View
215
Download
0
Category
Preview:
Citation preview
Marcin Grzonkowski (1)
Jacek Jarmakiewicz (2)
Wojciech Oszywa (1,2)
(1) -
(2) Wojskowa Akademia Techniczna, ul. Gen.S.Kaliskiego 2, Warszawa
m.grzonkowski@wil.waw.pl
jjarmakiewicz@wat.edu.pl
SYSTEM WYDAJNEJ GENERACJI DANYCH KRYPTOGRAFICZNYCH DLA INTERNETU RZECZY
W artykule przedstawiono problemy bez
w w-
cych w
sieci wymaga zastosowania funkcji e
do tej pory nie-
a-
dla domen IoT wykorzystanie
serwera kluczy symetrycznych z mechanizmem pregenera-
metody z lonej generacji
kluczy
k
1. PROBLEM W
INTERNECIE RZECZY
izacje
r-
w-
zana przez
podmioty prywatne
dzy bajki.
y
d-
jest any w
inicji
o-
walnych i zaadre
w Internecie. a-
soby takie jak energia, moc przetwarzania (CPU), prze-
, niewielka
wykonawcze) i smart obiekty takie jak np. osobi-
wymie-
ze so M2M (Ma-
chine-to-Machine), procesy komputerowe i inne przed-
mioty z wykorzystaniem Inter-
netu .
o-
esy kompu-
ikami wymiany danych. Miliony
a n-
l-
nej sieci Internet. Laptopy z kamerami, telewizory ste-
rowane gestami, smartfony z GPS, nawigacje i kamery
samochodowe, sensory i oprogramowanie komputerowe,
wszystkie one zbie je bez naszego
i zgody do
Internecie.
Zainteresowania i upodobania
izowanie ofert i
a nawet po-
trzeb ludzkich, takich jak nieustanny
elektronicznej, e-
Niestety dane wy-
mieniane przez nia a-
bezpieczone w sieci dziami do
ludzi. Smartfony,
y
rnetu.
Dzisiejsze smart telewizory wki,
enia, ale
ogramie reality-
onych dan
o
Internetu komunik a-
mi, co przynosi nowe
i inte-
ligentnych a
przed , jak i przed i-
e
celu jest zastosowanie stwa.
k-
zastosowania dodatkowych operacji przetwarzania a-
,
i-
zmem bez a-
,
zbudowania automatycznie
systemu kryptograficznego, takiego jaki jest
wymagany dla IoT, strybucja
mate
Wyniki przeprowadzonej analizy literaturowej
w IoT jest
d
nych z
wykorzystywanych przez nia o niewielkiej mocy
obliczeniowej. Dla nich
o mniejszej np. 112 bi-
t automa-
tyczny s W przypadku
niewielkiej sieci z-
, jednak w przypadku IoT
ze iwe.
zauwa
obecnie nie jest dostrzega
a-
o-
graficznych, jak wynika z przedstawionych w artykule
onych przez
w Internecie. Chodzi tutaj o systemy genera-
cji prawdziwie losowych kluczy kryptograficznych,
owych.
Nawet najsilniejsze algorytmy szyfrowania nie z-
pieczne
klucze wykorzystywane w systemie GSM.
Prawdopodobnie zaimplementowane w systemach
operacyjnych i aplikacjach mechanizmy generacji kluczy
kryptograficznych bez weryfikacji i oceny kodu opro-
w profesjonal-
nych zastosowaniach. Z na specjalnie wpro-
o-
o-
nych o-
wanie [6].
j
generowania danych kryptograficznych dla kryptosyste-
wykorzyst symetrycz-
ne metody kryptograficzne
o-
graficznych organizacji OASIS (Advanced Open Stan-
dards for Information Society) SKSML (Symmetric Key
Services Markup Language) o-
dzeniem wykorzystane przynaj
Internetu Rzeczy.
Zawarte w oryginal-
ne, i w literaturze
tematu do ej na stronach IEEE i innych.
2. MECHANIZMY DOSTARCZANIA
DANYCH KRYPTOGRAFICZNYCH
W IoT
-
a-
kresie przystosowania do konkretnych potrzeb, y-
korzystania tych modu
z-
s
,
m.in. poprzez o-
inteligentnych urz
Internetu do urz
tem operacyjny,
przyczyny
, pozyska
ich do
u-
o ,
ach jazdy, korkach
ulicznych i przy okazji w-
go spersonalizo
identyfikowalne w
ego
Inte-
w Internecie R
siebie nie ty ,
(Rys.1).
i-
dzisiaj nie ma efektywnych metod zdalnego zasilania
o-
wane w dwie klasy. Pierwsze o ograniczonych i sko
a-
dowywania: sensory, smartfony, GPSy, laptopy, tablety,
kamery, samochody. Drugie to one
smart, budownictwa go klima-
.
IoT i serwer kluczy symetrycznych
Powszechne
procesorowych z zainstalowanymi systemami operacyj-
nymi lub specjalizowanym oprogramowaniem z mecha-
nizmami wymiany danych z otoczeniem,
i nowe
problemy bezpiecz ochrony prywat-
nieodzowne jest wykorzystanie mechanizm u-
uwierzytelni . Dla
koniecznym jest sekret np. w postaci klucza kryptogra-
ficznego
czy kilku
kluczy i ich dostarczenie nie jest trudne zrea-
lizowane omeny Internetu Rzeczy
o-
, przy tej skali ich zasilenie w dane krypto-
atycznie.
wiele instytucji oraz firm komercyj-
nych w celu za
nternecie.
zastosowa-
niach
e-
takich ach o-
o-
stwa np.
SSH, IPSec, TLS (Transport Layer Security), DTLS.
W sieciach pakietowych powszechne z-
blokowy AES,
asymetryczny RSA do podpisu, algorytm DH do uzgad-
niania i transportu kluczy SHA-1 i
SHA-256.
e-
czy o ograniczonych zasobach energetycznych, mocy
przetwarzania i niewielkiej pa Zigbee, WPAN
(Wireless Personal Area Network), 6LoPAN, BAN
(Body Area Network). Tutaj nia i aplikacje wy-
mienia l-
o-
izmami
sterowaniem do medium ym
em sieci ruchem, komutacji, pobudzania okre-
stero
W Internecie R
o-
rzystane, takie jak mechanizm wymiany kluczy IKEv.2
obliczeniowej komputera. Inne mechanizmy przed ich
wykorzystaniem w Internecie R
weryfikacji, dotyczy to o-
o-
L-
SIoT (Datagram Transport Layer Security), MOBIKE
[8]. W odniesieniu do kryptografii
w
wykorzystane lub dostosowane standardowe mechani-
opisane przez IETF [9]. Inni wzy-
akresie kryptograficznych
primitives y-
stanie pojedynczego prymitywu (np. takiego jak AES)
p-
a
wymagania dla wszys a-
ograniczenia e. W ferworze nowych prac
funkcji kryptograficznych, mu
. S ystanie
k-
e-
afii opartej na
o-
wszechne zastosowanie gotowych bibliotek z funkcjami
kryptograficznymi pozwala na wykorzystanie p-
wny
o
a
o- efek-
tywniejszych kryptograficznie. Jako przy przytacza
np. weryfikacj
Online Certificate Status
Protocol) w protokole IKEv2 i
TLS [10,11].
e-
a-
nizm scentralizowanej dystrybucji kluczy kryptograficz-
nych zrealizowany
XML wykorzystywanego w SOA (Service Oriented
Architecture).
rwera SKS
(Symmetric Key Server p-
tograficzn o-
Mechanizm
l-
kich zasobach. Odchudze
d-
o
poprzez ten serwer (rys.3). a-
i-
n-
dardowym e-
o-
wiedzi klucze do a-
.
3. PROJEKT SYSTEMU WYDAJNEJ
GENERACJI DANYCH
KRYPTOGRAFICZNEGO DLA IoT
Wszystkie te przedmioty
aficznych w
z-
aga zastosowania proce-
z-
nymi.
3.1. o-
graficznych w IoT
e-
o-
na dane kryptograficzne, poprzez
ich ,
mo
Przygotowanie danych i dystrybucja
Eksploatacja danych
Rys. to-
systemie
kryptogr
o-
rzystywanych systemach w kraju. e-
emu.
kryptograficznych. Rozpoczyna
da
dane oraz adresat tych danych. Nie zawsze adresat da-
b
IoT. Wymaganiem jest to, a-
owane i potwierdzone.
Generowanie danych kryptograficznych to proces,
a-
W profesjonalnych
ograficznych
wykorzyst towe generatory o-
wych.
Archiwizacja danych, to proces pole a-
gazynowaniu wytworzonych danych w zabezpieczonej
Generacja kluczy to proces przygotowania danych
. Ponadto wytw dla kluczy certyfi-
katy, klucze na czas dystrybucji (
szyfrowane kluczami dystrybucyjnymi), opat
atrybutami takimi jak o
y z
systemu generacji do odbiorcy. Proces m i-
np. DVD czy CD automatycznie o-
EKMS (Electronic Key Exchange System).
Po
Weryfikacja i aktywowanie kluczy jest procesem w
odbiorca kluczy po ich otrzymaniu od systemu,
e e-
niu do dal-
szej dystrybucji do owych.
h, to okres czasu
kiedy klucze W tym
okresie, t
a-
nie.
e trac a-
cji). Aktualizacja kluczy to , ma on
na nowe klucze.
Usuniecie kluczy i archiwizacja to proces
urz dzenia.
C
y-
frowanych danych.
3.2. erwera kluczy symetrycznych
serwera
[12]. e
symetrycznych ze scentralizowanego serwera kluczy.
wykorzystana przez apli-
kacje jak i przez nia
informacji z SKSML jest realizowane z
wyko
kluczem symetrycznym.
o-
in licznym. Klucze
do szyfrowania w tych algorytmach
wyge-
nimi.
wa
r-
matycznych).
Algorytmy z kluczem public o-
klucza sesji
Szyfry z kluczem symetrycz-
azwyczaj na dwie klasy: strumieniowe
i blokowe.
Szyfry strumieniowe, a-
(zda
infor wnie
w oparciu o e-
niem zwrotnym. Szyfrowanie/deszyfrowanie polega na
-o
z-
l
a-
i np. 128, 192 lub 256 bi-
. Typo
rund prze
blokowy szyfruje jedynie a-
y-
frowanie infor
CBC).
implementa-
cji na procesorach
w systemach telekomunikacyj-
nych o niskiej o ym praw-
ie
ograniczona
e-
j-
niania strumienia danych (transmisja
streaming np. ).
e w zastosowaniach programowych
na procesory.
Stanowisko wytwarzania danych kryptograficznych
RNG (Random
Number Generator). Stanowisko powinno wy
a-
nia, krypto
Zastosowanie SKSML i zmodyfikowanie aplikacji
do korzystania z niego pozwala e-
upraszcza o-
wali roz bazuje
na serwerze kluczy s
wchodzi Serwer Aplikacji (ApplServ a
elementami klienckimi lub Serwerami po
urz
......
...
Rys. acji
kluczy kryptograficznych, szyfrowania i uwierzytelniania
Serwer Bazy Danych (DBServ) e-
e-
uwierzy
Kluczy i Podpisu (SymmerticKeyServ
kryptograficzny dla k
RandomSeqRepo) generowanych
przez generatory losowe RNG (1-
krypto , bada-
o-
w (KeyGenTh1-8).
W obecnie stosowanych implementacjach dane
o-
wych, bada-
nia y-
gotowania kluczy kryptograficznych dla relacji informa-
anych
odpo ,
wa to
Taki model dzi e-
a-
o-
opa
ania, adresat i inne). Problem generowania
u losowego. Generato-
kluczy, ale zasto o-
losowych nie jest wskazane
poziomu a o-
ra sprz
w przypadku syste-
, gdzie wymagany jest wysoki poziom bezpiecze
stwa .
Zaprojektowany i zaimplementowany system gene-
racji kluczy symetrycznych pozwala na nawet kilkuna-
se-
kwencyjnych ksploatowanych. Wy-
niki takie uzyskano poprzez zastosowanie kilku procedur
a
losowych. Opracowano i zastosowano:
losowych na komputerach wielordzeniowych i wie-
loprocesorowych;
ego.
Zastosowanie samej procedury e-
nerowania danych kryptograficznych nie powoduje wy-
d-
aniem
procedura wcze
ine (rys.3). Zgromadzenie kilku GB
generatora losowego. Procedura ej generacji z
pre
mocy p eniowych.
j-
nego sekwencyjnego wytwarzania danych kryptogra-
ficznych, jed
znanych mo
o
Burst Request s-
znacznej po-
pra nak
generacji kryp
wykorzystania procesora w metodzie
a
Na rys. 4 przedstawiono wykorzystanie procesor
dla tradycyjnego sekwencyjnego generatora kluczy, dla
wykorzystanie wynosi 20%, podczas
(8 w
o
procesory serwera .
Opracowana i zaimplementowana metoda generacji
danych kryptograficznych na procesorach wielordzenio-
wych. Nowoczesne procesory czterordzeniowe pozwala-
le prze-
twarzanych
wykorzystano proce
loso
Zmaga
k
owy.
Dla obecnie eksploatowanych sieci wygenerowanie
o-
a-
rzania danych w przypadkach kryzysowych jest nie do
3.3. Diagram wytwarzania kryptosystemu dla
domeny IoT
dla
zaimplementowanego serwera kluczy symetrycznych
domeny IoT. Serwer generowania kluczy kryptograficz-
nych KeyGenServ
urz
Apli e-
trycznych (SKSMLClientAppl) uwierzytelnia podpisem
elektronicznym SignReq() a-
nia nowych kluczy NewKeysGet() ManyNew-
SymKeysReq() odebrane jest przez ApplServ i zrealizo-
wany jest pr
bazo-danowym (DBServVerifi() ie zlecenie
trafia do Serwera Generacji Kluczy i Podpisu (KeyGen-
Serv p-
tosystemu SetKeyGen() i zaszyfrowanie danych krypto-
graficznych EncryptSetKeys()
(ApplServ), atrybutami relacji i inny-
d-
nic a-
klienckie-
go .
m-
puterowych generacji kluczy kryptograficznych Key-
GenThs
wykorzysta
a-
ny. Serwer KeyGenServ jest odpowiedzialny za tworze-
nie kryptosyste
odebranymi przez serwer SKS (ApplServ).
o-
e-
i transferu prawdo-
o-
l-
jednostki komputerowe.
Rys. 5. Diagram wytwarzania kryptosystemu dla domeny
w serwerze kluczy symetrycznych
oce-
o-
o-
zeczy.
Zaproponowana metoda generacji bazuje na proce-
z-
nych. W ro o-
e-
ra gro
repozytorium.
4. KLUCZY SYMETRYCZNYCH DLA IOT
4.1.
Zaprojektowany a-
a-
dania przeprowadzono na systemie operacyjnym Win-
dows 7 Professional na komputerze z procesorem i7 z
y-
SGCL-1MB. Pojedynczy generator pozwala na odczyt
e-
nych ko-
SGCL [14]
k-
nerowa-
dysku twardym komputera.
4.2. owych
j-
nego systemu generacji danych kryptograficznych wy-
symetrycznych o-
ka dym.
Badania p ty-
e-
Liczba wygenerowanych kluczy dla danej sieci wynosi
zatem n*(n-
Na rys. 6 przedstawiono wyniki generacji kluczy
o-
e-
e
wyge
realizowane w czasie 2 min. Jednak wygenerowanie
n-
tnie
bardziej efektywna, o-
Rys. t
blokowych
u-
czy
symetrycznych.
4.3. umieniowych
o-
wych w trady
(rys. 7), natomiast szacowany
o-
eneracji
w
pregenaracj -ro krotne
u-
t-
kluczy je
danych kryptograficznych czekanie na wygenerowanie
nowych da
krypto
kryptograficznych.
Czas g
en
era
cji
[h
]
Rys. e-
niowych
znacznie skraca czas wytwarzania danych kryptograficz-
e-
obecnie stosowane do utajniania danych w sieciach z
5. WNIOSKI
Do jego
generowania i
yp-
tosys
-
przez wydajne centra generacji danych kryptograficz-
nych. Z punktu widzenia ochrony systemu, korzystne
e-
d-
o-
Autorzy zaprojektowali i zaimplementowali serwer
-
-
zaproponowanym roz-
dzania kluczami symetrycznymi ze scentralizowanych
ser
z wykorzystaniem sieci Internet.
-
-
RNG i
Czas
gen
era
cji
[m
in]
dzisiaj na rynku
komputery wielordzeniowe.
-
-
-sto
,
i-
domeny IoT.
6. SPIS LITERATURY
[1] http://wyborcza.pl/1,76842,14705996,RPO__ Trze-
ba_sprawdzic__jak_PRISM_inwigiluje_Polakow.html,
2013r
[2] http://niebezpiecznik.pl/post/xkeyscore-jeszcze-
gorszy-niz-prism-czyli-nsa-zbiera-wszystko-co-robisz-w-
sieci/, 2013r
[3] C. Bormann, M. Ersue, A. Keranen, Terminology for
Constrained-Node Networks, RFC 7228, IETF 05.2014r
[4] T.Polk, S.Turner, Security Challenges For the Inter-
net Of Things (Security Area Directors), IETF 2011r
[5] N.Sullivan, How the NSA (may have) put a backdoor
, www.routers.com/article/2013/
12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220,
2013r
[6] J.Menn, Exclusive: Secret contract tied NSA and
security industry pioneer, www.reuters.com/article/
2013/12/20/us-usa-security-rsa-
idUSBRE9BJ1C220131220, 2013r
[7] C. Kaufman, Internet Key Exchange (IKEv2) Proto-
col, RFC 4306, IETF 2005r
[8] V. Devarapalli, P. Eronen, Secure Connectivity and
Mobility Using Mobile IPv4 and IKEv2 Mobility and
Multihoming (MOBIKE), RFC 5266, IETF 06.2008
[9] H. Tschofenig, J. Arkko, Report from the Smart Ob-
ject Workshop, RFC 6578, IETF 2012r
[10] M. Myers, H. Tschofenig, Online Certificate Status
Protocol (OCSP) Extensions to IKEv2, RFC 4806, IETF
2007r
[11] T. Dierks, E. Rescorla, The Transport Layer Securi-
ty (TLS) Protocol Version 1.2, RFC 5246, IETF 2008r
[12] Symmetric Key Services Markup Language
(SKSML) Version 1.0, OASIS 2011r
[13] Per- FMLS2010 Key Manage-
ment Overview, Swedish Defence Material Administra-
tion, 2008r
[14] -1 MB,
r
Recommended