Texas Instruments цифровая подпись транспондера (DST) , является криптографически включен радиочастотной идентификации (RFID) , устройство , используемое в различных приложениях беспроводной аутентификации. Крупнейшие развертывания DST включают платежную систему Exxon-Mobil Speedpass (около 7 миллионов транспондеров), а также различные системы иммобилайзера , используемые во многих последних моделях автомобилей Ford, Lincoln, Mercury, Toyota и Nissan.
DST - это "пассивный" транспондер без питания, который использует собственный блочный шифр для реализации протокола аутентификации запрос-ответ . Каждый тег DST содержит некоторое количество энергонезависимой RAM , в которой хранится 40-битный ключ шифрования. Этот ключ используется для шифрования 40-битного запроса, выданного считывателем, создавая 40-битный зашифрованный текст., который затем усекается для получения 24-битного ответа, передаваемого обратно считывателю. Верификаторы (которые также обладают ключом шифрования) проверяют эту проблему, вычисляя ожидаемый результат и сравнивая его с ответом тега. Ключи шифрования транспондера программируются пользователем с использованием простого беспроводного протокола. После правильного программирования транспондеры могут быть «заблокированы» отдельной командой, что предотвращает дальнейшие изменения значения внутреннего ключа. На заводе каждый транспондер снабжен 24-битным серийным номером и 8-битным кодом производителя. Эти значения фиксированы и не могут быть изменены.
Шифр DST40
До 2005 года шифр DST ( DST40 ) был коммерческой тайной Texas Instruments и предоставлялся клиентам в соответствии с соглашением о неразглашении. Эта политика, вероятно, была введена из-за нестандартной конструкции шифра и небольшого размера ключа , что делало его уязвимым для поиска ключей методом грубой силы. В 2005 году группа студентов из Института информационной безопасности Университета Джона Хопкинса и лабораторий RSA реконструировали шифр, используя недорогой оценочный комплект Texas Instruments, используя схемы шифра, просочившиеся в Интернет, и методы черного ящика [1] (т. Е. , запрашивая транспондеры через радиоинтерфейс, а не разбирая их для проверки схемы). Как только конструкция шифров была известна, команда запрограммировала несколько устройств FPGA для выполнения поиска ключей методом перебора на основе известных пар запрос / ответ. Используя одно устройство FPGA, команда смогла восстановить ключ из двух известных пар запрос / ответ примерно за 11 часов (средний случай). С массивом из 16 устройств FPGA они сократили это время до менее одного часа.
DST40 - это несбалансированный шифр Фейстеля с 200 раундами , в котором L0 составляет 38 бит, а R0 - 2 бита. Ключ график представляет собой простой линейный регистр сдвига с обратными связями , который обновляется каждые три раунда, в результате чего в некоторых слабых ключей (например, ключ равен нулю). Хотя шифр потенциально обратим, протокол DST использует только режим шифрования. При использовании в протоколе с 40–24-битным усечением вывода результирующий примитив более точно описывается как код аутентификации сообщения, а не как функция шифрования. Хотя усеченный блочный шифр представляет собой необычный выбор для такого примитива, эта конструкция имеет то преимущество, что точно ограничивает количество конфликтов для каждого отдельного значения ключа.
Шифр DST40 - один из наиболее широко используемых несбалансированных шифров Фейстеля.
Реакция и исправления
Уязвимость, обнаруженная командой Хопкинса, указывает на потенциальные угрозы безопасности для миллионов транспортных средств, которые защищены с помощью систем иммобилайзера на основе DST, а также для системы Exxon-Mobil Speedpass. Идеальным решением этой проблемы является замена транспондера DST в этих системах устройством, оснащенным более надежной криптографической схемой, использующей более длинный ключ. Однако стоимость отзыва этих систем безопасности непомерно высока, и по состоянию на октябрь 2005 года ни Texas Instruments, ни Exxon-Mobil, ни какой-либо производитель транспортных средств не объявляли об отзыве. В настоящее время наиболее эффективная защита от этой атаки зависит от бдительности пользователя, например, защита ключей транспондера, проверка счетов Speedpass на предмет мошенничества и, возможно, использование металлического экрана (например, алюминиевой фольги ) для предотвращения несанкционированного сканирования тегов DST. Эта уязвимость также привела к созданию тегов блокировки RSA и блокирующих RFID кошельков.
Рекомендации
[1] С. Боно, М. Грин, А. Стаблфилд, А. Рубин, А. Джуэлс, М. Шидло. «Анализ безопасности устройства RFID с поддержкой криптографии». В материалах симпозиума по безопасности USENIX , август 2005 г. (pdf)