Przegląd algorytmów kryptograficznych pod kątem możliwości sprzętowej ochrony urządzeń mobilnych MGR INŻ. TOMASZ MAZURKIEWICZ

Transkrypt

1 Przegląd algorytmów kryptograficznych pod kątem możliwości sprzętowej ochrony urządzeń mobilnych MGR INŻ. TOMASZ MAZURKIEWICZ

2 Źródło: Źródło: Świat wczoraj i dziś N:1 1:1 2

3 Źródło: pixabay.com Świat wczoraj i dziś 1:N 3

4 Źródło: Zastosowania mobilne rozwój technologii mobilnych i ich popularyzacja w ostatnich latach: Internet rzeczy (IoT), bezprzewodowe sieci czujników (wireless sensor network), karty mikroprocesorowe i znaczniki RFID, wymagania szczególne: niewielka moc obliczeniowa układów, ograniczona pamięć, szczególne wymagania na zasilanie i pobór mocy, dążenie do jak najniższej ceny urządzenia. 4

5 Źródło: Zastosowania mobilne Prawo Moore'a - liczba tranzystorów w układzie elektrycznym podwaja się co miesiące. Równoważnie: koszt zapewnienia określonej mocy obliczeniowej maleje o połowę co miesiące Można przypuszczać, że liczba stosowanych układów o niewielkiej mocy obliczeniowej będzie rosła coraz szybciej. 5

6 Źródło: Zastosowania mobilne (IoT) 6

7 Bezpieczeństwo urządzeń mobilnych Według ekspertów cyberbezpieczeństwa zatrzymanie używania przez hakerów Internetu Rzeczy do przeprowadzania ataków cybernetycznych będzie bardzo trudne, jeżeli nie niemożliwie. ( ) Oprócz tego, że w niektórych tańszych urządzeniach po prostu brakuje odpowiednich warstw zabezpieczeń, to rzadko kiedy hasła domyślne są zmieniane. Podobnie nieczęsto występuje proces aktualizacji tych urządzeń. ( ) Internet Rzeczy nie jest bezpieczny, a znakomita większość tych urządzeń jest produkowana w Chinach i potem sprzedawana w głównej mierze na rynek amerykański. [4] Hasła wykorzystywane przez botnet Mirai 7

8 Bezpieczeństwo urządzeń mobilnych Botnet Mirai: Serwis znanego badacza Brian Krebsa, ucierpiał ostatnio w wyniku największego w historii ataku DDoS o wolumenie 620Gbps. Interesującą nowością jest wykorzystanie do ataku przejętych routerów, kamer i innych urządzeń ze świata IoT. ( ) Koszt usługi anty DDoS w takim przypadku mógłby wynieść nawet $ na rok. [2] Kod źródłowy pojawił się w internecie Botnet Bashlight: The Bashlight botnet currently is responsible for enslaving nearly a million IoT devices and is in direct competition with botnets based on Mirai. [1] Nowe zagrożenia: Malware targeting the Internet of Things (IoT) has come of age and the number of attack groups focusing on IoT has multiplied over the past year was a record year for IoT attacks, with eight new malware families emerging. [3] 8

9 Bezpieczeństwo urządzeń mobilnych atak na Philips Hue Smart Light [7] Produkty z rodziny Philips Hue Architektura ZLL (ZigBee Light Link) 9

10 Bezpieczeństwo urządzeń mobilnych atak na Philips Hue Smart Light c.d. Cel: 1. Opracowanie wirusa, który potrafi automatycznie rozpropagować się między wszystkimi urządzeniami w zasięgu, wykorzystując jedynie standardowy, bezprzewodowy interfejs ZigBee. 2. Wirus będzie propagował od jednej żarówki do wszystkich żarówek w pobliżu i od jednej sieci ZLL do innych. 10

11 Bezpieczeństwo urządzeń mobilnych atak na Philips Hue Smart Light c.d. Atak jest połączeniem dwóch technik: 1. Atak poboru mocy na algorytm AES-CCM wykorzystywany do szyfrowania i weryfikacji aktualizacji firmware u, co pozwoliło szyfrować, podpisywać i wgrywać spreparowane aktualizacje do urządzeń, 2. Przejęcie kontroli nad światłami z dalszej odległości (ominięcie testu bliskości urządzenia), bez konieczności wykorzystywania specjalizowanego sprzętu. Druga część ataku wykorzystuje błąd w implementacji protokołu ZLL Touchlink przez firmę Atmel i pozwala na przejęcie świateł z odległości do 70m (wewnątrz budynku) albo 400m (poza budynkiem). Atak nie zakłada posiadania jakiejkolwiek wiedzy o atakowanych urządzeniach, ani znajomości klucza ZLL. Atak ten jest nieodwracalny, o ile nie istnieje aktualizacja do pobrania za pomocą ZigBee OTA (over-the-air). 11

12 Bezpieczeństwo urządzeń mobilnych atak na Philips Hue Smart Light c.d. 13

13 Problem: w jaki sposób zapewnić bezpieczeństwo w przypadku tego typu urządzeń? 14

14 FPGA programowalne układy logiczne, pozwalające na wielokrotne i relatywnie szybkie przeprogramowanie, czyli zmienienie realizowanej funkcjonalności, możliwość zrealizowania zabezpieczeń sprzętowych (np. implementacje algorytmów szyfrowania), zalety: możliwość osiągania wysokich wydajności pracy układu, krótszy czas prototypowania niż w przypadku układów ASIC, możliwość przeprogramowania i zmiany realizowanej funkcjonalności, bogactwo zasobów logicznych, w tym dedykowane bloki DSP, 15

15 Kryptografia lightweight podstawowym kryterium oceny algorytmu jest koszt jego implementacji, W jaki sposób ocenić koszt? ograniczenie gwarantowanego poziomu bezpieczeństwa i wydajności. Źródło: [5] 16

16 Kryptografia lightweight Przykładowe techniki stosowane przez autorów rozwiązań typu lightweight: Zmniejszenie wykorzystywanych parametrów, m.in. długość klucza, rozmiar bloku danych wejściowych i stanu wewnętrznego, Upraszczanie warstw transformacji np. stosowanie złożenia skrzynek podstawieniowych 4x4 zamiast pojedynczej skrzynki 8x8 (algorytm Curupira). Źródło: Barreto P., Simplicio M., CURUPIRA-1, a block cipher for constrained platforms,

17 Kryptografia lightweight cd. Przykładowe techniki stosowane przez autorów rozwiązań typu lightweight: Wykorzystywanie łatwo i tanio implementowalnych struktur, takich jak np. rejestry przesuwne, Wykorzystywanie elementów architektury docelowej (układy FPGA), Projektowanie algorytmów generacji kluczy rundowych w taki sposób, aby możliwe było obliczenie kluczy dla rundy wcześniejszej i następnej, co pozwala uniknąć konieczności generacji podkluczy w fazie przed obliczeniami oraz potrzeby ich przechowywania w pamięci. 18

18 Kryptografia lightweight w układach FPGA ze względu na dużą liczbę układów stosowanych przez twórców, każdy o innych parametrach użytkowych powstaje problem w porównywaniu implementacji między sobą, Gate Equivalents (w skrócie: GE) uniwersalna miara wykorzystania zasobów przez implementację. Zwyczajowo jedna bramka GE odpowiada jednej dwuwejściowej bramce NAND, przykładowa liczba bramek GE dla technologii 0.18μm [6]: Bramka NOT NAND NOR AND OR MUX XOR (2) XOR (3) D-FF Liczba GE za implementacje lightweight przyjęło się uważać rozwiązania, które wykorzystują mniej niż 3000 GE. 19

19 Algorytmy symetryczne - blokowe Cztery podejścia do implementacji algorytmów blokowych typu lightweight: 1. Modyfikowanie powszechnie znanych algorytmów, np. AES czy DES. 2. Tworzenie nowych rozwiązań, opracowanych z myślą o systemach typu lightweight (ang. lightweight by design), np. PRESENT. 3. Tworzenie nowych rozwiązań, wykorzystujących prymitywy kryptograficzne, który właściwości i bezpieczeństwo są dobrze zbadane, np. skrzynki podstawieniowe z algorytmu PRESENT. 4. Ograniczenie wymagań funkcjonalnych, np. KTANTAN do działania wykorzystuje klucz, który nie może być zmieniany podczas pracy algorytmu. 20

20 Algorytmy symetryczne - blokowe najczęściej stosowanym algorytmem blokowym pozostaje AES, AES jest powszechnie stosowany do oceny porównawczej algorytmów blokowych, przedstawiane w literaturze implementacje zajmują zazwyczaj ok. 3,5 tys. bramek GE, możliwe jest ograniczenie wykorzystania zasobów logicznych do ok. 2,4 tys. bramek GE, przy spadku przepustowości do 57Kb/s. 21

21 Algorytmy symetryczne - blokowe AES PRESENT KTANTAN DESXL HIGHT KATAN mcrypton SEA XTEA Camellia CLEFIA IDEA Hummingbird-2 KASUMI SIMON SPECK Mniej niż 3000 GE Ok GE Ponad 3000 GE 22

22 Algorytm PRESENT klucz: 80 albo 128 bitów, blok danych: 64 bity ( stan wewnętrzny również 64 bity) oparty o sieć SPN, 31 rund, warstwa nieliniowa składa się z pojedynczej skrzynki podstawieniowej (4x4), zastosowanej równolegle 16 razy, Sbox zoptymalizowany pod kątem implementacji sprzętowych, generacja kluczy: przesunięcie bitowe w lewo, Sbox, operacja XOR z licznikiem rund, ~1600 GE. 23

23 Algorytm PRESENT Źródło: cryptolux.org [k 79 k k 1 k 0 ] = [k 18 k k 20 k 19 ] (K<<61) [k 79 k 78 k 77 k 76 ] = S[k 79 k 78 k 77 k 76 ] [k 19 k 18 k 17 k 16 k 15 ] ^= round_counter Źródło: cryptowiki.net 24

24 Algorytmy symetryczne - strumieniowe jedyny algorytm uważany powszechnie za bezpieczny: AES-CTR, zajętość zasobów logicznych zbliżona do implementacji algorytmu AES w trybie ECB. Źródło: 25

25 Algorytmy symetryczne - strumieniowe inne algorytmy Trivium, Grain-v1, Mickey 2.0: finaliści konkursu estream (profil sprzętowy), Implementacje zajmują między 1200 a 5040 GE, co pozwala uznać je za rozwiązania lightweight, niewielki margines bezpieczeństwa - na każdy z algorytmów przedstawione zostały ataki o złożoności zbliżonej do ataku brutalnego. 26

26 Trivium prostota konstrukcji, stan wewnętrzny: trzy rejestry, łącznie 288 bitów, podczas każdej rundy algorytmu zawartość rejestrów jest przesuwana, a najmłodszy bit jest uzupełniany za pomocą nieliniowej funkcji określonych bitów rejestrów, ze względu na prostotę konstrukcji możliwe jest wykonanie implementacji generującej 1, 8, 16, 32 albo 64 bity strumienia klucza na rundę. Źródło: De Canniere C., Preneel B., Trivium Specifications,

27 Algorytmy symetryczne - strumieniowe nowe propozycje: Sprout złamany niemal tuż po ogłoszeniu. Bazuje na nowej koncepcji, gdzie klucz główny wykorzystuje się w fazie inicjalizacji, jak i podczas generacji strumienia klucza, dzięki czemu możliwe jest stosowanie krótszego stanu wewnętrznego i zrealizowanie implementacji wykorzystującej mniej niż 1000GE. Algorytmy powstałe na bazie koncepcji z algorytmu Sprout, np. Fruit. 28

28 Algorytmy asymetryczne Charakteryzują się znacznie dłuższym czasem realizacji obliczeń niż algorytmy symetryczne, Dłuższy czas działania wiąże się ze wzrostem poboru mocy przez urządzenie o dwa lub trzy rzędy wielkości, Zdecydowanie większe wykorzystanie zasobów logicznych. 29

29 Algorytmy asymetryczne koprocesory krzywych eliptycznych pozwala uzyskać oczekiwany poziom bezpieczeństwa przy zastosowaniu krótszych kluczy niż w przypadku np. algorytmu RSA czy DH, gwarantując jednocześnie mniejsze zużycie zasobów logicznych [6], Poziom bezpieczeństwa Algorytm symetryczny Kryptografia ciał skończonych, np. DSA, DH [rozmiar klucza publicznego i prywatnego] Algorytmy oparte na problemie faktoryzacji, np. RSA [rozmiar klucza] Algorytmy oparte na krzywych eliptycznych, np. ECDSA [rozmiar ciała skończonego] TDEA L = 1024, N = 160 k = 1024 f = TDEA L = 2048, N = 224 k = 2048 f = AES-128 L = 3072, N = 256 k = 3072 f = AES-192 L = 7680, N = 384 k = 7680 f = AES-256 L = 15360, N = 512 k = f= 512+ liczba wykorzystanych GE przez taki koprocesor jest silnie zależna od doboru wartości parametru m (dla ciał GF(2 m )), jednak nawet dla ciała GF(2 113 ) przekracza ona 10k GE, przez co algorytmy te uznawane są za niepraktyczne dla zastosowań mobilnych. 30

30 Algorytmy asymetryczne nowe koncepcje realizacji infrastruktury klucza publicznego w oparciu o: funkcje skrótu (ang. hash-based cryptography), kody korekcyjne (ang. code-based cryptography), problem rozwiązania wielowymiarowych równań kwadratowych nad ciałami skończonymi (ang. multivariatequadratic cryptography), kraty (ang. lattice-based cryptography). najbardziej znanym rozwiązaniem opartym o teorię krat jest algorytm NTRU będący częścią standardu IEEE Algorytm ten jest nawet 1.5 raza wydajniejszy i zajmuje 85% mniej zasobów logicznych niż koprocesor krzywych eliptycznych gwarantujący to samo bezpieczeństwo, istotną wadą zarówno rozwiązań opartych o kody korekcyjne, jak i problem rozwiązania wielowymiarowych równań kwadratowych nad ciałami skończonymi jest konieczność stosowania długich kluczy, wydajność konstrukcji opartych o funkcje skrótu jest silnie zależna od wyboru wykorzystywanego algorytmu, a niedawny konkurs na nowy standard SHA-3 może zwiększyć popularność tego typu rozwiązań. 31

31 Funkcje skrótu algorytm SHA-2 zużycie zasobów na poziomie ok. 10k GE, konkurs na standard SHA-3 możliwość zastosowania w środowiskach o ograniczonych zasobach nie była brana pod uwagę implementacje finalistów konkursu zajmują od kilku do kilkunastu tysięcy GE, algorytm Keccak (zwycięzca konkursu) GE w zależności od doboru parametrów i oczekiwanego poziomu bezpieczeństwa, nowe algorytmy oparte o konstrukcję gąbki Spongent ( GE), Neeva (?) 32

32 Algorytm SHA-3 R = ι χ π ρ θ *l rund stan wewnętrzny: 1600 bitów parametr c (capacity): SHA , SHA , SHA , SHA parametr r (bitrate): 1600-c Źródło: Bussi K. et al., Neeva: A Lightweight Hash Function,

33 Algorytm Neeva Źródło: Bussi K. et al., Neeva: A Lightweight Hash Function,

34 Dodatkowe problemy większość rozwiązań lightweight podatna jest na ataki poboru mocy, gdyż zastosowanie zabezpieczeń przed tego typu atakami wiążę się z dużym, nawet kilkukrotnym, wzrostem zużycia zasobów logicznych, przykład: zabezpieczona przeciw podstawowym atakom implementacja algorytmu AES zużywa cztery razy więcej GE od implementacji niezabezpieczonej (10793GE w porównaniu do 2400GE) 36

35 Podsumowanie algorytmy blokowe: duża liczba proponowanych rozwiązań typu lightweight, najważniejsze algorytmy: PRESENT oraz CLEFIA*, algorytmy strumieniowe: AES-CTR, algorytmy asymetryczne: brak efektywnych rozwiązań dla urządzeń mobilnych, coraz większa popularności konstrukcji wykorzystujących kraty, pomysły realizacji infrastruktury klucza publicznego za pomocą protokołów wykorzystujących algorytmy symetryczne, funkcje skrótu: pierwsze propozycje dedykowanych algorytmów typu lightweight (np. Neeva, SPONGENT), implementacje algorytmu Keccak z małymi wartościami parametrów bezpieczeństwa i wydajności można uznać za implementacje lightweight. 37

36 Dziękuję za uwagę 38

37 Bibliografia 1. Wyciekł kod źródłowy botnetu Mirai działającego w świecie Internet of Things spodziewajcie się masowych infekcji, 2. Botnet na IoT wygenerował 620Gbps DDoS Akamai odmawia dalszej bezpłatnej ochrony dla Briana Krebsa, 3. IoT devices being increasingly used for DDoS attacks, 4. Eksperci ostrzegają przed zabezpieczeniami Internetu Rzeczy, 5. Mazurkiewicz, T., Rawski, M., Przegląd algorytmów kryptograficznych pod względem realizacji sprzętowego koprocesora do zastosowań mobilnych, Przegląd Telekomunikacyjny i Wiadomości Telekomunikacyjne, 11/ Poschmann, A.Y., Lightweight Cryptography - Cryptographic Engineering for a Pervasive World., Cryptology eprint Archive IACR, 516/2009, 7. Ronen E., et al., IoT Goes Nuclear: Creating a ZigBee Chain Reaction, Cryptology eprint Archive: Report 2016/