Криптография в технологии RFID

From CryptoWiki
Jump to: navigation, search

RFID (Radio Frequency IDentification, радиочастотная идентификация) — способ автоматической идентификации объектов, в котором посредством радиосигналов считываются или записываются данные, хранящиеся в так называемых RFID-метках.

Одним из наиболее перспективных направлений в области вычислительных устройств малого размер являются RFID-системы. RFID – это метод автоматической идентификации объектов, в котором посредством радиосигналов считываются или записываются данные, хранящиеся в так называемых RFID-метках.

Любую RFID-систему можно разделить на две части: считывающее устройство и RFID-метка.

RFID-метка состоит из двух частей: антенна принемающая и передающая сигнал и интегральная микросхема для хранения и обработки информации.

По типу источника питания RFID-метки можно разделить на категории:

  • пассивные;
  • активные;
  • полупассивные.

В пассивных RFID-метках встроенный источник питания не используется. Электромагниный сигнал от считывателя индуцирует в антене электрический ток, обеспечивая достаточную мощность для функционирования кремниевого чипа, размещённого в метке, и передачи ответного сигнала.

В активных RFID-метках используется собственный источник питания, который не зависит от энергии считывателя, вследствие чего они имеют большие размеры, однако могут читаться на дальнем расстоянии, и могут быть оснащены дополнительной электроникой. К минусам данных меток можно отнести их высокую себестоимость и ограниченый срок работы батареи.

Полупассивные RFID-метки, используют технику считывания, такую же как и пассивные, но имеет собственную батарею для того, чтобы обеспечить электропитанием чип.

Contents

Использование RFID в СКУД

Системы доступа - одна из областей, в которых технология RFID получила огромную популярность. Это можно объяснить, двумя факторами: во-первых, простотой реализации самой технологии применительно к СКУД (достаточно использовать идентификаторы R/0 только для чтения с небольшой - в три или четыре байта - длиной кода); во-вторых, непревзойденным удобством по сравнению с любыми другими типами идентификаторов: контактных, с магнитной полосой, Wiegand.

Карточка Proximity может быть прочитана считывателем даже через бумажник или кошелек и одновременно способна играть роль пропуска с фотографией или бэйджа. Кроме того, по сравнению с доминировавшими до появления технологии RFID магнитными картами сегодняшние карты Proximity имеют более высокий уровень защищенности от копирования и подделки. Можно сказать, что магнитные карты "выжили" только там, где они реально обеспечивают преимущество - например, доступ в банкоматы в ночное время. Кстати, в этом плане самой консервативной страной оказалась Америка -именно там до сих пор сохранилось наибольшее количество старых систем на магнитных картах.

Проблемы безопасности

Основной проблемой в обеспечении безопасности RFID меток, является сохранение конфиденциальности информации записанно в метки. Это вызванно тем, что технология RFID позволяет считать информацию с расстояния нескольких метров. Всвязи с этим защитники гражданских свобод выражают свое недовольство в связи с распространением RFID меток, связывая это с возможностью вторжения в частную жизнь. Вызывает опасение возможность несанкционированного использования RFID чипов, когда злоумышленник, используя считывающее устройство, способен ситать идентификаторы жертвы и использовать полученную информацию против нас (взломать базу данных и получить информацию о перемещениях или совершенных покупках). Иначе говоря, технология RFID-меток помимо множества преимуществ имеет и ряд недостатков, непозволяющих повсеместному их внедрению.

Шифрование в пассивных радиометках представляет особый случай даже среди устройств с крайне ограниченными вычислительными ресурсами. Так как пассивные радиометки не имеют собственного источника питания, поэтому они активируются при помощи наведенного сигнала считывателем. Таким образом, шифрование в чипах должно быть наименее ресурсоемким - радиометка должна до затухания наведенного сигнала успеть зашифровать данные и передать свой ответ обратно считывателю.

Из-за серьезных ограничений на внутрение вычислительные ресурсы RFID-меток становится невозможно использовать существующие криптографические алгоритмы. Добиться этого позволяет применение LW-криптографии. Данный раздел криптографии ставит своей целью разработку алгоритмов для применения в устройствах, которые не способны обеспечить большинство существующих шифров достаточными ресурсами для функционирования.

Легковесная криптография

Алгоритмы облегченной криптографии разрабатываются специально для устройств с ограниченными вычислительными ресурсами. Критерии, по которым можно сказать, что данный алгоритм можно отнести к категории облегченной криптографии являются слишком расплывчатым и могут выбираться в каждом конкретном случае, зависящем от используемой аппаратной части. Условно принято считать, что алгоритм относится к легковесной криптографии, если его возможно реализовать на 1000 GE и менее. Среди основных требований к алгоритмам легковесной криптографии можно отнести ряд требований, а именно:

  • площадь кристалла, на котором алгоритм может быть аппаратно реализован (радиометки должны быть максимально дешевыми, а площадь кристалла должна напрямую влиять на их стоимость);
  • к вычислительной мощности микропроцессора или микроконтроллера, на котором выполняются вычисления;
  • к оперативной памяти устройства;
  • к энергонезависимой памяти устройства и т. п.

Основой любой облегченной-криптосистемы, используемой в RFID-чипах, являются симметричные алгоритмы. Так как их использование обусловлено меньшими затратами на аппаратные ресурсы, что является критичным в RFID технологиях, а так же большой скоростью работы по сравнению с асимметричными алгоритмами.

Разработка алгоритмов в области легковесной криптографии - есть поиск баланса между надежностью, производительностью и ценой. Например, для симметричных криптоалгоритмов соотношение надежность/стоимость определяется размером ключа, надежность/производительность - число раундов шифрования, а особенности аппаратной конструкции – производительность/цена. В основном любые две из трех целей возможно легко достигнуть, в то время как удовлетворение всех трех требований – крайне сложная задача. Например, если мы хотим обеспечить приемлемый уровень надежности и производительности - это будет зачастую связано с увеличение площади, что отразится на стоимости чипа при реализации облегченной криптосистемы. С другой стороны, при создании надежной и дешевой системы, возможно встретить проблемы с ограниченной производительностью.

Можно выделить три варианта решения:

  • использование проверенных стандартных алгоритмов;
  • модификация известных алгоритмов с целью повышения производительности и снижения логической сложности;
  • разработка новых алгоритмов.

Основной проблемой для первого подхода в том, что большинство криптоалгоритмов изначально разрабатываются для применения в системах без особых ограничений на аппаратные ресурсы для применения в программном обеспечении. Данный подход является вполне логичным, потому что большинство алгоритмов используется в информационных системах состоящих из ПЭВМ, а так же создание систем с высокой производительностью является повседневной задачей и не является дорогостоящим процессом. При создании RFID-чипов данные допущения невозможны, а следовательно невозможно применение -систем данные допущения не работают, а значит, применение в них стандартных криптографических алгоритмов невозможно.

Второй подход заключается во внесении изменений в шифр, для которого было проведено множество исследований по его надежности, особенно интересны шифры, разработанные для аппаратной реализации. Среди преимуществ данного подхода является тот факт, что криптографической стойкости модифицируемого алгоритма уже посвящено множество исследования, тем самым облегчая работу по определению криптографической стойкости полученного алгоритма. Однако, не стоит забывать, что исключение некоторых блоков из алгоритма или их упрощения может серьезно сказать на его стойкости.

Большинство же решений в области LW-криптографии основывается на третьем подходе. Ясно, что создание нового шифра без определенных изъянов стойкости представляет собой довольно сложную задачу, однако существующие алгоритмы показывают неплохие результаты и, возможно, в будущем найдут свое применение в криптосистемах, обеспечивающих безопасность RFID-устройств.

Одним из способов количественной оценки реализуемости алгоритма в системах с ограниченным количеством ресурсов, является способ подсчета количества GE элементов в реализации исследуемого алгоритма.

Алгоритм Размер ключа Размер блока Циклов/Блоков Скорость, kbps Занимаемая площадь, нм Кол-во, GE
KATAN32 80 32 256 12.5 0.13 812
KATAN64 80 64 255 25.1 0.13 1027
PRESENT-80 80 64 547 11.7 0.18 1075
PRESENT-128 128 64 559 11.45 0.18 1391
DES 56 64 144 44.4 0.18 2309
DESXL 184 64 144 44.4 0.18 2168
AES-128 128 128 160 44 0.13 3100
HIGHT 128 64 1 6400 0.35 3048
mCrypton 96 64 13 492.3 0.13 2681
SEA 96 96 93 103.23 0.13 3758

Стоит отметить шифр DESL. Он разработан на основе алгоритма DES (Data Encryption Standart), описанного в начале 70х годов прошлого века. Выбор данного шифра в качестве основы для новой криптосистемы не случаен. Преимущество DES перед остальными известными алгоритмами заключается, прежде всего, в том, что он был изначально разработан для применения в аппаратных устройствах. Также в силу того, что данных шифр имеет более чем тридцатилетнюю историю исследований, можно полагать, что его основные уязвимости найдены и устранены.

Следующим блочным LW-алгоритмом, удовлетворяющим всем требованиям RFID-систем, является PRESENT. В отличие от DESL данный шифр использует ключ длиной 80 бит, что значительно повышает его надежность. Разработчиками проведено исследование уязвимости данного алгоритма к линейному и разностному анализу, алгебраической атаке и некоторым другим видам атак. Показанная PRESENT стойкость является прекрасным результатом для шифра, созданного «с нуля». На данный момент не известно ни одной успешной атаки на полнораундовую версию алгоритма.

Также среди LW-шифров можно выделить семейства алгоритмов KATAN и KTANTAN. Каждое из семейств состоит из трех шифров, отличающихся количеством раундов шифрования: 32, 48 или 64. Все шифры имеют 80-битный ключ. Отличие KTANTAN от KATAN состоит в том, что первые требуют меньшее количество ресурсов благодаря тому, что ключ шифрования «вшит» в устройство и не может быть изменен. В описании шифров разработчиками показана стойкость к таким атакам как разностный и линейный анализы, атаке на связанных ключах и алгебраической атаке.

Однако, несмотря на все достоинства описанных выше блочных шифров, и для них существуют определенные угрозы, не позволяющие использовать их повсеместно. Как уже упоминалось, алгоритм DESL использует относительно короткий ключ, что делает его применение в устройствах, безопасность которых должна быть обеспечена на высоком уровне, невозможным. Алгоритмы PRESENT и KTANTAN несмотря на множество исследований, проведенных за последние несколько лет, могут нести в себе критические уязвимости, которые сведут на нет все текущие достоинства. Так же к классу LW-алгоритмов можно отнести Curupira, Hummingbird. Так же согласно проведенному исследованию Axel Poscmann, San Ling и Huaxiong Wang в ходе, которого было уменьшено уменьшено кол-во GE блоков необходимых для реализации алгоритма ГОСТ 28147-89, с 1100 до 650 GE, что позволит ему участвовать в конкурсе на алгоритм для стандарта в легковесной криптографии.

При создании облегченных алгоритмов шифрования во главу угла ставится стоимость реализации алгоритма в устройстве при адекватном уровне безопасности и должной производительности, т. е. важен компромисс между этими тремя параметрами, зависящий от конкретных требований к устройству. Задача авторов облегченного алгоритма шифрования - найти такой компромисс. Чем же облегченные алгоритмы шифрования отличаются от универсальных? Вот основные подходы, позволяющие криптографам создать нетребовательные к ресурсам и при этом относительно стойкие алгоритмы шифрования:

  • уменьшение (до разумных пределов) размеров основных параметров алгоритма - блока шифруемых данных, ключа шифрования и внутреннего состояния алгоритма;
  • попытки компенсации вынужденной потери стойкости алгоритмов за счет проектирования на основе хорошо изученных, широко применяемых операций, осуществляющих элементарные линейные/нелинейные преобразования. Такие операции можно представить как детали некоего конструктора, из которых криптографы «собирают» алгоритм, обладающий нужными качествами;
  • уменьшение размеров данных, используемых в конкретных операциях. Например, в алгоритмах шифрования часто применяются таблицы замен; чтобы хранить таблицу, заменяющую 8-битовые фрагменты данных, необходимо 256 байт, но такую таблицу можно составить из комбинации двух 4-битовых таблиц, требующих всего 32 байта в сумме (данный подход выбрали авторы описанного выше алгоритма Curupira);
  • использование «дешевых» с точки зрения ресурсоемкости, но эффективных преобразований, таких как управляемые битовые перестановки (в которых выбирается конкретный вариант перестановки в зависимости от значения управляющего бита; этим битом может быть, например, определенный бит ключа), сдвиговые регистры и пр.;
  • применение преобразований, в отношении которых возможны варианты реализации в зависимости от ресурсов конкретного шифратора (например, уменьшение требований к памяти, но в ущерб скорости шифрования, или наоборот).

Следует отметить, что облегченные алгоритмы шифрования создаются либо для систем с низким или средним уровнем безопасности, либо для систем, где будет учтена специфика используемых алгоритмов и будет найдено решение, позволяющее сделать реализацию алгоритма максимально безопасной для его уровня стойкости.

Глоссарий

Библиографический указатель (Bibliography)

Список литературы к разделу "Криптография в технологии RFID"

Глазырина Н.В.,

Юзбашев А.В.