Дистанционно-ограниченные протоколы

Дистанционно-ограниченные протоколы (англ. Distance-bounding protocols) — криптографический протоколы аутентификации, основанные на определении расстояния между взаимодействующими лицами. Впервые протокол был разработан Стефаном Брандсом (англ. Stefan Brands) и Дейвидом Чаумом (англ. David Chaum) в 1993 году^[1].

Основная идея заключается в достоверности знаний доказывающего участника («Prover»), путем проверки подлинности этих знаний проверяющим участником («Verifier») и в необходимости, что доказывающий участник находится на расстоянии от проверяющего, не более определенного^[2].

Данные протоколы позволяют предотвратить такие виды криптографических атак на RFID-системы, как: атака посредника; обман, выполненный мафией; обман, выполненный террористами; мошенничество с расстоянием^[3].

ОписаниеПравить

Протокол Брандсона-ЧаумаПравить

Идея дистанционно-ограниченного протокола Брандсона-Чаума^[1] основана на принципе «вызов-ответ». Пусть имеется два участника: $\text{[math]}$ $\text{[math]}$ $P$ - доказывающая сторона, которая доказывает свое знание секрета. $\text{[math]}$ $\text{[math]}$ $V$ - проверяющая сторона, которая проверяет подлинность этого секрета. Перед обменом сообщений, стороны $\text{[math]}$ $\text{[math]}$ $V$ и $\text{[math]}$ $\text{[math]}$ $P$ генерируют случайную последовательность $\text{[math]}$ $\text{[math]}$ $k$ -бит, $\text{[math]}$ $\text{[math]}$ $\alpha =(\alpha _{1},...,\alpha _{k})$ и $\text{[math]}$ $\text{[math]}$ $\beta =(\beta _{1},...,\beta _{k})$ соответственно. Параметр $\text{[math]}$ $\text{[math]}$ $k$ является секретным параметром протокола. Данный протокол разбивается на две части:

Сначала происходит $\text{[math]}$ $\text{[math]}$ $k$ мгновенных обменов битами - сторона $\text{[math]}$ $\text{[math]}$ $P$ после получение бита $\text{[math]}$ $\text{[math]}$ $\alpha _{i}$ от $\text{[math]}$ $\text{[math]}$ $V$ отправляет ответный бит $\text{[math]}$ $\text{[math]}$ $\beta _{i}$ незамедлительно(«low-level distance-bounding exchange»).

После этого $\text{[math]}$ $\text{[math]}$ $P$ отправляет сообщение $\text{[math]}$ $\text{[math]}$ $m=\alpha _{1}|\beta _{1}|...|\alpha _{k}|\beta _{k}$ с его секретным ключом стороне $\text{[math]}$ $\text{[math]}$ $V$ . Далее проверяющая сторона $\text{[math]}$ $\text{[math]}$ $V$ с помощью протокола идентификации проверяет достоверность секрета, а также вычислить расстояние(«upper-bound distance») между участниками $\text{[math]}$ $\text{[math]}$ $L=max_{k}(t_{i})$ , где $\text{[math]}$ $\text{[math]}$ $t_{i}$ - время между отправлением $\text{[math]}$ $\text{[math]}$ $\alpha _{i}$ бита и получением $\text{[math]}$ $\text{[math]}$ $\beta _{i}$ .

Данный протокол предотвращает обман, выполненный мафией с вероятностью $\text{[math]}$ $\text{[math]}$ ${\frac {1}{2^{k}}}$ .^[4]

Измененная версия протокола Брандсона-ЧаумаПравить

При реализации протокола Брандсона-Чаума в случае когда, сторона $\text{[math]}$ $\text{[math]}$ $P$ знает через какое время придет следующий $\text{[math]}$ $\text{[math]}$ $\alpha _{i}$ бит, ответный $\text{[math]}$ $\text{[math]}$ $\beta _{i}$ бит стороне $\text{[math]}$ $\text{[math]}$ $V$ может отослать заранее, тем самым, совершив мошенничество с расстоянием между участниками^[1].

Один из вариантов предотвращении данного обмана, заключается в случайном изменении времени отправления бита стороной $\text{[math]}$ $\text{[math]}$ $V$ .

Другой вариант - это измененная версия протокола Брандсона-Чаума, предотвращающая сразу два вида мошенничества. Как и в основной версии, обе стороны генерируют случайную последовательность $\text{[math]}$ $\text{[math]}$ $k$ -бит. При $\text{[math]}$ $\text{[math]}$ $k$ мгновенных обменов битами сторона $\text{[math]}$ $\text{[math]}$ $V$ отсылает $\text{[math]}$ $\text{[math]}$ $\alpha _{i}$ бит стороне $\text{[math]}$ $\text{[math]}$ $P$ , в свою очередь, сторона $\text{[math]}$ $\text{[math]}$ $P$ отсылает бит $\text{[math]}$ $\text{[math]}$ $m_{i}=\beta _{i}\oplus \alpha _{i}$ стороне $\text{[math]}$ $\text{[math]}$ $V$ . После обмена, сторона $\text{[math]}$ $\text{[math]}$ $P$ должна отправить биты $\text{[math]}$ $\text{[math]}$ $\beta =(\beta _{1},...,\beta _{k})$ с секретным ключом стороне $\text{[math]}$ $\text{[math]}$ $V$ по защищенному протоколу. Сторона $\text{[math]}$ $\text{[math]}$ $V$ проверяет равенство $\text{[math]}$ $\text{[math]}$ $\beta _{i}=m_{i}\oplus \alpha _{i},\forall i={\overline {1,k}}$ и после этого с помощью протокола идентификации проверяет достоверность секрета.

Недостаток протокола в том, что он не обрабатывает ошибки, связанные с потерей бита при обмене.^[5]

Протокол Ханке-КунаПравить

В 2005 году Герхард Ханке(англ. Gerhard P. Hancke) и Маркус Кун(англ. Markus G. Kuhn)^[2] предложили свою версию дистанционно-ограниченного протокола, широко применяемая в RFID-системах^[6].

Пусть имеются две стороны: $\text{[math]}$ $\text{[math]}$ $V$ («RFID-reader») и $\text{[math]}$ $\text{[math]}$ $P$ («RFID-token»). Сторона $\text{[math]}$ $\text{[math]}$ $V$ генерирует случайным образом одноразовый ключ $\text{[math]}$ $\text{[math]}$ $N_{v}$ и отправляет стороне $\text{[math]}$ $\text{[math]}$ $P$ . Использовав псевдослучайную функцию(MAC или криптографическую хеш-функцию) обе стороны генерируют последовательность бит: $\text{[math]}$ $\text{[math]}$ $h(k,N_{v})=R^{0}||R^{1}$ ,где $\text{[math]}$ $\text{[math]}$ $R^{0}=(R_{1}^{0},...,R_{n}^{0}),R^{1}=(R_{1}^{1},...,R_{n}^{1})$ , a $\text{[math]}$ $\text{[math]}$ $k$ - секретный ключ, известный обеим сторонам.

После этого, начинается серия из $\text{[math]}$ $\text{[math]}$ $n$ мгновенных обменов битами между двумя сторонами: сгенерированное случайным образом стороной $\text{[math]}$ $\text{[math]}$ $V$ бит $\text{[math]}$ $\text{[math]}$ $C_{i}$ («отклик») отправляется стороне $\text{[math]}$ $\text{[math]}$ $P$ , при этом, если бит $\text{[math]}$ $\text{[math]}$ $C_{i}=0$ , то сторона $\text{[math]}$ $\text{[math]}$ $P$ отправляет в ответ бит $\text{[math]}$ $\text{[math]}$ $R_{i}^{0}$ , в противном случае, бит $\text{[math]}$ $\text{[math]}$ $R_{i}^{1}$ . Сторона $\text{[math]}$ $\text{[math]}$ $V$ же проверяет полученный бит на равенство со своим битом $\text{[math]}$ $\text{[math]}$ $R_{i}^{C_{i}}$ , а также для каждого $\text{[math]}$ $\text{[math]}$ $i$ вычисляет расстояние $\text{[math]}$ $\text{[math]}$ $d^{'}$ между $\text{[math]}$ $\text{[math]}$ $P$ и $\text{[math]}$ $\text{[math]}$ $V$ , и проверяет, чтобы $\text{[math]}$ $\text{[math]}$ $d'<d$ , где $\text{[math]}$ $\text{[math]}$ $d'={\frac {c*t_{m}}{2}}$ , $\text{[math]}$ $\text{[math]}$ $t_{m}$ - время между обменом битами, $\text{[math]}$ $\text{[math]}$ $c$ - скорость света, $\text{[math]}$ $\text{[math]}$ $d$ - фиксированная величина.

Если сторону $\text{[math]}$ $\text{[math]}$ $V$ удовлетворяют условия, то обмен считается успешным.

Вероятность атаки выполненной мафией и обмана с расстоянием при использовании данного протокола равна $\text{[math]}$ $\text{[math]}$ $\left({\frac {3}{4}}\right)^{n}$ .^[4]

Также, на основе данного протокола, был создан протокол Ту-Пирамуту(англ. Tu-Piramuthu), который снижает вероятность успешной атаки до $\text{[math]}$ $\text{[math]}$ ${\frac {9}{16}}$ (для одного обмена битами).^[7]

Недостатком протокола является потеря производительности при передаче подписанного сообщения, так как из-за возможности потери битов вследствие шума, сообщение нельзя послать через канал быстрого обмена битами.^[5]

Протокол Мунильи-ПейнадоПравить

Для уменьшения вероятности мошенничества, на основе протокола Ханке-Куна, в 2008 году Ортиз Мунилья(англ. Ortiz Munilla) и Пейнадо(англ. Peinado)^[8] создали свою версию дистанционно-ограниченного протокола. Главной особенностью протокола является возможность обнаружения атаки вовремя обмена битов^[9]. Обмен битами разбивается на две категории:

Полный отклик («full challenge») - стандартный обмен битами.
Пустой отклик («void challenge») - никакого обмена битами не происходит.

Стороны $\text{[math]}$ $\text{[math]}$ $P$ и $\text{[math]}$ $\text{[math]}$ $V$ заранее договариваются, на какой итерации произойдет пустой отклик. Если во время пустого отклика, сторона $\text{[math]}$ $\text{[math]}$ $P$ получает бит $\text{[math]}$ $\text{[math]}$ $0$ или $\text{[math]}$ $\text{[math]}$ $1$ , то $\text{[math]}$ $\text{[math]}$ $P$ заключает, что протокол ненадежный.

Перед началом медленной фазы стороны разделяют секрет $\text{[math]}$ $\text{[math]}$ $x$ , получают секретный ключ протокола $\text{[math]}$ $\text{[math]}$ $n$ и псевдослучайную функцию $\text{[math]}$ $\text{[math]}$ $H$ , выдающую случайную последовательность бит размера $\text{[math]}$ $\text{[math]}$ $4n$ , и устанавливают временной порог одиночного обмена битами $\text{[math]}$ $\text{[math]}$ $\Delta t_{max}$ .

Далее, в медленной фазе, стороны $\text{[math]}$ $\text{[math]}$ $P$ и $\text{[math]}$ $\text{[math]}$ $V$ после генерации одноразовых ключей $\text{[math]}$ $\text{[math]}$ $N_{p}$ и $\text{[math]}$ $\text{[math]}$ $N_{v}$ , соответственно, обмениваются этими ключами, для вычисления $\text{[math]}$ $\text{[math]}$ $H^{4n}=H(x,N_{p},N_{v})$ . Получившаяся последовательность $\text{[math]}$ $\text{[math]}$ $4n$ -бит разбивается на последовательность $\text{[math]}$ $\text{[math]}$ $R^{0}=(H_{1},...,H_{2n})$ размера $\text{[math]}$ $\text{[math]}$ $2n$ бит, $\text{[math]}$ $\text{[math]}$ $R^{1}=(H_{2n+1},...,H_{3n})$ и $\text{[math]}$ $\text{[math]}$ $R^{2}=(H_{3n+1},...,H_{4n})$ по $\text{[math]}$ $\text{[math]}$ $n$ бит каждый. Бит $\text{[math]}$ $\text{[math]}$ $T_{i}$ устанавливает, какой отклик вовремя быстрой фазы будет пустым или полным: если $\text{[math]}$ $\text{[math]}$ $H_{2i-1}H_{2i}=00$ , $\text{[math]}$ $\text{[math]}$ $01$ или $\text{[math]}$ $\text{[math]}$ $10$ , то $\text{[math]}$ $\text{[math]}$ $T_{i}=0$ - пустой отклик, в противном случае $\text{[math]}$ $\text{[math]}$ $T_{i}=1$ - полный отклик, где биты $\text{[math]}$ $\text{[math]}$ $H_{2i-1}H_{2i}\subset R_{0}$ .

После этого, в быстрой фазе, происходит аналогичный обмен битами, с помощью последовательностей $\text{[math]}$ $\text{[math]}$ $R_{1}$ и $\text{[math]}$ $\text{[math]}$ $R_{2}$ , как и в протоколе Ханке-Куна. В конечном итоге, если сторона $\text{[math]}$ $\text{[math]}$ $P$ считает протокол надежным, то она отправляет $\text{[math]}$ $\text{[math]}$ $H(x,R^{1},R^{2})$ стороне $\text{[math]}$ $\text{[math]}$ $V$ .

Вероятность успешной криптоатаки равна $\text{[math]}$ $\text{[math]}$ $p=\left({\frac {5}{8}}\right)^{n}$ .^[8]

Недостатком протокола является сложная реализация трех (физических) состояний протокола.^[10]

Протокол ХитомиПравить

В 2010 году Педро Перис-Лопес (исп. Pedro Peris-Lopez), Хулио Эрнандес-Кастро (исп. Julio C. Hernandez-Castro) и др. на основе протокола «Швейцарского-ножа» создали протокол Хитоми^[11]. Протокол обеспечивает аутентификацию между считывателем и передатчиком и гарантирует конфиденциальность^[12].

Протокол разбивается на 3 части: две медленные фазы - подготовительная и финальная; и быстрая фаза - быстрый обмен битами между считывателем $\text{[math]}$ $\text{[math]}$ $R$ (он же $\text{[math]}$ $\text{[math]}$ $V$ ) и передатчиком $\text{[math]}$ $\text{[math]}$ $T$ (он же $\text{[math]}$ $\text{[math]}$ $P$ ).

В ходе подготовительной фазы $\text{[math]}$ $\text{[math]}$ $R$ выбирает случайное число $\text{[math]}$ $\text{[math]}$ $N_{R}$ и отравляет его стороне $\text{[math]}$ $\text{[math]}$ $T$ . После этого, $\text{[math]}$ $\text{[math]}$ $T$ генерирует 3 случайных числа $\text{[math]}$ $\text{[math]}$ $N_{T_{1}}$ , $\text{[math]}$ $\text{[math]}$ $N_{T_{2}}$ , $\text{[math]}$ $\text{[math]}$ $N_{T_{3}}$ и вычисляет временные ключи $\text{[math]}$ $\text{[math]}$ $k_{1}=F_{x}(N_{R},N_{T_{1}},W)$ и $\text{[math]}$ $\text{[math]}$ $k_{2}=F_{x}(N_{T_{2}},N_{T_{3}},W')$ , где $\text{[math]}$ $\text{[math]}$ $F_{x}(\bullet )$ - псевдослучайная функция, зависящая от секретного ключа $\text{[math]}$ $\text{[math]}$ $x$ , а $\text{[math]}$ $\text{[math]}$ $W$ и $\text{[math]}$ $\text{[math]}$ $W^{'}$ два постоянных параметра. Далее, постоянный секретный ключ $\text{[math]}$ $\text{[math]}$ $x$ разделяется на два регистра $\text{[math]}$ $\text{[math]}$ $R^{0}=k_{1}$ и $\text{[math]}$ $\text{[math]}$ $R^{1}=k_{2}\oplus x$ . И в завершении фазы, $\text{[math]}$ $\text{[math]}$ $T$ отправляет стороне $\text{[math]}$ $\text{[math]}$ $R$ числа $\text{[math]}$ $\text{[math]}$ $N_{T_{1}}$ , $\text{[math]}$ $\text{[math]}$ $N_{T_{2}}$ , $\text{[math]}$ $\text{[math]}$ $N_{T_{3}}$ .

Дальше наступает фаза из $\text{[math]}$ $\text{[math]}$ $n$ быстрых обменов битами: на $\text{[math]}$ $\text{[math]}$ $i$ итерации, $\text{[math]}$ $\text{[math]}$ $R$ генерирует случайный бит $\text{[math]}$ $\text{[math]}$ $c_{i}$ и отравляет $\text{[math]}$ $\text{[math]}$ $T$ , зафиксировав, при этом, время $\text{[math]}$ $\text{[math]}$ $t_{1}$ . Сторона $\text{[math]}$ $\text{[math]}$ $T$ получает бит $\text{[math]}$ $\text{[math]}$ $c_{i}'$ , который может не равняться биту $\text{[math]}$ $\text{[math]}$ $c_{i}$ , из-за ошибок в канале связи или стороннего вмешательства. В ответ, $\text{[math]}$ $\text{[math]}$ $T$ отправляет бит $\text{[math]}$ $\text{[math]}$ $r_{i}=R_{i}^{c_{i}}$ , и незамедлительно, после получение бита $\text{[math]}$ $\text{[math]}$ $r_{i}'$ , который не обязан равняться $\text{[math]}$ $\text{[math]}$ $r_{i}$ , сторона $\text{[math]}$ $\text{[math]}$ $R$ фиксирует время $\text{[math]}$ $\text{[math]}$ $t_{2}$ и вычисляет время $\text{[math]}$ $\text{[math]}$ $\Delta t_{i}=t_{2}-t_{1}$ .

В финальной фазе, $\text{[math]}$ $\text{[math]}$ $T$ отправляет сообщение $\text{[math]}$ $\text{[math]}$ $m=(c_{1}',...,c_{n}',r_{1}',...,r_{n}')$ и $\text{[math]}$ $\text{[math]}$ $T_{B}=F_{x}(m,ID,N_{R},N_{T_{1}},N_{T_{2}},N_{T_{3}})$ стороне $\text{[math]}$ $\text{[math]}$ $R$ , где $\text{[math]}$ $\text{[math]}$ $I D$ - уникальный идентификатор передатчика. В конечном итоге, $\text{[math]}$ $\text{[math]}$ $R$ разбивает ошибки на три типа:

$\text{[math]}$ $\text{[math]}$ $c_{i}\neq c_{i}'$
$\text{[math]}$ $\text{[math]}$ $c_{i}=c_{i}'$ , но $\text{[math]}$ $\text{[math]}$ $r_{i}\neq R_{i}^{c_{i}}$
$\text{[math]}$ $\text{[math]}$ $c_{i}=c_{i}'$ , но $\text{[math]}$ $\text{[math]}$ $\Delta t_{i}>t_{max}$

Если суммарное количество ошибок удовлетворяет начальным условиям стороны $\text{[math]}$ $\text{[math]}$ $R$ , и, в случае необходимости аутентификации, стороне $\text{[math]}$ $\text{[math]}$ $T$ удовлетворяет число $\text{[math]}$ $\text{[math]}$ $T_{A}=F_{x}(N_{R},k_{2})$ , полученное от $\text{[math]}$ $\text{[math]}$ $R$ , то протокол является надежным для обмена.

Вероятность криптоатаки выполненной мафией или мошенничества с расстоянием $\text{[math]}$ $\text{[math]}$ $p=\left({\frac {1}{2}}\right)^{n}$ .^[4]

ПримечанияПравить

↑ ¹ ² ³ Brands, Chaum, 1994.
↑ ¹ ² Hancke, Kuhn, 2005.
↑ Jannati, 2015.
↑ ¹ ² ³ Brelurut, Gerault, Lafourcade, 2016, с. 18.
↑ ¹ ² Kim, Avoine, 2009.
↑ Chong Hee Kim et al, 2008.
↑ Baghernejad, Bagheri, Safkhan, 2014.
↑ ¹ ² Munilla, Peinado, 2009, с. 293-295.
↑ Avoine, Bingol et al, с. 13-14.
↑ Chong Hee Kim et al, 2008, с. 4-5.
↑ Lopez, Castro, 2010, с. 19-22.
↑ Abyaneh, 2011.

ЛитератураПравить

Brands S. A., Chaum D. Distance-Bounding Protocols (англ.): Extended abstract // Advances in Cryptology — EUROCRYPT ’93: Workshop on the Theory and Application of Cryptographic Techniques Lofthus, Norway, May 23–27, 1993 Proceedings / T. Helleseth — 1 — Berlin: Springer Berlin Heidelberg, 1994. — P. 344—359. — 465 p. — ISBN 978-3-540-57600-6 — doi:10.1007/3-540-48285-7_30
International Journal of Critical Infrastructure Protection (англ.) — Elsevier BV. — Vol. 11. — P. 51—61. — ISSN 1874-5482; 2212-2087
Progress in Cryptology — INDOCRYPT 2009 (англ.): 10th International Conference on Cryptology in India, New Delhi, India, December 13-16, 2009. Proceedings / B. Roy, N. Sendrier — Springer Berlin Heidelberg, 2009. — P. 293—295. — ISBN 978-3-642-10627-9
Gerhard P. Hancke, Markus G. Kuhn. An RFID Distance Bounding Protocol // SECURECOMM '05 Proceedings of the First International Conference on Security and Privacy for Emerging Areas in Communications Networks. — IEEE Computer Society Washington, DC, USA, 2005. — С. 67–73. Архивировано 21 октября 2016 года.
Chong Hee Kim, Gildas Avoine, Fran ̧cois Koeune, Fran ̧cois-Xavier Standaert, Olivier Pereira. The Swiss-Knife RFID Distance Bounding Protocol // Information Security and Cryptology – ICISC 2008. — Springer Berlin Heidelberg, 2008. — С. 98-115.
Yu-Ju Tu, Selwyn Piramuthu. RFID Distance Bounding Protocols // In 1st International EURASIP Workshop in RFID Technology, Vienna, Austria. — 2007.
Сhong Hee Kim, Gildas Avoine. RFID distance bounding protocol with mixed challenges to prevent relay attacks // Universit ́e Catholique de Louvain Louvain-la-Neuve, B-1348, Belgium. — 2009.
Fatemeh Baghernejad, Nasour Bagheri, Masoumeh Safkhan. Journal of Electrical and Computer Engineering Innovations // JECEI, Vol.2, No.2. — 2014.
Pedro Peris-Lopez, Julio C. Hernandez-Castro, Christos Dimitrakakis, Aikaterini Mitrokotsa, Juan M. E. Tapiador. Shedding light on RFID distance bounding protocols and terrorist attacks // Computer Science, Cryptography and Security. — 2010.
Agnes Brelurut, David Gerault, and Pascal Lafourcade. Survey of Distance Bounding Protocols and Threats // University Clermont Auvergne, LIMOS, France. — 2016.
Gildas Avoine, Muhammed Ali Bingol, Suleyman Kardas, Cedric Lauradoux, Benjamin Martin. A Framework for Analyzing RFID Distance Bounding Protocols.
Mohammad Reza Sohizadeh Abyaneh. Secutity Analysis of two Distance-Bounding Protocols // 7th International Workshop, RFIDSec 2011, Amherst, USA. — 2011.

[_cab4e10056edf12c-1] ¹ ² ³ Brands, Chaum, 1994.

[_7e3828654b307be8-2] ¹ ² Hancke, Kuhn, 2005.

[_fb190351cbbf4458-3] Jannati, 2015.

[_214789784b6c437a-4] ¹ ² ³ Brelurut, Gerault, Lafourcade, 2016, с. 18.

[_6e2a6e62320146c5-5] ¹ ² Kim, Avoine, 2009.

[_a4ff3be5af46dd51-6] Chong Hee Kim et al, 2008.

[_899722240270ce3b-7] Baghernejad, Bagheri, Safkhan, 2014.

[_bf12fad70e9b7343-8] ¹ ² Munilla, Peinado, 2009, с. 293-295.

[_4c6d8e2af7da01de-9] Avoine, Bingol et al, с. 13-14.

[_c58f70bb5be0c89d-10] Chong Hee Kim et al, 2008, с. 4-5.

[_d8759b6c941eb1d5-11] Lopez, Castro, 2010, с. 19-22.

[_ab5a7915b9ae0e4f-12] Abyaneh, 2011.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]