SRG

DEU CENG Security Research Group

+90(232) 301 74 10

Tınaztepe Kampusu

Buca 35390 Izmir, Türkiye


215E225 TÜBİTAK 3001 PROJESİ SONUÇ RAPORU
Kimlik Doğrulama Protokolleri İle İlgili Çalışmalar


Juels, grup kimlik doğrulama protokolünü ilk gündeme getiren kişi olmuştur (Juels, 2004). Juels’in Yoking doğrulaması olarak adlandırdığı protokolünde, bir kimlik doğrulama sürecinde aynı anda iki etiket tanımlanmaktır. RFID sistemi ataklarına karşı dirençli olmamasına rağmen Juels’in protokolü grup kimlik doğrulama protokolleri için bir başlangıç noktası olmuştur. Bu çalışmasında öncelikle pasif RFID etiketleri hakkında genel bilgiler verilmiş, ardından kullanım alanları konusunda kısa bir bilgilendirme yapılmıştır (Juels, 2004). Daha sonrasında, düşük maliyetli RFID etiketlerde yapılacak küçük bir kapasite arttırımı ile gizlilik ve yetkilendirme konusunda kabul edilebilir bir gelişme sağlandıklarını anlatmaktadır. Rumuz kullanma kavramsal olarak RFID etiketlerindeki kimlik yetkilendirmelerinde basit bir yaklaşımdır. Bu yaklaşımda RFID etiketi üzerinde, yetkili doğrulayıcı tarafından da bilinen rastgele belirlenmiş bir tanımlayıcı veya rumuz listesini kayıtlı tutmaktadır. Etikete yapılan her sorguda, etiket bir sonraki rumuzu yaymaktadır. Listedeki son rumuza geldiğinde ise tekrar listenin başına dönmektedir. Rumuz kullanmak kolay ve pratik bir yöntemdir fakat eksiklikleri vardır. Küçük bellek kapasitesine sahip RFID etiketleri ancak küçük bir rumuz listesini barındırabilmektedir ve tabi ki bu da limitli gizlilik demektir. Bu çalışmada önerilen yeni yapıda, yetkili bir doğrulayıcı tarafından rumuz listesi güncellenmekte ve bu şekilde güvenliğin arttırılması sağlanmaktadır.
Son yıllarda pek çok grup kimlik doğrulama protokolü önerilmiştir. Bu protokollerde amaç, hafif (düşük kaynak ihtiyacı olan) yöntemlere dayanan güvenli bir protokol ortaya koymaktır (Liu vd., 2013)(Yu, Hou ve Chiang, 2012). Örneğin, Sundaresan ve arkadaşları EPC S1N2 standardına uygun hafif bir protokol geliştirmeye çalışmışlardır (Sundaresan vd., 2014). 128 bitlik çıktı üreten bir sözde rastsal sayı üreteci kullanması nedeniyle protokol, kaynak maliyeti ve uygulama hızı bakımından güçlü bir protokoldür. Bu SRSÜ fonksiyonu hafif olmasına ve 1435 kapıya (Lee ve Hong, 2006) ihtiyaç duymasına rağmen, Sundaresan ve arkadaşlarının bu protokolü, senkronizasyon atağına karşı koyamadığından dolayı birçok uygulamada kullanılamamıştır. Buna ek olarak, bu protokolün işlem süresi, kimlik doğrulama işlemindeki etiket sayısına bağlıdır. Okuyucu, iletişimi başlatmak için bir başlangıç etiketi seçer, isteği ona gönderir ve bu etiketin yanıtlarını alır. Daha sonra ikinci bir mesaj döngüsü hazırlar (ilk etiketin yanıtları ve bazı yeni mesajlar) ve onları ikinci etikete gönderir. Okuyucu, son etiket doğrulanana kadar bu işlemleri tekrarlar. Böylece, sisteme yeni bir etiket eklendiğinde, kimlik doğrulama işlemine en az iki ileti eklenir. Bu nedenle, bu iletişim kuralı ölçeklenebilirlik ölçütlerini karşılayamamıştır.
Bir başka araştırmacı grubu, hash fonksiyonları, eliptik eğri kriptografi (elliptic curve cryptography- ECC), akış ve blok şifreleme gibi tek yönlü veya çift yönlü şifreleme yöntemlerine dayanan uygulamalarla güvenlik seviyesini artırmaya çalışmıştır (Burmester, Medeiros ve Motta, 2008; Batina vd., 2012; Sundaresan, Doss ve Zhou, 2013; Ko vd., 2014). Örneğin, Ko ve arkadaşları, hasta ilaç yönetimi güvenliğini artırmak için ECC tabanlı grup kimlik doğrulama yöntemi önermiştir (Ko vd., 2014). ECC, asimetrik bir şifreleme yöntemidir ve uygun bir güvenlik seviyesine sahiptir ancak bir etiket üzerinde yaklaşık 10.000 kapı gerektirir ve kaynak kısıtları olan düşük güçlü cihazlar için uygun değildir (Batina vd., 2006). Dahası, Ko ve arkadaşlarının protokolünde okuyucu etiketleri sıralı olarak seçer, onlara birbiri ardına mesajlar gönderir ve bu nedenle ölçeklenebilir bir protokol değildir. Yuan ve Liu, bu protokoldeki ölçeklenebilirlik problemini çözmeye çalışmışlar ve mesajı okuyucudan tüm etiketlere gönderilecek şekilde düzenleme yapmışlardır. Bu şekilde, hafif ve ölçeklenebilir bir yapı önermişlerdir (Yuan ve Liu, 2016). Etiketler, yanıtları okuyucudan gelen mesajlara yanıt hazırlayıp geri göndermektedirler. Okuyucu, yeni mesajı tekrar yayınlamakta ve işlem için etiketlerin yanıtlarını toplamaktadır. Yazarlar, pasif etiketlere uygun bir protokol oluşturmak için SRSÜ-128’i (Lee ve Hong, 2006) kullanmışlardır. Yuan ve Liu protokolü, kabul edilebilir bir güvenlik seviyesi sağlayamaz ve protokol bir oturumunda mesaj bütünlüğünden ödün verme saldırısına (integrity compromising attack) karşı savunmasızdır. Buna ek olarak, son yıllarda pek çok başka kimlik doğrulama protokolü sunulmuştur, ancak ağırlık ve ölçeklenebilirlik sorununa aynı anda çözüm üretmediklerinden başarısız olmuşlardır. Projemiz kapsamında, Yuan ve Liu girişimleri (Yuan ve Liu, 2016) sonrasında ölçeklenebilir, hafif grup kimlik doğrulama protokolü sunulmuştur. Güvenli bir protokol sağlamak için, uluslararası düzeyde kabul görmüş olan AES şifreleme yöntemi kullanılmıştır.
Bir RFID sisteminin çekirdeği, iletişim protokolüdür. Yakın zamanda, birçok düşük kaynak gereksinimli yeni kimlik doğrulama protokolü ile mevcut protokollerin güvenliğinin arttırıldığı protokoller önerilmiştir (Peris-Lopez vd., 2011, 2006a, 2006b; T Li ve Wang, 2007; Chien, 2007; Eghdamian ve Samsudin, 2011; Bassil vd., 2012; Bezzateev ve Kovalev, 2012; Tian, Chen ve Li, 2012; Gurubani, Thakkar ve Patel, 2012; Lee, 2012; Jeon ve Yoon, 2013; Liu vd., 2013). Bu önerilere bakıldığında, Peris-Lopez ve arkadaşları (Peris-Lopez vd., 2006b), VE, VEYA ve + gibi basit mantıksal operatörleri kullanarak RFID sistemleri için uygun bir kimlik doğrulama protokolü (M2AP) önermişlerdir. Buna rağmen bu protokol incelendiğinde, (Bárász vd., 2007)’de bahsedildiği gibi paylaşılan gizli bilgiler ve etiketin kimliği tespit edilebilmektedir. Bu protokolün güvenli olmadığı ve hattın dinlenmesi saldırısına karşı savunmasız olduğu fark edilebilir, çünkü paylaşılan sırlar ve etiket kimliği, (Bárász vd., 2007)'de açıklandığı gibi kolaylıkla türetilebilir. Öte yandan, aynı yazarlar, veri bütünlüğünü ve etiket anonimliğini gerçekleştirmek için takma ad yazma tekniğini ve bitwise XOR işlemini kullanan LMAP olarak adlandırılan düşük maliyetli RFID etiketleri için bir başka kısıtlı kaynak ihtiyaçlarını karşılayan protokol önermişlerdir (Peris-Lopez vd., 2006a). Bu protokol, saldırganın kimlik doğrulama protokolünün tüm turlarını dinleyerek gizli parametreleri ele geçirebildiği tam-açıklama (full-disclosure) ve senkronizasyonu bozma saldırılarına karşı savunmasız olarak bildirilmiştir (Ticyan Li ve Wang, 2007). Li ve Wang LMAP'i geliştirmişler ve daha sağlam ve güvenli bir versiyon olarak öne sürülen SLMAP'i önermişlerdir (T Li ve Wang, 2007). Daha sonra, Li ve arkadaşları SLMAP'i güvensiz ve senkronizasyon bozma saldırısına karşı savunmasız hale getirilebileceği bildirilen (Erguler vd., 2012) yeni bir SLMAP* sürümüne yenilemiştir (Li, Deng ve Wang, 2008). Gurubani ve arkadaşları (Gurubani, Thakkar ve Patel, 2012) LMAP protokolünün bir uzantısı olan ve LMAP protokolü ailesinden olan gelişmiş bir LMAP+ sürümü tasarlamışlardır. Geliştirilmiş LMAP+’nın izleme saldırısına karşı etkili olduğu iddia edilmiştir. Bununla birlikte, Avoine ve Carpent (Avoine ve Carpent, 2012), değiş tokuş edilen mesajların en düşük önemli bitlerinin (LSB) korunmasının zayıflığından istifade ederek, bir dinleyicinin etiketi kolayca izleyebileceğini belirtmiştir.
Öte yandan, Chien, M2AP protokolüne bir alternatif olarak (Peris-Lopez vd., 2006b)'da yayınlanan, SASI (Güçlü Kimlik Doğrulama ve Güçlü Doğruluk) adında yeni bir ultralight kimlik doğrulama protokolü önermiştir (Chien, 2007). SASI protokolünün ilginç bir özelliği, hizmet reddi (DoS) saldırısından kaçınmak için rastgele değişkenlerin ve paylaşılan gizli anahtarların her seferinde güncellenmesidir. SASI protokolü, kısıtlı kaynak metodolojisi anlayışının en iyi temsilcisidir. Literatürde bu protokole karşı çeşitli kriptografik analizler yapılmıştır (Sun, Ting ve Wang, 2011)(Phan, 2009)(D’Arco ve Santis, 2011). Bu protokole karşı en önemli saldırı, D'Arco ve Santis (D’Arco ve Santis, 2011) tarafından önerilmiştir. Burada, SASI protokolünün, saldırganın iki öğe arasındaki senkronizasyonu bozarak etiket kimliğini hesaplayabildiği ve tüm paylaşılan gizli anahtarları alabildiği söylenerek senkronizasyon bozma saldırısı, kimlik açıklama saldırısı ve tam kimlik bulma saldırısına karşı savunmasız olduğu belirtilmiştir.
Tian, Chen ve Li (Tian, Chen ve Li, 2012), permütasyon işlemine (RAPP) dayanan yeni bir ultralight RFID kimlik doğrulama protokolü önermişlerdir. Bu yazarlar protokolü, alınıp gönderilen mesajların bitlerinin düzenini değiştirmek için bir permütasyon işlemi ekleyerek geliştirmişlerdir. Shao-hui ve arkadaşları (Shao-hui vd., 2014), permutasyon ve sola döndürme işlemlerinin istismar edilmesi ve aktif bir saldırı uygulayarak okuyucu ile etiket arasındaki tüm paylaşılan gizli bilginin ortaya çıkartabileceğini göstermişlerdir. Öte yandan, Ahmadian ve arkadaşları (Ahmadian, Salmasizadeh ve Aref, 2013) ve Bagheri ve arkadaşları (Bagheri vd., 2014), (Phan, 2009)'de, (Chien, 2007) protokolüne benzer bir saldırı uygulayarak RAPP'nin senkronizasyon bozma saldırılara karşı savunmasız olduğunu göstermişlerdir. Ayrıca literatürde, Eghdam ve Samsudin tarafından önerilen ve küçük blokların işlemlerine dayanan çok düşük kaynak ihtiyacına sahip bir protokolü önerilmektedir (Eghdamian ve Samsudin, 2011). Bu protokolün öncekilerden daha güvenli olduğu iddia edilmektedir. Yine de, Avoine ve Carpent (Avoine ve Carpent, 2012), bu protokolün güvenlik hedeflerinde başarısız olduğunu, gizli açıklama saldırısına karşı savunmasız olduğunu göstermişlerdir. Dahası, Avoine ve Carpet (Avoine ve Carpent, 2012), RPAP (Liu vd., 2013), PUMAP (Bassil vd., 2012), DIDRFID ve SIDFRID (Lee, 2012) gibi protokollere benzer saldırıları gerçekleştirmiştir.
Pendl ve arkadaşları yaptıkları çalışmada (Pendl, Pelnar ve Hutter, 2011), WISP üzerinde eliptik eğri şifrelemesinin (ECC) bir uygulamasını geliştirmişlerdir. Platformun düşük kaynak gereksinimleri çeşitli kod boyutu ve bellek optimizasyonları ile karşılanmıştır. Ayrıca, WISP üzerinde farklı ECC tabanlı protokollerin uygulanmasına izin veren bir şifreleme çerçevesi sunulmuştur. Pasif olarak çalışan UHF RFID etiketinin düşük kaynak gereksinimlerini karşılamak için, aritmetik, algoritmik ve uygulama seviyesinde çeşitli optimizasyonlar yapılmıştır. Uygulamada, Montgomery güç merdiveni kullanan bir skaler çarpmanın, WISP4,1DL etiketinde 8,3 saniye içinde yapılabileceği gösterilmiştir. Aynı çalışmada işlemin, MSP430F233'de yaklaşık 1,6 saniye içinde gerçekleşebileceği de gösterilmiştir.

Home