Study and Design of a Security Architecture for Wireless Personal Area Networks

Transcription

1 KATHOLIEKE UNIVERSITEIT LEUVEN FACULTEIT INGENIEURSWETENSCHAPPEN DEPARTEMENT ELEKTROTECHNIEK ESAT Kasteelpark Arenberg 10, 3001 Leuven-Heverlee Study and Design of a Security Architecture for Wireless Personal Area Networks Promotor: Prof. Dr. Ir. Bart Preneel Proefschrift voorgedragen tot het behalen van het doctoraat in de ingenieurswetenschappen door Dave SINGELEE December 2008

2

3 KATHOLIEKE UNIVERSITEIT LEUVEN FACULTEIT INGENIEURSWETENSCHAPPEN DEPARTEMENT ELEKTROTECHNIEK ESAT Kasteelpark Arenberg 10, 3001 Leuven-Heverlee Study and Design of a Security Architecture for Wireless Personal Area Networks Examencommissie: Prof. Georges Van der Perre, voorzitter Prof. Bart Preneel, promotor Prof. Chris Mitchell (RHUL) Prof. Frank Piessens Prof. Joos Vandewalle Prof. Ingrid Verbauwhede Prof. Patrick Wambacq Proefschrift voorgedragen tot het behalen van het doctoraat in de ingenieurswetenschappen door Dave SINGELEE U.D.C *D46 December 2008

4 c Katholieke Universiteit Leuven Faculteit Ingenieurswetenschappen Arenbergkasteel, B-3001 Heverlee (Belgium) Alle rechten voorbehouden. Niets uit deze uitgave mag vermenigvuldigd en/of openbaar gemaakt worden door middel van druk, fotocopie, microfilm, elektronisch of op welke andere wijze ook zonder voorafgaande schriftelijke toestemming van de uitgever. All rights reserved. No part of the publication may be reproduced in any form by print, photoprint, microfilm or any other means without written permission from the publisher. D/2008/7515/125 ISBN

5 Acknowledgements It is a pleasure for me to thank all the people who have helped me to realize this Ph.D. thesis. First, I want to thank Prof. Bart Preneel for giving me the opportunity to start a Ph.D. at COSIC and for being the promotor of my thesis. I strongly appreciate his support, guidance and advice during the years of my Ph.D. Bart is also especially thanked for carefully reading earlier drafts of this thesis and providing helpful comments and suggestions to improve this doctoral thesis. I am very grateful to Prof. Chris Mitchell, Prof. Frank Piessens, Prof. Joos Vandewalle, Prof. Ingrid Verbauwhede and Prof. Patrick Wambacq for agreeing to serve as jury members, and to Prof. Georges Van der Perre for chairing the jury. A big thanks goes to all my past and current COSIC colleagues for their friendliness and help. In particular, I would like to thank my former COSIC fellow Stefaan Seys for his friendship and our interesting joint work on wireless network security. Special thanks goes to Joris Claessens for being the supervisor of my master s thesis and giving me helpful advice at the start of my Ph.D. I thank, among others, Stefaan Seys, Robert Maier, Dries Schellekens, Zhiguo Wan and Joris Claessens for their collaboration during several research and industrial projects. I would also like to thank my past and current colleagues Stefaan Seys, Robert Maier, Thomas Herlea, Wouter Castryck, Li Weng, Josep Balasch and Roel Peeters for the enjoyable time we spent in office Péla Nöe deserves a big thank for her support, the help with my paperwork and all other practical matters. I also thank Péla for her enthusiasm, and for making my time here in COSIC very enjoyable. I would like to thank Elvira Wouters for her patience and for doing the necessary background paperwork. I also want to acknowledge the K.U.Leuven, the Flemish institute IBBT and the Institute for the Promotion of Innovation by Science and Technology in Flanders (IWT) for funding my research work. A word of thanks goes to my good friends for their support and to move my thoughts away from work when needed. Last but of course not least, I want to thank my parents and family for their iii

6 support and encouragement. Very special thanks goes to my girlfriend Hellen for her love, motivation and enthusiasm, and with whom I hope to have a long and happy future. Dave Singelée Leuven, December 2008 iv

7 Abstract Communication between mobile devices allows them to work together and augments their functionality. This idea resulted in the concept of a Wireless Personal Area Network (WPAN). Supporting security and privacy are essential before these networks can become an everyday reality. Without the necessary countermeasures, wireless communications are easy to intercept and modify, and the activities of users can be traced. Moreover, the specific properties of WPANs present interesting challenges when designing security and privacy solutions in this environment. In this doctoral thesis, we present several solutions for a number of important security and privacy problems in WPANs. The thesis starts with an overview of the most common techniques to construct an out-of-band channel, a building block used in pairing protocols, and the essential part to securely bootstrap key establishment protocols in a WPAN. This doctoral thesis presents two efficient pairing protocols, and discusses their main (security) properties. Distance bounding protocols enable a verifying party to determine an upper bound on the distance between itself and a prover, who claims to be within a certain range. This thesis discusses the cryptographic and physical design principles that have to be taken into account to design a secure distance bounding protocol, and presents some interesting applications of distance bounding protocols. As distance bounding protocols are conducted over noisy wireless ad hoc channels, they should be designed to cope well with substantial bit error rates during the rapid single bit exchanges. This thesis presents the noise resilient MAD protocol and compares its performance to the Hancke Kuhn protocol for both moderately low and relatively high bit error rates. The results of this analysis help to choose the appropriate design parameters. Finally, the thesis deals with location privacy in WPANs. Several communication scenarios for WPAN are presented and for each of these scenarios, practical techniques that make use of temporary pseudonyms are proposed. To analyze and evaluate these solutions and other techniques that have been proposed in the literature, this doctoral thesis presents a formal model of location privacy for WPAN. v

8 vi

9 Samenvatting Draadloze communicatie tussen mobiele toestellen maakt het mogelijk om deze apparaten te laten samenwerken en hun functionaliteit te verhogen. Dit idee heeft geresulteerd tot het concept van een draadloos Personal Area netwerk (WPAN). Vooraleer dergelijke netwerken op grote schaal ingezet kunnen worden, zal men echter de nodige maatregelen moeten voorzien om de beveiliging en privacy van de gebruikers te kunnen garanderen. Zonder extra maatregelen is het immers eenvoudig om draadloze communicatie te onderscheppen en aan te passen, en om de activiteiten van gebruikers te traceren. Het ontwerp van dergelijke beveiligingsmaatregelen wordt echter bemoeilijkt door de specifieke eigenschappen van draadloze Personal Area netwerken. Dit resulteert ook in een boeiend en uitdagend onderzoeksdomein. Deze doctoraatsthesis richt zich vooral op het oplossen van een aantal belangrijke beveiligings- en privacy problemen in draadloze Personal Area netwerken. De thesis begint met een overzicht van de voornaamste technieken om een extra veilig kanaal te creëren, een bouwblok die vooral gebruikt wordt in pairing protocols. Het is een essentieel onderdeel om sleutelovereenkomst protocols in een WPAN op een veilige manier te initializeren. Deze doctoraatsthesis stelt twee efficiënte pairing protocols voor, en bespreekt hun voornaamste (beveiligings) eigenschappen. Afstandsgebonden protocols (distance bounding protocols) zorgen ervoor dat een entiteit een bovengrens kan bepalen op de afstand tussen zichzelf en een andere entiteit, die beweert zich binnen een bepaald bereik te bevinden. Deze thesis bespreekt de cryptografische en fysische ontwerp principes die nodig zijn om een veilig distance bounding protocol te ontwerpen. Vervolgens worden enkele interessante toepassingen van dergelijke protocols besproken. Aangezien distance bounding protocols over een ad hoc kanaal met ruis uitgevoerd worden, moeten ze op een zodanige manier ontworpen worden dat ze bestand zijn tegen bitfouten die plaatsvinden gedurende snelle bituitwisselingen. Deze thesis stelt het ruisbestendige MAD protocol voor, en vergelijkt zijn performantie met dit van het Hancke Kuhn protocol, en dit zowel in het geval van een relatieve lage als dat van een relatief hoge bitfoutkans. De resultaten van deze vii

10 analyse dragen bij tot de keuze van de optimale ontwerpparameters voor beide ruisbestendige distance bounding protocols. Tenslotte handelt deze thesis ook over locatie privacy in draadloze Personal Area netwerken. Verschillende communicatie scenarios worden voorgesteld, en voor ieder van deze scenarios worden praktische oplossingen besproken die gebruik maken van tijdelijke pseudoniemen. Om deze en andere oplossingen die in de literatuur voorgesteld zijn te analyseren en te evalueren, wordt er in deze doctoraatsthesis een formeel model voor locatie privacy opgesteld. viii

11 Studie en Ontwerp van een Beveiligingsarchitectuur voor Draadloze Personal Area Netwerken Nederlandse samenvatting Hoofdstuk 1: Inleiding De miniaturisatie van computersystemen verloopt tegen een zeer hoog tempo. Deze systemen, ontstaan in het midden van de vorige eeuw, zijn geëvolueerd van dure computers die een volledig lokaal opvullen tot zeer goedkope, compacte, draagbare toestellen. Typische voorbeelden zijn digitale camera s, mobiele telefoons, GPS-ontvangers, PDA s, draagbare computers,... In plaats van ieder van deze toestellen apart te gebruiken, kan men ze draadloos laten communiceren en samenwerken om de functionaliteit te verhogen. Op een dergelijke manier kan een toestel zijn diensten aanbieden aan de andere apparaten in het netwerk. Dit resulteert tot het concept van een draadloos Personal Area netwerk (WPAN). Een WPAN is een kleinschalig, heterogeen, draadloos ad hoc netwerk dat verschillende draadloze toestellen met elkaar verbindt. Het bereik is typisch beperkt tot enkele meters, en het netwerk is vaak gecentreerd rond één gebruiker die de draadloze toestellen bedient. De meest gebruikte communicatietechnologieën zijn Bluetooth en ZigBee. Draadloze Personal Area netwerken zijn initieel ontwikkeld om de hoeveelheid draden (nodig om toestellen met elkaar te verbinden) tot een minimum te ix

12 beperken. Er zijn echter een heel aantal andere toepassingen. Een WPAN wordt tegenwoordig reeds vaak gebruikt om een mobiele telefoon met een computer te synchroniseren, of om handenvrij te telefoneren. Men kan deze technologie ook gebruiken om toestellen in een auto draadloos met elkaar te verbinden (bv. een netwerk tussen de GPS-ontvanger, de mobiele telefoon, een DVD speler en verscheidene schermen in de auto). Draadloze Personal Area netwerken maken ook hun intrede in de medische sector. Een interessant voorbeeld is de creatie van een draadloos netwerk tussen de mobiele telefoon van een gebruiker en zijn hoorimplantaat. Een dergelijke verbinding via kabels realiseren zou niet gebruiksvriendelijk zijn. Bovenstaand overzicht is echter niet exhaustief, er zijn nog vele andere toepassingen van WPAN. Omdat het relatief eenvoudig is om draadloze communicatie ongedetecteerd te onderscheppen, speelt de beveiliging van deze netwerken een cruciale rol in de ontwikkeling ervan. De beveiliging van draadloze Personal Area netwerken is echter niet vanzelfsprekend omwille van verschillende redenen. Ten eerste zijn de draagbare toestellen in een WPAN vaak beperkt in rekencapaciteit, geheugen en energievoorraad. Dit heeft tot gevolg dat de beveiligingsmechanismen zo efficiënt mogelijk moeten zijn en dat de communicatiekost tot een minimum beperkt moet worden. Doordat mobiele toestellen batterijgevoed zijn, zijn mobiele toestellen zeer onderhevig aan aanvallen die het netwerk (gedeeltelijk) onbeschikbaar maken (de zogenaamde Denial of Service attacks). Een tweede probleem is dat draadloze Personal Area netwerken meestal autonoom werken, en dat er bijgevolg geen beroep kan gedaan worden op vaste knopen in het netwerk (bv. key servers of certification authorities) om sleutels te verdelen of af te spreken. Hierdoor zijn de meeste traditionele beveiligingsmechanismen (voor het afspreken van sleutels) niet van toepassing in een WPAN. Ten slotte wordt de beveiliging ook bemoeilijkt door de dynamisch variërende netwerk topologie. Men kan er niet op rekenen dat een bepaald toestel op een specifiek moment beschikbaar zal zijn in het netwerk. Het apparaat kan immers uitgeschakeld zijn (om energie te besparen), of buiten het bereik van het draadloze netwerk zijn. Naast beveiliging is privacy van de gebruiker ook van belang. Door gebruik te maken van draadloze communicatie laat de gebruiker immers automatisch sporen na van zijn activiteiten. Zonder de nodige beveiligingsmechanismen kan men een gebruiker traceren via de mobiele toestellen die hij in zijn bezit heeft. Draadloze Personal Area netwerken zorgen dus voor nieuwe uitdagingen inzake beveiliging en privacy. Deze thesis levert een bijdrage tot mogelijke oplossingen voor een deel van deze uitdagingen. Hoofdstuk 1 behandelt de typische kenmerken van een WPAN en de gevolgen voor het ontwerp van een beveiligingsarchitectuur. Hoofdstuk 2 geeft een overzicht van de voornaamste technieken om een bijkomend veilig kanaal te creëren, een bouwblok die vooral gebruikt wordt in pairing protocols. In een tweede deel van dit hoofdstuk stellen we twee efficiënte pairing protocols voor, en bespreken we hun voornaamste (beveiligings-) eigenschappen. In hoofdstuk 3 x

13 introduceren we het concept van afstandsgebonden protocols (distance bounding protocols). Deze protocols zorgen ervoor dat een entiteit een bovengrens kan bepalen op de afstand tussen zichzelf en een andere entiteit, die beweert zich binnen een bepaald bereik te bevinden. Nadat de voornaamste ontwerpprincipes besproken zijn, geven we in het tweede deel van dit hoofdstuk een overzicht van de belangrijkste toepassingen van dergelijke protocols. Hoofdstuk 4 bestudeert ruisbestendige afstandsgebonden protocols (distance bounding protocols). We stellen het ruisbestendige MAD protocol voor. Vervolgens vergelijken we zijn performantie (op basis van het vereiste aantal rondes en de robuustheid tegen ruis) met dit van het Hancke Kuhn protocol, dit zowel in het geval van een relatieve lage als dat van een relatief hoge bitfoutkans. Hoofdstuk 5 handelt over locatie-privacy in draadloze Personal Area netwerken. Als oplossing voor dit probleem stellen we een aantal praktische beveiligingsmechanismen voor die gebruik maken van tijdelijke pseudoniemen. Om deze en andere oplossingen die in de literatuur voorgesteld zijn te analyseren en te evalueren, stellen we in het tweede deel van dit hoofdstuk een formeel model voor locatie-privacy op. Hoofdstuk 6 sluit de thesis af en formuleert nieuwe uitdagingen voor de toekomst. Hoofdstuk 2: Geavanceerde Pairing Protocols Om netwerken en computersystemen te beveiligen, kan men symmetrische cryptografie toepassen. Dergelijke cryptografische primitieven maken gebruik van een geheime sleutel die gekend is door twee partijen: de zender van de boodschap, en de gewenste ontvanger. Om de veiligheid van het netwerk en computersysteem te garanderen, moet deze geheime sleutel op een veilige en correcte manier uitgewisseld worden. Dit is echter een zeer uitdagend probleem in draadloze Personal Area netwerken, aangezien men geen beroep kan doen op vaste knopen in het netwerk. Een van de mogelijke oplossingen is het gebruik van pairing protocols om sleutelovereenkomst protocols te initialiseren. In dit hoofdstuk geven we een overzicht van de voornaamste technieken om een bijkomend veilig kanaal te creëren, een essentiële bouwblok in pairing protocols. Vervolgens stellen we twee geavanceerde pairing protocols voor en bespreken we hun voornaamste (beveiligings-) eigenschappen. Het eerste pairing protocol vereist gebruikersinteractie, het tweede protocol maakt gebruik van de beperkte afstand tussen de twee mobiele toestellen die een sessiesleutel willen afspreken. Bijkomende veilige kanalen Wanneer twee mobiele toestellen een symmetrische sleutel willen afspreken door het uitvoeren van een pairing protocol, kunnen ze gebruik maken van een bijkomend veilig kanaal. Dit kanaal heeft een lage bandbreedte en is beschikbaar voor beide mobiele toestellen. Bepaalde informatie wordt dan via het veilige bijxi

14 komend kanaal verstuurd, de rest van de informatie via het onveilige draadloze kanaal (met hogere bandbreedte). Hoepman [82] heeft twee belangrijke eigenschappen van een bijkomend veilig kanaal gedefinieerd; het kan authentiek en/of privaat zijn: Authentiek bijkomend kanaal: Een bijkomend kanaal is authentiek enkel en alleen als beide partijen de garantie hebben dat alle berichten die ze via dit kanaal ontvangen, door de andere partij verstuurd zijn en dat het bericht niet gewijzigd is. De confidentialiteit van de informatie is niet gewaarborgd. Privaat bijkomend kanaal: Een bijkomend kanaal is privaat enkel en alleen als beide partijen de garantie hebben dat alle berichten die ze via dit kanaal versturen, enkel door de andere partij ontcijferd kunnen worden. De integriteit en oorsprong van de informatie is niet gewaarborgd. Het gebruik van een bijkomend veilig kanaal is reeds uitvoerig bestudeerd. Indien het kanaal privaat is, dan kan men een EKE (encrypted key exchange) protocol uitvoeren met de geheime informatie die via het bijkomend kanaal verstuurd is. Indien het bijkomend veilig kanaal authentiek is, dan kan men het Diffie-Hellman protocol uitvoeren, en het bijkomend kanaal gebruiken om de publieke sleutels te authentiseren. In beide gevallen is het resultaat een initiële geheime sessiesleutel. Een meer uitdagend probleem is echter om het bijkomend veilig kanaal te realizeren op een goedkope, gebruiksvriendelijke, efficiënte en veilige manier. Enkele voorbeelden van interessante technieken, bestudeerd in de literatuur, zijn: Via gebruikersinteractie (input en/of output van gebruiker) Elektrisch of fysisch contact tussen beide toestellen Beveiliging op de draadloze fysische laag Beide toestellen uitrusten met een accelerometer Visueel bijkomend kanaal (camera en/of display) Auditief bijkomend kanaal (luidspreker en/of microfoon) Afstand tussen beide toestellen Locatie-privaat pairing protocol gebaseerd op gebruikersinteractie De meerderheid van de toestellen in een draadloos Personal Area netwerk hebben een invoerinterface (bv. toetsenbord) en/of een display. Dergelijke toestellen kunnen het pairing protocol dat in dit deel voorgesteld wordt uitvoeren. Het protocol xii

15 combineert het Diffie-Hellman protocol met een aantal andere technieken. Om de publieke sleutels te authentizeren wordt het MANA I protocol toegepast. Hierbij moet de gebruiker een aantal hexadecimale waarden, die berekend worden op basis van de publieke Diffie-Hellman sleutels, op beide mobiele toestellen ingeven. Tegelijkertijd met de geheime sessiesleutel wordt er ook een tijdelijk pseudoniem afgesproken. Dit wordt gebruikt om de privacy van de gebruiker te garanderen. De technieken die in hoofdstuk 5 bestudeerd worden, kunnen gebruikt worden om het pseudoniem te hernieuwen in elke communicatieronde. Sleutelovereenkomst via afstandsgebonden protocols Dit pairing protocol maakt expliciet gebruik van de afstand tussen twee mobiele toestellen om een geheime sessiesleutel af te spreken. Iedere gebruiker definieert eerst voor elk van zijn toestellen een privaat gebied. Dit gebeurt op een zodanige wijze dat de gebruiker visueel kan verifiëren dat alle vertrouwde toestellen zich binnen dit privaat gebied bevinden, en alle andere (onbetrouwbare) toestellen zich buiten dit privaat gebied bevinden. De gebruiker geeft dan de informatie over dit gebied (met name de afmetingen) in op het toestel. De afmetingen van een privaat gebied zijn niet statisch. In een druk bevolkte omgeving zal de straal veel kleiner zijn dan in een rustige, ruime omgeving. Om het pairing protocol succesvol te beëindigen moeten beide toestellen zich binnen elkaars privaat gebied bevinden. De geheime sessiesleutel wordt uitgewisseld via het Diffie-Hellman protocol. Om de publieke sleutels te authentiseren wordt er gebruik gemaakt van afstandsgebonden protocols (distance bounding protocols). Op deze manier weten beide toestellen dat een specifieke publieke sleutel afkomstig is van een toestel dat zich binnen een bepaalde afstand bevindt. Aangezien er enkele vertrouwde toestellen aanwezig zijn in het privaat gebied van het toestel, moet de publieke sleutel dus afkomstig zijn van het toestel waarmee men een sessiesleutel wil afspreken. Hoofdstuk 3: Veilige Afstandsgebonden Protocols In dit hoofdstuk bespreken we het concept van afstandsgebonden protocols (distance bounding protocols). Dergelijke protocols zorgen ervoor dat een entiteit een bovengrens kan bepalen op de afstand tussen zichzelf en een andere entiteit, die beweert zich binnen een bepaald bereik te bevinden. We behandelen de voornaamste ontwerpprincipes van afstandsgebonden protocols, en bestuderen enkele toepassingsmogelijkheden in draadloze Personal Area netwerken. xiii

16 Werkingsmechanisme Afstandsgebonden protocols (distance bounding protocols) combineren fysische en cryptografische eigenschappen en maken het op die manier mogelijk voor een entiteit om te controleren of een andere entiteit zich binnen een bepaald bereik bevindt. Zowel de afstand tot, als de identiteit van de andere partij, worden gecontroleerd in het afstandsgebonden protocol. Om de afstand tussen beide toestellen te schatten, wordt de tijd gemeten waarop een signaal zich van het ene toestel naar het andere verplaatst (de zogenaamde time of flight). Deze tijd geeft dan een indicatie over de afstand tussen beide partijen. De time of flight meten is de enige techniek die veilig gemaakt kan worden. Alle mechanismen die gebruik maken van de signaalsterkte of de hoek waaronder een signaal ontvangen wordt, zijn niet bestand tegen bepaalde (fysische) aanvallen. Een afstandsgebonden protocol (distance bounding protocol) bestaat typisch uit een aantal rondes. In elke ronde wordt er een vraag-antwoord (challengeresponse) protocol uitgevoerd. Tijdens deze snelle bituitwisselingen wordt de tijd tussen het zenden van een vraag (de challenge) en het ontvangen van het antwoord (de response) opgemeten. De maximale responstijd wordt dan vermenigvuldigd met de voortplantingssnelheid van het draadloze medium om een schatting van de afstand tussen beide partijen te bekomen. Meestal wordt de informatie verzonden via radiogolven. In dat geval is de voortplantingssnelheid de snelheid van het licht. Dit heeft tot gevolg dat de tijd om een antwoord te berekenen zeer kort moet zijn, en dat de ontvanger van het antwoord de responstijd met een zeer hoge nauwkeurigheid moet kunnen meten. Indien men de garantie heeft dat er geen aanvaller fysisch aanwezig kan zijn tussen beide partijen, dan mag men de informatie ook verzenden via ultrasone golven. In dat geval zijn de vereisten voor het berekenen van een antwoord en het meten van de responstijd minder strikt. Ontwerpprincipes Om een veilig afstandsgebonden protocol (distance bounding protocol) te ontwerpen, moet men een aantal principes in rekening brengen. Deze kunnen opgesplitst worden in cryptografische en fysische principes. Beide principes worden uitvoerig besproken in dit hoofdstuk. Er zijn een aantal protocols in de literatuur verschenen die tegen één of meerdere van deze regels zondigen, en bijgevolg onderhevig zijn aan bepaalde aanvallen. Eén van de fysische ontwerpprincipes is dat een afstandsgebonden protocol bestand moet zijn tegen bitfouten, aangezien het uitgevoerd wordt in een ruizige omgeving. De gevolgen van deze observatie voor de veiligheid van afstandsgebonden protocols worden besproken in hoofdstuk 4. xiv

17 Toepassingen Veilige afstandsgebonden protocols (distance bounding protocols) zijn specifiek ontworpen om bepaalde aanvallen (en dan vooral de zogenaamde man-in-themiddle attacks) te vermijden. Maar er zijn nog andere interessante toepassingen. Afstandsgebonden authenticatie In conventionele computernetwerken gebeurt authenticatie meestal op basis van iets wat je weet, wat je hebt of wat je bent. Je kan echter ook informatie over de locatie of de afstand tot een bepaalde plaats mee in rekening brengen bij het toekennen van bepaalde privileges (bv. om een deur te openen moet je je er dichtbij bevinden). Dit is zeker handig in draadloze Personal Area netwerken, waar het bereik van het netwerk per definitie zeer beperkt is. Door het toepassen van afstandsgebonden protocols (distance bounding protocols) kan je deze vorm van authenticatie garanderen. Protocol voor sleutelovereenkomst Je kan een sleutelovereenkomst protocol op verschillende manieren initialiseren. Een interessante methode is gebruik te maken van een pairing protocol dat de afstand tussen de twee entiteiten die een sleutel willen afspreken, mee in rekening brengt. Dit pairing protocol is reeds besproken in hoofdstuk 2. Bepalen van de locatie op een veilige manier Afstandsgebonden protocols (distance bounding protocols) maken het mogelijk om een bovengrens te bepalen op de afstand tussen twee entiteiten. Dit principe kan nu ook uitgebreid worden. Om op een veilige manier de locatie van een toestel te bepalen in een 2-dimensionaal vlak (men kan de resultaten ook veralgemenen tot 3 dimensies), moet men een afstandsgebonden protocol uitvoeren met ten minste drie samenwerkende, niet-collineaire verifiërende entiteiten (verifiers). Deze drie entiteiten zijn gesynchroniseerd en delen dezelfde geheime sleutels. Door hun metingen te combineren, kunnen ze de locatie van een toestel berekenen. Om valse locatie-claims te vermijden, moeten er wel enkele specifieke beveiligingsmechanismen toegepast worden, zoals o.a. broadcast mode. De details worden uitvoerig in dit hoofdstuk besproken. Hoofdstuk 4: Afstandsgebonden Protocols in Ruizige Omgevingen Aangezien afstandsgebonden protocols (distance bounding protocols) over een ad hoc kanaal met ruis uitgevoerd worden, moeten ze op een zodanige manier ontxv

18 worpen worden dat ze bestand zijn tegen bitfouten die plaatsvinden gedurende snelle bituitwisselingen. In dit hoofdstuk stellen we het ruisbestendige MAD protocol voor, en vergelijken zijn performantie (op basis van het vereiste aantal rondes en de robuustheid tegen ruis) met dit van het Hancke Kuhn protocol, dit zowel in het geval van een relatieve lage als dat van een relatief hoge bitfoutkans. Ruisbestendige MAD protocol Het ruisbestendige MAD protocol is een aangepaste versie van het MAD protocol, dat ontworpen werd door Čapkun et al. Het heeft de interessante eigenschap dat een aanvaller in elke ronde slechts een kans van 1/2 heeft om een goed antwoord (response) te sturen. Het zorgt ook automatisch voor wederzijdse authenticatie, wat een belangrijk voordeel is (sommige andere protocols moeten twee keer achter elkaar uitgevoerd worden om deze eigenschap te bekomen, wat uiteraard minder efficiënt is). Door een (n, k)-foutverbeterende code te integreren in het afstandsgebonden protocol kan men een bepaald aantal fouten (aangeduid met de parameter x) corrigeren. Om de veiligheid van het protocol te garanderen, moeten beide partijen de responstijd echter kunnen opmeten met een voldoende hoge precisie, en mag het niet mogelijk zijn om de (n, k)-foutverbeterende code in een verwaarloosbaar korte tijd te berekenen. Vergelijking tussen ruisbestendig MAD en Hancke Kuhn protocol Performantie bij relatief lage bitfoutkans We vergelijken eerst de performantie van beide ruisbestendige afstandsgebonden protocols (distance bounding protocols) in het geval dat de bitfoutkans relatief laag is (in de orde van 0.01 en lager). Een eerste vaststelling is dat de bitfoutkans wel degelijk een invloed heeft op de kans op succesvolle aanvallen. Hoe meer bitfouten er toegelaten zijn ten gevolge van ruis, in hoe meer rondes een aanvaller een fout antwoord kan doorsturen. Hij kan dan achteraf beweren dat hij een juist antwoord had doorgestuurd, maar dat er een bitfout is opgetreden. Men kan dus concluderen dat ruis voordelig is voor een aanvaller. Een hogere bitfoutkans is echter nadelig voor een eerlijke entiteit die zijn afstand tot een andere plaats (of entiteit) wil bewijzen, aangezien er meer kans is dat een juist antwoord toch fout wordt ontvangen (en dat bijgevolg de ronde zal falen). Als we beide protocols vergelijken bij een zelfde bitfoutkans, dan merken we op dat het ruisbestendige MAD protocol slechts de helft van het aantal snelle bituitwisselingen nodig heeft, in vergelijking met het Hancke Kuhn protocol, om de kans op succesvolle aanvallen onder een bepaalde drempel te houden. Als we beide protocols vergelijken in het geval dat er wederzijdse authenticatie vereist is (wat meestal het geval is), dan heeft het ruisbestendige MAD protocols zelfs xvi

19 slechts een vierde van het aantal snelle rondes nodig. Er moeten echter iets meer bits uitgewisseld worden via het trage draadloze kanaal in vergelijking met het Hancke Kuhn protocol. Om beide ruisbestendige protocols volledig met elkaar te vergelijken moet men bijgevolg de kost van zowel het trage als het snelle draadloze kanaal in rekening brengen. Performantie bij relatief hoge bitfoutkans Hoe hoger de bitfoutkans, hoe moeilijker het wordt om de parameters van een ruisbestendig afstandsgebonden protocol (distance bounding protocol) te bepalen, rekening houdend met het maximaal aantal toegelaten foutief afgekeurde en foutief goedgekeurde authenticatie claims (false negatives en false positives). Vanaf een bepaalde bitfoutkans wordt het zelfs onmogelijk om aan beide voorwaarden simultaan te voldoen. In dit hoofdstuk berekenen we voor beide ruisbestendige afstandsgebonden protocols de bitfoutkans waarbij dit fenomeen zich voordoet. Over het algemeen ligt deze limiet hoger bij het ruisbestendige MAD protocol dan bij het Hancke Kuhn protocol. Als we beide protocols vergelijken bij een zelfde bitfoutkans, dan merken we op dat het ruisbestendige MAD protocol slechts de helft van het aantal snelle bituitwisselingen nodig heeft, in vergelijking met het Hancke Kuhn protocol. Dit is in overeenstemming met het scenario waarbij de bitfoutkans relatief laag is. Wanneer de bitfoutkans echter een bepaalde drempel overschrijdt (typisch in de orde van 0.1), stijgt het aantal vereiste snelle rondes bijzonder snel, en wordt het duidelijk voordeliger om het Hancke Kuhn protocol te gebruiken. Hoofdstuk 5: Locatie-Privacy in WPAN Dit laatste hoofdstuk handelt over locatie-privacy in draadloze Personal Area netwerken. Ieder draagbaar toestel heeft een uniek en vast hardware-adres. Door de draadloze communicatie tussen de mobiele toestellen in het netwerk af te luisteren, kan een aanvaller dit hardware-adres bekomen. Dit heeft grote gevolgen. Het laat de aanvaller immers toe om de gebruiker van deze mobiele toestellen te traceren. Telkens er een bepaald hardware-adres verschijnt, weet de aanvaller dat een specifiek mobiel toestel aanwezig is. Als hij bovendien ook weet wie de gebruiker van dat toestel is (bv. door dit ooit visueel waargenomen te hebben), dan kan hij op die manier de gebruiker traceren. Dit is een zeer ernstig beveiligingsprobleem. Dit locatie-privacy probleem kan opgelost worden door tijdelijke identiteiten (pseudoniemen) te gebruiken tijdens de draadloze communicatie. Dit moet echter op een zodanige manier gebeuren dat een aanvaller niet in staat is om te detecteren dat verschillende pseudoniemen tot eenzelfde toestel behoren. Anders kan hij immers nog steeds de gebruiker blijven traceren. xvii

20 In dit hoofdstuk bespreken we vier communicatiescenario s, en stellen we voor ieder van deze scenario s een praktische oplossing voor die gebruik maakt van tijdelijke pseudoniemen. In een tweede deel van dit hoofdstuk stellen we een formeel model voor locatie-privacy in WPAN voor. Dit theoretisch raamwerk bevat een formele definitie van de verschillende vormen van locatie-privacy, en een theoretisch model van de aanvalsmogelijkheden van een actieve aanvaller. Dit model passen we dan toe op een aantal protocols die in de literatuur voorgesteld zijn. Dit laat toe om verscheidene problemen te identificeren en op te lossen. Probleembeschrijving Het gebruik van vaste hardware-adressen in mobiele communicatie laat een aanvaller toe om mobiele toestellen, en dus ook de gebruiker van deze apparaten, te traceren. Dit probleem kan verholpen worden door tijdelijke pseudoniemen te gebruiken. Men moet minstens volgende twee doelstellingen realiseren om het locatie-privacy probleem op te lossen: Ontraceerbaarheid: Het moet computationeel zeer moeilijk zijn voor een aanvaller om te achterhalen welk specifiek toestel aan het communiceren is (bv. wat het vaste hardware-adres van dit toestel is). Ontkoppelbaarheid: Het moet computationeel zeer moeilijk zijn voor een aanvaller om verschillende pseudoniemen, die tot eenzelfde toestel behoren, met elkaar in verband te brengen. Verder veronderstellen we dat er een actieve aanvaller aanwezig is tijdens de mobiele communicatie. Deze aanvaller heeft een eindige hoeveelheid rekenkracht en geheugen, maar kan alle berichten in het netwerk onderscheppen en eventueel informatie wijzigen, toevoegen of verwijderen. Vier communicatie scenario s voor WPAN Rekening houdend met bovenstaande beperkingen en veronderstellingen bespreken we in dit hoofdstuk vier communicatie scenario s voor WPAN, en stellen we voor elk van deze scenario s een praktische oplossing voor die gebruik maakt van tijdelijke pseudoniemen. Zonder in detail te gaan, geven we nu een overzicht van deze vier scenario s en de voorgestelde beveiligingsmechanismen: Scenario 1: de mobiele toestellen delen een geheime symmetrische sleutel. In dit scenario kunnen we een ketting van tijdelijke pseudoniemen opstellen. Deze ketting start van een gekende publieke waarde (eventueel variabel in tijd), en de geheime sleutel wordt gebruikt om de volgende waarde in de ketting te berekenen. xviii

21 Scenario 2: toestel kent adres van de ontvanger. Het adres van de ontvanger wordt samen met een variabele willekeurige waarde (een nonce) als input gebruikt van een cryptografische hashfunctie (met specifieke cryptografische eigenschappen). De output van deze functie is het tijdelijk pseudoniem. Scenario 3: er is een bijkomend veilig kanaal aanwezig. Met dit bijkomend veilig kanaal kan men een geheime sessiesleutel afspreken. Deze symmetrische sleutel kan dan gebruikt worden op een ketting van pseudoniemen te genereren, net zoals in scenario 1. Scenario 4: de mobiele toestellen delen geen geheime informatie. Indien beide toestellen geen geheime informatie delen, kunnen ze best hun berichten naar alle toestellen in het netwerk sturen, zonder enige vorm van identificatie. In sommige gevallen kan men ook de oplossing van scenario 2 gebruiken, maar in dat geval kan locatie-privacy niet volledig gegarandeerd worden. Formeel locatie-privacy model Om onze oplossingen, en andere technieken die in de literatuur voorgesteld zijn, te evalueren, stellen we een formeel model voor locatie-privacy op. De aanvaller modelleren we als een entiteit met een eindige hoeveelheid rekenkracht die beperkte toegang heeft tot bepaalde orakels. We definiëren drie vormen van locatie-privacy waaraan een protocol kan voldoen: standaard locatie-privacy (location privacy), locatie-privacy van een communicerende groep toestellen (communicating constellation location privacy), en voorwaartse privacy (forward location privacy). Voor ieder van deze definities beschrijven we een aanvalsspel (attack game). Het doel van ieder spel is om een onderscheid te kunnen maken tussen een specifieke knoop uit het netwerk (de target node) en een willekeurige knoop. Indien een aanvaller hierin slaagt met een significant grotere kans dan 1/2, dan wint hij het spel en voldoet het protocol niet aan de specifieke definitie van locatie-privacy. In dit hoofdstuk analyseren we de oplossing voorgesteld door Gehrmann et al. (Bluetooth anonimity mode). We evalueren ook formeel drie protocols die gebruik maken van tijdelijke pseudoniemen: het SP-1 protocol (onze oplossing voor communicatie scenario 1), het SP-2 protocol (onze oplossing voor communicatie scenario 2) en het protocol van Wong en Stajano. De resultaten worden in onderstaande tabel samengevat. In deze tabel worden de volgende symbolen gebruikt: V: voldoet aan definitie. X: voldoet niet aan definitie, maar er is een oplossing voor het probleem beschikbaar. xix

22 XX: voldoet niet aan definitie, en geen oplossing beschikbaar. Tabel 1. Formele evaluatie van het SP-1, SP-2 en Wong Stajano protocol protocol loc. private constellation loc. private forward loc. private SP-1 X X X SP-2 V V XX Wong-Stajano V V X xx

23 List of Acronyms ACL ACO AES CA CAC COF DAC DoS DSR ECC EDR ErCC FSM GCM GPS GSM IP IV MAC MANA MIC NFC NiMH NWK Access Control List Authenticated Ciphering Offset Advanced Encryption Standard Certification Authority Channel Access Code Ciphering Offset Number Device Access Code Denial-of-Service Dynamic Source Routing Elliptic Curve Cryptography Enhanced Data Rate Error Correcting Code Finite State Machine Galois Counter Mode Global Positioning System Global System for Mobile Communications Internet Protocol Initial Value Message Authentication Code Manual Authentication Message Integrity Code Near Field Communication Nickel-Metal Hydride network xxi

24 OOB PAN PGP PIN PKI PRF RFID RSA SKKE SN SSL STS TLS UWB WAP WBAN WLAN w.l.o.g. WPAN WTLS XOR Out-of-Band Personal Area Network Pretty Good Privacy Personal Identification Number Public Key Infrastructure Pseudo-Random Function Radio Frequency Identification Rivest-Shamir-Adleman Symmetric-Key Authenticated Key Agreement (protocol) Sensor Network Secure Sockets Layer Station-to-Station (protocol) Transport Layer Security Ultra-Wideband Wireless Application Protocol Wireless Body Area Network Wireless Local Area Network without loss of generality Wireless Personal Area Network Wireless Transport Layer Security Exclusive OR xxii

25 List of Notation addra A a b a b a b (a,b) x R {0,1} X R {0,1} n (n,k) ECC N i N A,i min[f(x)] max[f(x)] gcd(a,b) x ā a b ap E the hardware address of device A the hardware address (identity) of device A data sent via a wireless ad hoc channel (e.g., Bluetooth) data sent via an out-of-band channel the value b is assigned to variable a concatenation of the bits a and b concatenation of the bitstrings a and b concatenation of the bitstrings a and b random bit x random bitstring X of length n (n,k) error correcting code the i-th bit of string N the i-th bit of string N A the minimum of function f(x) the maximum of function f(x) the greatest common divisor of a and b the largest integer less than or equal to x the bit-complement of bit a exclusive OR (XOR) of a and b the point multiplication of integer a and the point P on an elliptic curve an elliptic curve over a finite field xxiii

26 Z p, the multiplicative group of integers modulo p (with p a large prime) Z p,+ the group of integers modulo p (with p a large prime) Pr(X) the probability of event X poly(k) any polynomial function of k A[x] an attacker that is allowed to ask x queries to a particular oracle h(d) a cryptographic hash function computed on the data string D. Such a function should be preimage, second preimage and collision-resistant h i (m),h j (m) two pairwise independent cryptographic hash functions PRF k (D) a pseudo-random function computed on the bitstring D using the key k MAC k (D) a message authentication code computed on the bitstring D using the key k CV k (m) check-value function computed on the message m using the key k E k (m) symmetric encryption of the message m using the key k E KA (m) asymmetric encryption of the message m using the public key K A of entity A Sign(m) a (symmetric or asymmetric) signature computed on the bitstring m commit(m) secure commitment computed on the bitstring m xxiv

27 List of Tables 4.1 Influence of the number of allowed errors x on the false acceptance ratio for n = 37 and P b = Comparison of the false rejection ratio for n = 37 and P b = Comparison of the false acceptance ratio for n = 63 and P b = xxv

28 xxvi

29 List of Figures 1.1 Mutual entity authentication protocol of Bluetooth ZigBee key hierarchy Mobile personal devices share a secure out-of-band channel Pairing protocol for bidirectional private out-of-band channel Pairing protocol for bidirectional authentic out-of-band channel MANA I protocol MANA II protocol MANA III protocol MANA IV protocol Location private pairing protocol based on user interaction The concept of a user s (device s) private space Efficient key establishment protocol using distance bounding protocols The concept of proximity based authentication Distance fraud attack Mafia fraud attack Terrorist fraud attack Wormhole attack Distance bounding protocol of Čapkun and Hubaux Guessing attack Distance bounding protocol of Brands and Chaum Distance bounding protocol of Waters and Felten Modified distance bounding protocol of Waters and Felten Distance bounding protocol of Bussard Zero knowledge proof of knowledge in Bussard s distance bounding protocol Secure location verification: the ideal scenario Effect of the processing delay in secure location verification Attacker delays responses to cheat on his location Secure location verification: broadcast mode xxvii

30 3.17 Geometrical properties of broadcast mode Transformation of the coordinate system Intersection points defining the area where prover is located Broadcast mode: prover is outside the triangle {V 1, V 2, V 3 } Broadcast mode: prover collinear with verifiers V 1 and V Hyperbola attack Distance bounding protocol of Hancke and Kuhn Noise resilient MAD protocol Man-in-the-middle attack on the noise resilient MAD protocol Relation between the false acceptance ratio P FA and the number n of rounds for x = 5 and P b = Influence of z 1 and k on P lim,mad (NR MAD) for n = Influence of z 1 on P lim,h (Hancke Kuhn) and P lim,mad (NR MAD) for P FA 50% and n = Influence of z 1 on P lim,mad (NR MAD) for large values of k (k > 10) and n = Influence of P FA on P lim,h (Hancke Kuhn) and P lim,mad (NR MAD) for P FR 2 7 and n = Minimal required number n of rounds for the Hancke-Kuhn and NR MAD protocol when P FR 2 23 and P FA Minimal required number n of rounds for the Hancke-Kuhn and NR MAD protocol when P FR 2 10 and P FA Minimal required number n of rounds for the Hancke-Kuhn and NR MAD protocol when P FR 2 23 and P FA Minimal required number n of rounds for the Hancke-Kuhn and NR MAD protocol when P FR 2 10 and P FA Three regions of the bit error rate Four WPAN communication scenarios Communicating constellation in the WPAN Improved SP-1 protocol Wong and Stajano s location privacy protocol B.1 General overview of the IM3 health care architecture B.2 Communication in CICADA for a sample network of 5 nodes B.3 FSM of a sensor in a WBAN B.4 Secure JOIN-REQUEST originating from sensor A B.5 Secure key transport to all the sensors in the WBAN xxviii

31 Contents 1 Introduction Motivation Case Studies Bluetooth ZigBee This Thesis and Related Work Outline and Main Contributions Enhanced Pairing Protocols Constructing Out-of-Band Channels Defining an extra channel Establishing session keys using out-of-band channels Overview of existing technologies Location Private Pairing Protocol Based on User Interaction Our enhanced pairing protocol Evaluation of the pairing protocol Key Establishment Using Distance Bounding Protocols Conclusions Secure Distance Bounding Protocols Introduction Time of flight distance bounding protocols Attack scenarios Cryptographic design principles Physical design principles Practical use case Existing Distance Bounding Proposals Brands and Chaum s protocol Waters and Felten s protocol Bussard s protocol Applications xxix

32 3.3.1 Proximity based authentication Key establishment Secure location verification Conclusions Employing Distance Bounding Protocols in Noisy Environments Noise Resilient Distance Bounding Protocols The RFID protocol of Hancke and Kuhn Noise resilient mutual authentication with distance bounding Statistical Properties Performance Analysis at Low Bit Error Rates Influence of bit errors on the false acceptance ratio Comparison of the false rejection ratio Comparison of the false acceptance ratio Required number of fast communication rounds Constraints Due to High Bit Error Rates Upper limit on the bit error rate Reducing the number of rounds Conclusions Location Privacy in Wireless Personal Area Networks Location Privacy Problem Tracking mobile users Attack strategies Problem statement and design goals Location Privacy Enhancing Techniques Overview of WPAN communication scenarios Temporary pseudonym schemes Practical observations Theoretical Location Privacy Model Overview of the different entities Identification protocol Adversarial model Attack games Forward security Analysis and Evaluation of Several Location Privacy Enhancing Schemes Necessity of random responses Bluetooth anonymity mode Our location privacy enhancing scheme Wong and Stajano s location privacy protocol Conclusions xxx

33 6 Conclusions and Future Research Conclusions Future Work A Secure Location Verification: Computing the Prover s Location191 B How to Secure an Interactive Medical Monitoring Environment195 B.1 Introduction B.2 Architecture B.2.1 General overview B.2.2 Security assumptions B.3 Protocol design B.3.1 CICADA B.3.2 CICADA-S B.4 Analysis B.4.1 Performance evaluation B.4.2 Security properties B.5 Conclusion xxxi

34 xxxii

35 Chapter 1 Introduction 1.1 Motivation Digital communication systems are evolving very rapidly. Since their introduction in the 1940s, computers have evolved from very expensive, room-filling machines, only available to a few large organizations, to affordable, light and portable devices. Typical examples of such mobile devices are digital cameras, mobile cell phones, GPS receivers, wireless headsets, laptops,... As more and more of these mobile devices became available on the market, it became apparent that enabling these devices to communicate over wireless links would allow them to work together and augment their functionality. This idea resulted in the concept of a Wireless Personal Area Network (WPAN). A WPAN is a small, heterogeneous, wireless ad hoc network which connects several personal mobile devices. The range of a WPAN is typically a few meters, and is often centered around a single user (or a very small number of users) operating the mobile devices. Personal Area Networks (PAN) are standardized in the IEEE working group [90]. There are several communication technologies available to create a Wireless Personal Area Network, with Bluetooth [25] and to a lesser degree ZigBee [218] the most popular ones. By 2009, more than 66 percent of the 900 million mobile phone handsets sold that year will include Bluetooth technology [23]. Wireless Personal Area Networks have several interesting applications. Such networks were originally created to be a cable-replacement technology that allows for a limited number of devices to communicate with each other via a wireless link. There is however a larger range of applications. The most well known and commonly used one is to connect a mobile phone to a wireless headset (to phone hands-free) or to a laptop (to synchronize data). Another popular application is to connect a wireless mouse and keyboard to a computer. A WPAN can also be created in a car: the mobile phone and/or PDA of the user, a GPS receiver, one 1