Транспондер цифровой подписи

Транспондер (DST) компании Texas Instruments цифровой подписи (RFID) с криптографической поддержкой, представляет собой устройство радиочастотной идентификации используемое в различных приложениях беспроводной аутентификации. Наиболее крупные внедрения DST включают платежную систему Exxon-Mobil Speedpass (около 7 миллионов транспондеров), а также различные системы иммобилайзера транспортных средств, используемые во многих поздних моделях Ford. ^[1] Линкольн ^{[ нужна ссылка ]}, Меркурий ^{[ нужна ссылка ]}, Тойота, ^[2] Ниссан, Киа, ^[2] Хюндай ^[2] и Тесла ^[2] транспортные средства.

DST представляет собой «пассивный» транспондер без питания, который использует собственный блочный шифр для реализации протокола аутентификации «запрос-ответ» . ^[3] Каждый тег DST содержит определенное количество энергонезависимой оперативной памяти , в которой хранится 40-битный ключ шифрования. Этот ключ используется для шифрования 40-битного запроса, отправленного считывателем, создавая 40-битный зашифрованный текст , который затем усекается для получения 24-битного ответа, передаваемого обратно считывателю. Верификаторы (которые также обладают ключом шифрования) проверяют этот запрос, вычисляя ожидаемый результат и сравнивая его с ответом тега. Ключи шифрования транспондера программируются пользователем с использованием простого беспроводного протокола. После правильного программирования транспондеры можно «заблокировать» с помощью отдельной команды, что предотвращает дальнейшие изменения значения внутреннего ключа. ^[4] Каждый транспондер имеет заводской 24-битный серийный номер и 8-битный код производителя. Эти значения фиксированы и не могут быть изменены, если транспондер заблокирован.

Шифр DST40

До 2005 года шифр DST ( DST40 ) был коммерческой тайной компании Texas Instruments и предоставлялся клиентам по соглашению о неразглашении. Эта политика, вероятно, была введена из-за нестандартной конструкции шифра и небольшого размера ключа , что делало его уязвимым для перебора ключей. В 2005 году группа студентов из Института информационной безопасности Университета Джонса Хопкинса и лабораторий RSA осуществила реверс-инжиниринг шифра, используя недорогой оценочный комплект Texas Instruments, с помощью схем шифра, утекших в Интернет, и методов черного ящика. ^[1] (т.е. опрос транспондеров через радиоинтерфейс, а не их разборку для проверки схемы). Как только конструкция шифрования стала известна, команда запрограммировала несколько устройств FPGA для выполнения поиска ключей методом перебора на основе известных пар запрос/ответ. Используя одно устройство FPGA, команде удалось восстановить ключ из двух известных пар запрос/ответ примерно за 11 часов (средний случай). Используя массив из 16 устройств FPGA, они сократили это время до менее чем одного часа. Кроме того, исследователи из COSIC исследовательской группы Левенского университета реализовали атаку с компромиссом между временем и памятью объемом 5,6 ТБ , для которой необходимо предварительно вычислить таблицу поиска , после чего ключ можно восстановить за две секунды с помощью Raspberry Pi 3B прослушивая , два пары «вызов-ответ». ^[4]

DST40 — это 200-раундовый несбалансированный шифр Фейстеля , в котором L0 — 38 бит, а R0 — 2 бита. Расписание ключей представляет собой простой регистр сдвига с линейной обратной связью , который обновляется каждые три раунда, что приводит к появлению некоторых слабых ключей (например, нулевого ключа). Хотя шифр потенциально обратим, протокол DST использует только режим шифрования. При использовании в протоколе с 40–24-битным усечением вывода результирующий примитив более точно описывается как код аутентификации сообщения, а не как функция шифрования. Хотя усеченный блочный шифр представляет собой необычный выбор для такого примитива, эта конструкция имеет преимущество, заключающееся в точном ограничении количества коллизий для каждого отдельного значения ключа.

Шифр DST40 — один из наиболее широко используемых несбалансированных шифров Фейстеля.

Шифр DST80

В ответ на открытие того, что размер ключа, используемый в DST40, слишком мал, чтобы остановить атаки методом перебора , компания TI разработала шифр DST80 , размер ключа которого составляет 80 бит. Однако задачи по-прежнему имеют размер 40 бит. Поскольку, как и его предшественник, документация DST80 также никогда не была опубликована, исследователям из COSIC исследовательской группы Университета Левена удалось извлечь прошивку нескольких реализаций иммобилайзера автомобиля и провести реверс-инжиниринг шифра на основе этих реализаций. ^[2] В дополнение к криптоанализу DST80 они также обнаружили атаку по побочному каналу , которую также можно использовать для извлечения криптографических ключей.

DST80 по-прежнему представляет собой несбалансированную сеть Фейстеля на 200 раундов. ^[2] с теми же значениями для L0 и R0. Расписание ключей, которое теперь обновляется каждый раунд и использует 80-битные ключи, по-прежнему основано на LFSR. Хотя это исправит атаку методом перебора, использованную против DST40, проблема слабых ключей все еще сохраняется. Более того, некоторые производители неправильно настроили ^[2] их транспондеры на базе DST80 снижают безопасность всей системы от атак методом перебора практически до уровня, не превышающего уровень безопасности DST40 (понижение с 2 ⁸⁰ до 2 ⁴¹). Более того, поскольку некоторые производители (Kia, Hyundai и Toyota) использовали легко угадываемые ключи с низкой энтропией , верхняя граница часто оказывается еще ниже. Наконец, его реализация уязвима для атак по побочным каналам. ^[2]

Реакция и исправления

Неясно, были ли устранены угрозы безопасности систем иммобилайзера на базе DST и системы Exxon-Mobil Speedpass. Вполне возможно, что в эти системы были добавлены более безопасные транспондеры или были приняты дополнительные меры для защиты от уязвимостей. Пользователям этих систем важно продолжать проявлять бдительность, защищая свои ключи транспондеров, и тщательно проверять свои счета Speedpass на предмет любых признаков мошенничества. Использование металлических экранов также может обеспечить дополнительную защиту от несанкционированного сканирования меток DST. Пользователям рекомендуется быть в курсе безопасности этих систем и принимать необходимые меры предосторожности, чтобы защитить себя.

Ссылки

^ Jump up to: ^а ^б Боно, Стивен С.; Грин, Мэтью; Стабблфилд, Адам; Джулс, Ари; Рубин, Авиэль Д.; Шидло, Майкл (август 2005 г.). «Анализ безопасности RFID-устройства с криптографической поддержкой» (PDF) . Материалы симпозиума по безопасности USENIX .
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Воутерс, Леннерт; Ван ден Херревеген, Ян; Гарсия, Флавио Д.; Освальд, Дэвид; Гирлихс, Бенедикт; Пренил, Барт (2020). «Демонтаж системы иммобилайзера на базе DST80» . Транзакции IACR на криптографическом оборудовании и встроенных системах . 2020 (2): 99–127. дои : 10.13154/tches.v2020.i2.99-127 . S2CID 212671625 .
^ Кайзер, Ульрих (2008). «Транспондер цифровой подписи». RFID-безопасность : 177–189. дои : 10.1007/978-0-387-76481-8_8 . ISBN 978-0-387-76480-1 .
^ Jump up to: ^а ^б Воутерс, Леннерт; Марин, Эдуард; Ашур, Томер; Гирлихс, Бенедикт; Пренил, Барт (2019). «Быстро, яростно и небезопасно: системы пассивного входа и запуска без ключа в современных суперкарах» . Транзакции IACR на криптографическом оборудовании и встроенных системах . 2019 (3): 66–85. дои : 10.13154/tches.v2019.i3.66-85 . S2CID 173992130 .

[dst40-1] Jump up to: ^а ^б Боно, Стивен С.; Грин, Мэтью; Стабблфилд, Адам; Джулс, Ари; Рубин, Авиэль Д.; Шидло, Майкл (август 2005 г.). «Анализ безопасности RFID-устройства с криптографической поддержкой» (PDF) . Материалы симпозиума по безопасности USENIX .

[dst80-2] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Воутерс, Леннерт; Ван ден Херревеген, Ян; Гарсия, Флавио Д.; Освальд, Дэвид; Гирлихс, Бенедикт; Пренил, Барт (2020). «Демонтаж системы иммобилайзера на базе DST80» . Транзакции IACR на криптографическом оборудовании и встроенных системах . 2020 (2): 99–127. дои : 10.13154/tches.v2020.i2.99-127 . S2CID 212671625 .

[rfidsec-3] Кайзер, Ульрих (2008). «Транспондер цифровой подписи». RFID-безопасность : 177–189. дои : 10.1007/978-0-387-76481-8_8 . ISBN 978-0-387-76480-1 .

[pkes-4] Jump up to: ^а ^б Воутерс, Леннерт; Марин, Эдуард; Ашур, Томер; Гирлихс, Бенедикт; Пренил, Барт (2019). «Быстро, яростно и небезопасно: системы пассивного входа и запуска без ключа в современных суперкарах» . Транзакции IACR на криптографическом оборудовании и встроенных системах . 2019 (3): 66–85. дои : 10.13154/tches.v2019.i3.66-85 . S2CID 173992130 .

[1]

[2]

[3]

[4]