Analysis of two Distance-Bounding Protocols // 7th International Workshop, RFIDSec 2011, Amherst, USA. — 2011.