Protocolos de distancia limitada

Los protocolos de límite de distancia son protocolos de autenticación criptográficos basados en la determinación de la distancia entre las entidades que interactúan . El protocolo fue desarrollado por primera vez por Stefan Brands y David Chaum en 1993 [1] .

La idea principal es la confiabilidad del conocimiento del participante que prueba ("Prover"), al verificar la autenticidad de este conocimiento por parte del participante verificador ("Verificador") y la necesidad de que el participante que prueba esté a una distancia del verificador, no más que cierto [2] .

Estos protocolos permiten prevenir este tipo de ataques criptográficos a los sistemas RFID como: ataques de intermediarios ; un engaño llevado a cabo por la Mafia ; engaño realizado por terroristas; fraude a distancia [3] .

Descripción

Protocolo Brandson-Chaum

La idea del protocolo Brandson-Chaum de distancia limitada [1] se basa en el principio de “ llamada-respuesta ” . Que haya dos participantes: - la parte que prueba, que prueba su conocimiento del secreto. - la parte que confía que verifica la autenticidad de este secreto. Antes de intercambiar mensajes, las partes y generan una secuencia aleatoria de -bits, y respectivamente. El parámetro es un parámetro de protocolo secreto. Este protocolo se divide en dos partes: $PAGS$ $V$ $V$ $PAGS$ $k$ ${\ estilo de visualización \ alfa = (\ alfa _ {1},..., \ alfa _ {k})}$ ${\ estilo de visualización \ beta = (\ beta _ {1},..., \ beta _ {k})}$ $k$

En primer lugar, se producen intercambios de bits instantáneos: el lado, después de recibir un bit de , envía un bit de respuesta inmediatamente ("intercambio límite de distancia de bajo nivel"). $k$ $PAGS$ $\alpha_i$ $V$ ${\ estilo de visualización \ beta _ {i}}$

Luego envía un mensaje con su clave privada al lado . Luego, la parte que confía , utilizando el protocolo de identificación, verifica la autenticidad del secreto y también calcula la distancia ("distancia límite superior") entre los participantes , donde está el tiempo entre el envío de un bit y la recepción . $PAGS$ ${\displaystyle m=\alpha _{1}|\beta _{1}|...|\alpha _{k}|\beta _{k))$ $V$ $V$ $L=máx_{k}(t_{i})$ $t_{yo}$ $\alpha_i$ ${\ estilo de visualización \ beta _ {i}}$

Este protocolo evita que la mafia haga trampas con probabilidad . [cuatro] ${\frac{1}{2^{k))}$

Versión modificada del protocolo Brandson-Chaum

Al implementar el protocolo Brandson-Chaum, en el caso de que la parte sepa cuánto tiempo llegará el siguiente bit, el bit de respuesta se puede enviar a la parte por adelantado, cometiendo así un fraude con la distancia entre los participantes [1] . $PAGS$ $\alpha_i$ ${\ estilo de visualización \ beta _ {i}}$ $V$

Una forma de evitar esta trampa es cambiar accidentalmente la hora en que la parte envió el bit . $V$

Otra opción es una versión modificada del protocolo Brandson-Chaum que previene dos tipos de fraude a la vez. Como en la versión principal, ambos lados generan una secuencia aleatoria de bits. En los intercambios de bits instantáneos, el lado envía un bit al lado , a su vez, el lado envía un bit al lado . Después del intercambio, la parte debe enviar los bits con la clave secreta a la parte a través de un protocolo seguro. La parte verifica la igualdad y luego usa el protocolo de autenticación para validar el secreto. $k$ $k$ $V$ $\alpha_i$ $PAGS$ $PAGS$ ${\displaystyle m_{i}=\beta _{i}\oplus \alpha _{i))$ $V$ $PAGS$ ${\ estilo de visualización \ beta = (\ beta _ {1},..., \ beta _ {k})}$ $V$ $V$ $\beta _{i}=m_{i}\oplus \alpha _{i},\forall i={\overline {1,k))$

La desventaja del protocolo es que no maneja los errores asociados con la pérdida de un bit durante el intercambio. [5]

Protocolo Hanke-Kun

En 2005, Gerhard P. Hancke y Markus G. Kuhn [2] propusieron su propia versión del protocolo de distancia limitada, ampliamente utilizado en los sistemas RFID [6] .

Que haya dos partes: ("lector de RFID") y ("ficha de RFID"). La parte genera aleatoriamente una clave de un solo uso y la envía a la parte . Mediante una función pseudoaleatoria ( MAC o función hash criptográfica ) ambas partes generan una secuencia de bits: , donde , a es una clave secreta conocida por ambas partes. $V$ $PAGS$ $V$ $Nevada$ $PAGS$ ${\displaystyle h(k,N_{v})=R^{0}||R^{1))$ $R^{0}=(R_{1}^{0},...,R_{n}^{0}),R^{1}=(R_{1}^{1},. ..,R_{n}^{1})$ $k$

Después de eso, comienza una serie de intercambios de bits instantáneos entre las dos partes: un bit generado aleatoriamente por el lado ("respuesta") se envía al lado , mientras que si es un bit , entonces el lado devuelve un bit , de lo contrario, un bit . El lado verifica que el bit recibido sea igual a su bit , y también para cada uno calcula la distancia entre y , y verifica que , donde , es el tiempo entre intercambios de bits, es la velocidad de la luz, es un valor fijo. $norte$ $V$ $C_{yo}$ $PAGS$ ${\ estilo de visualización C_ {i} = 0}$ $PAGS$ ${\displaystyle R_{i}^{0))$ $R_{i}^{1}$ $V$ $R_{i}^{C_{i}}$ $i$ $d'$ $PAGS$ $V$ $d'<d$ $d'={\frac{c*t_{m}}{2}}$ $t_{m}$ $C$ $d$

Si la parte cumple con las condiciones, entonces el intercambio se considera exitoso. $V$

La probabilidad de un ataque por parte de una mafia realizada y un engaño a distancia al usar este protocolo es igual a . [cuatro] $\left({\frac {3}{4}}\right)^{n}$

Además, sobre la base de este protocolo, se creó el protocolo Tu-Piramuthu ( ing. Tu-Piramuthu ), que reduce la probabilidad de un ataque exitoso a (para el intercambio de un bit). [7] ${\frac {9}{16}}$

La desventaja del protocolo es la pérdida de rendimiento al transmitir un mensaje firmado, ya que debido a la posibilidad de pérdida de bits debido al ruido, el mensaje no puede enviarse a través de un canal de intercambio de bits rápido. [5]

Protocolo Munilla-Peinado

Para reducir la probabilidad de fraude, basándose en el protocolo Hanke-Kun, en 2008 Ortiz Munilla y Peinado [ 8] crearon su propia versión del protocolo de distancia limitada . La característica principal del protocolo es la capacidad de detectar un ataque durante el intercambio de bits [9] . El intercambio de bits se divide en dos categorías:

Un desafío completo es un intercambio de bits estándar.
Respuesta vacía ("desafío nulo"): no se produce ningún intercambio de bits.

Las partes y acuerdan de antemano en qué iteración se producirá una respuesta vacía. Si, durante una respuesta vacía, la parte recibe el bit o , entonces concluye que el protocolo no es confiable. $PAGS$ $V$ $PAGS$ ${\ estilo de visualización 0}$ $una$ $PAGS$

Antes del comienzo de la fase lenta, las partes comparten un secreto , obtienen una clave de protocolo secreta y una función pseudoaleatoria que produce una secuencia aleatoria de bits de tamaño y establecen un umbral de tiempo para un intercambio de un solo bit . $X$ $norte$ $H$ ${\ estilo de visualización 4n}$ ${\ estilo de visualización \ Delta t_ {máx})$

Además, en la fase lenta, las partes y después de generar claves de un solo uso y , respectivamente, intercambian estas claves para calcular . La secuencia resultante de bits se divide en una secuencia de tamaños de bits y un bit cada uno. El bit establece qué respuesta durante la fase rápida estará vacía o llena: si , o , entonces - una respuesta vacía, de lo contrario - una respuesta completa, donde . $PAGS$ $V$ $Notario público$ $Nevada$ $H^{4n}=H(x,N_{p},N_{v})$ ${\ estilo de visualización 4n}$ $R^{0}=(H_{1},...,H_{2n})$ $2n$ $R^{1}=(H_{2n+1},...,H_{3n})$ $R^{2}=(H_{3n+1},...,H_{4n})$ $norte$ $T_{yo}$ $H_{2i-1}H_{2i}=00$ ${\ estilo de visualización 01}$ $diez$ ${\ estilo de visualización T_ {i} = 0}$ ${\ estilo de visualización T_ {i} = 1}$ ${\displaystyle H_{2i-1}H_{2i}\subconjunto R_{0))$

Posteriormente, en la fase rápida, se produce un intercambio de bits similar, utilizando las secuencias y , como en el protocolo Hanke-Kun. En última instancia, si la parte considera que el protocolo es confiable, envía el archivo . $R_{1}$ $R_{2}$ $PAGS$ ${\ estilo de visualización H (x, R ^ {1}, R ^ {2})}$ $V$

La probabilidad de un criptoataque exitoso es . [ocho] $p=\left({\frac {5}{8}}\right)^{n}$

La desventaja del protocolo es la implementación compleja de los tres estados (físicos) del protocolo. [diez]

Protocolo Hitomi

En 2010, Pedro Peris-Lopez ( español : Pedro Peris-Lopez ), Julio Hernandez-Castro ( español : Julio C. Hernandez-Castro ) y otros crearon el protocolo Hitomi basado en el protocolo Swiss Knife [11] . El protocolo proporciona autenticación entre el lector y el transmisor y garantiza la confidencialidad [12] .

El protocolo se divide en 3 partes: dos fases lentas - preparatoria y final; y la fase rápida: un intercambio rápido de bits entre el lector (también conocido como ) y el transmisor (también conocido como ). $R$ $V$ $T$ $PAGS$

Durante la fase preparatoria , elige un número aleatorio y envenénalo a un lado . Después de eso, genera 3 números aleatorios , y calcula las claves temporales y , donde es una función pseudoaleatoria que depende de la clave secreta , y y dos parámetros constantes. Además, la clave secreta permanente se divide en dos registros y . Y al final de la fase, envía los números , , al lado . $R$ ${\ estilo de visualización N_ {R}}$ $T$ $T$ ${\ estilo de visualización N_ {T_ {1}}}$ ${\ Displaystyle N_ {T_ {2}}}$ ${\ Displaystyle N_ {T_ {3}}}$ $k_{1}=F_{x}(N_{R},N_{T_{1)),W)$ $k_{2}=F_{x}(N_{T_{2)),N_{T_{3)),W')$ ${\ estilo de visualización F_ {x} (\ bala)}$ $X$ $W$ $W'$ $X$ $R^{0}=k_{1}$ $R^{1}=k_{2}\oplus x$ $T$ $R$ ${\ estilo de visualización N_ {T_ {1}}}$ ${\ Displaystyle N_ {T_ {2}}}$ ${\ Displaystyle N_ {T_ {3}}}$

Luego viene la fase de intercambios de bits rápidos: en la iteración, genera un bit aleatorio y envenena , mientras fija el tiempo . La parte recibe bit , que puede no ser igual a bit , debido a errores en el canal de comunicación o interferencia de terceros. En respuesta, envía bit , e inmediatamente después de recibir bit , que no tiene por qué ser igual a , la parte fija el tiempo y calcula el tiempo . $norte$ $i$ $R$ $c_{yo}$ $T$ $t_{1}$ $T$ $c_{i}'$ $c_{yo}$ $T$ $r_{i}=R_{i}^{c_{i))$ $r_{i}'$ $Rhode Island}$ $R$ $t_{2}$ ${\displaystyle \Delta t_{i}=t_{2}-t_{1))$

En la fase final, envía un mensaje al lado también , donde está el identificador único del transmisor. En última instancia, desglosa los errores en tres tipos: $T$ $m=(c_{1}',...,c_{n}',r_{1}',...,r_{n}')$ $T_{B}=F_{x}(m,ID,N_{R},N_{T_{1)),N_{T_{2)),N_{T_{3))))$ $R$ ${\ ID de estilo de visualización}$ $R$

$c_{i}\neq c_{i}'$
$c_{i}=c_{i}'$ , pero $r_{i}\neq R_{i}^{c_{i))$
$c_{i}=c_{i}'$ , pero ${\displaystyle \Delta t_{i}>t_{máx})$

Si el número total de errores satisface las condiciones iniciales del lado y, si se requiere autenticación, el lado satisface el número recibido de , entonces el protocolo es confiable para el intercambio. $R$ $T$ $T_{A}=F_{x}(N_{R},k_{2})$ $R$

La probabilidad de un criptoataque realizado por una mafia o fraude a distancia . [cuatro] $p=\left({\frac {1}{2}}\right)^{n}$

Notas

↑ 1 2 3 Marcas, Chaum, 1994 .
↑ 12 Hancke , Kuhn, 2005 .
↑ Jannati, 2015 .
↑ 1 2 3 Brelurut, Gerault, Lafourcade, 2016 , p. Dieciocho.
↑ 1 2 Kim, Avoine, 2009 .
↑ Chong Hee Kim y otros, 2008 .
↑ Baghernejad, Bagheri, Safkhan, 2014 .
↑ 1 2 Munilla, Peinado, 2009 , p. 293-295.
↑ Avoine, Bingol et al , pág. 13-14.
↑ Chong Hee Kim y otros, 2008 , pág. 4-5.
↑ López, Castro, 2010 , p. 19-22.
↑ Abyaneh, 2011 .

Literatura

Brands S. A. , Chaum D. Distance-Bounding Protocols (inglés) : Resumen extendido // Avances en criptología - EUROCRYPT '93 : Taller sobre teoría y aplicación de técnicas criptográficas Lofthus, Noruega, 23 al 27 de mayo de 1993 Actas / T. Helleseth - 1 - Berlín : Springer Berlin Heidelberg , 1994. - P. 344-359. — 465 págs. — ISBN 978-3-540-57600-6 — doi:10.1007/3-540-48285-7_30
Revista internacional de protección de infraestructura crítica (inglés) - Elsevier BV . — vol. 11.- Págs. 51-61. — ISSN 1874-5482 ; 2212-2087
Progress in Cryptology - INDOCRYPT 2009 (inglés) : 10th International Conference on Cryptology in India, New Delhi, India, 13-16 de diciembre de 2009. Actas / B. Roy , N. Sendrier - Springer Berlin Heidelberg , 2009. - P. 293 -295. — ISBN 978-3-642-10627-9
Gerhard P. Hancke, Markus G. Kuhn. Un protocolo de límite de distancia RFID // SECURECOMM '05 Actas de la Primera Conferencia Internacional sobre Seguridad y Privacidad para Áreas Emergentes en Redes de Comunicaciones. — IEEE Computer Society Washington, DC, EE. UU., 2005. — págs. 67–73 . Archivado desde el original el 21 de octubre de 2016.
Chong Hee Kim, Gildas Avoine, Fran ̧cois Koeune, Fran ̧cois-Xavier Standaert, Olivier Pereira. El protocolo de límite de distancia RFID Swiss-Knife // Seguridad de la información y criptología - ICISC 2008. - Springer Berlin Heidelberg, 2008. - P. 98-115 .
Yu-Ju Tu, Selwyn Piramuthu. Protocolos de delimitación de distancia RFID // En el 1er taller internacional EURASIP en tecnología RFID, Viena, Austria. — 2007.
Chong Hee Kim, Gildas Avoine. Protocolo de límite de distancia RFID con desafíos mixtos para prevenir ataques de retransmisión // Universit ́e Catholique de Louvain Louvain-la-Neuve, B-1348, Bélgica. — 2009.
Fatemeh Baghernejad, Nasour Bagheri, Masoumeh Safkhan. Revista de innovaciones en ingeniería eléctrica e informática // JECEI, Vol.2, No.2. — 2014.
Pedro Peris-López, Julio C. Hernández-Castro, Christos Dimitrakakis, Aikaterini Mitrokotsa, Juan ME Tapiador. Arrojando luz sobre los protocolos de límite de distancia RFID y los ataques terroristas // Ciencias informáticas, criptografía y seguridad. — 2010.
Agnes Brelurut, David Gerault y Pascal Lafourcade. Encuesta sobre protocolos y amenazas de límite de distancia // Universidad de Clermont Auvergne, LIMOS, Francia. — 2016.
Gildas Avoine, Muhammed Ali Bingol, Suleyman Kardas, Cedric Lauradoux, Benjamin Martin. Un marco para analizar los protocolos de límite de distancia RFID .
Mohammad Reza Sohizadeh Abyaneh. Análisis de seguridad de dos protocolos de límite de distancia // 7º taller internacional, RFIDSec 2011, Amherst, EE. UU. — 2011.