Optimalisatie van het energieverbruik bij encryptie en authenticatie op mobiele devices

Transcriptie

1 Faculteit Ingenieurswetenschappen Vakgroep Informatietechnologie Voorzitter: Prof. Dr. Ir. P. Lagasse Optimalisatie van het energieverbruik bij encryptie en authenticatie op mobiele devices door Joris Dubois Promotoren: Prof. Dr. Ir. F. De Turck en Prof. Dr. Ir. E. Laermans Thesisbegeleiders: W. Haerick en S. Van Looy Afstudeerwerk ingediend tot het behalen van de graad van burgerlijk ingenieur in de computerwetenschappen, optie: informatie- en communicatietechnologie Academiejaar

2 Toelating tot bruikleen De auteur geeft de toelating dit afstudeerwerk voor consultatie beschikbaar te stellen en delen van het afstudeerwerk te kopiëren voor persoonlijk gebruik. Elk ander gebruik valt onder de beperkingen van het auteursrecht, in het bijzonder met betrekking tot de verplichting de bron uitdrukkelijk te vermelden bij het aanhalen van resultaten uit dit afstudeerwerk. Joris Dubois 1 juni 2007 i

3 Dankwoord Graag wil ik iedereen bedanken die heeft bijgedragen tot de verwezenlijking van dit eindwerk, in het bijzonder dank ik mijn thesisbegeleiders W. Haerick en S. Van Looy voor het scheppen van de mogelijkheid dit onderzoek te verrichten. Daarnaast wil ik ook Claude Debast (NXP) bedanken voor alle informatie over CoolFlux DSP. ii

4 Optimalisatie van het energieverbruik bij encryptie en authenticatie op mobiele devices door Joris Dubois Afstudeerwerk ingediend tot het behalen van de graad van burgerlijk ingenieur in de computerwetenschappen, optie: informatie- en communicatietechnologie Academiejaar Universiteit Gent Faculteit Ingenieurswetenschappen Vakgroep Informatietechnologie Voorzitter: Prof. Dr. Ir. P. Lagasse Promotoren: Prof. Dr. Ir. F. De Turck en Prof. Dr. Ir. E. Laermans Begeleiders: W. Haerick en S. Van Looy Samenvatting Meer en meer toepassingen worden uitgevoerd op elektronische toestellen. Automatisch wordt ook steeds meer vertrouwelijke en kwetsbare informatie opgeslagen in digitaal formaat en verstuurd over netwerken. Hierbij denken we bijvoorbeeld aan de gegevens van patiënten bij thuisverpleging. Daarom is er meer dan ooit nood aan betrouwbare, degelijke versleutelingstechnieken om de integriteit en privacy van de gegevens te waarborgen. Aangezien ook heel wat toepassingen uitgevoerd worden op mobiele devices met een beperkte batterijlevensduur, is een goede trade-off tussen energieconsumptie en graad van beveiliging belangrijk. Trefwoorden: Cryptografie, netwerkbeveiliging, energiebeheer, mobiele devices, batterij. iii

5 Optimization of the energy consumption of encryption and authentication on mobile devices Joris Dubois Supervisor(s): Filip De Turck, Eric Laermans, Stijn Van Looy, Wouter Haerick Abstract This article tries to extend the limits of the trade-off between security of transmitted data and battery capacity of mobile devices. How can we protect our information and extend the lifetime of the battery? This model has been tested by simulations with currently available technology. Keywords Cryptography, network security, energy management, mobile devices, battery I. INTRODUCTION A lot of applications run on electronic devices. This means that a lot of confident and vulnerable information is stored in a digital format and transmitted over communication networks. Today there is, more than ever before, need for reliable encryption mechanisms to guarantee the privacy and the integrity of the information. Since a lot of applications also run on mobile devices with limited battery lifetime, it is important to find a trade-off between energy consumption and level of protection. II. MOBILE COMMUNICATION NETWORKS We will examine two kinds of mobile communication networks: Wi-Fi and Bluetooth [1]. Each of them has their own characteristics which make them more suitable for certain situations. We will describe their methods for saving energy. Communication networks based on Wi-Fi try to imitate wired networks. These networks assume that all terminals are always ready to receive data which can be a problem with mobile devices because most of the time there is no data transmission. Wi-Fi tries to remedy this by using power saving methods. The idea is very simple and consists of turning off the receiver when there is no activity. Bluetooth provides three different low power states. When a device is in sniff-mode, it will listen to the network at a reduced rate. When the device switches to the hold-state, only certain connections are allowed for transmission and reception of data. Finally in the park-state, there will be no data exchange anymore. III. CRYPTOGRAPHY We will examine three different encryption algorithms: DES (Data Encryption Standard), 3DES and AES (Advanced Encryption Standard). We will also study three kinds of authentication mechanisms: MD5, Sha-1 and Sha-512. DES is one the most popular methods for securing data. It uses a key of 64 bits (only 56 bits are used) and works with input blocks of 8 bytes. 3DES is a combination of DES. It can use two or three secret keys. 3DES gives a lot more security than single DES and can easily be used on systems with a hardware implementation of DES. With an effective key length of 168 bits, 3DES is very immune for brute force attacks. As 3DES has three times more rounds than single DES, it is very slow in software implementations. To quarrel this disadvantages the National Institute for Standards and Technology (NIST) searched for an algorithm that was at least as safe as 3DES, but more efficient. AES was the answer for the problem and performs on blocks of 128 bits with key lengths of 128, 192 or 512 bits. The MD5-algorithm (Message Digest Algorithm 5) is a well known cryptographic hash function. It uses a message of random size and produces a hash value of 128 bits. A feature of MD5 is that every bit of the hash value is composed of every bit from the input. By means of a complex repetition of base functions the input data is very well mixed together. The Secure Hash Algorithm (SHA)-family is a set of hash functions. The most known is Sha-1 that uses blocks of 512 bits and produces a hash value of 160 bits. Sha-1 is named as the successor of MD5 because Sha-1 guarantees a better collision resistance. In new applications it is advised to use the more recent members of the Sha-family: Sha-245, Sha-384 or Sha A. Test Setup IV. THE ACTUAL SIMULATIONS AND RESULTS The test setup has two major components: the client (PDA) and the server. The client sends data to the server over a wireless communication medium (Wi-Fi or Bluetooth). Before sending the information, the data is encrypted or a hash value is computed. While executing the test applications the current is measured and logged to control station. Also the calculation time is measured. As the voltage has a constant value of 5.2 V, the energy consumption can be computed with the formula E = I V t. B. Results for encryption and authentication Fig.1 shows that 3DES consumes a third more energy than single DES. On systems where only DES is available it is important to consider the trade-off between energy consumption and level of security. Considering the fact that DES and AES use the same level of energy, it is only useful to use AES because protection is higher that way. The use of 3DES is not appropriate because the same level of security is accomplished

6 with a third more energy. 11,000 10,000 9,000 8,000 Energy consumption (J) 14,00 12,00 10,00 8,00 6,00 4,00 2,00 DES 3DES AES Execution time (ms) 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0, Block size (bytes) Fig. 3. Block size optimization 0,00 ECB CBC OFB CFB CTR Bluetooth Wi-Fi 25,00 Fig. 1. Results for encryption The results for the authentication algorithms can be found in Fig.2. We can see that the amount of energy increases when the level of protection is increased. We therefore conclude that it is also important to consider the trade-off between energy consumption and the level of authentication. Energy consumption (J) 20,00 15,00 10,00 5,00 0,00 DES 3DES AES MD5 Sha-1 Sha-512 Fig. 4. Wi-Fi - Bluetooth comparison Energy consumption (J) 16,00 14,00 12,00 10,00 8,00 6,00 4,00 2,00 0, Block size (bytes) MD5 Sha-1 Sha-512 Fig. 2. Results for authentication V. OPTIMIZATIONS The first optimization is to make better use of the packet size of the wireless transmission medium. We no longer transmit one encrypted block, but we send several blocks at the same time. Fig.3 shows that the optimal packet size for Bluetooth is about 220 bytes. This means that when sending about 28 DES blocks at the same time, energy can be saved up to 85%. The next optimization is the choice between Wi-Fi and Bluetooth. The results in Fig.4 show that Bluetooth consumes more energy than Wi-Fi. This might seem strange as Bluetooth is expected to be energy efficient. In the experiments however the measurements where performed while there was a data connection that was active all the time. In this case the power saving modes of Bluetooth were never used. When making the choice between Wi-Fi and Bluetooth it is therefore important to consider the duration of data transmissions. The last choice that can be optimized is the choice between C++ and Java. In Fig.5 we can see that Java uses five times more energy than C++. This might be caused by the virtual machine that is used by Java. Energy consumption (J) 4,0000 3,5000 3,0000 2,5000 2,0000 1,5000 1,0000 0,5000 0,0000 C++ Java 10 kb 100 kb 500 kb File size (nomalized) Fig. 5. C++ - Java comparison VI. CONCLUSION We can conclude that as well for encryption (AES) as for authentication (Sha-512) we can adopt the most secure algorithm. Although there is a higher level of protection, the energy consumption stays more or less the same. It is more important to make good decisions for the optimizations. The choices for the programming language, the transmission method and the utilization of the appropriate block size have higher impacts on the energy consumption. REFERENCES [1] Jochen Schiller, Mobile Communications, Harlow, [2] William Stallings, Cryptography and Network Security, New Jersey, 2003.

7 Inhoudsopgave 1 Inleiding Situering van het onderzoek Doel van het onderzoek Overzicht Draadloze communicatie Infrastructuur- vs. ad-hoc netwerken Wi-Fi Bluetooth Informatiebeveiliging Overzicht van de beveiligingsfuncties Vertrouwelijkheid Authenticatie Toegangscontrole / autorisatie Data-integriteit Onweerlegbaarheid Bereikbaarheid / beschikbaarheid Model voor netwerkbeveiliging Beveiligingstransformaties Symmetrische encryptiealgoritmen Data Encryption Standard Triple DES Advanced Encryption Standard Uitvoeringsmodes Berichtauthenticatie en hash-functies Message Digest Algorithm Secure Hash Algorithm Message Authentication Code Energiebeheer Energiebesparende technieken Energiemodel voor een PDA Veronderstellingen Parameters van het model vi

8 5 Cryptografie met Java Standaardfunctionaliteit in Java Bouncy Castle DES-encryptie met BouncyCastle Testopstelling Simulaties met PDA Testopstelling Java Energieverbruik encryptie-algoritmen Resultaten zonder encryptie Resultaten DES Resultaten 3DES Resultaten AES Overzicht van de encryptie-algoritmen Energieverbruik authenticatie-algoritmen Resultaten MD Resultaten Sha Resultaten Sha Overzicht van de authenticatie-algoritmen Optimalisaties Invloed van de toenemende blokgrootte Vergelijking tussen Wi-Fi en Bluetooth Vergelijking tussen Java en C Digitale Signaalprocessor Besluit Conclusies Toekomstig werk A Meetresultaten voor encryptie-algoritmen 67 A.1 Bestandsgrootte 10 kb A.2 Bestandsgrootte 100 kb A.3 Bestandsgrootte 500 kb B Meetresultaten voor authenticatie-algoritmen 74 C Meetresultaten optimalisaties 76 C.1 Invloed van de toenemende blokgrootte C.2 Vergelijking tussen Wi-Fi en Bluetooth C.3 Vergelijking tussen Java en C vii

9 Lijst van figuren 2.1 Voorbeeld van een infrastructuurnetwerk Voorbeeld van een ad-hoc netwerk Verschillende toestanden van een Bluetooth-apparaat Model voor netwerkbeveiliging Principe van symmetrische encryptie Principe van asymmetrische encryptie Structuur van DES-encryptie met een initiële (IP) en finale (FP) permutatie en de Feistel-functies (F) Structuur van 3DES (E = DES-encryptie, D = DES-decryptie) Structuur van AES-encryptie (a) en decryptie (b) Structuur van MAC Energietoestanden van een processor en de mogelijke overgangen Energiemodel voor een PDA JCE/JCA Architectuur Schematische voorstelling van de testopstelling Realisatie van de testopstelling Registratie van het stroomverbruik tijdens het uitvoeren van de experimenten Overzicht van de encryptie-algoritmen Overzicht van de authenticatie-algoritmen Optimalisatie van de blokgrootte bij een transmissie over Bluetooth Vergelijking van het energieverbruik tussen Bluetooth en Wi-Fi Vergelijking van de implementatie in C++ en Java Harvard-architectuur van een digitale signaalprocessor Resultaten voor CoolFlux DSP viii

10 Lijst van tabellen 2.1 Transmissieklassen die ondersteund worden door Bluetooth Parameterwaarden voor het energieverbruik van de ipaq hx Resultaten voor transmissie zonder beveiliging Resultaten voor transmissie en encryptie met DES (uitvoeringstijd) Resultaten voor transmissie en encryptie met DES (stroomverbruik) Resultaten voor transmissie en encryptie met DES (energieverbruik) Resultaten voor transmissie en encryptie met 3DES (uitvoeringstijd) Resultaten voor transmissie en encryptie met 3DES (stroomverbruik) Resultaten voor transmissie en encryptie met 3DES (energieverbruik) Resultaten voor transmissie en encryptie met AES (uitvoeringstijd) Resultaten voor transmissie en encryptie met AES (stroomverbruik) Resultaten voor transmissie en encryptie met AES (energieverbruik) Resultaten voor transmissie en authenticatie met MD5 (uitvoeringstijd) Resultaten voor transmissie en authenticatie met MD5 (stroomverbruik) Resultaten voor transmissie en authenticatie met MD5 (energieverbruik) Resultaten voor transmissie en authenticatie met Sha-1 (uitvoeringstijd) Resultaten voor transmissie en authenticatie met Sha-1 (stroomverbruik) Resultaten voor transmissie en authenticatie met Sha-1 (energieverbruik) Resultaten voor transmissie en authenticatie met Sha-512 (uitvoeringstijd) Resultaten voor transmissie en authenticatie met Sha-512 (stroomverbruik) Resultaten voor transmissie en authenticatie met Sha-512 (energieverbruik) A.1 Resultaten encryptie-algoritmen (bestandsgrootte 10 kb) A.2 Resultaten encryptie-algoritmen (bestandsgrootte 100 kb) A.3 Resultaten encryptie-algoritmen (bestandsgrootte 500 kb) B.1 Resultaten authenticatie-algoritmen (bestandsgrootte 10 kb) B.2 Resultaten authenticatie-algoritmen (bestandsgrootte 100 kb) B.3 Resultaten authenticatie-algoritmen (bestandsgrootte 500 kb) ix

11 C.1 Resultaten optimalisatie van de blokgrootte C.2 Resultaten encryptie-algoritmen met Wi-Fi (bestandsgrootte 10 kb). 77 C.3 Resultaten encryptie-algoritmen met Wi-Fi (bestandsgrootte 100 kb) 77 C.4 Resultaten encryptie-algoritmen met Wi-Fi (bestandsgrootte 500 kb) 77 C.5 Resultaten authenticatie-algoritmen met Wi-Fi (bestandsgrootte 10 kb) C.6 Resultaten authenticatie-algoritmen met Wi-Fi (bestandsgrootte 100 kb) C.7 Resultaten authenticatie-algoritmen met Wi-Fi (bestandsgrootte 500 kb) C.8 Resultaten vergelijking Java/C x

12 Lijst van afkortingen 3DES Triple DES AES Advanced Encryption Standard CBC Cipher Block Chaining CFB Cipher Feedback CMOS Complementary Metal Oxide Semiconductor CPU Central Processing Unit CTR Counter DES Data Encryption Standard DFS Dynamic Frequency Scaling DSP Digital Signal Processor DVFS Dynamic Voltage-Frequency Scaling ECB Electronic Codebook JCA Java Cryptography Architecture JCE Java Crypthography Extension xi

13 JVM Java Virtual Machine MAC Message Authentication Code MAC Multiply Accumulate MD5 Message Digest Algorithm 5 MIPS Million Instructions Per Second NBS National Bureau of Standards NIC Network Interface Card NIST National Institute of Standards and Technology OFB Output Feedback PAN Personal Area Network PDA Personal Digital Assistant PMU Power Management Unit RTC Real-time Clock SHA Secure Hash Algorithm TTP Trusted Third Party Wi-Fi Wireless Fidelity XOR Exclusive OR xii

14 Hoofdstuk 1 Inleiding 1.1 Situering van het onderzoek Meer en meer toepassingen worden uitgevoerd op elektronische toestellen. Automatisch wordt ook steeds meer vertrouwelijke en kwetsbare informatie opgeslagen in digitaal formaat en verstuurd over netwerken. Hierbij denken we bijvoorbeeld aan de gegevens van patiënten bij thuisverpleging. Daarom is er meer dan ooit nood aan betrouwbare, degelijke versleutelingstechnieken om de integriteit en privacy van de gegevens te waarborgen. Aangezien ook heel wat toepassingen uitgevoerd worden op mobiele devices met een beperkte batterijlevensduur, is een goede trade-off tussen energieconsumptie en graad van beveiliging belangrijk. 1.2 Doel van het onderzoek In een eerste fase van deze thesis is het de bedoeling om vertrouwd te raken met twee mogelijkheden voor draadloze communicatie. De mogelijkheden voor zowel Wi-Fi als Bluetooth zullen worden bestudeerd. Daarnaast wordt ook een overzicht gemaakt van verschillende technieken in het gebied van informatiebeveiliging. Op welke manier kan men authenticatie en encryptie toepassen in de praktijk? Vervolgens is het de bedoeling om een studie te maken van het energieverbruik van deze encryptie- en authenticatiemethoden op een laptop en/of PDA. Vooreerst wordt daarbij gekeken naar het verbruik wanneer data wordt verzonden zonder enige vorm van beveiliging. Dit wordt vervolgens uitgebreid door te bestuderen wat de impact is van het gebruik van encryptie op de data. We houden daarbij rekening 1

15 met verschillende parameters die hierin een rol kunnen spelen en trachten uit te vinden in welke mate deze parameters het energieverbruik beïnvloeden. Aangezien sommige versleutelingstechnieken heel resource-intensief zijn, is het belangrijk een gemotiveerde afweging te kunnen maken tussen graad van beveiliging en het energieverbruik. In een laatste deel wordt een toepassing uit de praktijk bestudeerd. We maken daarbij gebruik van een digitale signaalprocessor, een mobiel toestel dat verschillende soorten medische gegevens registreert. We bestuderen de mogelijkheden om deze gegevens beveiligd te verzenden en de impact daarvan op de energieconsumptie. 1.3 Overzicht In hoofdstuk 2 geven we een beschrijving van zowel Wi-Fi als Bluetooth en de voorzieningen om het energieverbruik te beperken. De algemene principes van informatiebeveiliging worden uitgelegd in hoofdstuk 3. Daarnaast bespreken we ook enkele bekende algoritmen voor encryptie en authenticatie. Hoofdstuk 4 beschrijft enkele algemene technieken op het gebied van energiebeheer in hardware. Tevens bekijken we het energiemodel voor de PDA die in het verloop van het onderzoek zal gebruikt worden om de testen uit te voeren. Dit geeft ons een algemeen beeld over de verdeling van de energieconsumptie over de voornaamste componenten van het mobiel toestel. Tot slot bekijken we nog de mogelijkheden om cryptografie en beveiliging in de praktijk te brengen met behulp van Java in hoofdstuk 5. De eigenlijke uitwerking van de testen begint in hoofdstuk 6 met het voorstellen van de testopstelling die gebruikt werd om de experimenten uit te voeren. Een bespreking van de resultaten is terug te vinden in hoofdstuk 7 (encryptie-algoritmen) en hoofdstuk 8 (authenticatie-algoritmen). Hoofdstuk 9 stelt enkele mogelijkheden voor om de batterijcapaciteit van mobiele toestellen beter te benutten door het energieverbruik te optimaliseren. Tot slot bespreken we nog een voorbeeld uit de praktijk in hoofdstuk 10. We brengen hier één van de besproken algoritmen over op een mobiel toestel met beperkte batterijcapaciteit. 2

16 Hoofdstuk 2 Draadloze communicatie 2.1 Infrastructuur- vs. ad-hoc netwerken Er zijn twee belangrijke manieren waarmee men communicatiekanalen kan opzetten tussen verschillende terminals: infrastructuur en ad-hoc [1]. Wired network Access point Figuur 2.1: Voorbeeld van een infrastructuurnetwerk 3

17 We beginnen bij de zogenaamde infrastructuur-netwerken [1]. Deze netwerken bieden niet alleen de mogelijkheid om te communiceren met de terminals in de groep, ze bieden daarnaast ook additionele functies voor het communiceren met andere netwerken. Daarbij zal het netwerk verantwoordelijk zijn voor medium access control, dat de controle tot het medium zal regelen. Bij infrastructuur zal de communicatie typisch plaatsvinden tussen een terminal en een centraal punt, het access point, en niet rechtstreeks tussen de terminals onderling. Dit toegangspunt zal niet enkel instaan voor de arbitrage dat de toegang tot het medium controleert, het zal ook functioneren als verbinding tussen andere netwerken (Figuur 2.1). Figuur 2.2: Voorbeeld van een ad-hoc netwerk De andere groep netwerken, de ad-hoc netwerken, hebben geen extra infrastructuur nodig [1]. Communicatie gebeurt rechtstreeks tussen de terminals onderling (Figuur 2.2). Terminals kunnen uiteraard enkel met elkaar communiceren als ze fysisch bereikbaar zijn, ze moeten dus dicht genoeg in elkaars buurt staan zodat de radiogolven van de zender tot bij de ontvanger komen. Het is ook onmogelijk om connecties te realiseren tussen knopen uit verschillende netwerken, aangezien ze niet in elkaars bereik liggen. In ad-hoc netwerken is de complexiteit van elke knoop hoger dan bij infrastructuurnetwerken aangezien elke terminal mechanismen moet voorzien om toegang tot het medium mogelijk te maken. In wat volgt worden twee bekende draadloze communicatie-standaarden besproken. Vooreerst bekijken we IEEE (Wi-Fi) dat een typisch infrastructuur- 4

18 netwerk beschrijft, maar ook ondersteuning biedt voor ad-hoc netwerken. Daarna bestuderen we Bluetooth wat een typisch ad-hoc netwerk voorziet. 2.2 Wi-Fi Wi-Fi (Wireless Fidelity) is een certificatielabel, onder licentie van de Wi-Fi Alliance [2], dat staat voor draadloze datanetwerken die gebruik maken van de IEEE specificaties. Producten die volgens deze standaard werken, maken gebruik van radiofrequenties in de 2,4 GHz en/of 5,0 GHz band die onder voorwaarden zonder licentie gebruikt mogen worden. Een product komt in aanmerking voor het Wi-Fi logo als door een onafhankelijk certificatiebureau is aangetoond dat aan bepaalde functionaliteits-, performantie- en interoperabiliteitseisen is voldaan. Met name het laatste is van belang voor de consument, omdat dit garandeert dat producten met het Wi-Fi logo samenwerken met producten van andere fabrikanten. Wi-Fi netwerken trachten zoveel mogelijk een bedraad lan-netwerk na te bootsen. Deze lan-netwerken gaan echter uit van de veronderstelling dat terminals steeds klaar staan om gegevens te ontvangen, hoewel de ontvanger het grootste deel van de tijd niet gebruikt wordt. Bij draadloze toestellen is dit dus een probleem, waar men tracht aan te verhelpen door energiebesparende technieken toe te passen. Het idee van IEEE is om de netwerkkaart uit te schakelen wanneer deze niet in gebruik is. Voor een zender is dit gemakkelijk aangezien het toestel zelf weet wanneer het data wil verzenden. In het geval van de ontvanger is het moeilijker, aangezien het toestel niet op voorhand weet wanneer er inkomende data zal aankomen. Daarom moet de ontvanger op geregelde tijdstippen de netwerkkaart weer aanschakelen om een inkomende verbinding toe te laten. Deze technieken moeten echter transparant verlopen voor bestaande protocollen en moeten flexibel genoeg zijn om meerdere applicaties op het zelfde moment te ondersteunen. Om dit principe mogelijk te maken wordt gebruik gemaakt van twee toestanden (sleep en awake) en het bufferen van gegevens in de zender. Wanneer een zender data wil versturen naar een energiebesparend toestel dat zich in de sleep-toestand bevindt, moet de data gebufferd worden. Het ontvangende station moet op geregelde tijdstippen uit de sleep-toestand komen en voor een bepaalde periode in de awake-toestand blijven. Gedurende deze periode kunnen de zenders de bestemming 5

19 van hun gebufferde pakketten bekend maken. Wanneer een ontvanger merkt dat hij de bestemming is van een transactie moet hij wakker blijven tot de communicatie heeft plaats gevonden. 2.3 Bluetooth Bluetooth is een industriële standaard voor draadloze personal area networks (PAN), die ook bekend staat als IEEE Bluetooth laat toe om verbindingen op te zetten tussen verschillende mobiele toestellen op korte afstand van elkaar. De communicatie gebeurt op basis van radiogolven zodat de verschillende terminals niet in elkaars line of sight moeten liggen. Ze kunnen zich dus in verschillende kamers bevinden zolang de ontvangen signalen maar sterk genoeg zijn. Tabel 2.1 geeft een overzicht van de verschillende transmissieklassen die Bluetooth ondersteunt: Klasse Max. vermogen Max. vermogen Reikwijdte (mw) (dbm) (m) Klasse Klasse 2 2, Klasse Tabel 2.1: Transmissieklassen die ondersteund worden door Bluetooth Wanneer we Bluetooth vergelijken met andere draadloze lan-technologieën, moeten we er rekening mee houden dat één van de doelstellingen van Bluetooth was om draadloze toegang aan te bieden aan zeer lage prijzen. Vanuit een technisch standpunt kunnen alle Bluetooth toepassingen ook gerealiseerd worden aan de hand van bijvoorbeeld Wi-Fi technologie. Maar aangezien deze ontwikkeld zijn voor grotere bandbreedtes en langere transmissie-afstanden zijn ze veel duurder en verbruiken ze meer energie. Bluetooth maakt gebruik van 79 kanalen in de 2,4 GHz band en elk toestel volgt 6

20 een bepaald pseudo-random frequency hopping-patroon. Dit houdt in dat op bepaalde tijdstippen (1600 hops/s) versprongen wordt naar een ander kanaal. Wanneer toestellen in elkaars bereik staan en het zelfde frequency hopping-patroon volgen, spreekt men over een piconet. Op Figuur 2.2 zijn bijvoorbeeld twee piconetten te zien die in staat zijn om onderling te communiceren. In Tabel 2.1 konden we reeds zien dat met een transmissievermogen van 100 mw afstanden kunnen overbrugd worden tot 100 m. Wanneer een toestel hiertoe in staat is en daarbij moet vertrouwen op het gebruik van batterijen, is het vrij logisch dat Bluetooth enkele toestanden voorziet die het energieverbruik moeten reduceren. In Figuur 2.3 zien we de belangrijkste toestanden waarin een toestel zich kan bevinden en de daarbij horende overgangen tussen de verschillende gevallen. De toestanden standby, inquiry en page zijn fasen die doorlopen worden om vanuit een niet-verbonden toestand op zoek te gaan naar andere toestellen waarmee een verbinding kan opgezet worden. Hierdoor worden ook de nodige gegevens verkregen om de verbinding te realiseren. standby inquiry page transmit connected park hold sniff Figuur 2.3: Verschillende toestanden van een Bluetooth-apparaat 7

21 Eénmaal de terminal deel uit maakt van het piconet is er een actieve verbinding (connected) en is het mogelijk om gegevens uit te wisselen met de andere toestellen in het piconet (transmit). Om de batterij zoveel mogelijk te sparen voorziet Bluetooth drie low power-toestanden waarnaar overgeschakeld kan worden om het verbruik te beperken. Een toestel dat zich in de sniff -state bevindt zal op minder frequente tijdstippen luisteren naar de rest van het netwerk. Er worden ook minder tijdsloten aangeduid die beschikbaar zijn om data uit te wisselen. Deze toestand verbruikt het meeste van de drie low power-toestanden. Wanneer wordt overgegaan naar de hold-toestand, worden slechts bepaalde verbindingen toegestaan voor het verzenden en ontvangen van gegevens. Wanneer er geen activiteit is, kan het energieverbruik hierdoor verminderd worden. Tenslotte is er nog de park-toestand waarin geen enkele vorm van data-uitwisseling meer mogelijk is. Het toestel blijft echter wel verbonden met het piconet en dient op regelmatige tijdstippen wakker te worden om de synchronisatie niet te verliezen. 8

22 Hoofdstuk 3 Informatiebeveiliging 3.1 Overzicht van de beveiligingsfuncties Informatiebeveiliging is het geheel van preventieve, repressieve en herstelmaatregelen alsmede procedures en processen welke de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie garanderen met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen [3]. In wat volgt wordt een overzicht gegeven van de verwachtingen van een gebruiker die elektronische data wil beschermen [4]. We bespreken kort aan welke eisen voldaan moet zijn om te kunnen spreken over veilige gegevensopslag of -transmissie [5]. Daarnaast zullen we ook zien op welke manier deze beveiligingsdiensten in de praktijk gerealiseerd kunnen worden Vertrouwelijkheid Bij vertrouwelijkheid komt het er op aan dat de gegevens enkel zichtbaar zijn voor personen die daar ook recht op hebben. Wie gerechtigd is om een gegeven te benaderen, wordt bepaald door de eigenaar van het gegeven. Voorbeelden van vertrouwelijke gegevens zijn : Wachtwoorden Patiëntgegevens Communicatie van concurrentiegevoelige gegevens over het internet... 9

23 3.1.2 Authenticatie Authenticatie heeft betrekking op het controleren of iets of iemand daadwerkelijk is wie of wat hij beweert te zijn. Men gaat dus na of de meegedeelde identiteit voldoet aan bepaalde echtheidsgegegevens. Er zijn verschillende vormen van authenticatie die eventueel gecombineerd kunnen worden om een hoger of lager niveau van beveiliging op te leveren. Daarbij zijn drie vormen van bewijs bruikbaar : iets dat je weet (kennis) iets dat je bezit iets wat je bent (persoonlijke eigenschap) Iets dat je weet kan bijvoorbeeld een wachtwoord of een PIN-code zijn. Het is dus van groot belang om deze kennis geheim te houden voor onrechtmatige gebruikers. Bezit kan slaan op zogenaamde security-tokens zoals bijvoorbeeld een smartcard of een USB-sleutel. Op basis van deze bezitting kan de identiteit van de gebruiker gecontroleerd worden door het systeem. Tenslotte zijn er de persoonlijke eigenschappen zoals vingerafdrukken, stem, irispatroon, enz... die kunnen gebruikt worden als herkenning Toegangscontrole / autorisatie De volgende eis voor een goede beveiliging is de autorisatie: de controle of een gebruiker de bevoegdheden heeft om de handelingen uit te voeren die hij of zij wil verrichten. De autorisatie wordt toegekend door de objecteigenaar. Het leidende principe daarbij is need-to-know: je mag alleen zien wat je voor je functie nodig hebt. Er zijn verschillende autorisaties beschikbaar. De meest bekende zijn het lees-recht en het muteer-recht. Afhankelijk van het object zijn er meer rechten denkbaar, zo is het uitvoer-recht beschikbaar voor applicaties. Het beheer van autorisaties is een kostbare aangelegenheid. Bij nieuwe individuen of functiewijzigingen, bij nieuwe systemen of nieuwe processen, moeten voor elk object de nieuwe of gewijzigde autorisaties worden ingesteld Data-integriteit Integriteit is de eis dat de zender en de ontvanger van een gegeven er zeker van willen zijn dat de gegevens betrouwbaar zijn. Een betrouwbaar gegeven is : juist 10

24 volledig op tijd (het is bijvoorbeeld geen verouderd bericht) geautoriseerd (gemuteerd door een persoon die gerechtigd is de mutatie aan te brengen) Onweerlegbaarheid Voor de onweerlegbaarheid van een transactie is het van belang dat een voltooide transactie niet meer ontkend kan worden door als gebruiker (zender/ontvanger) te beweren dat deze nooit heeft bestaan. In de juridische praktijk wordt de onweerlegbaarheid gerealiseerd door bijvoorbeeld het plaatsen van handtekeningen van de betrokken partijen en eventuele getuigen onder een contract. In de informatiebeveiliging is onweerlegbaarheid een kwaliteitseis die aan de communicatie wordt gesteld. Zo is het bijvoorbeeld van belang dat in geval van een internettransactie, zowel de klant, de leverancier als de eventuele creditcardmaatschappij niet kunnen ontkennen dat een transactie heeft plaatsgevonden, waardoor de andere betrokken partijen benadeeld worden Bereikbaarheid / beschikbaarheid Beschikbaarheid geeft aan of een bepaalde dienst ook daadwerkelijk te gebruiken is wanneer deze nodig is. Soms tracht men, meestal op een automatische manier, aanvallen op te zetten waardoor een dienst niet langer beschikbaar is. Het kan dus belangrijk zijn om hiertegen beschermd te zijn. De beschikbaarheid wordt in de regel als een percentage gepresenteerd, waarbij een hogere waarde een positievere uitkomst is dan een lage waarde. 3.2 Model voor netwerkbeveiliging Figuur 3.1 toont een model dat de voornaamste onderdelen voor netwerkbeveiliging bevat [4]. Een bericht dient verstuurd te worden van de zender naar de ontvanger via een bepaald communicatiekanaal. Om ervoor te zorgen dat een aanvaller geen enkele informatie uit het bericht kan halen of het bericht kan wijzigen, op welke manier ook, moeten we ervoor zorgen dat het bericht beschermd wordt tijdens de transmissie. Door gebruik te maken van een bepaalde beveiligingstransformatie in combinatie met geheime informatie, zal het oorspronkelijk bericht omgezet worden 11

25 in een nieuw, beschermd bericht. Aan de andere zijde van het communicatiekanaal moet de ontvanger, die ook in bezit is van de geheime informatie, een omgekeerde transformatie uitvoeren om het oorspronkelijke bericht te genereren. Trusted third party Sender Recipient Message Secret information Secure message channel Secure message Secret information Message Opponent Figuur 3.1: Model voor netwerkbeveiliging Daarnaast kan ook beroep gedaan worden op een zogenaamde Trusted Third Party (TTP) om een veilige communicatie te garanderen. De TTP kan bijvoorbeeld gebruikt worden om de geheime informatie tussen beide partijen uit te wisselen zonder dat deze in het bezit kan komen van andere, niet-betrouwbare, partijen. Daarnaast kan een TTP ingeschakeld worden om de authenticiteit te verzekeren van de partijen en het te communiceren bericht. Willen we er echter ook voor zorgen dat de integriteit van het bericht verzekerd is, moet er beroep gedaan worden op bijkomende functies die de authenticiteit van het verzonden bericht garanderen. Voor wat de beveiligingstransformatie betreft zullen we steeds beroep doen op het principe van Kerckhoff [4] dat zegt dat het algoritme voor de omzetting van het bericht publiek is. Dit wil dus zeggen dat iedereen weet, en ook mag weten, op welke manier een bericht omgezet wordt in een beveiligd bericht. De veiligheid van de transformatie zit dan enkel vervat in de geheime informatie die aan de transformatie wordt toegevoegd. Dit kan bijvoorbeeld een sleutel zijn die enkel gekend is door de communicerende partijen. 12

26 Tot slot bekijken we nog de verschillende niveaus van beveiliging. De hoogste graad van beveiliging die men kan garanderen is de situatie waarbij de communicatie onvoorwaardelijk veilig is. Hierbij komt het er op neer dat het onmogelijk is om de beveiligingstransformatie te inverteren zonder over de geheime informatie te beschikken. Er bestaan echter geen praktische technieken om dit te realiseren. Daarom neemt men genoegen met een communicatie die computationeel veilig heet. Hierbij is het zo dat de kost die nodig is om de versleuteling te verbreken groter is dan de waarde van het bericht. Anderzijds kan het ook zijn dat de tijd die nodig is om de versleuteling ongedaan te maken langer is dan de geldigheid van het bericht. De technieken die verderop zullen besproken worden vallen allemaal onder deze klasse van beveiliging. 3.3 Beveiligingstransformaties Een encryptiealgoritme is een proces dat bepaalde gegevens codeert of versleutelt. Door het omgekeerde proces, het decryptieproces, toe te passen, kunnen de oorspronkelijke gegevens opnieuw bekomen worden. Er zijn grofweg twee vormen van cryptografie: symmetrische en asymmetrische. Bij symmetrische encryptie (Figuur 3.2), ook gekend als conventionele encryptie, gebruiken zender en ontvanger dezelfde sleutel (geheime sleutel). Die sleutel moet van tevoren uitgewisseld worden via een veilig kanaal (waarbij zender en ontvanger elkaars identiteit kunnen controleren en onderschepping van de sleutel door derden niet mogelijk is) of met de hulp van een TTP. Binnen deze klasse kunnen nog twee soorten van algoritmen onderscheiden worden: Blokversleuteling: de gegevens die moeten gecodeerd worden, worden verwerkt in vaste blokken van een bepaalde grootte Stroomversleuteling: hierbij worden de gegevens versleuteld byte na byte (of zelfs bit per bit) Moderner is de asymmetrische cryptografie, ook wel public key encryption genoemd. Hierbij hebben zender en ontvanger elk een set van twee sleutels, waarvan er één publiek is (public key) en één niet (private key). De publieke sleutel mag door iedereen gekend zijn en kan dus uitgewisseld worden over een onveilig kanaal 13

27 Shared secret key Shared secret key Alice Bob Plaintext input Transmitted ciphertext Plaintext output Encryption algorithm Decryption algorithm Figuur 3.2: Principe van symmetrische encryptie zoals het internet. De private sleutel wordt niet uitgewisseld en moet op een veilige plaats bewaard worden. Alice Public key Bob Private key Bob Bob Plaintext input Transmitted ciphertext Plaintext output Encryption algorithm Decryption algorithm Figuur 3.3: Principe van asymmetrische encryptie Om een bericht te coderen, heeft de zender de publieke sleutel van de ontvanger nodig. Om het ontvangen bericht te decoderen, heeft de ontvanger zijn eigen vertrouwelijke sleutel nodig (Figuur 3.3). Het principe waarop gesteund wordt is dat uit de kennis van de publieke sleutel geen informatie kan afgeleid worden over de vertrouwelijke sleutel. Het grote voordeel van asymmetrische cryptografie is dat uitwisseling van de benodigde sleutels kan plaatsvinden via een onveilig kanaal. Afluisteren van de uitgewisselde informatie - inclusief publieke sleutels - vormt geen enkel probleem. Een onderscheppingsrisico bestaat wel, wanneer zender en ontvanger nalaten te controle- 14

28 ren of de gebruikte publieke sleutel inderdaad hoort bij de (beoogde) ander. Zender en ontvanger dienen dus langs een betrouwbaar kanaal elkaars identiteit vast te stellen en publieke sleutels te bevestigen (TTP, persoonlijk overhandigen,... ). 3.4 Symmetrische encryptiealgoritmen Data Encryption Standard De Data Encryption Standard (DES) is een encryptiemechanisme dat door het National Bureau of Standards (NBS), het huidige National Institute of Standards and Technology (NIST), als standaard werd aanvaard in 1977 [6]. DES past blokversleuteling toe op blokken van vaste grootte (Figuur 3.4). De blokken klare tekst hebben een grootte van 64 bits en worden omgezet in versleutelde blokken van dezelfde lengte. DES maakt hiervoor gebruik van een geheime sleutel van 64 bits. Hiervan zijn echter acht bits gereserveerd voor pariteitscontrole zodat de effectieve sleutellengte beperkt is tot 56 bits. In Figuur 3.4 is de algemene structuur van het algoritme te zien. Na een initiële permutatie (IP), volgen 16 identieke rondes. Tenslotte is er een finale permutatie (FP), de inverse van de IP. Alvorens aan de verschillende rondes te beginnen, wordt het invoerblok opgesplitst in twee gelijke delen van elk 32 bits. Deze heen- en weerschakeling van de halve blokken volgt daarbij de structuur van het Feistel-schema. De Feistel-structuur zorgt ervoor dat zowel encryptie als decryptie zeer gelijkaardig verlopen. Het enige verschil dat hierbij optreedt, is dat de rondesleutels in omgekeerde volgorde toegepast worden. De Feistel-functie (F-functie) haspelt een half blok door elkaar op basis van een bepaalde rondesleutel. De uitvoer van deze functie wordt vervolgens gecombineerd met de andere helft van het blok waarna de helften omgewisseld worden alvorens ze door te geven aan de volgende ronde. Na de laatste ronde is er echter geen omwisseling van de twee halve blokken om er voor te zorgen dat het encryptie- en het decryptieproces gelijkaardig verlopen. 15

29 Plaintext (64 bits) IP F F 16 rounds F F FP Ciphertext (64 bits) Figuur 3.4: Structuur van DES-encryptie met een initiële (IP) en finale (FP) permutatie en de Feistel-functies (F) Triple DES Het enkelvoudig toepassen van DES kan men nauwelijks nog veilig noemen, gezien de kwetsbaarheid van het algoritme voor brute krachtaanvallen (brute force attacks). Aangezien DES reeds in vele hardware-implementaties terug te vinden was, kwam men op het idee om hetzelfde algoritme driemaal na elkaar te gebruiken met twee verschillende sleutels (Figuur 3.5). Wanneer men met Triple DES (3DES) een bericht wil encrypteren, gaat men als volgt te werk: Encrypteer de klare boodschap met de eerste geheime sleutel (K1) 16

30 K1 K2 K1/K3 Plain text E D E Encryption K1/K3 K2 K1 Ciphertext Ciphertext D E D Decryption Plain text Figuur 3.5: Structuur van 3DES (E = DES-encryptie, D = DES-decryptie) Decrypteer het bekomen tussenbericht met de tweede geheime sleutel (K2) Encrypteer dit resultaat nogmaals met de eerste geheime sleutel om tot het versleuteld bericht te komen Wanneer de ontvanger dit bericht wil decrypteren gaat hij omgekeerd te werk. Hij volgt daarbij de volgende stappen: Decrypteer de versleutelde boodschap met de eerste geheime sleutel (K1) Encrypteer het bekomen tussenbericht met de tweede geheime sleutel (K2) Decrypteer dit resultaat nogmaals met de eerste geheime sleutel om het oorspronkelijke bericht te bekomen Wanneer ook deze beveiliging te weinig mocht blijken, kan men ook drie verschillende sleutels gebruiken om een totale sleutellengte van 168 bits te bekomen. Een heel belangrijke eigenschap van 3DES is dat men door een gepaste keuze van de sleutels achterwaarts compatibel blijft met systemen die enkel DES ondersteunen Advanced Encryption Standard Op het vlak van beveiliging is er geen enkele reden om 3DES niet te gebruiken. Door zijn sleutellengte van 168 bits is 3DES namelijk zeer bestand tegen brute krachtaanvallen. Maar helaas wordt niet enkel de cryptografische sterkte van een algoritme beschouwd. Een groot nadeel dat dit algoritme draagt, is dat het vrij traag is in 17

31 software-implementaties. 3DES voert immers drie keer zoveel rondes uit als de gewone DES. Daarnaast wil men, zowel voor veiligheids- als efficientiëredenen, een grotere blokgrootte gebruiken dan 64 bits. Om al deze nadelen te bekampen ging NIST in 1997 op zoek naar een nieuwe Advanced Encryption Standard (AES) die op zijn minst even veilig was als 3DES, maar die veel efficiënter was. AES, ook gekend onder de naam Rijndael, zou moeten voldoen aan deze voorwaarden. Het algoritme gebruikt een blokgrootte van 128 bits welke versleuteld worden met sleutels van 128, 192 of 256 bits lang. De algemene werking van het algoritme is te zien in Figuur 3.6. Plaintext Sleutel Plaintext Rondesleutel toevoegen Rondesleutel toevoegen Ronde 1 Verwissel bytes Permuteer rijen Verwissel kolommen Expansie Inverse verwisseling bytes Inverse permutatie rijen... Ronde 10 Rondesleutel toevoegen... Inverse verwisseling kolommen... Verwissel bytes... Rondesleutel toevoegen Inverse verwisseling bytes Ronde 1 Ronde 10 Permuteer rijen Rondesleutel toevoegen Inverse permutatie rijen Rondesleutel toevoegen Ciphertext Ciphertext (a) Encryptie (b) Decryptie Figuur 3.6: Structuur van AES-encryptie (a) en decryptie (b) 18

32 3.4.4 Uitvoeringsmodes De algoritmen die werden besproken, verdelen de invoergegevens in blokken van vaste grootte. Om deze methodes bruikbaar te maken in veel verschillende toepassingen werden verschillende uitvoeringsmodes ontwikkeld. Hierdoor moet het mogelijk zijn om voor elke mogelijke toepassing een geschikt encryptie-algoritme te vinden [4]. Electronic Code Book (ECB): elk blok wordt onafhankelijk versleuteld met dezelfde sleutel. Deze uitvoeringsmode wordt gebruikt voor het verzenden van korte berichten. Cipher Block Chaining (CBC): de invoer van het algoritme is een XORcombinatie van het huidige invoerblok en het vorige versleutelde blok. Men kan deze mode gebruiken voor algemene toepassingen. Cipher Feedback (CFB): het vorige versleutelde blok (of een deel ervan) wordt gebruikt om pseudorandom uitvoer te genereren. Dit wordt vervolgens ge-xor-ed met het huidige invoerblok om het volgende blok te produceren. Ook deze mode kan in algemene toepassingen aangewend worden. Output Feedback (OFB): ongeveer zoals CFB, alleen is de invoer van het algoritme nu het vorig versleutelde blok. Na encryptie wordt dit blok samengevoegd met het huidige invoerblok. Counter (CTR): elk invoerblok wordt samengevoegd met een geëncrypteerde teller. De teller wordt verhoogd bij elk volgend blok. Deze uitvoeringsmode kan zeer handig zijn wanneer een snelle verwerkingssnelheid vereist is. Het is belangrijk om op te merken dat deze gebruiksmodes niet beperkt zijn tot een specifiek encryptie-algoritme. Ze kunnen zowel bij DES, 3DES als AES gebruikt worden. Het algoritme kan dus meer als een soort zwarte doos gezien worden waarop deze principes toegepast worden. 3.5 Berichtauthenticatie en hash-functies Het is reeds een belangrijke stap om ervoor te zorgen dat een bericht op een veilige manier kan verzonden worden naar een andere partij. We kunnen er zeker van zijn dat niemand anders de vertrouwelijke berichten kon lezen. Het is echter nog een andere stap om er voor te zorgen dat er niets aan deze berichten werd gewijzigd. Een 19

33 aanvaller, die bijvoorbeeld kennis heeft over de structuur waarin het bericht werd opgesteld, kan immers wijzigingen aanbrengen aan het gecodeerde bericht zonder dat de ontvanger hier iets van zal merken. Berichtauthenticatie is een techniek die toelaat om te controleren of een ontvangen bericht afkomstig is van de juiste zender en dat de zekerheid biedt dat het bericht niet gewijzigd is. Het kan ook gebruikt worden om de tijdsgeldigheid van het bericht te controleren. We kunnen dus zeker zijn dat het bericht niet opnieuw gebruikt wordt (replay). Een hashfunctie creëert een een hashwaarde h van een bericht M: h = H(M) [4]. Het resultaat bestaat steeds uit een vast aantal bits (bijv. 128 bits). Hierbij moet de berekening aan enkele voorwaarden voldoen: het moet mogelijk zijn een hashwaarde te berekenen van berichten met verschillende lengte een hashwaarde moet op een eenvoudige, snelle manier berekend kunnen worden een hashfunctie moet een éénrichtingsfunctie zijn. Het moet dus onmogelijk zijn om een bericht te vinden dat aan een vooropgegeven hashwaarde voldoet. Daarnaast wordt ook een onderscheid gemaakt tussen hashfuncties op basis van de zogenaamde botsingsbestendigheid (collision resistance). Bij zwakke botsingsbestendigheid is het niet haalbaar om bij een gegeven bericht x, een nieuw bericht y te vinden dat dezelfde hashwaarde oplevert. Een sterke eis is, bij sterke botsingsbestendigheid, dat het onmogelijk is om twee berichten te vinden die eenzelfde hashwaarde geven Message Digest Algorithm 5 Message Digest Algorithm 5 (MD5) werd in 1991 ontwikkeld door Ronald Rivest (ook bekend als één van de ontwikkelaars van het RSA-algoritme). Het MD5- algoritme is een bekend voorbeeld van een cryptografische hashfunctie. Het gebruikt een bericht van willekeurige lengte als invoer en produceert een hashwaarde van 128 bits als uitvoer. De invoer wordt verwerkt in blokken van 512 bits. Een eigenschap van MD5 is dat elke bit van de hashwaarde samengesteld wordt uit elke bit van 20