Protocoale limitate la distanță

Protocoalele de limitare a distanței sunt protocoale de autentificare criptografică bazate pe determinarea distanței dintre entitățile care interacționează . Protocolul a fost dezvoltat pentru prima dată de Stefan Brands și David Chaum în 1993 [1] .

Ideea principală este fiabilitatea cunoștințelor participantului care demonstrează („Dovatorul”), prin verificarea autenticității acestor cunoștințe de către participantul care verifică („Verificatorul”) și necesitatea ca participantul care demonstrează să fie la distanță de verificator, nu mai mult de un anumit [2] .

Aceste protocoale fac posibilă prevenirea unor astfel de tipuri de atacuri criptografice asupra sistemelor RFID precum: atacul intermediarului ; o farsă realizată de mafie ; înșelăciune efectuată de teroriști; fraudă la distanță [3] .

Descriere

Protocolul Brandson-Chaum

Ideea protocolului Brandson-Chaum limitat la distanță [1] se bazează pe principiul „ apel-răspuns ” . Să fie doi participanți: - partea doveditoare, care dovedește cunoașterea secretului. - partea de bază care verifică autenticitatea acestui secret. Înainte de a schimba mesaje, părțile și generează o secvență aleatorie de -biți și respectiv. Parametrul este un parametru de protocol secret. Acest protocol este împărțit în două părți: $P$ $V$ $V$ $P$ $k$ $\alpha =(\alpha _{1},...,\alpha _{k})$ $\beta =(\beta _{1},...,\beta _{k})$ $k$

În primul rând, au loc schimburi instantanee de biți - partea, după ce a primit un bit de la , trimite imediat un bit de răspuns ("schimb de delimitare a distanței la nivel scăzut"). $k$ $P$ $\alpha_i$ $V$ $\beta _{i}$

Apoi trimite un mesaj cu cheia sa privată în lateral . Apoi, partea care se bazează , utilizând protocolul de identificare, verifică autenticitatea secretului și, de asemenea, calculează distanța („upper-bound distance”) dintre participanți , unde este timpul dintre trimiterea unui bit și primirea . $P$ $m=\alpha _{1}|\beta _{1}|...|\alpha _{k}|\beta _{k)$ $V$ $V$ $L=max_{k}(t_{i})$ $t_{i}$ $\alpha_i$ $\beta _{i}$

Acest protocol împiedică mafia să trișeze cu probabilitate . [patru] ${\frac {1}{2^{k))}$

Versiune modificată a protocolului Brandson-Chaum

La implementarea protocolului Brandson-Chaum, în cazul în care partea știe cât timp va veni următorul bit, bitul de răspuns poate fi trimis în prealabil părții, comitând astfel fraudă cu distanța dintre participanți [1] . $P$ $\alpha_i$ $\beta _{i}$ $V$

O modalitate de a preveni această înșelăciune este de a schimba accidental ora la care a fost trimis bitul de către parte . $V$

O altă opțiune este o versiune modificată a protocolului Brandson-Chaum care previne două tipuri de fraudă simultan. Ca și în versiunea principală, ambele părți generează o secvență aleatorie de biți. În schimburile instantanee de biți, partea laterală trimite un pic în lateral , la rândul său, partea laterală trimite un pic în lateral . După schimb, partea trebuie să trimită părții biții cu cheia secretă printr-un protocol securizat. Partea verifică egalitatea și apoi utilizează protocolul de autentificare pentru a valida secretul. $k$ $k$ $V$ $\alpha_i$ $P$ $P$ $m_{i}=\beta _{i}\oplus \alpha _{i)$ $V$ $P$ $\beta =(\beta _{1},...,\beta _{k})$ $V$ $V$ $\beta _{i}=m_{i}\oplus \alpha _{i},\forall i={\overline {1,k)}$

Dezavantajul protocolului este că nu gestionează erorile asociate cu pierderea unui bit în timpul schimbului. [5]

Protocolul Hanke-Kun

În 2005, Gerhard P. Hancke și Markus G. Kuhn [2] au propus propria versiune a protocolului de distanță limitată, care este utilizat pe scară largă în sistemele RFID [6] .

Să fie două părți: ("RFID-reader") și ("RFID-token"). Partidul generează aleatoriu o cheie unică și o trimite grupului . Folosind o funcție pseudo-aleatorie ( MAC sau funcție hash criptografică ) ambele părți generează o secvență de biți: , unde , a este o cheie secretă cunoscută de ambele părți. $V$ $P$ $V$ $N_v$ $P$ $h(k,N_{v})=R^{0}||R^{1)$ $R^{0}=(R_{1}^{0},...,R_{n}^{0}),R^{1}=(R_{1}^{1},. ..,R_{n}^{1})$ $k$

După aceea, începe o serie de schimburi instantanee de biți între cele două părți: un bit generat aleatoriu de către o parte („răspuns”) este trimis către partea , în timp ce dacă bit , atunci partea laterală trimite înapoi bit , în caz contrar, bit . Partea verifică egalitatea bitului primit cu bitul său și, de asemenea, pentru fiecare calculează distanța dintre și și verifică dacă , unde , este timpul dintre schimburile de biți, este viteza luminii, este o valoare fixă. $n$ $V$ $C_{i}$ $P$ $C_{i}=0$ $P$ $R_{i}^{0)$ $R_{i}^{1}$ $V$ $R_{i}^{C_{i}}$ $i$ $d'$ $P$ $V$ $d'<d$ $d'={\frac {c*t_{m}}{2}}$ $t_{m}$ $c$ $d$

Dacă partea îndeplinește condițiile, atunci schimbul este considerat reușit. $V$

Probabilitatea unui atac de către o mafie executată și o înșelăciune cu distanță atunci când se utilizează acest protocol este egală cu . [patru] $\left({\frac {3}{4}}\right)^{n}$

De asemenea, pe baza acestui protocol, a fost creat protocolul Tu-Piramuthu ( ing. Tu-Piramuthu ), care reduce probabilitatea unui atac de succes la (pentru schimbul de un bit). [7] ${\frac {9}{16}}$

Dezavantajul protocolului este pierderea performanței la transmiterea unui mesaj semnat, deoarece din cauza posibilității de pierdere a biților din cauza zgomotului, mesajul nu poate fi transmis pe un canal de schimb rapid de biți. [5]

Protocolul Munilla-Peinado

Pentru a reduce probabilitatea de fraudă, pe baza protocolului Hanke-Kun, în 2008 Ortiz Munilla și Peinado [ 8] și-au creat propria versiune a protocolului limitat la distanță . Caracteristica principală a protocolului este capacitatea de a detecta un atac în timpul schimbului de biți [9] . Schimbul de biți se împarte în două categorii:

O provocare completă este un schimb de biți standard.
Răspuns gol ("void challenge") - nu are loc nici un schimb de biți.

Părțile și convin în prealabil asupra iterației care va avea loc un răspuns gol. Dacă, în timpul unui răspuns gol, partea primește bitul sau , atunci concluzionează că protocolul nu este de încredere. $P$ $V$ $P$ $0$ $unu$ $P$

Înainte de începerea fazei lente, părțile împărtășesc un secret , obțin o cheie de protocol secretă și o funcție pseudo-aleatorie care produce o secvență aleatorie de biți de dimensiune și stabilesc un prag de timp pentru un singur schimb de biți . $X$ $n$ $H$ $4n$ $\Delta t_{max}$

În plus, în faza lentă, părțile și după generarea cheilor unice și , respectiv, schimbă aceste chei pentru a calcula . Secvența rezultată de -biți este împărțită într-o secvență de dimensiuni de biți și câte un bit fiecare. Bitul stabilește ce răspuns în timpul fazei rapide va fi gol sau plin: dacă , sau , atunci - un răspuns gol, în caz contrar - un răspuns complet, unde . $P$ $V$ $N_p$ $N_v$ $H^{4n}=H(x,N_{p},N_{v})$ $4n$ $R^{0}=(H_{1},...,H_{2n})$ $2n$ $R^{1}=(H_{2n+1},...,H_{3n})$ $R^{2}=(H_{3n+1},...,H_{4n})$ $n$ $T_{i}$ $H_{2i-1}H_{2i}=00$ $01$ $zece$ $T_{i}=0$ $T_{i}=1$ $H_{2i-1}H_{2i}\subset R_{0)$

După aceea, în faza rapidă, are loc un schimb similar de biți, folosind secvențele și , ca în protocolul Hanke-Kun. În cele din urmă, dacă partea consideră că protocolul este de încredere, atunci trimite . $R_{1}$ $R_{2}$ $P$ $H(x,R^{1},R^{2})$ $V$

Probabilitatea unui atac cripto de succes este de . [opt] $p=\left({\frac {5}{8}}\right)^{n}$

Dezavantajul protocolului este implementarea complexă a celor trei stări (fizice) ale protocolului. [zece]

Protocolul Hitomi

În 2010, Pedro Peris-Lopez (în spaniolă: Pedro Peris-Lopez ), Julio Hernandez-Castro (în spaniolă: Julio C. Hernandez-Castro ) și alții au creat protocolul Hitomi bazat pe protocolul Swiss Knife [11] . Protocolul asigură autentificarea între cititor și transmițător și garantează confidențialitatea [12] .

Protocolul este împărțit în 3 părți: două faze lente - pregătitoare și finală; și faza rapidă - un schimb rapid de biți între cititor (aka ) și transmițător (aka ). $R$ $V$ $T$ $P$

În timpul fazei pregătitoare , alegeți un număr aleatoriu și otrăviți-l în lateral . După aceea, generează 3 numere aleatoare , , și calculează chei temporare și , unde este o funcție pseudo-aleatorie în funcție de cheia secretă , și și doi parametri constanți. În plus, cheia secretă permanentă este împărțită în două registre și . Și la sfârșitul fazei, trimite numerele , , în lateral . $R$ $N_{R}$ $T$ $T$ $N_{T_{1)}$ $N_{T_{2)}$ $N_{T_{3)}$ $k_{1}=F_{x}(N_{R},N_{T_{1)),W)$ $k_{2}=F_{x}(N_{T_{2)),N_{T_{3)),W')$ $F_{x}(\bullet )$ $X$ $W$ $W'$ $X$ $R^{0}=k_{1}$ $R^{1}=k_{2}\oplus x$ $T$ $R$ $N_{T_{1)}$ $N_{T_{2)}$ $N_{T_{3)}$

Apoi urmează faza schimburilor rapide de biți: la iterație, generează un bit aleatoriu și otrăvește , în timp ce fixează timpul . Partea primește bit , care poate să nu fie egal cu bit , din cauza erorilor din canalul de comunicație sau a interferenței terțelor părți. Ca răspuns, trimite bit , iar imediat, după primirea bit , care nu trebuie să fie egal cu , partea fixează ora și calculează ora . $n$ $i$ $R$ $c_{i}$ $T$ $t_{1}$ $T$ $c_{i}'$ $c_{i}$ $T$ $r_{i}=R_{i}^{c_{i)}$ $r_{i}'$ $r_{i}$ $R$ $t_{2}$ $\Delta t_{i}=t_{2}-t_{1)$

În faza finală, trimite un mesaj și în lateral , unde este identificatorul unic al emițătorului. În cele din urmă, descompune erorile în trei tipuri: $T$ $m=(c_{1}',...,c_{n}',r_{1}',...,r_{n}')$ $T_{B}=F_{x}(m,ID,N_{R},N_{T_{1)),N_{T_{2)),N_{T_{3))))$ $R$ $ID$ $R$

$c_{i}\neq c_{i}'$
$c_{i}=c_{i}'$ , dar $r_{i}\neq R_{i}^{c_{i)}$
$c_{i}=c_{i}'$ , dar $\Delta t_{i}>t_{max)$

Dacă numărul total de erori satisface condițiile inițiale ale părții , și, dacă este necesară autentificarea, partea satisface numărul primit de la , atunci protocolul este de încredere pentru schimb. $R$ $T$ $T_{A}=F_{x}(N_{R},k_{2})$ $R$

Probabilitatea unui criptoatac efectuat de o mafie sau fraudă cu distanță . [patru] $p=\left({\frac {1}{2}}\right)^{n}$

Note

↑ 1 2 3 Brands, Chaum, 1994 .
↑ 12 Hancke , Kuhn, 2005 .
↑ Jannati, 2015 .
↑ 1 2 3 Brelurut, Gerault, Lafourcade, 2016 , p. optsprezece.
↑ 1 2 Kim, Avoine, 2009 .
↑ Chong Hee Kim și colab., 2008 .
↑ Baghernejad, Bagheri, Safkhan, 2014 .
↑ 1 2 Munilla, Peinado, 2009 , p. 293-295.
↑ Avoine, Bingol și colab ., p. 13-14.
↑ Chong Hee Kim și colab., 2008 , p. 4-5.
↑ Lopez, Castro, 2010 , p. 19-22.
↑ Abyaneh, 2011 .

Literatură

Brands S. A. , Chaum D. Distance-Bounding Protocols (English) : Extended abstract // Advances in Cryptology - EUROCRYPT '93 : Workshop on the Theory and Application of Cryptographic Techniques Lofthus, Norway, May 23–27, 1993 Proceedings / T. Helleseth - 1 - Berlin : Springer Berlin Heidelberg , 1994. - P. 344-359. — 465 p. — ISBN 978-3-540-57600-6 — doi:10.1007/3-540-48285-7_30
Jurnalul Internațional de Protecție a Infrastructurii Critice (engleză) - Elsevier BV . — Vol. 11. - P. 51-61. — ISSN 1874-5482 ; 2212-2087
Progress in Cryptology - INDOCRYPT 2009 (engleză) : 10th International Conference on Cryptology in India, New Delhi, India, 13-16 decembrie 2009. Proceedings / B. Roy , N. Sendrier - Springer Berlin Heidelberg , 2009. - P. 293 -295. — ISBN 978-3-642-10627-9
Gerhard P. Hancke, Markus G. Kuhn. Un protocol de limitare a distanței RFID // SECURECOMM '05 Proceedings of the First International Conference on Security and Privacy for Emerging Areas in Communication Networks. — IEEE Computer Society Washington, DC, SUA, 2005. — pp. 67–73 . Arhivat din original pe 21 octombrie 2016.
Chong Hee Kim, Gildas Avoine, Fran ̧cois Koeune, Fran ̧cois-Xavier Standaert, Olivier Pereira. The Swiss-Knife RFID Distance Bounding Protocol // Information Security and Cryptology - ICISC 2008. - Springer Berlin Heidelberg, 2008. - P. 98-115 .
Yu-Ju Tu, Selwyn Piramuthu. Protocoale de limitare a distanței RFID // În primul atelier internațional EURASIP în tehnologie RFID, Viena, Austria. — 2007.
Chong Hee Kim, Gildas Avoine. Protocol de delimitare a distanței RFID cu provocări mixte pentru a preveni atacurile releu // Universit ́e Catholique de Louvain Louvain-la-Neuve, B-1348, Belgia. — 2009.
Fatemeh Baghernejad, Nasour Bagheri, Masoumeh Safkhan. Journal of Electrical and Computer Engineering Innovations // JECEI, Vol.2, Nr.2. — 2014.
Pedro Peris-Lopez, Julio C. Hernandez-Castro, Christos Dimitrakakis, Aikaterini Mitrokotsa, Juan ME Tapiador. Faceți lumină asupra protocoalelor de delimitare a distanței RFID și asupra atacurilor teroriste // Informatică, criptografie și securitate. — 2010.
Agnes Brelurut, David Gerault și Pascal Lafourcade. Survey of Distance Bounding Protocols and Threats // Universitatea Clermont Auvergne, LIMOS, Franța. — 2016.
Gildas Avoine, Muhammed Ali Bingol, Suleyman Kardas, Cedric Lauradoux, Benjamin Martin. Un cadru pentru analizarea protocoalelor de limitare a distanței RFID .
Mohammad Reza Sohizadeh Abyaneh. Analiza de securitate a două protocoale de limitare a distanței // Al 7-lea atelier internațional, RFIDSec 2011, Amherst, SUA. — 2011.