Kryptografie in UHF Tags Aktueller DIN-Vorschlag zur Standardisierung einer Crypto-Suite

Transkript

1 Aktueller DIN-Vorschlag zur Standardisierung einer Crypto-Suite Klaus Finkenzeller, Katharina Schulz, Dr. Walter Hinz 16. Mai 2013

2 Agenda UHF RFID - Zum Stand der Technik Stand der Standardisierung Rabin-Montgomery Kryptosystem Prototypische Implementierung Zusammenfassung und Ausblick Seite 2

3 Induktive und radiative RFID Systeme Seite 4

4 Secure UHF RFID Kryptografische Absicherung für UHF RFID Systeme ermöglicht neue Anwendungen. Stand heute: ISO/IEC 14443: RF 13,56 MHz: Smart Card OS, 10 cm ISO/IEC : UHF 868 MHz: Unsicherer Speicher, 10 m Secure UHF RFID: Kryptografische Absicherung bei gleicher Reichweite Technologiesprung μc mit Secure OS Flexibilität bei der Auswahl der Krypto-Protokolle Sicherheit HF SCOS Stromverbrauch x50 Secure UHF Technologie UHF memory Kommunikationsreichweite Seite 5

5 Mögliche Angriffe auf RFID Systeme Spoofing Skimming DoS Destroy Shield Detune Change Copy Clone Contactless Reader Interface Transponder Data tagged tagged object object Application Jamming Malicious code RFID-Virus Relay attack Eavesdropping Tracing Detach from object Seite 6

6 Agenda UHF RFID - Zum Stand der Technik Stand der Standardisierung Rabin-Montgomery Kryptosystem Prototypische Implementierung Zusammenfassung und Ausblick Seite 7

7 ISO/IEC Crypto Suites Bisherige Beiträge Norm Crypto Suite Projekt-Editor Status / Ballot *) ISO/IEC AES128 NL 2 nd CD ISO/IEC PRESENT 80 BE DIS ISO/IEC ECC-DH AT CD ISO/IEC GRAIN 128 US WD ISO/IEC AES128-OFB KR CD ISO/IEC XOR CN WD ISO/IEC ECDSA-ECDH CN 2 nd CD ISO/IEC GPS FR 2 nd CD ISO/IEC Humming Bird 2 US NP: WD ISO/IEC RAMON DE NP: WD *) Stand: 22. April Seite 8

8 Agenda UHF RFID - Stand der Technik Stand der Standardisierung Rabin-Montgomery Kryptosystem Prototypische Implementierung Zusammenfassung und Ausblick Seite 9

9 Die RAMON Crypto Suite RAMON basiert auf dem Rabin-Kryptosystem, kombiniert mit dem Montgomery- Verfahren, und verwendet folgende Schlüssel: Öffentlicher Verschlüsselungsschlüssel K E auf dem Transponder gespeichert Geheimer Entschlüsselungsschlüssel K D auf Leser-Seite gespeichert Optionales ECDSA Signaturschlüsselpaar {K s, K V } Statische Secure Channel Schlüssel K ENC, K MAC Secure Channel Sitzungsschlüssel S ENC, S MAC Die Crypto Suite ermöglicht: Sichere Tag-Identifikation durch das Rabin-Montgomery Verfahren Randomisierung der Tag-UII (EPC) verhindert weiteres Tracing/Tracking AES-basierte gegenseitige Authentisierung und Generierung von Sitzungsschlüsseln für sichere Kommunikation Seite 10

10 Rollen, Komponenten und Informationsflüsse 6 store 1 System Integrator Generate {K D, K E } 2 Tag IDs, K E 5 (Signed) Tag IDs, (K V ) 3 Tag Issuer Generate {K S, K V } Sign Tag IDs with K S 4 store Secure storage List of (signed) Tag IDs Signature verification key (public) K V Secure storage RAMON decryption key (private) K D RAMON Encryption key (public) K E 7 (Signed) Tag ID, K E List of (signed) Tag IDs RAMON encryption key (public) K E Signature verification key (public) K V Signature generation key (private) K S verify User Memory 10 Interrogator 8 RAMON Tag 7 store / retrieve 9 (Signed) Tag ID RAMON Encryption key (public) K E optionale Schritte und Komponenten n Schritt n im Informationsfluß Seite 11

11 Das Rabin-Kryptosystem Die Sicherheit des Rabin-Verfahrens beruht auf dem Faktorisierungsproblem. Verschlüsselung: Entschlüsselung: m m Nachricht M C M modn Chiffretext C: Leser Tag p q 4 C mod p C q 4 C mod q C Eine der vier Quadratwurzeln r, s ist der Klartext M 2 p 1 1 mod p mod q y Öffentlicher Schlüssel n n = p * q p p y q q 1 Geheimer Schlüssel p, q p, q prim p q 3 (mod 4) r ( y p p mq yq q m p ) mod n r n r s ( y p p mq yq q m p ) mod n s n s Seite 12

12 Modulare Montgomery-Multiplikation Der Montgomery-Ansatz erlaubt effiziente Durchführung der Verschlüsselung auf dem Transponder. Verschlüsselung: Nachricht M C M R * 2 1 Chiffretext C * : Leser Tag mod n Öffentlicher Schlüssel n n = p * q Geheimer Schlüssel p, q p, q prim p q 3 (mod 4) C C R mod n Konversion: ( M R * 2 1 Entschlüsselung (vorh. Folie) ) R mod n k Für Residuum R gilt R 2 n R ist eine Zweierpotenz, größer als und teilerfremd zu n. bl nd n 1 mod 2 ; 1 nd d ; nd d Seite 13

13 RAMON Protokollschritte Tag-Identifikation Interrogator Tag {Database, K D, K V } {(signed) Tag ID, K E } Generate random challenge CH CH Generate random number RN Decrypt: P = DEC (K D,R) CH, RN, Tag ID R Generate Response: R = ENC (K E,MIX(CH,RN,Tag ID)) Verify Signature of Tag ID Tag identified or authenticated optionaler Schritt Seite 14

14 Protokollerweiterung um gegenseitige Authentisierung Interrogator Tag Algorithm State Generate rand. challenge CH Decrypt Verify Signature of Tag ID CH I R T Generate rand. number RN Generate Response R Rabin-Montgomery (cipher) (1) Tag Identification Generate challenge CH Generate cryptogram Verify tag cryptogram If successful: Generate Session Keys, Initialise SSC C I C T Decrypt and verify cryptogram If successful: Generate Session Keys, Initialise SSC Generate tag cryptogram AES CBC (cipher) CMAC (MAC) SP KDF counter mode (key derivation) (2) Mutual Authentication Secure Channel established Secure Channel established AES CBC (enc, dec) CMAC (MAC) (3) SC Seite 16

15 Agenda UHF RFID - Stand der Technik Stand der Standardisierung Rabin-Montgomery Kryptosystem Prototypische Implementierung Zusammenfassung und Ausblick Seite 18

16 Secure-UHF Demonstrator Soft-core Microcontroller, MSP430X-kompatibel AES Coprocessor Hardware-Multiplier Handelsüblicher RFID-Leser und Tag mit Analog Front End FPGA Evaluation Board mit externer Energieversorgung Nachimplementierter ISO Zustandsautomat und Tagspeicher Seite 19

17 Zusammenfassung und Ausblick RAMON kombiniert Vorteile des Rabin-Verfahrens mit der Montgomery- Multiplikation Datenübertragung und Verschlüsselung werden parallel ausgeführt Sichere Tag-Identifikation, Schutz vor Tracking/Tracing Handelsübliche RFID-Leser können verwendet werden Kombiniert mit einem Verfahren für symmetrische gegenseitige Authentisierung Nächste Schritte: Ende 2014 Veröffentlichung des Standards Entwicklung eines RAMON UHF Chips in Zusammenarbeit mit Hardware-Herstellern Seite 20

18 Vielen Dank für Ihre Aufmerksamkeit! Katharina Schulz Giesecke & Devrient Mobile Security Secure Devices Tel: Fax: Seite 21

19 Historie der Standardisierung Basisstandard ISO/IEC Type A und Type B EPCglobal Class 1 und Class ECPglobal Class 1 Gen ISO/IEC Type C EPCglobal C1G2 V EPCglobal C1G2 V1.2.0 ISO/IEC Type C:2010 Sicherheits-Standard 2008 NWIP für Sicherheit in RFID 2009 Gründung WG7 im SC EPCglobal nimmt Arbeit an Sicherheitsthemen auf 2011 SC31 nimmt den EPCglobal AI Beitrag in ISO/IEC REV1 auf 2011 WG7 bittet um Beiträge zu Crypto Suites Seite 22

20 Randomisierung der Tag-UII verhindert Tracing/Tracking Der EPC geht zurück auf ECPglobal Class 1 Gen2 UHR RFID Standard. ISO/IEC verwendet die Bezeichnung UII (Unique Item Identifier) Einfaches Auslesen des UII durch Select, ACK und Read Kommandos. Gewöhnlicher 96 Bit EPC Randomisierter 96 Bit EPC Seite 23