Algoritmos Criptográficos para Redes de Sensores

Transcrição

1 Algoritmos Criptográficos para Redes de Sensores Marcos A. Simplício Jr. 1, Paulo S. L. M. Barreto 1 1 Departamento de Engenharia de Computação e Sistemas Digitais (PCS), Escola Politécnica, Universidade de São Paulo, Brazil. {mjunior, Abstract. Networks that make intense use of constrained devices (such as sensors, tokens and smart cards) suffer from a low availability of computational resources and energy, thus hindering the deployment of many modern cryptographic algorithms. This study addresses this issue by proposing a novel symmetric block cipher named Curupira, designed with constrained platforms in mind. We also describe two different key schedule algorithms that can be adopted by the cipher, and evaluate the security and performance of both constructions. Resumo. Em redes altamente dependentes de dispositivos como sensores, tokens e smart cards, o uso de diversos algoritmos criptográficos modernos tornase um desafio em razão da reduzida disponibilidade de recursos destas plataformas. Visando resolver tal problema, este trabalho propõe uma nova cifra de bloco simétrica, denominada Curupira, projetada especialmente para plataformas com recursos limitados. Também são descritas duas estratégias de escalonamento de chaves distintas que podem ser adotados pela cifra. Finalmente, a segurança e eficiência dos algoritmos resultantes são avaliadas. 1. Introdução Redes de Sensores Sem Fio (RSSF) podem ser consideradas como uma classe especial de redes ad hoc na qual uma grande quantidade de nós sensores de baixo custo interagem de forma cooperativa para captar e transmitir dados do ambiente que os cerca. O uso desta tecnologia permite o desenvolvimento de aplicações em diversas áreas, como monitoramento climático e de estruturas, vigilância de ambientes, controle de saúde corporal, gerenciamento de emergências e de operações militares, dentre outros [Alemdar and Ibnkahla 2007]. Neste cenário, é importante garantir a integridade, autenticidade, e confidencialidade dos dados trafegados, prevenindo o vazamento de informações sigilosas (e.g., dados médicos) e também a injeção de dados falsos na rede. Apesar desta necessidade de segurança, RSSFs apresentam um grande desafio: os nós sensores comumente utilizados apresentam uma reduzida disponibilidade de recursos computacionais e de energia, impondo severas limitações no tipo de algoritmos criptográficos que podem ser efetivamente usados em tais redes. Por outro lado, soluções criptográficas de propósito geral, tipicamente adotadas em sistemas modernos, não respondem necessariamente de forma ótima a este cenário. Assim, o desenvolvimento de algoritmos especialmente adaptados a estas necessidades específicas torna-se essencial. Existe atualmente um número considerável de arquiteturas de segurança voltadas a RSSFs. Uma das mais populares é o TinySec [Karlof et al. 2004], que atua na camada de enlace do TinyOS [Hill et al. 2000], considerado o sistema operacional padrão de facto 523

2 524 Concurso de Tese e Dissertações (CTD) para RSSF. Como cifra padrão, o TinySec escolheu o Skipjack [NSA 1998] devido a seu elevado desempenho (superior inclusive ao AES), comprovado em estudos bastante completos como [Law et al. 2006]. No entanto, o Skipjack provê uma reduzida margem de segurança, já que o mesmo usa chaves relativamente pequenas (80 bits) e 31 de seus 32 rounds podem ser criptanalizados com sucesso [Biham et al. 1999]. Este fato leva a preocupações com relação à segurança de sistemas como o TinySec e outras arquiteturas que adotam o Skipjack como cifra padrão, como o MiniSec [Luk et al. 2007] e o Sensec [Li et al. 2005]. Já o AES [NIST 2001] é apontado em [Law et al. 2006] como uma possível alternativa em cenários com elevada necessidade de segurança; porém, o AES requer mais memória de código, RAM e energia que diversos dos algoritmos considerados em [Law et al. 2006], além de ter um tamanho de bloco (128 bits) grande tendo em vista o reduzido tamanho de mensagens trafegadas em RSSFs. Neste trabalho, apresentamos uma cifra de bloco dedicada denominada Curupira, desenvolvida especialmente para uso em redes de sensores e cenários com restrições de recursos similares. Esta cifra opera sobre blocos de 96 bits e aceita chaves de 96, 144, ou 192 bits. O projeto da cifra combina a segurança da Estratégia de Trilha Larga [Daemen 1995] (utilizada na construção do próprio AES) com o reduzido uso de memória provido por uma estrutura involutiva 1, mesmo quando as funções de encriptação e decriptação são ambas necessárias. O Curupira é bastante flexível em termos de implementação, permitindo um compromisso entre velocidade e uso de memória em função dos recursos disponíveis na plataforma alvo. Finalmente, a cifra proposta apresenta duas versões distintas do algoritmo de escalonamento de chaves: a estratégia adotada no Curupira-1 é mais conservadora, provendo elevada difusão (e, assim, em um nível de segurança superior) a um reduzido custo de memória RAM; já no escalonamento do Curupira-2, tem-se uma que o número de ciclos por byte processado é bem menor, com um uso de RAM ligeiramente maior e capacidade de difusão menor. As principais contribuições deste trabalho são, portanto: (1) a proposta de uma nova cifra simétrica, o Curupira; (2) o desenvolvimento de uma análise de segurança completa do Curupira, mostrando que o mesmo é seguro contra todos os ataques conhecidos; (3) a apresentação de técnicas de otimização para a cifra proposta; (4) a implementação e análise de desempenho do algoritmo, em comparado com outras cifras de interesse em RSSF, mostrando o elevado potencial do Curupira em cenários com recursos limitados. O restante deste documento está organizado da seguinte forma. As ferramentas matemáticas e notação básicas são introduzidas na seção 2. A estrutura de round do Curupira é detalhada na seção 3. As seções 4 e 5 descrevem os algoritmos de escalonamento de chaves do Curupira-1 e -2, respectivamente. Os resultados da análise de segurança da cifra são discutidos na seção 6. A seção 7 apresenta uma análise teórica do desempenho dos algoritmos propostos, bem como os resultados experimentais obtidos. A seção 8 apresenta as conclusões do trabalho. 2. Preliminares matemáticas e notação O corpo finito GF(2 n ) será representado como GF(2)[x]/p n (x), onde p n (x) é um pentanômio primitivo de grau n em GF(2)[x], i.e. deg(p n (x)) n. Neste documento, as multiplicações em GF(2 8 ) são feitas módulo p 8 (x) = x 8 + x 6 + x 3 + x Esta escolha de 1 Os processos de encriptação e decriptação são idênticos exceto pelo escalonamento de chaves.

3 X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais 525 p 8 (x) leva a uma forma particularmente simples para a raiz cúbica primitiva do elemento unitário, c(x) = x 85 mod p 8 (x) = x 4 + x 3 + x 2. Um elemento u = u 7 x u i x i + + u 0 de GF(2 8 ) onde u i GF(2)[x] para todo i = 0,..., 7, é representado pelo seu valor numérico u u i 2 i + + u 0, escrito em notação hexadecimal. Assim, o polinômio c(x) se escreve 1C, enquanto p 8 (x) é representado como 14D. Denota-se por xtimes e ctimes, respectivamente, a multiplicação por x e c(x). O conjunto dos vetores de 48t bits no corpo finito GF(2 48t ) = GF(2)[x]/p 48t (x) é denotado U t, 2 t 4. Portanto, todas as multiplicações em GF(2 48t ) são feitas módulo um pentanômio primitivo p 48t (x) GF(2)[x], definidos como: p 96 (x) = x 96 +x 16 +x 13 +x 11 +1; p 144 (x) = x 144 +x 56 +x 53 +x 51 +1; e p 192 (x) = x 192 +x 43 +x 41 +x De modo similar, o conjunto de todas as matrizes 3 n em GF(2 m ) é representado por M n. Sejam D e E as matrizes MDS [MacWilliams and Sloane 1977] a seguir: c(x) c(x) c(x) D = 4 5 4, E = c(x) 1+c(x) c(x) c(x) c(x) 1+c(x) 3. Estrutura do CURUPIRA O Curupira opera sobre blocos de 96 bits organizados como matrizes M 4, mapeadas por colunas. A cifra aceita chaves de 96, 144 ou 192 bits, com um número variável de rounds (ao menos 10). A função de round do Curupira é composta pelas seguintes operações auto-inversas (veja Figura 1), que dão à cifra seu caráter involutivo: Camada não-linear (γ): Os bytes do bloco passam por uma S-box altamente nãolinear, idêntica àquela usada na cifra de bloco Anubis [Barreto and Rijmen 2000]; Camada de difusão linear (θ): O bloco é multiplicado à esquerda pela matriz MDS e involutiva D (definida na seção 2), resultando em difusão intra-colunar; Camada de permutação (π): Todos os bytes na segunda e terceira linhas do bloco são permutados conforme a regra π(a) = b b i, j = a i,i j, 0 i < 3, 0 j < n; Camada de adição de chave (σ): a sub-chave de round é combinada com o bloco por meio da operação binária OU-exclusivo (XOR). 4. Escalonamento de chaves no CURUPIRA-1 O escalonamento de chaves do Curupira-1 é facilmente invertível e segue uma estrutura bastante similar àquela ditada pela Estratégia de Trilha Larga, o que garante uma elevada capacidade de difusão. Além disto, ela tem a vantagem de ser cíclica, de modo que a chave original é recuperada após um certo número de rounds, dispensando a necessidade de armazenar qualquer sub-chave intermediária durante a encriptação ou decriptação. Nesta primeira construção, a chave de 48t bits, denotada K (2 t 4) é internamente representada como uma matriz K M 2t. A sub-chave K n+1 é computada a partir de sua predecessora K n por meio de três transformações (ilustradas na Figura 2): Adição de constante (σ(q)): um conjunto de constantes não-lineares, incrementalmente tomadas da S-box, são combinadas com os bytes da primeira linha da sub-chave por meio de XOR; assim, para uma chave de 48t bits, a constante q (r) j do r th round para a coluna j é dada por: q (0) j = 0 e q (r) j = S [2t(r 1)+ j], 0 j 2t;

4 526 Concurso de Tese e Dissertações (CTD) Figura 1. Estrutura de round do Curupira Deslocamento cíclico (ξ): rotaciona a segunda linha de uma posição para a esquerda, e a terceira linha de uma posição para a direita, mantendo a primeira linha inalterada; Difusão linear (µ): a sub-chave é multiplicada à esquerda pela matriz invertível E (definida na seção 2). Figura 2. O escalonamento de chaves do Curupira-1 Finalmente, as chaves de round κ (r) efetivamente combinada com os blocos são computadas por meio do algoritmo de seleção de chaves φ r, o qual aplica a S-box aos bytes da primeira linha da sub-chave K r e trunca o resultado para 96 bits (i.e., o tamanho do bloco). Assim, apesar de φ r não fazer parte do processo de evolução das chaves em si, esta função introduz não-linearidade ao processo de escalonamento.

5 X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais Escalonamento de chaves no CURUPIRA-2 O escalonamento de chaves no Curupira-2 tem a forma de um registrador de deslocamento linear com retro-alimentação, no qual a sub-chave de 48t bits (2 t 4) é organizada como um vetor de 48t bits no corpo finito GF(2 48t ) = GF(2)[x]/p 48t (x). Os pentanômios p 48t usados pelo algoritmo são aqueles definidos na seção 2. Este segundo algoritmo de escalonamento não apresenta um comportamento cíclico, mas é facilmente invertível, e também requer uma quantidade reduzida de RAM para armazenar sub-chaves; por exemplo, a primeira e a última chaves poderiam ser armazenada para pronta utilização durante a encriptação ou decriptação, e uma pode ser obtida a partir da outra pelo mesmo (reduzido) custo. Entretanto, a principal vantagem deste algoritmo diz respeito ao seu desempenho, como será mostrado na seção 7. Como no Curupira-1, o escalonamento de chaves do Curupira-2 também envolve três transformações para a geração da sub-chave K n+1 a partir de sua predecessora K n (veja Figure 3): Adição de constante (σ(q )): o byte mais significativo da sub-chave é combinado com uma das constantes de escalonamento, as quais são sequencialmente recuperadas da S-box; Difusão linear (ℵ): a sub-chave é multiplicada por x 8 na corpo finito GF(2 48t ); Combinação linear (η): a metade mais significativa da sub-chave é linearmente combinada (via XOR) com a sua metade menos significativa. Figura 3. O escalonamento de chaves do Curupira-2 As sub-chaves passam então pelo algoritmo de seleção de chaves φ r, que toma os 12 bytes menos significativos de K r, os mapeia na matriz M 4 e aplica a S-box à primeira coluna desta matriz, gerando a chave de round κ (r). Deste modo, φ r introduz nãolinearidade ao processo de escalonamento. 6. Análise de segurança A adoção da Estratégia de Trilha Larga, em combinação com uma S-box altamente nãolinear, evita modalidades bem conhecidas de ataques (em especial ataques diferenciais e lineares), garantindo um elevado nível de segurança ao Curupira. Em nossas análises, nenhum ataque mais rápido do que busca exaustiva foi encontrado para mais de 7 rounds da cifra, um resultado corroborado pela análise de terceiros [Nakahara 2008].

6 528 Concurso de Tese e Dissertações (CTD) 7. Desempenho e resultados experimentais A implementação do Curupira é bastante flexível, podendo ser facilmente adaptada a diferentes cenários e recursos disponíveis. As chaves de round podem ser computadas sobdemanda ou então pré-armazenadas em uma tabela para rápido acesso. Adicionalmente, todas as transformações da cifra envolvem apenas operações bastante simples, tais como indexação de tabelas, XORs e deslocamento de bytes, facilitando a sua implementação eficiente mesmo em plataformas com um reduzido conjunto de instruções. Por outro lado, em dispositivos modernos, estas operações podem ser aceleradas ainda mais usando tabelas com resultados intermediários, e por meio de operações que se aplicam a colunas inteiras ao invés de byte-a-byte [Daemen and Rijmen 2002, section 4.1.1]. Uma análise meticulosa da estrutura do Curupira revela que, para R rounds, o custo da função de round é de apenas 3R 1 XORs, 2(R 1)/3 operações de xtimes e R indexações de S-box por byte. Os processos de escalonamento de chaves e seleção de chaves adicionam menos de 2/3 indexações de S-box, 1/3 operações de ctimes e 2 XORs por byte da chave e por round no Curupira-1, enquanto este custo cai para um máximo de 5/12 indexações de S-box, 5/8 XORs e 1/12 indexações de Stabela por byte de chave e por round no Curupira-2. Em comparação, o Skipjack requer basicamente 48 XORs e 16 indexações de tabela (F-table) por byte encriptado. Portanto, assumindo um custo igual para estas operações básicas e ignorando operações auxiliares (e.g., incrementos de contador), estima-se que o custo do Curupira-1 com chaves de 96 bits seja cerca de ( )/64 108% do custo do Skipjack quando as chaves de round são calculadas sob-demanda; por outro lado, o custo do Curupira-2 com chaves de 96 bits corresponde a ( )/64 82% do custo do Skipjack nas mesmas condições. Para validar este resultado teórico, o Skipjack e o Curupira com chaves de 96 bits e sub-chaves computadas sob demanda foram implementados e avaliados em duas plataformas de 8 bits: um micro-controlador RISC PIC18F8490 equipado com um processador de 8 MHz, 16 KiB de memória de código e 768 bytes de RAM; e o simulador de sensor Avrora [Titzer et al. 2004], simulando uma micro-controlador da série ATmega128 com processador de 7.3 MHz, 128 KiB de memória de código e 4 KiB de RAM. Além disto, foi também realizada uma comparação com entre AES, Skipjack e Curupira em uma plataforma de 32 bits: um computador equipado com um Pentium 4 (3.2GHz) e 1 GiB de RAM. As Figuras 4 e 5 mostram os resultados obtidos. Figura 4. Comparação entre Skipjack e Curupira em plataformas de 8 bits. Os resultados obtidos no PIC18F8490 mostram que o Curupira-2 requer 18%

7 X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais 529 Figura 5. Comparação entre AES, Skipjack e Curupira em plataforma de 32 bits. menos ciclos de clock do que o Skipjack, enquanto o Curupira-1 é 12% menos eficiente do que este último, o que é similar ao teoricamente esperado. Já no simulador Avrora, o Skipjack mostrou-se cerca de 30% e 4% mais rápido do que o Curupira-1 e o Curupira-2, respectivamente, apesar de ter sido utilizado o mesmo código em C, o que indica certa influência da plataforma e compilador sobre os resultados. Além disto, o uso observado de memória de código e ROM (em bytes) foi: 1400 e 512 para o Curupira-1; 1500 e 512 para o Curupira-2; 1000 e 256 para o Skipjack. Com relação à plataforma de 32 bits, o desempenho do AES e do Curupira com um mesmo número de rounds mostrou-se bastante similar, um resultado esperado em razão do uso de otimizações semelhantes e bem conhecidas para cifras que seguem a Estratégia de Trilha Larga. Por outro lado, o resultado bastante modesto do Skipjack ( 3 vezes mais lento do que o AES e o Curupira) é explicado pelo fato que o mesmo adota operações orientadas a 16 bits, que são atrativas para uso em processadores com instruções pequenas, mas tiram menor proveito do maior número de bits disponíveis em plataformas mais poderosas; já o AES e o Curupira podem operar facilmente sobre palavras de 32 e 24 bits, respectivamente. 8. Conclusões Este documento apresentou o Curupira, uma nova cifra de bloco desenvolvida especialmente para plataformas com recursos limitados, como RSSF. O Curupira foi projetado conforme a Estratégia de Trilha Larga, o que lhe garante um elevado nível de segurança. O resultado é um algoritmo rápido, compacto e flexível, fazendo do Curupira uma alternativa potencial para prover segurança em redes com recursos limitados, conforme demonstrado experimentalmente. Pelo conjunto de suas características, o artigo descrevendo o Curupira-1 recebeu menção honrosa na 25 a edição do Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos (SBRC 07) [Barreto and Simplicio 2007]. Este documento é um resumo da dissertação de mestrado defendida junto à Universidade de São Paulo, e disponível em

8 530 Concurso de Tese e Dissertações (CTD) Referências Alemdar, A. and Ibnkahla, M. (2007). Wireless sensor networks: Applications and challenges. 9th International Symposium on Signal Processing and Its Applications (ISSPA 2007), pages 1 6. Barreto, P. and Simplicio, M. (2007). Curupira, a block cipher for constrained platforms. In Anais do 25 o Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos - SBRC 2007, volume 1, pages SBC. Barreto, P. S. L. M. and Rijmen, V. (2000). The Anubis block cipher. In First open NESSIE Workshop, Leuven, Belgium. NESSIE Consortium. Biham, E., Biryukov, A., and Shamir, A. (1999). Cryptanalysis of skipjack reduced to 31 rounds using impossible differentials. In Advances in Cryptology Eurocrypt 99, volume 1592 of Lecture Notes in Computer Science, pages Springer. Daemen, J. (1995). Cipher and hash function design strategies based on linear and differential cryptanalysis. Doctoral dissertation, Katholiek Universiteit Leuven. Daemen, J. and Rijmen, V. (2002). The Design of Rijndael: AES The Advanced Encryption Standard. Springer, Heidelberg, Germany. Hill, J., Szewczyk, R., Woo, A., Hollar, S., Culler, D., and Pister, K. (2000). System architecture directions for networked sensors. In Architectural Support for Programming Languages and Operating Systems, pages Karlof, C., Sastry, N., and Wagner, D. (2004). Tinysec: a link layer security architecture for wireless sensor networks. In 2nd International Conference on Embedded Networked Sensor Systems SenSys 2004, pages , Baltimore, USA. ACM. Law, Y. W., Doumen, J., and Hartel, P. (2006). Survey and benchmark of block ciphers for wireless sensor networks. ACM Transactions on Sensor Networks (TOSN), 2(1): Li, T., Wu, H., Wang, X., and Bao, F. (2005). SenSec design. Technical report, InfoComm Security Department. Luk, M., Mezzour, G., Perrig, A., and Gligor, V. (2007). Minisec: A secure sensor network communication architecture. In IPSN 07: Proc. of the 6th international conference on Information processing in sensor networks, pages MacWilliams, F. J. and Sloane, N. J. A. (1977). The theory of error-correcting codes, volume 16. North-Holland Mathematical Library. Nakahara, J. (2008). Analysis of Curupira block cipher. In Anais do 8 o Simpósio Brasileiro em Segurança da Informação e Sistemas Computacionais. NIST (2001). Federal Information Processing Standard (FIPS 197) Advanced Encryption Standard (AES). National Institute of Standards and Technology. http: //csrc.nist.gov/publications/fips/fips197/fips-197.pdf. NSA (1998). Skipjack and KEA Algorithm Specifications, version 2.0. National Security Agency. Titzer, B., Lee, D., and Palsberg, J. (2004). Avrora scalable simulation of sensor networks with precise timing. Center for Embedded Network Sensing Posters - Paper 93.