Lehrstuhl für Netzarchitekturen und NetzdiensteInstitut für InformatikTechnische Universität München

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung

Abschlussvortrag zur Masterarbeit

Philipp Lowack

Betreuer: Corinna Schmitt Heiko Niedermayer

12.08.2013

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 2

Agenda

● Ausgangszustand● Aufgabenstellung● Meine Lösung: TinySAM● Auswertung

● Resourcenverbrauch● Sicherheitsanalyse● Vergleich mit anderen Lösungen

● Zusammenfassung & Ausblick

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 3

Ausgangspunkt

● Heterogenes Sensornetz (TelosB, IRIS)● Unterschiedlich leistungsfähige Hardware

● Unterstützung verschiedener Applikationen● In-network Aggregation

→ BA Benjamin Ertl● TinyIPFIX

→ BA Thomas Kothmayr

● Kommunikation über UDP● ungesichert

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 4

Aufgabenstellung

● Sicherheitslösung für Sensor-Netzwerke● Authentifizierung● Vertrauchlichkeit● Integritätsschutz● Key-Management

● Hardwareunabhängig● Ressourcenschonend

● Wiederverwendbar statt applikationsspezifisch

TelosB10kB RAM (3,7kB frei)48kB ROM

IRIS8kB RAM (1,3kB frei)

128kB ROM

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 5

(D)TLS?

● DTLS ist möglich: MA Thomas Kothmayr● TPM Chip (Atmel AT97SC3203S)● 17.2 kB RAM, 61.6 kB ROM

● Asymmetrische Kryptographie = aufwändigPKI Struktur, Zertifikate, CRLs = viel Speicher

● Bietet zu viel nicht benötigte Flexibilität● “Viele” Nachrichten für Handshake (~10)

● TinyDTLS Handshake: 2.6 kB

● Spezialisiertes Protokoll minimiert zusätzlichen Energieverbrauch→ verlängerte Lebensdauer des Knotens

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 6

Ziel der Masterarbeit

● Gesicherter Kommunikationskanal● Nur symmetrische Kryptographie● Dynamische P2P Unterstützung● Key Management● Applikationsunabhängig● Leichte Integration neuer Knoten

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 7

Meine Lösung: TinySAM

● TinySAM● “tiny”: für Sensornetze● Secure communication● support for Aggregation● key Management

● Arbeitet auf Application Layer

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 8

TinySAM: Übersicht

● Zentraler Key-Server● Jeder Knoten hat einen Hauptschlüssel

● Ist auch Key-Server bekannt

● Vor Datentransfer: Handshake zw. Knoten● Involviert Key-Server● Erzeugt und verteilt Session-Key an Knoten

● Datentransfer gesichert mit Session-Key● Verschlüsselt● Integritätsgeschützt

● Crypto-Modul ist austauschbar (Compilezeit)

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 9

TinySAM: Sitzungsaufbau

● Handshake: Otway-Rees Protokoll● Modifiziert durch Abadi und Needham [1]

[1] C. Boyd, A. Mathuria: Protocols for authentication and key establishment, 2003

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 10

TinySAM: Datenübertragung

● Verschlüsselung: AES in Counter Mode● Zufälliger Startwert

● Integritätsschutz: AES-CMAC● Message-Counter

=> 19 Byte Overhead (hauptsächlich MAC)

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 11

TinySAM: Use-Case abhängige Knotenregistrierung

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 12

TinySAM: Resourcenverbrauch

● 6.5 kB ROM, ~1.5 kB RAM● Handshake: ~100 ms, 168 Bytes● Datentransfer:

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 13

Vergleich mit anderen Lösungen

VertraulichkeitIntegritätsschutz

Ressourcenschonend

Key Management

SSL/TLS

TinyDTLS

MiniSec

TinySec

Spins

Sizzle

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 14

Vergleich mit anderen Lösungen

VertraulichkeitIntegritätsschutz

Ressourcenschonend

Key Management

SSL/TLS

TinyDTLS

MiniSec

TinySec

Spins

Sizzle

TinySAM

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 15

TinySAM: Sicherheitsanalyse (1)

● Zufallszahlen● Relativ schwacher Zufallszahlengenerator auf Knoten● Schlüssel-Generierung daher nur auf Key-Server● Zufallszahlengenerator des Knoten nur für Noncen

● Schlüsseltausch: AN-Otway-Rees Protokoll● Bietet: Authentifizierung, Key-Freshness● Keine bekannten Schwachstellen

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 16

TinySAM: Sicherheitsanalyse (2)

● AES● Standard Algorithmus● Effizient implementierbar

● Counter Mode● Keine Probleme mit Padding● Zufälliger Initialisierungsvektor● Immer gesichert mit MAC

● CMAC● Verbessertes CBC-MAC, IETF Standard (z.B. IPsec)● Für Nachrichten beliebiger Länge

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 17

Zusammenfassung

● Einfache, flexible Sicherheitslösung● Bestehende Algorithmen

● AES, CMAC, AN-Otway-Rees

● Minimaler Footprint● Wenige, leichtgewichtige Algorithmen● Für Einsatz auf kleinen Knoten

● Geringer zusätzlicher Energieverbrauch

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 18

Ausblick

● Andere Chiffren● Effizientere Algorithmen● Authenticated encryption: Galois/Counter Mode (GCM)

● Verschiedene “Ciphersuiten”● Zur Compilezeit wechselbar● Einheitlich für gesamtes Netz

● Weitere Arten der Knotenregistrierung implementieren

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 19

Vielen Dank!

Fragen?

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 20

Backup: Vergleich mit anderen Lösungen

+: positiv ?: unbekannto: neutral –: nicht unterstüzt-: negativ

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 21

Backup: Knoten Registrierung

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 22

Backup: Knoten programmieren

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 23

Backup: Schlüsseltausch Aggregator Log

Collector: 0x08b6 (2230), 0x08ca (2250)Aggregator: 0x089b (2203)

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 24

Backup: Topologie

Schlüssel-Management in drahtlosen Sensor Netzwerken mit Aggregationsunterstützung - Philipp Lowack - Abschlussvortrag 25

Backup: Nachrichtengröße

● RF Packet: 127 Byte (CC2420)● MAC Header: 25 Byte

● TinyOS AM-Packet● 10 Byte Header, 2 Byte CRC Footer● => max. 90 Byte Payload

● 43 Byte IP Header (IPv6)● => 57 Byte übirg für “echte” Payload● Aber: TinyOS fragmentiert automatisch!