}w!"#$%&'()+,-./012345<ya

Transkript

1 MASARYKOVA UNIVERZITA FAKULTA INFORMATIKY }w!"#$%&'()+,-./012345<ya Blokové šifry pro bezdrátové senzorové sítě BAKALÁŘSKÁ PRÁCE Aleš Hejmalíček Brno, 2012

2 Prohlášení Prohlašuji, že tato bakalářská práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. Vedoucí práce: RNDr. Jiří Kůr ii

3 Poděkování Úvodem bych rád poděkoval vedoucímu své práce RNDr. Jiřímu Kůrovy za jeho pomoc při řešení této práce. iii

4 Shrnutí Cílem této práce je popsat problematiku bezpečnosti bezdrátových senzorových sítí. Zaměřuje se hlavně na použití symetrické kryptografie a na její výhody a nevýhody. Praktická čast se skládá z implementace kryptografické knihovny s blokovými šiframi a jejich otestování s ohledem na rychlost a náročnost na systémové zdroje. iv

5 Klíčová slova symetrická kryptografie, blokové šifry, bezdrátové senzorové sítě, AES, Skipjack, RC5, PRESENT, XXTEA v

6 Obsah Úvod Bezdrátové senzorové sítě Využití Hardware bezdrátových senzorových sítí Struktura a návrh Hardwarové omezení uzlů Model komunikace bezdrátových senzorových sítí Software bezdrátových senzorových sítí TinyOS TOSSIM LiteOS Avrora nesc Bezpečnost bezdrátových senzorových sítí Faktory ovlivňující bezpečnost Požadavky zabezpečení Útoky Obranné mechanismy Uschování a distribuce klíčů Asymetrická kryptografie Symetrická kryptografie Implementace Kryptografické knihovny v TinyOS Popis vytvořené knihovny Implementované algoritmy AES Skipjack RC PRESENT XXTEA Implementované módy šifer ECB CBC CTR Testy vi

7 4.1 Podobné práce Platformy TelosB MICAz Metodika testování Výsledky Diskuse Závěr A Obsah přiloženého CD vii

8 Úvod Bezdrátové senzorové sítě, dále jen BSS, jsou nástrojem pro sledování prostředí, protože senzory mohou sledovat nebo měřit různé hodnoty, např.: teplotu, intenzitu světla, tlak apod. a převádět je na digitální signál, který je možný dále zpracovávat. Vznik bezdrátových senzorových sítí je spojován s požadavky armádních složek, které potřebovaly levný a jednoduchý způsob, jak sledovat vojenský prostor. V dnešní době dochází k velkému rozvoji bezdrátových senzorových sítí v průmyslu, kde se používají pro kontrolu funkčnosti výrobních strojů a nahrazují tak běžné senzory. Hlavní výhody bezdrátových senzorových sítí jsou dynamicky se měnící typologie sítě podle situace, nezávislost senzorových uzlů, a tedy i odolnost proti jejich výpadkům. V neposlední řadě škálovatelnost a nízká spotřeba elektrické energie. V posledních letech zaznamenávají BSS rychlý růst. Rozšiřují se jejich možnosti aplikace v širokém spektru různých odvětví. Vzhledem k velkým možnostem jejich uplatnění se začínají více řešit jejich bezpečnostní problémy. Mezi tyto problémy řadíme jak integritu, důvěryhodnost a autentizaci dat, tak i ochranu před různými druhy útoků, jako jsou zvláště fyzické útoky nebo znepřístupnění služeb (z ang. denial of service). Doposud publikované práce na podobné téma se zabývají nejen teoretickými hrozbami, ale i implementací bezpečnostních pravidel a algoritmů. Většina těchto prací se věnuje senzorovým uzlům s operačním systémem TinyOS. Na tomto systému jsou implementovány protokoly jako TinySec nebo MiniSec. Tyto protokoly nám zajišt ují bezpečný přenos dat mezi senzorovými uzly a jejich autentizací. Základem těchto protokolů jsou šifrovací algoritmy. Několik publikovaných odborných článků na téma bezdrátových senzorových sítí se zabývá vhodnou implementací a optimalizací šifrovacích algoritmů pro BSS, at už se jedná o symetrickou nebo asymetrickou kryptografii. Asymetrická kryptografie se zatím příliš nepoužívá z důvodu větší hardwarové náročnosti. V poslední době lze ovšem najít velice zdařilé implementace kryptografie eliptických křivek. Přesto je v dnešní době symetrická kryptografie na BSS rozšířenější. Hlavním důvodem je jednodušší implementace algoritmů a menší hardwarová náročnost. Ve své bakalářské práci se věnuji především symetrické kryptografii, implementaci šifrovacích algoritmů, módům činnosti šifrování a jejich testovaní s ohledem na velikost kódu a na rychlost. Cílem této práce bylo vytvoření knihovny s blokovými symetrickými šiframi s jednotným rozhraním a jejich otestování na reálných platformách. První kapitola mé práce je zaměřena na popis základů bezdrátových senzorových sítí a součastně na jejich výhody a použití. Popisuje hardwarové a softwarové vybavení dnešních BSS. Dále obsahuje popisy operačních systémů, simulačních nástrojů nebo ja- 1

9 zyka pro psaní aplikací. Ve druhé kapitole popisuji možné bezpečnostní hrozby a rizika specifické pro BSS, vlastnosti, které se snažíme zajistit bezpečnostními mechanismy a metody pro zajištění důvěrnosti dat. Ve třetí kapitole popisuji výběr šifrovacích algoritmů, jejich módů činnosti a rozhraní vytvořené knihovny. Čtvrtá kapitola obsahuje výsledky podobných prací, metodiku testování, výsledky testů a jejich analýzu. Závěr práce stručně shrnuje dosažený cíl práce a její výsledky. Dále popisuje, jakým směrem je možno další podobné práce směřovat. 2

10 Kapitola 1 Bezdrátové senzorové sítě 1.1 Využití Vlastnosti bezdrátových senzorových sítí je předurčují k použití tam, kde se používaly běžné senzory, ale i v mnoha dalších oblastech, jako jsou [1]: Armáda škálovatelnost bezdrátových senzorových sítí, jednoduchost rozmístění a nenáchylnost k výpadku celé sítě z nich dělá ideální nástroj na použití v armádě. At už sledování pohybu jednotek v daném sektoru nebo i sledování výzbroje a munice. Životní prostředí jedním z použití bezdrátových senzorových sítí je monitorování přírody a varování před přírodními katastrofami. Senzory rozmístěné po lese nás mohou upozornit na vznik požáru nebo mohou sledovat pohyb ohrožené zvěře. Senzorové uzly mohou sledovat znečistění ovzduší nebo upozornit na přicházející povodně nebo zemětřesení. Zdravotnictví senzorové uzly mohou být umístěny v diagnostických zařízeních a kontrolovat jejich funkčnost. Mohou být umístěny přímo na těle pacienta, u kterého sledují například srdeční aktivitu nebo mohou sloužit pro lepší organizaci nemocničního zařízení. Každý zaměstnanec i pacient má na sobě umístěný senzor, který sleduje pohyb osob po budově. Průmysl kontrola stavu výrobních strojů a procesu výroby. Senzory například měří teplotu a varují před přehřátím nebo zadřením. Domácnosti při stavbě inteligentních domů, pro sledování teploty a vlhkosti. Každá místnost může mít svoji nezávislou senzorovou sít, jejichž hlavní uzly komunikují mezi sebou a tyto uzly pak mohou ovládat veškerou elektroniku v domě. 1.2 Hardware bezdrátových senzorových sítí Jedním z hlavních cílů vývoje bezdrátových senzorových sítí je výroba malých a levných senzorových uzlů. Počet společností vyrábějících hardware pro senzorové uzly pomalu stoupá, i když je většina senzorových uzlů pořád ve vývoji. 3

11 1. BEZDRÁTOVÉ SENZOROVÉ SÍTĚ Struktura a návrh BSS jsou složeny z velkého počtu senzorových uzlů [1, 2]. Tyto senzorové uzly bývají umístěny velmi blízko objektu, který sledují. Umístění senzorů nemusí být předem dané a není tedy nutný návrh rozmístění senzorových uzlů sítě. Díky tomu mohou být bezdrátové senzorové sítě jednoduše umístěny i na špatně přístupných místech. Struktura bezdrátových senzorových sítí je založena na vzájemné komunikaci senzorových uzlů a přeposílání zpráv. Při návrhu bezdrátových senzorových sítí je většinou použita základnová stanice, která slouží ke zpracování dat, které jednotlivé senzorové uzly zaznamenaly. Existují však výjimky, kdy jsou BSS navrženy jako distribuovaný systém počítačů bez základnové stanice. Na jednotlivé komponenty sítě lze nahlížet jako na počítače s velmi omezeným výkonem, z toho důvodu, že senzorové uzly jsou napájeny z vlastní baterie, a tudíž není možné provádět složité výpočty na jednotlivých senzorových uzlech. V posledních letech se výzkum posunul k možnosti použití obnovitelných zdrojů, jako je například solární energie, a tedy prodloužení životnosti jednotlivých senzorových uzlů. Senzorové uzly se podle výkonu řadí do tří tříd [3], přičemž operační systémy pro senzorové sítě se používají pouze na nejvýkonnějších uzlech z důvodu jejich náročnosti na zdroje. Mezi takové operační systémy patří TinyOS [4] nebo LiteOS [5]. Při návrhu bezdrátových senzorových sítí je nutné vzít dále v úvahu škálovatelnost, protože počet senzorových uzlů v jedné síti může dosahovat stovek nebo dokonce i milion. Proto by mělo být možné senzorové uzly jednoduše přidávat a odebírat ze sítě. Mimo jiné to znamená, že bezdrátové senzorové sítě by měly být schopny provozu i při výpadku několika uzlů. Asi nejdůležitějším parametrem je cena jednoho uzlu. Důležitým úkolem je snížit cenu jednoho uzlu na cenu desítek korun. V dnešní době se cena pohybuje ve stovkách až tisících korun českých. Proto je dávána přednost tradičním senzorům, které sice postrádají výhody bezdrátových sítí, ale tím jsou levnější Hardwarové omezení uzlů Každý senzorový uzel se skládá ze 4 základních součástí: ze senzorové jednotky (z ang. sensing unit), z výkonné jednotky (z ang. processing unit), z přenosové jednotky (z ang. transmission unit) a ze zdroje energie. Senzorové uzly mohou mít i další součástky, například mobilizér. Senzorová jednotka se skládá ze dvou částí. První část je samotný senzor, který sleduje okolí, druhá je konvertor z analogového signálu do digitálního (ADCs). Poté, co ADCs převede analogová data na digitální, jsou data přeposlána do výkonné jednotky, ve které jsou nadále zpracována. Přenosová jednotka je nejdůležitější součástí, protože připojuje senzorový uzel do sítě, a tím mu umožňuje komunikaci. I když jsou dnešní procesory stále menší a výkonnější, procesory v uzlech jsou velmi jednoduché. Například uzel typu smart dust je tvořen procesorem ATMEL AVR MHz, pamětí pro instrukce, 512 B RAM a 512 B EEPROM [1]. TinyOS se používá na uzlech s 3500 B pamětí pro operační systém a 4500 B pro zdrojové kódy aplikací. Testování v této práci bylo prováděno na uzlu TelosB [6], který disponuje 16 bitovým procesorem, 4

12 1. BEZDRÁTOVÉ SENZOROVÉ SÍTĚ 48 KB flash paměti pro aplikace, 10 kb RAM a 16 kb konfigurační EEPROM[6]. Slabý Normální Výkonný Model PIC12F675 PIC18F6720 ATmega128L ARM920T Frekvence (MHz) Velikost slova (b) RAM 64 B 4 kb 128 kb 512 kb RAM 1,4 kb 128 kb 128 kb 4 MB Spotřeba (běh; ma) 2,5 2, Spotřeba (spánek) 1 na 1 µa 15 µa 40 µa Tabulka 1.1: Příklady mikrokontrolérů na trhu [3]. Obrázek 1.1: Struktura senzorového uzlu Model komunikace bezdrátových senzorových sítí Každý senzorový uzel má schopnost shromažd ovat data a přeposílat je koncovému uživateli. Data jsou směrována pomocí vícehopové architektury skrze koncový senzorový uzel. Tento uzel a všechny ostatní senzorové uzly používají protokol, který v sobě zahrnuje ohled na směrovaní dat sítí, spotřebu energie vydané na přeposlání dat médiem, a který se snaží o využití spolupráce senzorových uzlů. Protokol se skládá z několika částí, které připomínají ISO/OSI model. Jsou to vrstvy aplikační, transportní, sít ová a datová [1]. Aplikační vrstva - na aplikační vrstvě lze měnit aplikace podle využití senzorových uzlů. Aplikační vrstva obsahuje tři základní protokoly. Protokol pro přidělování úkolů a správu dat (TADAP) (z ang. task assignment and data advertisement 5

13 1. BEZDRÁTOVÉ SENZOROVÉ SÍTĚ protocol), protokol pro správu senzorových uzlů (SMP) (z ang. sensor management protocol) a protokol pro správu dotazů a šíření dat (SQDDP) (z ang. sensor query and data dissemination protocol). SMP vytváří můstek mezi nižšími vrstvami a správci sítě, jehož pomocí komunikují se senzorovými uzly. SMP používá pojmenování na základě atributů (z ang. attribute-based naming) a adresování na základě umístění (z ang. location-based addressing). Pokud uživatel potřebuje nějaká data z bezdrátové senzorové sítě nebo jejího uzlu, pak může poslat žádost na získání určitého atributu sledovaného jevu nebo spustit jeho sledování. Senzorové uzly také mohou upozornit uživatele na to, že drží nějaká užitečná data. Tyto činnosti jsou spravované protokolem pro přidělování úkolů a správu dat. SQDDP poskytuje rozhraní pro správu dotazů, odpovědi na ně a pro sběr odpovědí. Tyto dotazy však nejsou směrovány přímo na kontretní senzorové uzly, ale jsou směrovány na základě atributů a umístění. Příkladem takového dotazu je "umístění senzorového uzlu, který nedetekuje žádný pohyb". Transportní vrstva - tato vrstva je nutná, pokud chceme k bezdrátovým senzorovým sítím přistupovat skrze externí sítě. Pro komunikaci externích sítí s bezdrátovými senzorovými sítěmi se používá TCP nebo UDP. Velmi často se používá UDP z důvodu omezené paměti senzorových uzlů BSS. Sít ová vrstva - k vzájemné komunikaci mezi koncovými a senzorovými uzly je potřeba správné směrování. V bezdrátových senzorových sítích se používá speciálních vícehopových protokolů. Při návrhu těchto protokolů je potřeba dbát na energetickou náročnost, agregaci dat a adresování na základě atributů. Mezi způsoby směrování v bezdrátových senzorových sítích patří směrování po cestě s největší dostupnou energií, směrování po cestě s nejmenší spotřebou energie a směrování po cestě s nejmenším počtem skoků. Datová vrstva - zabezpečuje spolehlivé bodové spojení v síti. Dále je datová vrstva zodpovědná za multiplexing, detekování rámců, přístup k médiu a za kontrolu chyb. 1.3 Software bezdrátových senzorových sítí Vývoj softwaru pro BSS je zaměřen na nízkou energetickou a výpočtovou náročnost a jednoduchost. Pro BSS dnes existují dva operační systémy, TinyOS a LiteOS. Aplikace pro tyto operační systémy se píší v jazyce nesc a k simulaci slouží například nástroje Tossim a Avrora. 6

14 1. BEZDRÁTOVÉ SENZOROVÉ SÍTĚ TinyOS TinyOS je svobodný operační systém pro bezdrátové senzorové sítě [4], který vznikl ve spolupráci Kalifornské univerzity v Berkeley se společností Intel. Vývoj operačního systému začal na zmíněné univerzitě již v roce Poslední verze TinyOS s označením vyšla v dubnu Aplikace TinyOS jsou napsány v jazyce nesc, který je modifikací jazyka C, a který je optimalizovaný pro pamět ové a výkonnostní limity bezdrátových senzorových uzlů. Knihovny a nástroje, jako překladač jazyka nesc, jsou ve většině případů napsané v jazyce C. Podpůrné nástroje jsou naopak napsány v jazyce Java nebo jsou to Shell skripty. TinyOS podporuje rovněž skripty v jazyce python. Aplikace napsané pro operační systém TinyOS jsou složené z jednotlivých komponent a tyto komponenty jsou navzájem propojeny pomocí jejich rozhraní. TinyOS obsahuje rozhraní bežných funcí, jako jsou komunikace a směrování. TinyOS je kompletně asynchronní a používá pouze jeden zásobník. Kvůli tomu jsou vývojáři nuceni psát složitější aplikace jako posloupnost událostí. Pro složitější výpočty TinyOS podporuje úkoly. Každý úkol se ukládá do fronty a operační systém ho vykoná později. Tento model je typický pro I/O zařízení. V knihovnách TinyOS 2.1 je už zahrnuta i knihovna pro správu a vytváření vláknových aplikací TOSSIM TOSSIM je simulátor senzorových uzlů bezdrátových senzorových sítí škálovatelný až na několik tisíc senzorových uzlů [7]. Tento nástroj umožňuje vývojářům nejen testovat jejich algoritmy, ale i jejich konkrétní implementace. Podporuje nízkoúrovňové protokoly i aplikační vrstvy. TOSSIM také obsahuje GUI, TinyViz, který dokáže přehledně zobrazovat interakce v běžící aplikaci a zasahovat do nich. K jejich simulaci používá TOSSIM jednoduchý systém. Sít je orientovaný graf, ve kterém je každý senzor uzel a každá hrana má pravděpodobnost bitové chyby. Dále má každý uzel různé stavy, které reprezentují to, co slyší na vstupu. Tento systém umožňuje testování a simulovaní za perfektních přenosových podmínek, protože pravděpodobnost výskytu chyby je 0. Může simulovat problém skrytého uzlu (z ang. Hidden terminal) nebo různé problémy, které mohou nastat při přenosu paketu (např. poškození dat). Pro senzorové uzly typu Mica2 pak existuje PowerTOSSIM, který umožňuje simulovat spotřebu energie na uzlu typu Mica2. Spotřeba je vypočítaná na základě počtu cyklů procesoru LiteOS Alternativou k TinyOS je operační systém LiteOS [5], operační systém unixového typu pro BSS, který pracuje v reálném čase. Je vyvíjen na Univerzitě v Illinois v jazyce C jako svobodný software. Nabízí programovací prostředí založené na Unixu, vláknech a jazyce C. Díky tomu je možné psát aplikace na bázi událostí a vláken. Podporuje uzly 7

15 1. BEZDRÁTOVÉ SENZOROVÉ SÍTĚ typu MICAz a uzly IRIS Avrora Avrora je projekt UCLA Compilers Group [8]. Je to sada nástrojů pro simulaci a analýzu aplikací napsaná pro AVR mikrokontroléry, jako je například MICAz. Poskytuje jednoduché Java API pro simulaci aplikací před tím, než jsou spuštěny na konkrétním zařízení a GDB debugger pro ladění na úrovni zdrojového kódu. Dokonce poskytuje i nástroj pro správu energie, takže je možné odhadnout výdrž baterie na základě simulace nesc Programovací jazyk nesc [9] je dialekt programovacího jazyka C a používá se pro programování aplikací pro operační systém TinyOS. Je založen na komponentovém a událostmi řízeném programování. Aplikace je rozdělena do komponent, které propojené tvoří celou aplikaci. Každá komponenta je propojena s jejím rozhraním, které specifikuje funkce, které může uživatel používat. Komponenty jsou navzájem staticky propojeny skrze jejich rozhraní, což zvyšuje rychlost aplikace, nabádá k lepšímu kódu a umožňuje lepší analýzu aplikace. 8

16 Kapitola 2 Bezpečnost bezdrátových senzorových sítí 2.1 Faktory ovlivňující bezpečnost BSS jsou svým použitím a strukturou velmi specifické, proto musíme při návrhu bezpečnostních opatření dbát na aspekty, které jsou typické pro bezdrátové sítě, ale také dbát na slabý výkon a počet uzlů bezdrátových senzorových sítí. I když se nejedná o armádní nasazení BSS, ale o sledování pohybu zvěře, BSS by měly mít vhodnou úroveň zabezpečení [10, 11]. Bezpečnost je ovlivněna následujícími faktory: Hardwarová omezení BSS jedná se o značné omezení ze strany hardwarového vybavení, at už jde o nevýkonný procesor, omezenou operační pamět uzlů nebo výdrž baterie uzlů. Toto je zásadní věc, protože použití složitějšího šifrovacího algoritmu nám zajistí větší bezpečnost komunikace, ale přitom snižuje výdrž uzlů kvůli výpočetní složitosti. Nespolehlivá komunikace BSS spoléhají na správně definované komunikační protokoly. Během přenosu dat může docházet k poškození, ztrátě nebo nahrazení paketu a tam může dojít k bezpečnostním rizikům (např. ztráta paketu se soukromým klíčem). Navíc při větší hustotě uzlů může docházet ke konfliktům, a tak ke znehodnocení přenosu. Nehlídané operace uzly mohou být sice dlouhou dobu bez dohledu, ale tím jsou náchylnější na fyzické útoky. Útočník je schopen nainstalovat na senzorový uzel svoji vlastní škodlivou aplikaci nebo jinak poškodit senzorový uzel. 2.2 Požadavky zabezpečení Použitím nejrůznějších bezpečnostních mechanismů se snažíme zaručit následující vlastnosti [12]. Důvěrnost dat důvěrnost dat je potřeba řešit jako první problém bezpečnosti. Uzly často přenáší citlivá data, a proto je třeba zajistit jejich bezpečný přenos a neumožnit jejich únik do jiných sítí. Běžně se používá šifrování, aby se k pravému obsahu dostali pouze příjemci s patřičným klíčem. 9

17 2. BEZPEČNOST BEZDRÁTOVÝCH SENZOROVÝCH SÍTÍ Integrita dat zajištění integrity znamená takové zajištění, aby data nemohla být neautorizovaně změněna. Může však nastat problém, kdy při distribuci klíčů bude klíč podvržen a útočník bude mít přístup k celému datovému toku. Autentizace dat přijímací strana je schopna ověřit původ dat. Útočník je totiž schopen nahradit nejen jednotlivé pakety, ale i přidat další do datového proudu. Proto je potřeba, aby byla přijímací strana schopna rozlišit zdroj dat. V případě dvoubodového spoje se používá symetrické řešení. Tzn., že obě strany sdílejí stejný tajný klíč a používají ho pro výpočet autentizačního kódu (z ang. message authentication code) (MAC). Při vícebodových spojích se používají komplexnější techniky (např. µtesla) [10]. Čerstvost dat i když máme zaručenou integritu a důvěrnost, musíme zajistit, aby data byla vždy aktuální. Ukázkový příklad je distribuce klíčů, která se časem mění. Pokud nezajistíme čerstvost dat, může útočník při ustanovení klíče vyměnit klíč za starší. Často se přidává do paketů čítač, který zajišt uje čerstvost dat. Dostupnost dat data jsou dostupná pouze tehdy, pokud mají uzly energii a každá operace na uzlu něco stojí. Proto je potřeba, aby se zvolil vhodný kompromis mezi spotřebou energie a úrovní bezpečnosti. 2.3 Útoky Bezdrátové senzorové sítě jsou náchylné na spoustu druhů útoků [10, 11]. DoS útoky typu DoS se snaží o znepřístupnění služby. Častý případ v BSS je zahlcení jednoho nebo několika uzlů. Při zahlcení několika uzlů může dojít k výpadku celé sítě. Zahlcení se docílí rádiovým signálem, který interferuje s frekvencí používanou v BSS. Útoky mohou být vedeny také na sít ové a směrovací vrstvě. Analýza provozu nejčastěji je cílem útoku základnová stanice. Analýza provozu dává útočníkovi šanci na zjištění, který uzel je základnová stanice, dokonce i bez znalosti obsahu paketů. K tomu se využívá znalosti, že uzly blíže k základnové stanici přeposílají vice paketů než uzly na okraji sítě. Stačí pouze, aby útočník donutil poslat uzly pakety s daty. To může být i změnou podmínek, které senzory sledují (např. zvýšení teploty). Fyzické útoky - uzly jsou často umístěny v nepřátelském prostředí, kde nejsou chráněny, a proto jsou uzly velmi náchylné na fyzické útoky. Útočník se může dostat k šifrovaným datům, instalovat na uzel svůj kód nebo i vyměnit uzel. Některé práce dokazují [13], že uzel typu MICA2 je možné kompromitovat do jedné minuty. 10

18 2. BEZPEČNOST BEZDRÁTOVÝCH SENZOROVÝCH SÍTÍ 2.4 Obranné mechanismy V následujících kapitolách popíši některé z mechanismů pro zajištění bezpečnosti. Tyto mechanismy se v zásadě neliší od mechanismů používaných v klasických bezdrátových sítích, ale kvůli specifickým vlastnostem BSS se upřednostňují jiné, než je obvyklé Uschování a distribuce klíčů Na správě klíčů a šifrovaní závisí celá bezpečnost bezdrátových sítí [10, 11]. Velice důležité je uschování, ale i distribuce klíčů. Uschování klíčů vyžaduje nějakou formu fyzické ochrany, obzvlášt u BSS, protože jsou náchylné na spoustu fyzických útoků. Klíče se nejdříve musí distribuovat na jednotlivé uzly sítě. Bezdrátové senzorové sítě ovšem obsahují více uzlů s menší výpočetní silou, než se vyskytuje v běžných bezdrátových sítích. Obecně se pro správu klíčů používají protokoly používající veřejný klíč (např. Diffie-Hellman). Problém těchto protokolů je, že používají asymetrickou kryptografii, a ta je obecně výpočetně náročnější Asymetrická kryptografie V asymetrické kryptografii se využívá asymetrických šifrovacích algoritmů, které jsou založeny na soukromém a veřejném klíči [12]. Uživatel pak zveřejní veřejný klíč a soukromý klíč si nechá v tajnosti. Na rozdíl od symetrické kryptografie není potřeba bezpečného ustanovení klíčů před posíláním dat. Pomocí veřejného klíče příjemce se data šifrují, a poté s použitím soukromého klíče příjemce dešifrují. Je velmi jednoduché data zašifrovat pomocí veřejného klíče, ale je velmi obtížné pro útočníka zjistit soukromý klíč, aby mohl zprávu dešifrovat. Většina algoritmů je založena na problémech faktorizace čísel a na problému diskrétního logaritmu, pro jejichž řešení neexistují žádné efektivní algoritmy. Mezi nejpoužívanější algoritmy patří RSA a kryptografie eliptických křivek (ECC) [12]. V bezdrátových senzorových sítích se použití zdálo být nemožné. Tento pohled se změnil až po roce 2004, kdy byla vydána práce [14], ve které se tvrdí, že softwarová implementace ECC je na bezdrátových senzorových sítích reálná. A to díky faktu, že používá relativně krátký klíč, šífrování a dešifrování je rychlejší, a tudíž méně energeticky náročná. ECC je implementováno pro TinyOS ve formě knihovny TinyECC [15]. Poslední dostupná verze 2.0 podporuje uzly MICAz, TelosB, Tmote Sky a Imote2, na kterých je instalován operační systém TinyOS 2.x Symetrická kryptografie Algoritmy symetrické kryptografie jsou založené na soukromém klíči, který je sdílen komunikujícími stranami [12]. Tento klíč se používá jak pro šifrování, tak i pro dešifrování. Problém symetrické kryptografie je nutnost ustanovení klíče tak, aby ho nezjistila 11

19 2. BEZPEČNOST BEZDRÁTOVÝCH SENZOROVÝCH SÍTÍ třetí strana. Symetrická kryptografie používá proudové a blokové šifry. Proudová šifra šifruje zprávu po bitech, zatímco bloková šifra rozdělí zprávu na stejně velké bloky a ty pak zašifruje zvlášt. Pro dosažení důvěrnosti je možné tyto šifry v různých módech používat jako MAC nebo hašovací funkce. Mezi blokové šifrovací algoritmy patří AES [16], RC5 [17] nebo Skipjack [18] a mezi proudové patří například Trivium. Blokové šifrovací algoritmy lze ovšem také použít jako proudové a to při použití módu CFB. Módy šifrování se používají ke zvýšení operační bezpečnosti šifrovacích algoritmů. Při použití módů CBC a Counter dochází k propagaci již zašifrovaných bloků do bloků následujících, a tak dochází k větší náhodnosti v zašifrovaném textu. Stejné bloky zprávy nejsou zašifrovány stejně. V BSS se běžně používá symetrická kryptografie. At už šifrování, MAC nebo jako hašovací funkce [3]. Nejdůležitějším cílem při softwarové implementaci je dosažení rychlosti šifrování menší, než je teoretická doba vyslání jednoho bajtu. Pokud by šifrování bylo pomalejší než doba vyslání bajtu, pak by mohl nastat problém s čekáním vysílače senzorového uzlu na procesor. Pro rychlost 250 kb/s je tato doba přibližně 32 µs. Primitiva symetrické kryptografie se objevila v bezdrátových senzorových sítích poprvé v roce 2004 v protokolu TinySec [19], který implementoval Skipjack a RC5. Navíc také zabezpečuje integritu, důvěrnost a autentizaci dat. Šifrovací algoritmy symetrické kryptografie jsou díky jednoduchosti vhodné k hardwarové implementaci. Pro BSS již byly prezentovány návrhy hardwarové implementace AES s cílem snížit energetickou náročnost na minimum [20]. TinyOS obsahuje v základu hardwarovou implementaci AES-128 pro čip CC

20 Kapitola 3 Implementace 3.1 Kryptografické knihovny v TinyOS Protokol TinySec, který implementoval Skipjack a RC5 pro TinyOS, není od verze TinyOS 2.x podporován. Proto jsou kryptografické knihovny závislé na přispěvatelích. TinyOS totiž obsahuje v základu pouze hardwarovou implementaci AES-128. Jako jediná oficiálně schválená kryptografická knihovna je knihovna Crypt, ve které jsou implementovány šifrovací algoritmy AES a TRIVIUM a dále několik hašovacích funkcí. I když už bylo vytvořeno několik prací, ve kterých byla implementováná spousta algoritmů, tak algoritmy z těchto prací nejsou zveřejněny a nejsou součástí TinyOS. Lze ovšem nálezt samotné implementace šifrovacích algoritmů AES a PRESENT. Pro použití ECC lze stáhnout knihovnu TinyECC [15], která je dostupná i pro aktuálni verzi TinyOS Popis vytvořené knihovny Cílem této práce bylo vytvořit knihovnu pro TinyOS s výše zmíněnými šiframi a módy. Při návrhu knihovny je důležité, aby byla co nejjednodušeji použitelná. Z toho důvodu bylo navrhnuto jednotné rozhraní pro šifrovací algoritmy. Rozhraní pro všechny šifrovací algoritmy nabízí základní funkce encrypt a decrypt. Tyto funkce přebírají parametry vstupní blok, výstupní blok a klíč. Tyto funkce jsou implementací základního electronic ECB módu. Dále rozhraní nabízí funkce encryptcbc a decryptcbc pro mód CBC. Paramtery, se kterými jsou tyto funkce volány, jsou vstupní zpráva, výstupní zpráva, klíč a počet bloků ve zprávě. K šifrování i dešifrování při použití módu CTR slouží funkce cryptctr, která má stejné parametry, jako encryptcbc. Algoritmy AES a RC5 vyžadují inicializační část a k tomu účelu rozhraní nabízí funkci init. Tato funkce požaduje klíč a jako druhý parametr strukturu specifikovanou danným algoritmem. AES vyžaduje pole velikosti 240 bajtů a RC5 vyžaduje stukturu rc5 ctx. Šifrovací algoritmy lze spouštět s více možnostmi nastavení. Lze měnit délku klíče, délku bloku nebo počet rund. Tyto údaje jsou uloženy v makrech, a tak je lze jednoduše změnit. Při změně nastavení je nutné dbát na vlastnosti algoritmů a na komentáře ve zdrojovém kódu. 13

21 3. IMPLEMENTACE 3.3 Implementované algoritmy V této práci byly implementovány následující algoritmy AES AES [16] je symetrická bloková šifra, která nahradila dříve používaný DES. AES je první šifrovací algoritmus, který byl schválen National Security Agency. Algoritmus je založen na principu substitučně-permutační sítě a šifruje bloky dat délky 128 bitů. Délka klíče může být 128, 192 nebo 256 bitů. K výpočtům využívá matici o rozměrech 4 x 4, do které ukládá stavy. Většina výpočtů se ale provádí nad konečnými poli. Do roku 2009 byl zaznamenán pouze jeden úspěšný útok na AES pomocí postranních kanálů. První útoky na AES za účelem získání klíče byly zveřejněny v roce Klíč je obnoven z AES-128 za 2 126,1 operací. AES je rychlý v softwarové i hardwarové implementaci. AES byl vybrán k implementaci, protože je to standard mezi šifrovacími algoritmy a je to velmi známý a dobře analyzovaný šifrovací algoritmus. Testován byl AES s délkou klíče 128 bitů, délkou bloku 128 b a 14 rundami Skipjack Skipjack je bloková šifra [18] vyvinutá v National Security Agency, která byla odtajněna v roce Používá klíč délky 80 bitů k zašifrování bloku délky 64 bitů s použitím nevyvážené Faistelovy sítě se 32 rundami. Eli Biham a Adi Shamir [21] objevili útok proti 16 rundám ze 32. Tato metoda byla později rozšířena Alexem Biryukovem na 31 rund [22]. Jako útok dnes můžeme považovat hledání klíče hrubou silou kvůli relativně krátké délce klíče. Skipjack byl vybrán, protože je součástí již nepodporovaného protokolu TinySec RC5 RC5 je bloková šifra [17], která na rozdíl od ostatních může používat klíče délky 0 až 2040 bitů, délku bloku 32, 64 nebo 128 bitů, a počet rund 0 až 255 [17]. Počet rund se odvozuje od délky klíče. Původní návrh RC5 šifroval bloky délky 64 bitů 128 bitovým klíčem při použití 12 rund. 12 rund je bohužel náchylných k diferenciálním útokům při použití 244 vybraných nezašifrovaných zpráv. Až 18 až 20 rund je považováno za dostatečně bezpečné. RC5 je vhodná pro softwarovou i hardwarovou implementaci. RC5 byl vybrán proto, že je to velmi známý šifrovací algoritmus, který existuje od roku 1995 a nemá žádnou zásadní slabost, i když se podařilo prolomit RC5-64 pomocí distribuovaného výpočtu [23]. Toto prolomení ovšem trvalo 1757 dní a bylo potřeba distribuovaných jednotek. 14

22 3. IMPLEMENTACE PRESENT PRESENT je odlehčený (z ang. lightweight), blokový šifrovací algoritmus, vyvinutý Orange Labs v roce 2007 [24]. Je to jeden z nejkompaktnějších šifrovacích algortimů, který kdy byl představen. Šifruje bloky délky 64 bitů a používá klíč délky 80 nebo 128 bitů. Pro šifrování a dešifrování používá 31 rund a substitučně-permutační sít. PRE- SENT byl přijat v novém standardu pro odlehčené šifrovací algoritmy. Present je v testu uveden jako jediný odlehčený šifrovací algoritmus XXTEA XXTEA je bloková šifra, která byla navržena, aby opravila chybu v původním XTEA [25]. Tuto šifru navrhli Roger Needham a David Wheeler v Cambridge. XXTEA používá nevyváženou Feistelovu sít a dokáže šifrovat bloky, jejichž délka je násobkem 32 bitů. Minimální délka bloku je ovšem 64 bitů. Počet rund závisí na délce bloku. Pohybuje se v rozmezí mezi 6 až 32 rundami. V roce 2010 byl prezentován útok [26] s použitím vybraného textu (z ang. chosenplaintext attack) proti XXTEA s maximalním počtem rund, potřebujících 2 59 dotazů. Tento útok je založen na diferenční kryptoanalýze. XXTEA byl vybrán, protože je to velmi jednoduše implementovatelný algoritmus s krátkým zdrojovým kódem. 3.4 Implementované módy šifer Z módů činnosti šifer byly implementovány ECB, CBC a CTR ECB Zpráva je rozdělena na bloky stejné délky, které jsou pak jednotlivě zašifrovány a spojeny zpět do výsledné zprávy [12]. Dešifrování je analogické. Tento mód není doporučen k použití v šifrovacích algoritmech, protože zachovává vzory, které jsou v nešifrovaném textu. Pokud je zpráva rozdělena na stejné bloky, pak jsou bloky stejné i po zašifrování CBC CBC je mód, který byl vymyšlený v roce 1976 v IBM [12]. Na každý blok zprávy je použita operace XOR se zašifrovaným předchozím blokem. Na první blok zprávy se používá inicializační vektor, který často bývá posílán se zašifrovanou zprávou. Šifrování tímto módem nám zajistí, že bloky zašifrované zprávy jsou na sobě závislé. Změna bitu v zašifrované zprávě se potom promítne do všech následujících bloků a nepoškodí pouze blok, ve kterém se vyskytuje jako v ECB. Se vzájemnou závislostí bloků se ovšem objevuje další nevýhoda a sice nemožnost paralelizace šifrování. Matematický vzorec 15

23 3. IMPLEMENTACE šifrovaní je C i = E k (P i C i 1 ), C 0 = IV. Dešifrování lze reprezentovat následujícím vzorcem P i = D k (C i ) C i 1, C 0 = IV CTR CTR mód [12] mění blokovou šifru na proudovou. Používá k tomu bloky dat zvané čítač (z ang. Counter) a nonce. Nonce plní stejnou roli jako inicializační vektor v CBC módu. Čítač je na druhou stranu jakákoliv funkce. Jedinou podmínkou je, že by se její výsledky neměly často opakovat. Běžně se proto čítač zvedá v každém bloku o 1. Čítač a nonce se před šifrováním spojí dohromady s některou z operací XOR, s bitovým součtem nebo s zřetězením (z ang. concatenation) a potom je jejich výsledný blok zašifrován pomocí klíče. Zašifrovaný blok je nakonec operací XOR spojen s blokem zprávy do výsledného bloku, který je posílán. Dešifrování probíhá stejně jako šifrování. Příjemce si vypočítá čítač pro danný blok, spojí ho s nonce, zašifruje a pak po použití operace XOR získá původní blok zprávy. 16

24 Kapitola 4 Testy 4.1 Podobné práce S rostoucím rozvojem bezdrátových senzorových sítí roste i počet publikovaných článků, které se touto tématikou zabývají. Některé práce si dávají za cíl teoretickou analýzu systému a jeho bezpečnost nebo přijít s novým způsobem řešení již existujícího problému. Mezi takové problémy patří například efektivní a bezpečná distribuce klíčů nebo efektivní implementace šifrovacích algoritmů, hašovacích funkcí a protokolů pro autentizaci dat. V bezdrátových senzorových sítích se asymetrická kryptografie dlouho nepoužívala kvůli výpočetní složitosti. V poslední době se ale výzkum zaměřil na její efektivní implementaci. V [14] je demonstrováno použití RSA a ECC na 8 bitových procesorech. ECC je v tomto případě ještě efektivnější než RSA. Použitím ECC s klíčem délky 160 bitů dosáhneme větší efektivity než při použití RSA s klíčem délky 1024 bitů. Symetrická kryptografie se na druhou stranu již v bezdrátových senzorových sítích používá. Proto se více snahy věnuje optimalizaci algoritmů nebo implementaci nových, odlehčených šifrovacích algoritmů. Již existujicí implementace šifrovacích algoritmů jsou pak optimalizovány. Obecně se optimalizuje rychlost algoritmů tak, že se rezervuje větší množství systémových prostředků (např. předpočítané tabulky). Toto však nemusí být v bezdrátových senzorových uzlech vždy vítáno. Pokud chceme používat na senzorových uzlech větší aplikaci a zároveň mít bezpečný přenos dat, pak bude lepší algoritmus optimalizovat tak, aby šetřil pamětí. Cílem práce [23] bylo najít energeticky a pamět ově vhodné blokové šifrovací algoritmy. Vybrány byly algoritmy Rijndael, RC5, RC6, MISTY1, KASUMI a Camellia. Tyto algoritmy pak byly optimalizovány na rychlost a na velikost kódu. Zároveň implementuje několik módů blokových šifer a tyto módy pak hodnotí ve spotřebě energie a rychlosti. Výsledkem je zajímavé srovnání jednotlivých módů a jejich výhody. CTR mód má velkou výhodu v možnosti paralelizace výpočtu, ale na druhou stranu musí spoléhat na externí mechanismus pro synchronizaci. Také používá nejvíce RAM. OFB mód má podobné vlastnosti jako CTR mód, ale je méně efektivní kvůli nemožnosti paralelizace. CTR mód je proto doporučován pro použití v bezdrátových senzorových sítích. V [27] byly porovnány algoritmy RC5, Skipjack a odlehčený šifrovací algoritmus HIGHT. Byla testována náročnost na pamět RAM i ROM, na rychlost a spotřebu energie v závislosti na počtu cyklů procesoru. V této práci byly algoritmy testovány pomocí 17

25 4. TESTY simulace v nástroji PowerTOSSIM. [28] se také zabývá testováním blokových šifer. Otestované algoritmy jsou AES, Skipjack, kompaktní bloková šifra Puffin a BSPN. Tyto algoritmy byly otestovány na rychlost, počet cyklů procesoru na jeden bajt zprávy a energetickou náročnost. Nejzajímavějším výsledkem je velká rychlost BSPN, a tedy i jeho vhodné použití v bezdrátových senzorových sítích. Mimo blokové šifry také obsahuje výsledky testování tří proudových šifer. Mezi tyto algoritmy byly vybrány RC4, Sosemanuk a Salsa. Zajímavým výsledkem je, že RC4, ačkoliv je nejpomalejší, je energeticky nejméně náročný, protože potřebuje nejméně cyklů procesoru k vytvoření proudového klíče. [29] implementuje a testuje algoritmy RC5, AES, Skipjack a jako zástupce odlehčených algoritmů XXTEA. Zároveň popisuje a testuje algoritmy MAC. Tyto algoritmy jsou založeny na AES-128 a jsou to CBC-MAC, XMAC, CMAC a HMAC. Testovaní je prováděno na platformě TelosB. 4.2 Platformy Testování šifrovacích algoritmů bylo prováděno na platformách TelosB [6] a MICAz [30] TelosB TelosB [6] je svobodná platforma pro bezdrátové senzorové sítě navržena pro výzkum, která podporuje připojení senzorů. Výhodou této platformy je nízká spotřeba energie. Pokud je sonzorový uzel připojen k počítači, nepotřebuje baterie, protože čerpá energii z připojeného počítače. Tato platforma podporuje programování a komunikaci senzorových uzlů přes rozhraní USB. Dále plně podporuje TinyOS verze a vyšší. TelosB obsahuje mikrokontrolér TI MSP430 s 10 kb RAM, který pracuje na frekvenci 8 MHz. Dále obsahuje 1 MB externí paměti pro ukládání dat, 48 kb flash paměti pro aplikace, 16 kb konfigurační EEPROM a integrovanou anténu s rychlostí přenosu dat až 250 kb/s MICAz MICAz [30] je platforma pro bezdrátové senzorové sítě. Podporuje připojení senzorů pro měření intenzity světla, teploty, tlaku, zrychlení a podobně. Senzorové uzly využívají mikrokontrolér ATmega128L, 128 kb paměti pro aplikace, 4 kb konfigurační EE- PROM, 512 kb paměti pro data a integrovanou anténu s rychlostí přenosu dat až 250 kb/s. MICAz dále podporuje externí zařízení, která se připojují pomocí 51-pinového konektoru. Pro vývoj energeticky nenáročných a optimalizovaných aplikací na platformě MICAz slouží nástroj MoteWorks, který je založen na operačním systému TinyOS. MI- ZAz také podporuje TinyOS. 18

26 4. TESTY 4.3 Metodika testování Testování bylo provedeno na výše zmíněných reálných senzorových uzlech BSS s operačním systémem TinyOS. Alternativou k reálným uzlům byly nástroje pro simulaci bezdrátových senzorových sítí. Pro měření rychlosti šifrování nabízí měření počtu cyklů, které musí procesor vykonat. V této práci byly upřednostněny reálné uzly, protože na nich můžeme otestovat reálnou rychlost v časových jednotkách. Tato práce se ovšem nezaměřuje jen na rychlost šifer, ale i na jejich pamět ovou náročnost. A to z pohledu délky zdrojového kódu a náročnosti na operační pamět. K měření času nabízí TinyOS rozhraní Timer nebo Alarm [31]. V této práci byl použit Timer, protože nabízí funkce startoneshot, stop a getnow. Dále bylo použito rozhraní TMilli, které nabízí měření času s přesností na milisekundy. Výsledný čas je ovšem potřeba upravit, protože TMilli za jednu sekundu vykoná 1024 tiků. Hodnotu, kterou vrací get- Now() je nutno podělit hodnotou 1,024. K měření pamět ové náročnosti byl použit údaj o předpokládaném využití ROM a RAM, který se zjišt uje při překladu aplikace. V ROM je uložen zdrojový kód aplikace a inicializované globální proměnné, které jsou při startu aplikace přesunuty do RAM. RAM slouží k uchování dat při běhu aplikace [32]. Z důvodu možných odchylek při nastavení klíče, šifrování a dešifrovaní byla zavolána každá funkce 200 krát a poté byl výsledek zprůměrován. Tento výsledek by mohl být ovlivněn uložením výpočtů do cache a poté pužítím předvypočítaných hodnot. Aby se tomu zamezilo, bylo potřeba zadat při každém volání funkce jiné parametry. Komunikace se senzorovými uzly byla prováděna přes rozhraní USB. TinyOS nabízí knihovnu printf [33], která ukládá zprávy do paměti a při restartu senzorového uzlu je tento blok poslán na sériový port, přes který je senzorový uzel připojen. K odeslání dat je potřeba zavolat funkci printfflush(). Poslaný blok dat je potřeba odchytit na straně počítače. K tomu slouží příkaz java net.tinyos.tools.printfclient, který naslouchá na sériovém portu. Při analýze výsledků bylo potřeba odečíst režijní náklady na změření času. Je potřeba dbát na fakt, že tyto režijní náklady se na každé platformě liší. ECB mód byl otestován na standardní délce bloků šifrovacích algoritmů. Pro CTR a CBC mód byla zvolena vstupní zpráva délky 384 bitů. Pro AES je zpráva rozdělena na 3 bloky. 4.4 Výsledky Rychlost a pamět ová náročnost algoritmů je závislá na délce klíče, na délce šifrovaného bloku a na počtu rund. Proto je na začátku uveden souhrn šifer a jejich nastavení. Pro všechny implementované šifry bylo vybráno doporučené nastavení. Poté jsou uvedeny výsledky testování a jejich analýza. Důležité je vzít na vědomí, že AES šifruje bloky dvojnásobné délky než ostatní šifry, proto je dále uveden i průměr z doby šifrování a dešifrování na jeden bajt zprávy, který je v tabulkách označen jako P. na bajt. 19

27 4. TESTY Název šifry Délka klíče Délka bloku Počet rund AES Skipjack RC PRESENT XXTEA Tabulka 4.1: Souhrn šifer. Název šifry Inicializace (ms) Šifrování (ms) Dešifrování (ms) P. na bajt (ms) AES 0,65 1,54 1,89 0,11 RC5 12,9 1,29 1,28 0,16 PRESENT 0 4,41 4,44 0,55 XXTEA 0 1,84 1,94 0,23 Tabulka 4.2: Rychlost a pamět ová náročnost šifer v módu ECB na platformě TelosB. Název šifry Inicializace (ms) Šifrování (ms) Dešifrování (ms) P. na bajt (ms) AES 0,45 0,95 1,31 0,07 Skipjack 0 5,01 5,03 0,62 RC5 10,74 0,94 0,95 0,11 PRESENT 0 1,85 1,86 0,23 XXTEA 0 1,90 1,83 0,23 Tabulka 4.3: Rychlost a pamět ová náročnost šifer v módu ECB na platformě MICAz. Název módu Šifrování (ms) Dešifrování (ms) P. na bajt (ms) ECB 1,54 1,89 0,107 CBC 1,62 2,03 0,114 CTR 1,63 1,63 0,102 Tabulka 4.4: Rychlost módů šifry AES na platformě TelosB. Název módu Šifrování (ms) Dešifrování (ms) P. na bajt (ms) AES 0,95 1,31 0,070 CBC 0,98 1,35 0,073 CTR 0,98 0,98 0,061 Tabulka 4.5: Rychlost módů šifry AES na platformě MICAz. 20

28 4. TESTY Název šifry ROM (B) RAM (B) AES RC PRESENT XXTEA Tabulka 4.6: Pamět ová náročnost šifer na platformě TelosB. Název šifry ROM (B) RAM (B) AES Skipjack RC PRESENT XXTEA Tabulka 4.7: Pamět ová náročnost šifer na platformě MICAz. 4.5 Diskuse Skipjack pro TelosB nebyl implementován. Problém nastal v běžně dostupných implementacích. Svobodné kryptografické knihovny používají optimalizovaný Skipjack s inicializační částí. Tato implentace vyžaduje více paměti pro inicalizační tabulku, než má TelosB k dispozici. Implementace bez inicializační části se používá na AVR mikrokontrolérech. Tato implementace je testována na MICAz a je součástí knihovny. Na TelosB ji nelze přeložit, protože používá operace, které nejsou čipem TelosB podporovány. Skipjack bez inicializační části dosahuje oproti ostatním implementovaným šifrám velmi nízké rychlosti šifrování i dešifrování. Jeho výhodou je velmi nízká pamět ová náročnost, a tedy se může použít v případech, kdy potřebujeme ostatní systémové zdroje pro běh jiné aplikace a nevadí nízká rychlost šifrování. Výhodou je, že na 32 rund existuje pouze jeden efektivní útok [22]. AES a RC5 jsou jediné šifrovací algoritmy, které používají inicializační část. Po inicializaci tyto algoritmy dosahují vysokých rychlostí šifrování a dešifrování. V případě AES je nevýhodou velká pamět ová náročnost. U RC5 je nevýhodou dlouhá inicializační část. RC5 má druhé nejmenší nároky na ROM i RAM z implementovaných algoritmů. Zároveň dosahuje druhé nejvyšší rychlostí šifrování a dešifrování. Tento algoritmus bych doporučil pro použití v bezdrátových senzorových sítích. Inicializace je sice časově náročná, ale ta se provádí pouze při nastavení nového klíče, které neprobíhá příliš často. Aplikace si může inicalizační část vypočítat hned po nainstalování a pak už jen v případě potřeby šifrovat. Implementovaný algoritmus AES používá velké množství tabulek, které jsou předem vypočítány. Proto má větší nároky na RAM než ostatní šifrovací algoritmy, ale 21

29 4. TESTY poté vyniká vysokou rychlostí šifrování a dešifrování. Inicializace se vypočítává velmi krátkou dobu, proto by bylo vhodné AES použít v případě, ve kterém se předpokládá častější změna klíče. AES je proto vhodný pro menší aplikace, které pracují s daty, která musí být lépe chráněna a předpokládá se pokus o získání dat třetí stranou. Díky vysoké rychlosti šifrovaní je AES dobrý kandidát pro použití jako hašovací funkce. U šifrovacího algoritmu PRESENT je zajímavé využití paměti na jednotlivých platformách. Zatímco, při použití na platformě TelosB, je pamět ová náročnost velmi nízká, MICAz si rezervuje pro výpočet daleko více systémových prostředků. Z toho také plyne velký rozdíl mezi rychlostmi šifrování na jednotlivých platformách. Na tomto příkladu je dobré si uvědomit, že dnes je lepší psát aplikace optimalizované přímo pro danou platformu, než se snažit psát víceplatformní aplikace. XXTEA je velmi jednoduše implementovatelný šifrovací algoritmus. Jeho zdrojový kód je velmi krátký, a proto dosahuje velmi nízké pamět ové náročnosti. Avšak rychlost šifrovaní XXTEA nedosahuje takové rychlosti, jako AES nebo RC5. Mimo jíné z důvodu, že neobsahuje inicializační část. XXTEA si díky nízké pamět ové náročnosti a průměrným rychlostem šifrování z implementovaných algoritmů, najde uplatňení v širším spektru aplikací pro BSS. Testy módů činnosti šifer byly provedeny pouze na AES. To z toho důvodu, že jejich implementace je velice jednoduchá a využívá stávající implementace ECB módu, a proto se jejich rychlost na bajt zpávy příliš neliší od ECB módu. Zajimavé je ale porovnání CTR módu s CBC módem. CBC mód používá při šifrování zprávy funkci encrypt a při dešifrování decrypt. Výše v tabulkách lze vidět, že u všech algoritmů neprobíhá šifrování a dešifrování stejně rychle. Tento rozdíl se proto promítne do rychlosti CBC módu. CTR mód používá pro šifrování i dešifrování funkci encrypt. Jeho výkonnost tedy záleží pouze na rychlém šifrování, proto podává velmi dobré výsledky při použití s AES. CTR mód podporuje paralelizaci, takže při jejím použití lze ještě zvýšit jeho rychlost. Vybrání módu šifrování závisí na aplikaci a na šifrovacím algoritmu. Pokud má šifrovací algoritmus rozdílné časy šifrování a dešifrování, pak je pro běžnou šifrovanou komunikaci lepší varianta CTR mód. Pokud by byl mód použit pouze na šifrování, například pro protokoly založené na výzvě a odpovědi, pak bude lepší varianta CBC, protože poskytuje větší zabezpečení. Z hlediska pamět ové náročnosti je vhodnější pro použití na bezdrátových senzorových sítích CTR mód, kvůli použití pouze šifrovací funkce, a tedy je menší náročnost na ROM. Nelze jednoznačně říci, jaký šifrovací algoritmus je obecně nejefektivnější. Vždy je potřeba analyzovat požadavky na bezpečnost aplikace, která bude tyto šifrovací algoritmy využívat. Dále je důležité určit, jaké systémové požadavky bude mít daná aplikace a podle toho se rozhodnout, jestli použít algoritmus optimalizovaný na rychlost nebo pamět ovou náročnost. Také se velmi liší hardware jednotlivých platforem, a proto je vhodné šifrovací algoritmy i aplikace navrhovat pouze pro konkrétní platformu. Tak se lze vyhnout kompromisům, které by bylo potřeba udělat při víceplatformních aplikacích. Návrhem aplikace pro konkrétní platformu docílíme maximálního využití velmi omezených zdrojů senzorových uzlů. 22

30 Kapitola 5 Závěr Úkolem této bakalářské práce bylo popsat základy fungování bezdrátových senzorových sítí, jejich hrozby a rizika, specifické útoky a zabezpečení bezdrátových senzorových sítí. Dále přiblížit problematiku použití asymetrické a symetrické kryptografie a vysvětlit, proč je v dnešní době preferována kryptografie symetrická. Součástí práce také bylo implementovat blokové šifrovací algoritmy a jejich módy, otestovat je na reálných platformách, zhodnotit výsledky a uvést příklady použití šifer. V první kapitole je posáno využití bezdrátových senzorových sítí, jejich výhody a hardwarová omezení senzorových uzlů. Dále obsahuje popis běžných operačních systémů a nástrojů pro simulaci BSS. Ve druhé kapitole jsou popsány faktory ovlivňující návrh bezpečnostních mechanismů a vlastnosti, které se danými bezpečnostními mechanismy snažíme zabezpečit. A také je zaměřena na využití asymetrické a symetrické kryptografie v BSS. Ve třetí kapitole jsou uvedeny implementované šifrovací algoritmy a módy činnosti. Dále je zde popsáno rozhraní vytvořené knihovny. Poslední kapitola je věnována popisu platforem, testů a výsledků. Nejdůležitejší část této kapitoly je analýza výsledků, kde je popsáno předpokládané použití jednotlivých šifer. Výsledkem této práce je knihovna s blokovými šiframi s jednoduchým rozhraním. Pro každou šifru je vytvořena aplikace s testy, na kterých je zároveň demonstrováno použití rozhraní jednotlivých šifer. Výsledek této práce slouží jako demonstrace efektivity běžných implementací vybraných šifrovacích algoritmů na platformách BSS. Hardwarová omezení bezdrátových senzorových sítí jsou velká, proto je potřeba dbát na správný výběr algoritmu pro danou situaci. Vývoj kryptografie pro BSS směřuje k výrazné optimalizaci šifrovacích algoritmů, ale hlavně ke specifické optimalizaci pro konkrétní aplikace. Musí se zvážit potřebné zdroje pro běh aplikace a vybrat pro ni a pro danou situaci adekvátní zabezpečení. Cílem práce nebylo implementované algoritmy optimalizovat. A tak se otevíra prostor pro další práci na podobné téma, ve kterém je možné zaměřit se na optimalizaci šifrovacích algoritmů s ohledem na rychlost, velikost kódu a velikost použité RAM nebo implementovat optimalizované šifrovací algoritmy za daným účelem, například implementace pouze šifrovací části odlehčeného šifrovacího algoritmu s co nejmenšími požadavky na systémové zdroje pro protokoly založené na výzvě a odpovědi. Další možností je implementace autentizačních protokolů postavených na šifrovacích algoritmech 23