Анализ режимов шифрования для реализации в устройствах RFID | ПДМ. Приложение. 2020. № 13. DOI: 10.17223/2226308X/13/20

Анализ режимов шифрования для реализации в устройствах RFID

Технология радиочастотной идентификации (RFID) описывает способы бесконтактной идентификации и аутентификации объектов с возможным обменом зашифрованными данными. В состав RFID-системы входит радио-метка и считывающее устройство. Основная функция RFID-меток - аутентификация с передачей небольшого объёма информации между меткой и считывателем (например, платежи). С учётом аппаратных ограничений изучены режимы шифрования, для которых на метке необходимо реализовать только алгоритм зашифрования блока текста. Рассмотрены режимы CTR, OFB, CFB, модифицированный режим CBC. Для модифицированного режима CBC получена верхняя оценка стойкости в соответствующей модели противника.

Analysis of block cipher modes of operation for rfid devices.pdf RFID-система состоит из двух взаимодействующих участников: метки (с записанными на ней наборами ключей) и считывателя. Необходимо передавать зашифрованную информацию как от считывателя к метке, так и от метки к считывателю. Дополнительно налагаются ограничения на метку: на ней реализован только алгоритм зашифрования блока текста (без расшифрования). Будем рассматривать следующую стандартную модель LOR-неразличимости двух режимов шифрования [1]. На каждом шаге вычислений противник (являющийся вероятностной машиной Тьюринга) подаёт запросы на вход одного из двух оракулов: Oi или O2. Первый оракул реализует режим шифрования, используемый при передаче информации от метки к считывателю, второй оракул - режим шифрования, используемый при передаче информации от считывателя к метке. Оракулы используют один и тот же ключ, выбранный случайно равновероятно в начале эксперимента. Тем самым оракулы связаны друг с другом посредством общего ключа. На каждом шаге противник даёт одному из оракулов (любому, на его выбор) два сообщения (одинаковой длины) для обработки: (ML = (mf,..., mtL), MR = (mR,..., mR)) . В эксперименте Left каждый из оракулов Oi и O2 зашифровывает сообщение ML в своём режиме шифрования и возвращает вычисленный шифртекст. В эксперименте Right каждый из оракулов зашифровывает сообщение MR и возвращает вычисленный шифртекст. Задача противника - анализируя полученные шифртексты, суметь различить два эксперимента. Если противник «думает», что оракулы зашифровывают правые тексты (эксперимент Right), то он выдаёт 1, в противном случае - 0. Если противник способен с высокой вероятностью различать эксперименты Left и Right, то это означает, что он может восстанавливать частичную информацию об открытом тексте из шифртекста. Таким образом, преимущество противника A задаётся как разность вероятностей Adv(A) = P [Right(A) ^ 1] - P [Left(A) ^ 1], где P[X(A) ^ 1] -вероятность того, что противник, взаимодействуя с экспериментатором X, выдаст 1. Вероятность берётся по начальному выбору ключа, внутренних выборах оракулов (случайные векторы инициализации) и случайным битам самого противника. Так, например, если противник не делает никаких запросов к оракулам и просто выдаёт результат подбрасывания случайной равновероятной монеты, то его преимущество Adv(A) равно нулю. Если противник идеально различает два эксперимента, то его преимущество равно 1. Обозначим: q - общее число запросов к оракулам O1 и O2; m - максимальная длина одного запроса (в блоках); t - количество тактов вычислений противника; n - длина одного блока (в битах); k - длина используемого ключа; AdvOO§2(t,q,m) -максимально достижимое преимущество среди всех противников, работающих за время не более t и делающих суммарно не более q запросов, каждый из которых имеет длину не более m блоков. Режимы шифрования CTR (гаммирования), OFB (гаммирования с обратной связью по выходу), CFB (гаммирования с обратной связью по шифртексту) [2] не требуют реализации алгоритма расшифрования на метке, поэтому могут использоваться непосредственно, без модификаций. Для этих режимов оракулы O1 и O2 совпадают. Теорема 1 [3]. Для режима CTR имеем следующую оценку: Adv н AdvCTR, CTR Аналогичные оценки могут быть получены для режимов OFB и CFB (главный член имеет порядок O((qm)2/2n) -оценка дней рождения [4]). При доказательстве используется предположение о PRP-стойкости используемого блочного шифра. Отдельно рассмотрим режим CBC. Для расшифрования в режиме CBC требуется реализация алгоритма расшифрования блока текста, поэтому режим CBC при передаче сообщения от считывателя к метке был модифицирован следующим образом (обозначен далее как CBC): Сг - i-й блок шифртекста. Заметим, что для расшифрования сообщения, зашифрованного по алгоритму CBC, не требуется реализации алгоритма расшифрования блока текста. Таким образом, у противника есть доступ к оракулу зашифрования по алгоритму CBC (оракул O1) и по алгоритму CBC (оракул O2) на одном и том же ключе k. Основным результатом является следующая Теорема 2. Для пары режимов CBC и CBC выполнена оценка Доказательство основано на идее из работы [5]: если выходы двух оракулов могут быть промоделированы генератором, которому на вход подаются лишь длины сообщений (но не их содержание), то режим является LOR-стойким. На первом шаге доказательства, используя свойство sPRP-стойкости блочного шифра (стандартное предположение, см., например, [6]), мы заменяем каждое вхождение блочного шифрования Ek (х) и Е--1(х) на применение случайной подстановки п(х) и п-1(х) соответственно. На втором шаге анализируем полученную конструкцию и показываем, что выходы обоих оракулов можно промоделировать без знания открытого текста. Итоговые оценки получаются из предположения, что множества, на которых вычисляются значения подстановок n(x) и n-1(x), не пересекаются. Полученная оценка близка к оптимальной для стандартного режима CBC: член вида O((qm)2/2n) отражает тот факт, что для режима CBC всегда существует атака дней рождения, предполагающая возникновение коллизии для векторов инициализации IV.

Ключевые слова

доказуемая стойкость, RFID, режим шифрования, provable security, RFID, mode of operation

Авторы

ФИООрганизацияДополнительноE-mail
Царегородцев Кирилл ДенисовичМГУ им. М. В. Ломоносова; НПК «Криптонит»аспирант; специалист-исследовательkirill94_12@mail.ru
Всего: 1

Ссылки

Katz J. and Lindell Y. Introduction to Modern Cryptography, 2nd Ed. Chapman & Hall/CRC, 2014.
Межгосударственный стандарт ГОСТ 34.13-2018 Информационная технология (ИТ). Криптографическая защита информации. Режимы работы блочных шифров. М.: Стан-дартинформ, 2018.
Ahmetzyanova L. R., Alekseev E. K., Oshkin I. B., et al. On the properties of the CTR encryption mode of Magma and Kuznyechik block ciphers with re-keying method based on CryptoPro Key Meshing // Матем. вопр. криптогр. 2017. Т. 8. №2. С. 39-50.
Rogaway P. Evaluation of Some Block Cipher Modes of Operation. 2011. https://web.cs. ucdavis.edu/~rogaway/papers/modes.pdf
Wooding M. New Proofs for Old Modes. IACR Cryptology ePrint Archive. 2008.
Bellare M., Desai A., Jokipii E., and Rogaway P. A concrete security treatment of symmetric encryption // Proc. 38th Ann. Symp. Foundations of Computer Science, IEEE, 1997. P. 394-403.
 Анализ режимов шифрования для реализации в устройствах RFID | ПДМ. Приложение. 2020. № 13. DOI: 10.17223/2226308X/13/20

Анализ режимов шифрования для реализации в устройствах RFID | ПДМ. Приложение. 2020. № 13. DOI: 10.17223/2226308X/13/20