Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung

Transkript

1 Lehrstuhl für Netzarchitekturen und Netzdienste Institut für Informatik Technische Universität München Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung Abschlussvortrag zur Masterarbeit Philipp Lowack Betreuer: Corinna Schmitt Heiko Niedermayer

2 Agenda Ausgangszustand Aufgabenstellung Meine Lösung: TinySAM Auswertung Resourcenverbrauch Sicherheitsanalyse Vergleich mit anderen Lösungen Zusammenfassung & Ausblick Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 2

3 Ausgangspunkt Heterogenes Sensornetz (TelosB, IRIS) Unterschiedlich leistungsfähige Hardware Unterstützung verschiedener Applikationen In-network Aggregation BA Benjamin Ertl TinyIPFIX BA Thomas Kothmayr Kommunikation über UDP ungesichert Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 3

4 Aufgabenstellung Sicherheitslösung für Sensor-Netzwerke Authentifizierung Vertrauchlichkeit Integritätsschutz Key-Management Hardwareunabhängig Ressourcenschonend IRIS 8kB RAM (1,3kB frei) 128kB ROM TelosB 10kB RAM (3,7kB frei) 48kB ROM Wiederverwendbar statt applikationsspezifisch Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 4

5 (D)TLS? DTLS ist möglich: MA Thomas Kothmayr TPM Chip (Atmel AT97SC3203S) 17.2 kb RAM, 61.6 kb ROM Asymmetrische Kryptographie = aufwändig PKI Struktur, Zertifikate, CRLs = viel Speicher Bietet zu viel nicht benötigte Flexibilität Viele Nachrichten für Handshake (~10) TinyDTLS Handshake: 2.6 kb Spezialisiertes Protokoll minimiert zusätzlichen Energieverbrauch verlängerte Lebensdauer des Knotens Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 5

6 Ziel der Masterarbeit Gesicherter Kommunikationskanal Nur symmetrische Kryptographie Dynamische P2P Unterstützung Key Management Applikationsunabhängig Leichte Integration neuer Knoten Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 6

7 Meine Lösung: TinySAM TinySAM tiny : für Sensornetze Secure communication support for Aggregation key Management Arbeitet auf Application Layer Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 7

8 TinySAM: Übersicht Zentraler Key-Server Jeder Knoten hat einen Hauptschlüssel Ist auch Key-Server bekannt Vor Datentransfer: Handshake zw. Knoten Involviert Key-Server Erzeugt und verteilt Session-Key an Knoten Datentransfer gesichert mit Session-Key Verschlüsselt Integritätsgeschützt Crypto-Modul ist austauschbar (Compilezeit) Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 8

9 TinySAM: Sitzungsaufbau Handshake: Otway-Rees Protokoll Modifiziert durch Abadi und Needham [1] [1] C. Boyd, A. Mathuria: Protocols for authentication and key establishment, 2003 Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 9

10 TinySAM: Datenübertragung Verschlüsselung: AES in Counter Mode Zufälliger Startwert Integritätsschutz: AES-CMAC Message-Counter => 19 Byte Overhead (hauptsächlich MAC) Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 10

11 TinySAM: Use-Case abhängige Knotenregistrierung Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 11

12 TinySAM: Resourcenverbrauch 6.5 kb ROM, ~1.5 kb RAM Handshake: ~100 ms, 168 Bytes Datentransfer: Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 12

13 Vergleich mit anderen Lösungen Vertraulichkeit Integritätsschutz TinySec Spins Ressourcen schonend MiniSec Key Management TinyDTLS SSL/TLS Sizzle Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 13

14 Vergleich mit anderen Lösungen Vertraulichkeit Integritätsschutz TinySec Spins Ressourcen schonend MiniSec Key Management TinySAM TinyDTLS SSL/TLS Sizzle Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 14

15 Zufallszahlen TinySAM: Sicherheitsanalyse (1) Relativ schwacher Zufallszahlengenerator auf Knoten Schlüssel-Generierung daher nur auf Key-Server Zufallszahlengenerator des Knoten nur für Noncen Schlüsseltausch: AN-Otway-Rees Protokoll Bietet: Authentifizierung, Key-Freshness Keine bekannten Schwachstellen Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 15

16 TinySAM: Sicherheitsanalyse (2) AES Standard Algorithmus Effizient implementierbar Counter Mode Keine Probleme mit Padding Zufälliger Initialisierungsvektor Immer gesichert mit MAC CMAC Verbessertes CBC-MAC, IETF Standard (z.b. IPsec) Für Nachrichten beliebiger Länge Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 16

17 Zusammenfassung Einfache, flexible Sicherheitslösung Bestehende Algorithmen AES, CMAC, AN-Otway-Rees Minimaler Footprint Wenige, leichtgewichtige Algorithmen Für Einsatz auf kleinen Knoten Geringer zusätzlicher Energieverbrauch Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 17

18 Ausblick Andere Chiffren Effizientere Algorithmen Authenticated encryption: Galois/Counter Mode (GCM) Verschiedene Ciphersuiten Zur Compilezeit wechselbar Einheitlich für gesamtes Netz Weitere Arten der Knotenregistrierung implementieren Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 18

19 Vielen Dank! Fragen? Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 19

20 Backup: Vergleich mit anderen Lösungen +: positiv?: unbekannt o: neutral : nicht unterstüzt -: negativ Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 20

21 Backup: Knoten Registrierung Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 21

22 Backup: Knoten programmieren Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 22

23 Backup: Schlüsseltausch Aggregator Log Collector: 0x08b6 (2230), 0x08ca (2250) Aggregator: 0x089b (2203) Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 23

24 Backup: Topologie Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 24

25 Backup: Nachrichtengröße RF Packet: 127 Byte (CC2420) MAC Header: 25 Byte TinyOS AM-Packet 10 Byte Header, 2 Byte CRC Footer => max. 90 Byte Payload 43 Byte IP Header (IPv6) => 57 Byte übirg für echte Payload Aber: TinyOS fragmentiert automatisch! Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 25