La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Anno Accademico 2008/2009 Università degli Studi di Roma "Tor Vergata" Relatore: Prof. Ing. Stefano Salsano Laureando: Lorenzo Fiori UTV 1 State of Art’

Presentazioni simili


Presentazione sul tema: "Anno Accademico 2008/2009 Università degli Studi di Roma "Tor Vergata" Relatore: Prof. Ing. Stefano Salsano Laureando: Lorenzo Fiori UTV 1 State of Art’"— Transcript della presentazione:

1 Anno Accademico 2008/2009 Università degli Studi di Roma "Tor Vergata" Relatore: Prof. Ing. Stefano Salsano Laureando: Lorenzo Fiori UTV 1 State of Art’ ‘State of Art’

2 Cos’è l’RFId Technology. Architettura Hardware e Software. Architettura Hardware e Software. Standard di riferimento e applicazioni. Standard di riferimento e applicazioni. Il Problema Sicurezza RFId. Il Problema Sicurezza RFId. Tipologie di attacchi. Tipologie di attacchi. Rischio Privacy. Rischio Privacy. Meccanismi di Protezione Meccanismi di Protezione Replay Attacks Replay Attacks Richiami Crittografia Richiami Crittografia Detection Detection Misure Privacy Misure Privacy Sviluppi futuri Ricerca. Sviluppi futuri Ricerca. RFID Security A.A. 2008/2009 UTV 2 - Autenticazione - Controllo di Accesso - Protezione RF comunicazione

3 AIDC: ‘Automatic Identification and Data Capture’ … Indica tutte le tecnologie per l’Identificazione Automatica di Oggetti e la Rilevazione Dati (es. codice a barre). L’RFId Technology è uno sviluppo di AIDC tramite comunicazione radio (wireless) a distanza e non più ottica (laser) o magnetica di contatto. L’RFId Technology è uno sviluppo di AIDC tramite comunicazione radio (wireless) a distanza e non più ottica (laser) o magnetica di contatto. RFID Security A.A. 2008/2009 UTV 3

4 Comunicazione : - a distanza e senza contatto (contactless) ; - a distanza e senza contatto (contactless) ; - trasparenza materiali a onde radio (esclusi conduttori - trasparenza materiali a onde radio (esclusi conduttori riflettenti e liquidi assorbenti); riflettenti e liquidi assorbenti); - assenza manualità operatore; - assenza manualità operatore; - maggior range spaziale di operatività; - maggior range spaziale di operatività; Dati: Dati: - maggior ‘rate’ di trasferimento dati; - maggior ‘rate’ di trasferimento dati; - maggiore capacità dati memorizzati e inviati; - maggiore capacità dati memorizzati e inviati; RFID Security A.A. 2008/2009 UTV 4 superamento ‘line of sight’

5 Lettore (reader): interroga i Tags sui loro contenuti in memoria (transceiver). memoria (transceiver). Etichetta (tag): microchip (transponder) caratterizzato da: Etichetta (tag): microchip (transponder) caratterizzato da: - Identificatore (EPC ‘Electronic Product Code’) - Identificatore (EPC ‘Electronic Product Code’) - Memoria (capacità variabile) - Memoria (capacità variabile) - Sorgente Energia (attivi,passivi, semi-attivi, semi-passivi) - Sorgente Energia (attivi,passivi, semi-attivi, semi-passivi) - Frequenze Operative (LF, HF, UHF, Microonde) - Frequenze Operative (LF, HF, UHF, Microonde) - Fattore Forma (complessità e supporto fisico) - Fattore Forma (complessità e supporto fisico) Sistema Elaborazione Dati (Middleware e Applicativi Sistema Elaborazione Dati (Middleware e Applicativi Software): filtrano ed elaborano i dati rilevati dal reader e li Software): filtrano ed elaborano i dati rilevati dal reader e li inviano a database di back-end. inviano a database di back-end. RFID Security A.A. 2008/2009 UTV 5

6 - Architettura Protocollare: Strato Fisico: modulazione di carico (load modulation) Strato Fisico: modulazione di carico (load modulation) capacitiva o induttiva. capacitiva o induttiva. Strato di Collegamento (Link Layer): protocolli di Strato di Collegamento (Link Layer): protocolli di comunicazione base; comunicazione base; Strato Applicativo (Application Layer): protocolli per lo Strato Applicativo (Application Layer): protocolli per lo comunicazione o scambio di informazioni utili all’utente (ID) comunicazione o scambio di informazioni utili all’utente (ID) - Inizializzazione Comunicazione: Modalità RTF ‘reader talks first’: il lettore invia segnali Modalità RTF ‘reader talks first’: il lettore invia segnali broadcast ai tags con particolari comandi addizionali. broadcast ai tags con particolari comandi addizionali. Modalità TTF ‘tag talks first’: il tag invia segnali di presenza Modalità TTF ‘tag talks first’: il tag invia segnali di presenza al lettore in prossimità operativa. al lettore in prossimità operativa. UTV RFID Security A.A. 2008/2009 6

7 Protocolli di ‘Singolazione’ (singulation): consentono il - Protocolli di ‘Singolazione’ (singulation): consentono il riconoscimento singolo ( anticollisione ) dei tags in risposta al riconoscimento singolo ( anticollisione ) dei tags in risposta al reader dopo inizializzazione durante la query. reader dopo inizializzazione durante la query. Protocollo ‘random tree walk’. Protocollo ‘random tree walk’. Protocollo ‘Aloha’. Protocollo ‘Aloha’. - Protocollo Wi-Fi (IEEE ): utilizzato in caso di lettori - Protocollo Wi-Fi (IEEE ): utilizzato in caso di lettori mobili comunicanti con middleware. mobili comunicanti con middleware. include il Wi-Fi Protected Access (WPA). include il Wi-Fi Protected Access (WPA). UTV 7 A.A. 2008/2009 RFID Security

8 - Esempio di funzionamento sistema RFID: 8 A.A. 2008/2009 RFID Security UTV [Guidelines for Securing Radio Frequency Identification (RFID) Systems – Nist]

9 Standard e Raccomandazioni sviluppati da ISO (International - Standard e Raccomandazioni sviluppati da ISO (International Standard Organization) e IEC (International Electrotechnical Standard Organization) e IEC (International Electrotechnical Organization) e EPCglobal: Organization) e EPCglobal: specifiche su frequenze operative, protocolli di comunicazione, specifiche su frequenze operative, protocolli di comunicazione, meccanismi di protezione. meccanismi di protezione. ISO/IEC (smart cards ‘proximity’) ISO/IEC (smart cards ‘proximity’) ISO/IEC (smart cards ‘vicinity’) ISO/IEC (smart cards ‘vicinity’) ISO/IEC family ( ) ISO/IEC family ( ) ISO/IEC – (animal tracking) ISO/IEC – (animal tracking) EPCglobal Class-0 EPCglobal Class-0 EPCglobal Class-1 Generation-1 HF EPCglobal Class-1 Generation-1 HF EPCglobal Class-1 Generation-2 UHF EPCglobal Class-1 Generation-2 UHF EPCglobal Class-1 Generation-2 EPCglobal Class-1 Generation-2 8 UTV A.A. 2008/2009 RFID Security specifiche industriali ‘quasi standard’ ‘quasi standard’ (‘supply chain‘) (‘supply chain‘) standard riconosciuto

10 catene produttive (supply chain management) gestione di magazzino (item management) gestione di magazzino (item management) pagamenti elettronici (smart cards contactless) pagamenti elettronici (smart cards contactless) pagamenti autostradali (Telepass) pagamenti autostradali (Telepass) passaporto elettronico (ICAO e-passport) passaporto elettronico (ICAO e-passport) biomedica (chip sottocutaneo) biomedica (chip sottocutaneo) biometria (conteggio capi animali) biometria (conteggio capi animali) archivi elettronici (biblioteche) archivi elettronici (biblioteche) sistemi antitaccheggio (EAS Electronic Article Surveillance) sistemi antitaccheggio (EAS Electronic Article Surveillance) controllo di accesso (serratura elettronica RF) controllo di accesso (serratura elettronica RF) banconote RF (autenticazione e tracciabilità) banconote RF (autenticazione e tracciabilità) elettrodomestici intelligenti elettrodomestici intelligenti 9 UTV RFID Security A.A. 2008/2009

11 come spesso accade nuove soluzioni tecnologiche - come spesso accade nuove soluzioni tecnologiche introducono nuove problematiche da risolvere : introducono nuove problematiche da risolvere : Punto debole RFID: la comunicazione è ‘wireless’ e a distanza … Punto debole RFID: la comunicazione è ‘wireless’ e a distanza … …la condivisione del ‘mezzo radio’ aumenta rischio violazione segretezza …la condivisione del ‘mezzo radio’ aumenta rischio violazione segretezza della comunicazione ovvero dei dati scambiati tra tag e reader tramite della comunicazione ovvero dei dati scambiati tra tag e reader tramite ‘attacchi’ mirati al sistema… ‘attacchi’ mirati al sistema… 10 UTV RFID Security A.A. 2008/2009 ‘buissness process risk’ = potenziali danni economici all’attività produttiva e commerciale aziendale.

12 Problema comune e condiviso con molte altre forme di ‘Information Technology’ : Sicurezza Informatica (funzionalità hardware e privacy) Sicurezza Informatica (funzionalità hardware e privacy) Sicurezza Telematica-Finanziaria (transazioni economiche) Sicurezza Telematica-Finanziaria (transazioni economiche) Sicurezza Sistemi Telecomunicazioni (contraffazione dati) Sicurezza Sistemi Telecomunicazioni (contraffazione dati) 11 UTV A.A. 2008/2009 RFID Security Necessità di mettere in atto ‘politiche di sicurezza’ tramite adozione di efficaci ‘meccanismi di protezione’ dei sistemi coinvolti. Non esistono soluzioni definitive ! Ricerca sulla Sicurezza = campo aperto

13 - Tipologie di attacchi a sistemi RFID: attacchi fisici e negazione del servizio (DoS) attacchi fisici e negazione del servizio (DoS) intercettazioni passive (eavesdropping) da parte di lettori non intercettazioni passive (eavesdropping) da parte di lettori non autorizzati. autorizzati. scansione (scanning) non autorizzata dei tags. scansione (scanning) non autorizzata dei tags. manipolazione (counterfeiting) dati nei tags. manipolazione (counterfeiting) dati nei tags. cloning dei ‘codici di accesso e autenticazione’ dei tags cloning dei ‘codici di accesso e autenticazione’ dei tags tramite approcci computazionali ’brute force’ (reverse tramite approcci computazionali ’brute force’ (reverse engeneering & cracking). engeneering & cracking). more… more… 12 RFID Security A.A. 2008/2009 UTV

14 Tipologie di attacchi a sistemi RFID: Tipologie di attacchi a sistemi RFID: cloning fisico per contraffazione (impersonating) replay e relay attacks (spoofing - falsificazione d’identità) replay e relay attacks (spoofing - falsificazione d’identità) side channel attacks (attacchi di ‘aspetto di canale’) side channel attacks (attacchi di ‘aspetto di canale’) attacchi a sottosistemi aziendali di elaborazione e database tramite virus o maleware attraverso interfaccia RF. tramite virus o maleware attraverso interfaccia RF. 13 UTV A.A. 2008/2009 RFID Security Categoria principale attacchi: Snooping/Sniffing = spionaggio [ ‘Classification of RFID Attacks’ -- A. [ ‘Classification of RFID Attacks’ -- A. Mitrokotska, M.R.Rieback, A.S. Tanenbaum Mitrokotska, M.R.Rieback, A.S. Tanenbaum – Department of Computer Science, Vrije – Department of Computer Science, Vrije University ] University ]

15 - Target degli attacchi: vandalismo furto dati personali o aziendali vandalismo furto dati personali o aziendali conoscenze richieste conoscenze richieste conoscenze richieste conoscenze richieste e risorse tecniche limitate e risorse tecniche elevate attacchi ‘low-budget ‘ attacchi ‘high budget’ attacchi ‘low-budget ‘ attacchi ‘high budget’ 14 UTV A.A. 2008/2009 RFID Security

16 Parallelamente Rischio Privacy consumatore: - Parallelamente Rischio Privacy consumatore: possibilità di lettura proprio tag dopo acquisto prodotto. possibilità di lettura proprio tag dopo acquisto prodotto. 15 UTV Tracking Location: - Tracking Location: localizzazione real-time del consumatore tramite lettori spia sparsi su un territorio (es. passaporto elettronico). Indagini di Mercato non autorizzate su ‘preferenze consumatore’ con tecniche di inferenza statistica (data mining) - Indagini di Mercato non autorizzate su ‘preferenze consumatore’ con tecniche di inferenza statistica (data mining). RFID Security A.A. 2008/2009 rivolta ‘Associazioni di Consumatori’ (CASPIAN). - Lettura dati personali : personali : Inventorying Inventorying

17 Sicurezza non è un ‘capriccio’, ma ‘valore aggiunto ‘ e a volte anche una stringente necessità ! (es. pagamenti elettronici) anche una stringente necessità ! (es. pagamenti elettronici) - Requisiti di Sicurezza su dati e sistema RFID: - Requisiti di Sicurezza su dati e sistema RFID: Confidenzialità: riservatezza dati nei confronti di terzi. Confidenzialità: riservatezza dati nei confronti di terzi. Integrità: non alterazione dei dati per mano di terzi. Integrità: non alterazione dei dati per mano di terzi. Autenticità: dati accessibili solo a persone autorizzate. Autenticità: dati accessibili solo a persone autorizzate. Disponibilità: evitare insorgere di situazioni di ‘Denial of Service’. Disponibilità: evitare insorgere di situazioni di ‘Denial of Service’. indistinguibilità output: anonimità dell’ ID indistinguibilità output: anonimità dell’ ID sicurezza in avanti (forward security) sicurezza in avanti (forward security) 16 UTV A.A. 2008/2009 RFID Security

18 necessità sviluppo sicurezza non solo contro attacchi occasionali, ma secondo ‘legge dell’avidità’ o del ‘worst case’. occasionali, ma secondo ‘legge dell’avidità’ o del ‘worst case’. - Approcci alla sicurezza : - Approcci alla sicurezza : Prevention: Detection: Prevention: Detection: meccanismi di meccanismi di meccanismi di meccanismi di protezione o prevenzione rivelazione attacchi protezione o prevenzione rivelazione attacchi approccio più sviluppato perché di più approccio più sviluppato perché di più ampia applicazione negli attacchi. ampia applicazione negli attacchi. 17 UTV A.A. 2008/2009 RFID Security

19 Controllo gestionale: raggiungimento efficienza di funzionamento e gestione del sistema tramite addestramento funzionamento e gestione del sistema tramite addestramento personale a sorveglianza diretta. personale a sorveglianza diretta. Controllo tecnico: richiedono risorse computazionali e Controllo tecnico: richiedono risorse computazionali e memorie volatili aggiuntive nei tags… memorie volatili aggiuntive nei tags… vincolo stringente su consumo energetico, complessità vincolo stringente su consumo energetico, complessità progettazione e costi. progettazione e costi. - Autenticazione e Cifratura. - Autenticazione e Cifratura. - Protezione diretta Dati nei tags (Controllo di Accesso) - Protezione diretta Dati nei tags (Controllo di Accesso) - Protezione RF comunicazione. - Protezione RF comunicazione. 18 UTV A.A. 2008/2009 RFID Security

20 - ‘Autenticazione’ = riconoscimento tag o reader lecito (misura anti-scanning): (misura anti-scanning): Password: il lettore interroga tag con password propria Password: il lettore interroga tag con password propria grazie a ‘database’ di corrispondenza… grazie a ‘database’ di corrispondenza… punto debole: complessità gestione password e punto debole: complessità gestione password e rischio eavesdropping delle stesse. rischio eavesdropping delle stesse. Codice Autenticazione Messaggi (HMAC) Codice Autenticazione Messaggi (HMAC) Firma Digitale (Digital Signature) Firma Digitale (Digital Signature) Altri schemi (PNG, SRAP, HP) Altri schemi (PNG, SRAP, HP) controlli più evoluti, robusti ed efficienti controlli più evoluti, robusti ed efficienti 19 UTV A.A. 2008/2009 RFID Security metodi crittografici metodi crittografici

21 - HMAC (Hash Message Autentication Code): 20 UTV A.A. 2008/2009 RFID Security Utilizza chiave segreta (private key) condivisa da tag e reader per produrre MAC (message autentication code), tramite funzione Hash MAC=Hash(Message); in ricezione tag esegue stessa operazione su Message confrontando il MAC con quello ricevuto; da uguaglianza o meno si risale a autenticità e integrità informativa. ‘crittografia simmetrica’ ‘crittografia simmetrica’

22 - Firma Digitale (digital signature): (Autentication) 21 RFID Security A.A. 2008/2009 UTV il lettore usa ‘algoritmo hash’ per ottenere da identificatore e altri dati del tag un codice relativo all’oggetto MD (‘message digest’= riassunto del messaggio); cifra il codice ottenuto con ‘chiave privata’ creando ‘firma digitale’ memorizzandola su tag; ogni altro lettore decifra la firma con la ‘chiave pubblica’ del primo lettore riottenendo MD ; dal confronto autenticità o meno. ‘crittografia asimmetrica’

23 Autenticazione’: altri schemi… (PNG) - ‘Autenticazione’: altri schemi… (PNG) uso di funzioni pseudorandom + condivisione chiave ‘s’: uso di funzioni pseudorandom + condivisione chiave ‘s’: 22 UTV A.A. 2008/2009 RFID Security Hello: random r 1 READERTAG READER TAG Segnalation / query random random number number generation generation Hello: Random R1 Random R2 [ID]xor[fs(0, r1, r2)] Inversione tramite XOR e Fs(o,r1,r2) If (tau’=tau) If (tau’=tau) = autenticated. = autenticated. [ID]xor[fs(1, r1, r2)] R  T random r1 random r2 random r2 sigma=[ID] xor [fs(o,r1,r2)] sigma=[ID] xor [fs(o,r1,r2)] R [sigma] xor [fs(o,r1,r2] = ID R [sigma] xor [fs(o,r1,r2] = ID R  T tau= [ID] xor [fs(1, r1, r2)] R  T tau= [ID] xor [fs(1, r1, r2)] T tau’=[ID] xor [fs(1,r1,r2)] T tau’=[ID] xor [fs(1,r1,r2)] if ( tau’=tau) = autenticated if ( tau’=tau) = autenticated T  R

24 - Protocollo di Autenticazione : ‘Syncronized Randomized Autentication Protocol’: autenticazione tramite scambio di numeri casuali riconosciuti validi dal Tag che ha PNG sincronizzato col PNG del Reader. basso costo implementativo… adatto per tags ‘low cost’. 23 UTV A.A. 2008/2009 RFID Security

25 - Protocollo Autenticazione: ‘Human Protocol’ (HB):  T random a {0,1}^k R  T random a {0,1}^k T  R a*x + eta con Prob. P: 0

26 ‘ Cifratura o oscuramento dei dati’ - ‘ Cifratura o oscuramento dei dati’ Anonymous ID scheme: output cifrato è E=fk[ID] dove f è Anonymous ID scheme: output cifrato è E=fk[ID] dove f è funzione di cifratura tramite chiave k condivisa (private) tra funzione di cifratura tramite chiave k condivisa (private) tra lettore e tag (cifratura simmetrica) applicata all’ID. Sono lettore e tag (cifratura simmetrica) applicata all’ID. Sono possibili schemi di cifratura ‘asimmetrici’. possibili schemi di cifratura ‘asimmetrici’. re-cifratura iterata dell’ID tramite coppia di chiavi (pubblica e re-cifratura iterata dell’ID tramite coppia di chiavi (pubblica e privata) oppure coppie multiple (universal re-encrypton). privata) oppure coppie multiple (universal re-encrypton). Non assicura integrità dati potendo un avversario sostituire Non assicura integrità dati potendo un avversario sostituire testo cifrato con un altro (swapping). testo cifrato con un altro (swapping). 25 UTV A.A. 2008/2009 RFID Security schema base

27 - Codifica di Copertura (cover coding): (cifratura dati) 26 RFID Security A.A. 2008/2009 UTV reader invia a tag richiesta di chiave; tag risponde inviando come chiave numero random da 16- bit; il lettore, a partire da chiave e testo in chiaro (plaintext) produce, tramite funzione XOR, messaggio cifrato (cipertext) e lo invia; tag applica nuovamente la funzione XOR (simmetrica) su cipertext tramite stessa chiave e riottiene messaggio in chiaro. Non esclude che la chiave possa essere intercettata e utilizzata per decifrare in fase di crittoanalisi. READERTAG READER TAG key request 16-bit random number generation XOR(Mess.|key) = Cipertext Cipertext XOR (XOR(Mess. |key)|key) XOR (XOR(Mess. |key)|key) = Plaintext Plaintext Es. messaggio : … random key : … random key : … XOR : … XOR : … cifratura cifratura de-cifratura de-cifratura key ?

28 Replay Attacks: spoofing (falsificazione di identità)… - Replay Attacks: spoofing (falsificazione di identità)… …utilizzati per manipolazione dati da inviare a tags …utilizzati per manipolazione dati da inviare a tags impersonando (impersonating) lettore oppure per eludere i impersonando (impersonating) lettore oppure per eludere i meccanismi di autenticazione reader /tag… meccanismi di autenticazione reader /tag… … ‘Man in the Middle’ … ‘Man in the Middle’ attacchi evoluti, sofisticati e temuti attacchi evoluti, sofisticati e temuti - Distance fraud attacks - Distance fraud attacks - Mafia fraud attacks …. - Mafia fraud attacks …. - Terrorist fraud attacks - Terrorist fraud attacks 2728 UTV A.A. 2008/2009 RFID Security

29 29 UTV A.A. 2008/2009 RFID Security …. Protezione tramite ‘distance bounding protocol’: Protezione tramite ‘distance bounding protocol’: misurano ‘intensità segnale’ o ‘tempo di ciclo’ (round trip misurano ‘intensità segnale’ o ‘tempo di ciclo’ (round trip time) tra lettore e tag rilevando eventuali anomalie distanza. time) tra lettore e tag rilevando eventuali anomalie distanza. probabilità successo dell’attacco diventa (3/4)^n con ‘n’ probabilità successo dell’attacco diventa (3/4)^n con ‘n’ numero cicli del protocollo (parametro di sicurezza). numero cicli del protocollo (parametro di sicurezza).

30 meccanismi di autenticazione e cifratura descritti richiedono maggiori risorse computazionali non incluse nei tags a basso maggiori risorse computazionali non incluse nei tags a basso costo, ma appannaggio di dispositivi più evoluti ‘high cost’. costo, ma appannaggio di dispositivi più evoluti ‘high cost’. 29 UTV RFID Security A.A. 2008/2009 Per dispositivi ‘low cost’ si opta per politiche di ‘Protezione Dati’ nei tags = ‘Controllo di Accesso’ alla memoria... - comandi di blocco temporanei (sleep command) - comandi di blocco permanenti (kill command) ‘Hash-Based Acccess Control’ ‘Hash-Based Acccess Control’ ‘Randomized Access Control’ ‘Randomized Access Control’ Gestione tramite password e metodi hash-based uso Privacy Problema:

31 - ‘ reader invia ‘Meta-ID’ generato applicando ‘funzione hash’ su chiave random ovvero Meta-ID = Hash(Key) a tag che va in ‘stato di blocco’. Coppia Meta- in ‘stato di blocco’. Coppia Meta- ID e chiave è memorizzata su un database. Per sbloccarlo lettore richiede a tag Meta-ID, cerca nel database la chiave tale che Hash(key)=Meta- chiave tale che Hash(key)=Meta- ID e la invia al tag. Il tag calcola Hash(key) e compara il risultato con suo Meta-ID. Se i valori di Meta- ID coincidono il tag si sblocca e offre piene funzionalità al lettore RFID Security A.A. 2008/2009 UTV Hash-Based Access Control: - Hash-Based Access Control: Database Reader Tag Query Meta-Id Key Id Meta-Id (Key, Id) sblocco blocco Meta-Id(Meta-id, Key) Reader Tag Database …

32 Randomized Access Control: - Randomized Access Control: il tag risponde all’interrogazione (query) del lettore generando il tag risponde all’interrogazione (query) del lettore generando numero random r, calcola l’Hash di ID concatenato ad r e numero random r, calcola l’Hash di ID concatenato ad r e invia la coppia (r,Hash(ID||r)) al lettore. Questi fa ricerca invia la coppia (r,Hash(ID||r)) al lettore. Questi fa ricerca dell’ID calcolando per ogni ID contenuto in database dell’ID calcolando per ogni ID contenuto in database l’Hash(ID||r) trovando quello che uguaglia l’’Hash(ID||r) l’Hash(ID||r) trovando quello che uguaglia l’’Hash(ID||r) ricevuto ottenendo come risultato l’identificazione del tag. ricevuto ottenendo come risultato l’identificazione del tag. si applica bene ai ‘low cost’ quando numero di tags è si applica bene ai ‘low cost’ quando numero di tags è basso per motivi di risorse di memorizzazione e basso per motivi di risorse di memorizzazione e computazione. computazione. 32 UTV RFID Security A.A. 2008/2009 [‘Security & Private Aspects of Low- Cost Radio Frequency Identification Cost Radio Frequency Identification Systems’ - S.A.Weiss, S.E. Sarma, Systems’ - S.A.Weiss, S.E. Sarma, R.L.Rivest, D.W. Engels ] R.L.Rivest, D.W. Engels ]

33 - Lightweight Cryptography: misure a bassissimo peso implementativo in conseguenza di protocolli crittografici semplici: [x] XOR [k] = a con k chiave condivisa R -> T [x] XOR [k] = a con k chiave condivisa T [a] XOR [k] = x T [a] XOR [k] = x T -> R [f(X)] XOR [k] = b con f funzione qualsiasi T -> R [f(X)] XOR [k] = b con f funzione qualsiasi R [b] XOR [k] = f’(x) R [b] XOR [k] = f’(x) if f(x) = f(x() tag autenticated…! if f(x) = f(x() tag autenticated…! 32 UTV A.A. 2008/2009 RFID Security T [x] XOR [k1] = a con k1 e k2 chiavi random sincronizzate R -> T [x] XOR [k1] = a con k1 e k2 chiavi random sincronizzate T [a] XOR [k1] = x T -> R [x] XOR [k2] = b R [b] XOR [k2] = x’ if x’= x tag autenticated…! if x’= x tag autenticated…! Es. [‘Lightweight Authentication Protocols for low-cost RFID’ Protocols for low-cost RFID’ tags’. - I. Vajda & L. Buttyán ] tags’. - I. Vajda & L. Buttyán ]

34 - Minimalist Cryptography: prevede assenza totale di crittografia al prezzo di modesto prevede assenza totale di crittografia al prezzo di modesto incremento nelle capacità di memorizzazione dati nei tags. incremento nelle capacità di memorizzazione dati nei tags. re-labeling: rinomina periodicamente identificatori ID dei re-labeling: rinomina periodicamente identificatori ID dei tags, oppure assegna a ciascun tag un ‘set di etichette’ tags, oppure assegna a ciascun tag un ‘set di etichette’ utilizzate a rotazione. Riconoscimento garantito da database utilizzate a rotazione. Riconoscimento garantito da database dove risiedono corrispondenze etichette/tag. dove risiedono corrispondenze etichette/tag. (pseudonymus throttling) (pseudonymus throttling) tecnica di ‘oscuramento‘ dati limite nelle capacità di tecnica di ‘oscuramento‘ dati limite nelle capacità di memoria memoria 33 UTV A.A. 2008/2009 RFID Security

35 funzioni HASH: non invertibilità output (one-way function), limitante in procedure inverse di ‘crittoanalisi’ (riassume messaggio in stringa univoca di ‘bit’ di lunghezza prefissata (message digest)). a volte si aggiunge chiave singola condivisa (crittografia simmetrica) o coppia di chiavi, pubblica e privata (crittografia asimmetrica) aumentando livello di sicurezza. ‘private key’ deve rimanere segreta, non necessario che lo sia l’algoritmo crittografico (‘security without oscurity’). Claude Shannon dimostra in ‘Teoria dell’Informazione’ che solo uso di chiave random lunga quanto messaggio e utilizzata una sola volta rende sistema crittografico totalmente sicuro (Cifrario di Vernam), ma … oggettivi problemi di implementazione… Security Without Obscurity (sicurezza senza oscuramento) permette ‘test’ da parte di altri ricercatori (Principio di Kerckhoffs). a volte funzione di cifratura è tenuta segreta (quando chiave è corta e vulnerabile di attacchi computazionali ‘brute force’): ‘Security Throuht Obscurity’ UTV RFID Security A.A. 2008/2009

36 Crittografia simmetrica: problema gestione/scambio di chiave (key management) durante comunicazione forte rischio intercettazione. - ‘chiave singola’ memorizzata in tag/reader… - ‘collezione’ di chiavi’… problema gestione ‘chiavi multiple’… …appoggio a ‘database’ e ‘ricerca di chiavi’ (key search): es. T -> R E=fk[ID] R cerca in insieme K={ktj} di chiavi quella che applicata a f ottiene E. - miglioramento efficienza contro ‘brute force attacks‘ tramite approccio ‘ad albero’ (tree approach searching): (chiavi= nodi albero profondità d, tags = foglie) lettore lavora su d*b combinazioni (‘b’ grado diramazione albero) lettore falso opera su d^b combinazioni pari a n°totale tags UTV A.A. 2008/2009 RFID Security

37 - Crittografia simmetrica: ‘cifratori a blocco’ e ‘cifratori a flusso’… 3637 UTV A.A. 2008/2009 RFID Security DES (Data Encryption Standard) 64 bit di blocco, 56 bit chiave ‘Triple DES’ (DES reiterato 3 volte) AES (Advanced Encyption Standard) Sea (Scalable Encryption Algoritm) Tea (Tiny Encryption Algoritm) HIGH Clefia Grain Trivium Ecrypt Michey sicurezza aumenta aumentando lunghezza della chiave… (anti computational brute force attacks)

38 - Crittografia asimmetrica: doppia chiave (pubblica e privata): A invia a B la chiave pubblica ‘k’ per la cifratura, A decifra con la chiave privata ‘z’. (no ‘key management problem’…) Algoritmo RSA: sfrutta difficoltà problema della fattorizzazione del prodotto di due numeri primi molto grandi p1, p2. k= p1*p2 z= p1, p2 - complessità computazionale richiesta per numeri primi da 150 bit pari al lavoro di centinaia di migliaia di computer in un anno! maggiore robustezza chiave al ‘cracking’… 3738 UTV A.A. 2008/2009 RFID Security rischio attacco ‘Man in the Middle’….ma… (caso ‘firma digitale’ opposto)

39 - ‘robustezza’ misure preventive misurata da costo per la violazione (Cost to Break) = sforzo minimo computazionale per evidenziarne vulnerabilità. valutazione Protocolli tramite analisi critto-analitica valutazione Protocolli tramite analisi critto-analitica definendo ‘modello di avversario’ (adversary model) = tutte definendo ‘modello di avversario’ (adversary model) = tutte possibili azioni che avversario può compiere contro entità possibili azioni che avversario può compiere contro entità RFID e canali di comunicazione violando confidenzialità, RFID e canali di comunicazione violando confidenzialità, integrità e autenticazione. integrità e autenticazione. - sviluppi crittografia: ECC Crittografia a Curve Ellittiche… (più efficiente e minor complessità ECC Crittografia a Curve Ellittiche… (più efficiente e minor complessità hardware). hardware). Crittografia Quantistica… (non usata in RFID) Crittografia Quantistica… (non usata in RFID) 3839 UTV A.A. 2008/2009 RFID Security

40 - Protezione RF della comunicazione : ‘schermatura elettromagnetica’ segnali e dispositivi coinvolti ‘schermatura elettromagnetica’ segnali e dispositivi coinvolti confinandoli all’interno di spazio predefinito con materiale confinandoli all’interno di spazio predefinito con materiale schermante. (es. metalli) (Faraday’s cage approach) schermante. (es. metalli) (Faraday’s cage approach) uso a favore delle frequenze e del loro range operativo (non sempre uso a favore delle frequenze e del loro range operativo (non sempre desiderabile). desiderabile). regolazione ‘livello di potenza’ segnali in modo da limitare regolazione ‘livello di potenza’ segnali in modo da limitare possibilità ‘intercettazione passiva’ (non sempre possibile). possibilità ‘intercettazione passiva’ (non sempre possibile). salto random di frequenza (hopping). salto random di frequenza (hopping). more… more… 39 UTV RFID Security A.A. 2008/2009 Primo livello di difesa RFID Studio ‘campo di radiazione’ evita anche interferenze

41 - Protezione RF della comunicazione: saturazione ambiente RF con ‘noise signal RF’ a mezzo di opportuni dispositivi inibendo lettura dati da parte di terzi. (active jamming approach). nuovo approccio prevention: Guardian RFID. … 40 UTV rischio di ‘Denial of Service‘ (DoS) se utilizzati al rovescio da attaccanti. ma A.A. 2008/2009 RFID Security

42 Protezione RF della Comunicazione : - Protezione RF della Comunicazione : ‘Guardian RFID’: ‘Guardian RFID’: dispositivi che monitorano ambiente di trasmissione RF mettendosi in ascolto dispositivi che monitorano ambiente di trasmissione RF mettendosi in ascolto di lettori non autorizzati e agendo da ‘firewall’ con precise ‘politiche di di lettori non autorizzati e agendo da ‘firewall’ con precise ‘politiche di protezione’(proxying approach): protezione’(proxying approach): - blocco risposte tags con query sospette fuori degli ‘slot’ di ALOHA’ - blocco risposte tags con query sospette fuori degli ‘slot’ di ALOHA’ - blocco query nella prima metà non conformi con restante parte alterata per - blocco query nella prima metà non conformi con restante parte alterata per irriconoscibilità a tag irriconoscibilità a tag - rigetto risposte tags con tempi di risposta o livelli di potenza anomali. - rigetto risposte tags con tempi di risposta o livelli di potenza anomali. - controlli periodici tramite interrogazioni specifiche per corretto funzionamento - controlli periodici tramite interrogazioni specifiche per corretto funzionamento tags. tags. Meccanismo Autenticazione indiretto alternativo Meccanismo Autenticazione indiretto alternativo Approccio ibrido: coesistono ‘prevention’ e ‘detection’ Approccio ibrido: coesistono ‘prevention’ e ‘detection’ 41 UTV Catene produttive e gestione magazzino Catene produttive e gestione magazzino A.A. 2008/2009 RFID Security

43 disattivazione manuale tags tramite ‘switch’ (deactivation approach) (deactivation approach) rimozione antenna (se non embedded) rimozione antenna (se non embedded) irradiazione letale all’antenna irradiazione letale all’antenna diffusione falsi comandi (fault commands) per confondere diffusione falsi comandi (fault commands) per confondere hackers. hackers. 42 RFID Security A.A. 2008/2009 UTV - altre precauzioni … rischio ‘attacco fisico’ o ‘denial of service’ fisico’ o ‘denial of service’ se al rovescio… se al rovescio…

44 Detection: rilevazioni attacchi…: - Detection: rilevazioni attacchi…: anticipano la rimozione diretta dell’attacco una volta che anticipano la rimozione diretta dell’attacco una volta che minaccia è individuata. minaccia è individuata. garantisce adeguata sicurezza e a basso costo solo per garantisce adeguata sicurezza e a basso costo solo per attacchi di ‘cloning’ fisico (contraffazione’), ma non contro attacchi di ‘cloning’ fisico (contraffazione’), ma non contro ‘scanning’ e ‘eavesdropping’. ‘scanning’ e ‘eavesdropping’. 43 UTV A.A. 2008/2009 RFID Security approccio meno battuto di ‘prevention’ che invece rappresenta sfida ingegneristica. Uso in ‘catene produttive’ per ‘anticounterfeiting‘.

45 etodi di rilevazione… - Metodi di rilevazione… efficienza misurabile da probabilità di rivelazione minaccia efficienza misurabile da probabilità di rivelazione minaccia (tag contraffatto). (tag contraffatto). possono generare ’falsi allarmi’ qualora tag autentico è possono generare ’falsi allarmi’ qualora tag autentico è scambiato per ‘cloned’ o ‘impersonated’. scambiato per ‘cloned’ o ‘impersonated’. modello teorico valore netto atteso E di un attacco per modello teorico valore netto atteso E di un attacco per prefissate misure di sicurezza: prefissate misure di sicurezza: Pdet=probabilità rivelazione Pdet=probabilità rivelazione CtB=Cost to Break CtB=Cost to Break Ppun=probabilità punizione Ppun=probabilità punizione F=entità punizione F=entità punizione 44 UTV RFID Security A.A. 2008/2009 E=(1-Pdet)(L-CtB) – Pdet * Ppun(F+CtB)

46 etodi di rilevazione… - Metodi di rilevazione… si basano sulla ‘visibilità tracce’ lasciate dai tags leciti si basano sulla ‘visibilità tracce’ lasciate dai tags leciti per individuare tags clonati appena entrano in sistema RFID. per individuare tags clonati appena entrano in sistema RFID. presuppongono conoscenza ‘location tag’ con certo ID a presuppongono conoscenza ‘location tag’ con certo ID a tempo T. tempo T. non consentono localizzazione fisica esatta tag clonato, non consentono localizzazione fisica esatta tag clonato, ma solo rilevazione. ma solo rilevazione. possibilità di mancate letture/scansioni utili quindi possibilità di mancate letture/scansioni utili quindi possibile parziale fallimento ‘detection’… possibile parziale fallimento ‘detection’… copertura o malposizionamento tags, tempi lettura copertura o malposizionamento tags, tempi lettura troppo corti, collisioni in interfaccia RF, materiali troppo corti, collisioni in interfaccia RF, materiali assorbenti RF, sensibilità variabile tags. assorbenti RF, sensibilità variabile tags. 45 A.A. 2008/2009 RFID Security Cause: UTV

47 tecnicaprobabilistica… - tecnica di rilevazione probabilistica… modellazione stocastica ‘catena produttiva’ tramite ‘catena di modellazione stocastica ‘catena produttiva’ tramite ‘catena di Markov’. Markov’. eventi o stati coincidenti con rilevazione tags in un certo eventi o stati coincidenti con rilevazione tags in un certo punto (location) e al tempo T. punto (location) e al tempo T. valutazione ‘probabilità di transizione’ tra stato e un altro: valutazione ‘probabilità di transizione’ tra stato e un altro: se minore di una certa soglia, tag relativo a se minore di una certa soglia, tag relativo a transizione considerata è considerato ‘clonato’. transizione considerata è considerato ‘clonato’. consente superamento mancate letture/scansioni… consente superamento mancate letture/scansioni… 46 UTV A.A. 2008/2009 RFID Security

48 - metodo alternativo di rilevazione… sfrutta generatore numeri random (PNG e memoria tag sfrutta generatore numeri random (PNG e memoria tag riscrivibile: riscrivibile: database invia a tag numero random (syncronized secret) database invia a tag numero random (syncronized secret) conservato in memoria tag e database e utilizzato da database conservato in memoria tag e database e utilizzato da database come identificativo univoco del tag autentico in risposta a come identificativo univoco del tag autentico in risposta a query: query: se n°random di ritorno coincide con quello in se n°random di ritorno coincide con quello in memoria database il tag è autentico, altrimenti memoria database il tag è autentico, altrimenti scatta allarme di possibile falsificazione (cloning). scatta allarme di possibile falsificazione (cloning). - metodo semplice, ma efficace… - somiglia a ‘Syncronized Randomized Autentication Protocol’. 47 UTV A.A. 2008/2009 RFID Security

49 Misure per la Privacy: - Misure per la Privacy: misure protettive indirette stabilite da linee guida all’interno misure protettive indirette stabilite da linee guida all’interno di precise normative…: di precise normative…: natura ‘gestionale’ di controllo sui dati del sistema RIFD natura ‘gestionale’ di controllo sui dati del sistema RIFD anzichè controllo ‘tecnico’. anzichè controllo ‘tecnico’. ‘Bill of Rights’ (‘Bolla dei Diritti’): 1) Diritto consumatore di sapere quali oggetti taggati. 2) Diritto di rimozione o disattivazione tag in seguito ad acquisto prodotto. prodotto. 3) Diritto del consumatore di accedere ai dati associati ai tags. 4) Diritto di accesso ai servizi senza un necessità assoluta di tags. 5) Diritto di sapere quando, dove e perché i dati dei tags vengono acquisiti. acquisiti. 48 UTV A.A. 2008/2009 RFID Security ma indiretti….

50 - Misure per la Privacy: si preferiscono ‘controlli tecnici’ a ‘controlli gestionali’: integrazione meccanismi ‘Sicurezza & Privacy’: Autenticazione + anti ‘tracking location’… 49 UTV A.A. 2008/2009 RFID Security fare in modo che output tag cambi nel tempo e non sia tracciabile… Uso di schemi con generatori pseudorandom (PNG).

51 - Misure per la Privacy: approcci alla privacy…: ‘On tag Scheme’: agisce direttamente sul tag tramite protocolli di autenticazione implementati sul tag: - protocolli ‘hash lock based’ o autenticazione a ‘chiave pubblica’ (crittografia asimmetrica). maggiore complessità circuitale richiesta in implementazione e gestione chiave e dell’accesso. schema tra i più battuti perché offre migliori garanzie in termini di sicurezza. 50 UTV A.A. 2008/2009 RFID Security ma…

52 - Misure per la Privacy : approcci di protezione… : ‘Agent Scheme’: gestione Privacy delegata ad ‘agente privato’ esterno a sistema RFID ovvero tramite dispositivo che media comunicazione tag-reader…: uso di dispositivi ‘Guardian RFID’. ‘Blocker Tag’: agendo su ‘random tree walking’ simula gamma di ID rendendo impossibile riconoscimento singolo del tag a lettore spia (passive jamming approach): ‘Blocker Tag selettivo’ fornisce protezione solo a sottoinsieme di ID (privacy zone): necessità di query che richieda sottoalberi bloccati o ‘annuncio di politica‘ di protezione adottata. attraente per bassi costi implementativi (assenza di crittografia e costo unico tag) può essere usato al rovescio dagli attaccanti per attacco di ‘Denial of Service’ simulando identificatori multipli. 51 A.A. 2008/2009 RFID Security UTV

53 - Misure per la Privacy: approcci di protezione … ‘User Scheme’ : a sicurezza è delegata all’utente: è questo a dare al tag l’autorizzazione a diffondere i propri dati al lettore previo meccanismo di autenticazione tramite password fornita da utente stesso. coinvolge direttamente livello di consapevolezza utente che decide o meno per scansione secondo contesto mettendosi nel ruolo di inizializzatore comunicazione (controllo cognitivo-decisionale). autenticazione tramite meccanismo crittografico con uso di generatore pseudo-random e password condivisa tra lettore e tag simile per complessità e funzionamento a crittografia simmetrica. 52 A.A. 2008/2009 RFID Security UTV


Scaricare ppt "Anno Accademico 2008/2009 Università degli Studi di Roma "Tor Vergata" Relatore: Prof. Ing. Stefano Salsano Laureando: Lorenzo Fiori UTV 1 State of Art’"

Presentazioni simili


Annunci Google