Подходы к криптографической защите коммуникаций в IoT и M2M
В рубрику "Криптография" | К списку рубрик | К списку авторов | К списку публикаций
Подходы к криптографической защите коммуникаций в IoT и M2M
Владислав Ноздрунов
Эксперт Технического комитета по стандартизации ТК 26
Александр Семенов
Аспирант МИЭМ НИУ ВШЭ
В рамках реализации федеральных проектов, предусмотренных национальной программой "Цифровая экономика Российской Федерации", начата стандартизация в области Интернета вещей (IoT), а именно подготовка спецификаций ряда протоколов, предназначенных для взаимодействия между IoT-устройствами. Такие протоколы можно разделить на два больших класса – телекоммуникационные1, 2, 3 и криптографические16, 17, 18.
Телекоммуникационные протоколы и их спецификации в первую очередь охватывают логические и физические вопросы передачи данных, проработка безопасности отходит на второй план. Криптографические протоколы предназначены для решения вопросов безопасности и в большинстве своем могут использоваться с произвольным телекоммуникационным протоколом передачи данных.
Протокол NB-FI – первопроходец в России
Первым протоколом Интернета вещей, стандартизированным в Российской Федерации, стал NB-FI (Narrowband Fidelity). В феврале 2019 г. был утвержден так называемый предварительный национальный стандарт (ПНСТ)1, действующий с 1 апреля 2019 г. до 1 апреля 2022 г. В течение ближайших трех лет должна пройти апробация данного стандартизированного решения на практике, оценен потенциал его применения и внедрения, а по их результатам – корректировка стандарта.
Протокол беспроводной передачи данных на основе узкополосной модуляции радиосигнала NB-FI создан для построения энергоэффективных беспроводных сетей обмена данными дальнего радиуса действия по принципу топологии "звезда" (аналогичную топологию используют мобильные сети сотовой связи). Протокол подходит для телеметрических систем, в которых преобладает передача данных от конечных устройств к базовым станциям (серверу), а обратный канал в основном предназначен для передачи управляющей (служебной) информации. В качестве областей использования предполагаются сферы ЖКХ, электроэнергетика, логистика, транспорт, а также индустриальные IoT-решения.
ПНСТ1 разработан Техническим комитетом по стандартизации "Киберфизические системы” (ТК 194) по инициативе Ассоциации Интернета вещей. Первая версия стандарта была представлена широкой общественности в апреле 2018 г., в дальнейшем ее существенно переработали после выявленных уязвимостей20, приводящих к реализации практических атак.
Спецификация1 описывает требования к физическому уровню, MAC-уровню, транспортному уровню и уровню представления. Основной акцент сделан на физический уровень, в рамках которого описаны полоса рабочих частот, модуляция, метод разделения каналов и передача данных на транспортном и MAC-уровне, при этом криптографической защите данных уделено гораздо меньшее внимание.
Данные передаются в виде пакетов1, полезная нагрузка которых при передаче от конечных устройств к базовым станциям (восходящие пакеты) составляет 8 байт, а для пакетов от базовых станций до конечных устройств (нисходящие пакеты) полезная нагрузка варьируется от 8 до 128 байт. Конфиденциальность данных обеспечивается, согласно ГОСТ Р 34.12–201521, при помощи алгоритма блочного шифрования "Магма" (длина блока которого составляет 8 байт) в режиме ECB. Отметим, что подобное решение с точки зрения современной криптографии считается небезопасным. Например, в соответствии с отечественными рекомендациям по стандартизации15 не рекомендуется использовать режим ECB для данных длиной более одного блока входных данных используемого алгоритма блочного шифрования, а также для неслучайных (формализованных) данных.
Таким образом, для обеспечения конфиденциальности восходящих данных при переработке ПНСТ целесообразно изменить используемый режим шифрования, например, на один из режимов, определяемых ГОСТ Р 34.13–201522. Однако наиболее серьезной проблемой разработанного ПНСТ является то, что целостность данных и аутентификация с помощью криптографических методов в данном протоколе не предусмотрена, что позволяет проводить подмену передаваемых сообщений. Это необходимо учитывать при разработке телеметрических систем, построенных на основе ПНСТ1, тем более в условиях заявленных областей применения.
Проект стандарта для LoRaWAN
Следующим шагом на пути стандартизации IoT-технологий в Российской Федерации стал проект стандарта, определяющий сетевой протокол и системную архитектуру сети LoRaWAN (Long Range Wide Area Networks), оптимизированные на национальном уровне для мобильных и стационарных конечных устройств с батарейным питанием2.
Отличительными особенностями данного протокола являются высокая энергоэффективность, возможность передачи данных на большие расстояния, способность поддерживать двунаправленную связь, а также гибкая адаптация полосы пропускания. В настоящее время завершается процедура публичного обсуждения первой редакции данного проекта.
У текущей версии проекта2 также выявлен ряд недостатков с точки зрения безопасности. Например, можно указать ту же проблему использования режима простой замены (ЕСВ), что и в описанном выше NB-FI.
Следует отметить, что в целом проект2 основан на спецификации LoRaWAN версии 1.1, которая, по информации от участников LoRa Alliance, была отозвана из-за найденных в ней критических ошибок. В настоящее время действующей является LoRaWAN версии 1.03, которая сильно отличается от версии 1.1. При этом, поскольку, согласно тексту проекта2, допускается возможность совместного использования двух версий – 1.03 и 1.1, возникает опасность проведения атак, связанных с навязыванием уязвимой версии протокола. Их опасность хорошо известна на примере аналогичных атак на протоколы стека TLS5, 23, 24. В связи с этим представляется крайне важным исследовать вопросы безопасности разрабатываемой спецификации при работе в режиме совместимости версий 1.03 и 1.16, 7, 8, включая обоснование достаточности реализуемых методов защиты протокола от атак на протокол LoRaWaN, описанных в работах9, 10, 11, 12, 13, 14.
OpenUNB – инициатива под вопросом
Еще одной инициативой стандартизации в области IoT в Российской Федерации стал проект национального стандарта OpenUNB (Open Ultra-Narrowband)4 узкополосной связи для IoT под названием "Протокол беспроводной передачи данных для высокоемких сетей на основе сверхузкополосной модуляции радиосигнала", который проходит процедуру публичного обсуждения.
Судя по настроению и реакции экспертного сообщества3, проект4 далек от практического применения и не может составить конкуренцию в настоящем виде ни LoRaWAN, ни какому-либо другому из существующих стандартизированных решений. Это связано в первую очередь с плохо описанным функциональным назначением протокола с точки зрения обеспечения безопасности. Одной из целей криптографической защиты, помимо обеспечения конфиденциальности передаваемых данных, является обеспечение их целостности. Вектором атаки в данном случае является навязывание ложной информации и перехват управления.
Текущая спецификация протокола OpenUNB не предназначена для обеспечения свойства целостности передаваемых данных по причине отсутствия механизма аутентификации и использования криптографически небезопасного алгоритма CRC.
Криптографический протокол CRISP
Рассмотренные выше протоколы являются телекоммуникационными и лишь косвенно касаются вопросов безопасности. Для повышения степени защищенности информационного взаимодействия их целесообразно реализовывать совместно со специализированными криптографическими протоколами, предназначенными для использования устройствами Интернета вещей. Такие протоколы отличаются от широко используемых протоколов типа TLS и IPSec прежде всего меньшим объемом передаваемой служебной информации и отсутствием затратных с точки зрения энергопотребления преобразований (например, электронной подписи).
В рамках деятельности Технического комитета по стандартизации “Криптографическая защита информации” (ТК 026) независимо от ТК 194 ведутся работы по созданию протоколов такого типа.
Так, в июне 2019 г. утверждены методические рекомендации, описывающие криптографический протокол CRISP16.
Протокол CRISP – это универсальный протокол, описывающий структуру данных для безопасной передачи информации в автоматизированных системах управления, промышленных сетях, системах сбора информации, а также при M2M-взаимодействии. Протокол не является самодостаточным и должен использоваться совместно с телекоммуникационными протоколами, поскольку является лишь надстройкой для обеспечения безопасности данных.
К особенностям протокола следует отнести то, что он использует предварительно распределенные ключи, что, однако, является стандартной практикой для IoT-устройств. Для обеспечения защиты информации предусмотрено два криптографических набора:
- для обеспечения конфиденциальности, целостности и аутентичности сообщений;
- для обеспечения только целостности и аутентичности данных.
Для выполнения указанных свойств безопасности протокол CRISP использует алгоритм блочного шифрования "Магма" в режиме гаммирования (согласно ГОСТ Р 34.12–201521) и в режиме выработки имитовставки (согласно ГОСТ Р 34.13–201522). Наличие двух криптографических наборов объясняется тем, что зачастую конфиденциальность не является необходимым требованием при построении промышленных сетей, в отличие от целостности и аутентичности. Кроме того, протокол CRISP обеспечивает защиту от повтора ранее переданных сообщений за счет использования счетчиков и учета полученных пакетов. Для защиты от атак, использующих накопление переданных данных, предусмотрена процедура диверсификации ключа на основе алгоритма "Магма" в режиме выработки имитовставки.
Низкоресурсный протокол CRISP является новым и перспективным для обеспечения безопасности информации, передаваемой в промышленных сетях, а также устойчивости их функционирования. Конкуренцию ему могут составить такие протоколы, как IPSec, Iplir, DLMS. Насколько протокол CRISP окажется востребованным, покажет время.
Алгоритмы для защищенного взаимодействия абонентов и устройств
Еще один вариант протоколов рассматриваемого класса – криптографические механизмы защищенного взаимодействия между двумя абонентами по незащищенному каналу, регламентируемые методическими рекомендациями17. В качестве абонентов могут выступать контрольные и измерительные приборы, устройства Интернета вещей, а также произвольные субъекты автоматизированных систем.
Важной особенностью взаимодействия контрольных и измерительных устройств является необходимость поддержки максимально возможного числа криптографических механизмов аутентификации участников взаимодействия, основанных как на использовании предварительно распределенной ключевой информации, так и на применении инфраструктуры сертификатов открытых ключей.
Первый механизм аутентификации применим в классе устройств, срок жизни которых мал, а уникальная ключевая информация может быть помещена в устройство на этапе его производства. Второй механизм предпочтителен для большего класса устройств, чей срок эксплуатации превышает время действия ключевой информации, или устройств, целью которых является предоставление услуги доступа к защищенному взаимодействию различным физическим лицам (например, кассовые аппараты, терминалы удаленного доступа). При этом наличие единого криптографического механизма взаимодействия позволит объединять в сети устройства независимо от используемого ими механизма аутентификации.
В проекте методических рекомендаций18, который в настоящее время находится в разработке, определяется порядок использования российских криптографических алгоритмов в протоколе DLMS, предназначенном для защищенного взаимодействия между системами сбора данных и измерительными устройствами. Протокол может быть использован для обеспечения конфиденциальности и целостности данных, а также для аутентификации источника данных при помощи криптографических механизмов – предварительно распределенных ключей или инфраструктуры сертификатов открытых ключей.
Таким образом, существует набор безопасных низкоресурсных криптографических протоколов, которые способны обеспечить защиту данных при использовании совместно с широко применяемыми телекоммуникационными протоколами Интернета вещей.
___________________________________________
1 ПНСТ 354–2019 “Информационные технологии. Интернет вещей. Протокол беспроводной передачи данных на основе узкополосной модуляции радиосигнала (NB-FI)".
2 Проект ПНСТ “Информационные технологии. Интернет вещей. Протокол обмена для высокоемких сетей с большим радиусом действия и низким энергопотреблением".
3 “Проект национального IoT-стандарта OpenUNB: критический разбор". https://habr.com/ru/post/464103/.
4 Первая редакция проекта ПНСТ “Информационные технологии. Интернет вещей. Протокол беспроводной передачи данных для высокоемких сетей на основе сверхузкополосной модуляции радиосигнала" (OpenUNB, OpenUltra-Narrowband).
5 Downgrade Attack on TLS 1.3 and Vulnerabilities in Major TLS Libraries. https://www.nccgroup.trust/us/about-us/newsroom- and-events/blog/2019/february/downgrade-attack-on-tls-1.3-and-vulnerabilities-in-major-tls-libraries/.
6 Avoine G., Ferreira L. Rescuing LoRaWAN 1.0, unpublished. https://fc18.ifca.ai/preproceedings/13.pdf.
7 Yang X. LoRaWAN: Vulnerability Analysis and Practical Exploitation. Delft University of Technology, 2017. https://repository.tudelft.nl/islandora/object/uuid:87730790-6166-4424-9d82-8fe815733f1e?collection=education.
8 Donmez C. M., Nigussiea E. Security of LoRaWAN v1.1 in Backward Compatibility Scenarios. The 15th International Conference on Mobile Systems and Pervasive Computing (MobiSPC 2018). Procedia Computer Science 2018. P. 51–58.
9 Butun I., Pereira N., Gidlund M. Security Risk Analysis of LoRaWAN and Future Directions. Future Internet, 2019, 11, 3.
10 Исхаков C.Ю., Исхакова А.А., Мещеряков Р.В. Анализ уязвимостей в энергоэффективных сетях дальнего радиуса действия на примере LoRaWAN. Сб. науч. тр. IV Международной научной конференции. – 2017. – C. 122–126.
11 Butun I., Pereira N., Gidlund M. Analysis of LoRaWAN v1.1 Security: Research Paper. In Proceedings of the 4th ACM MobiHoc Workshop on Experiences with the Design and Implementation of Smart Objects, Los Angeles, CA, USA, 2018, pp. 5:1–5:6.
12 Aras E., Ramachandran G.S., Lawrence P., Hughes D. Exploring the Security Vulnerabilities of LoRa. In Proceedings of the 2017 3rd IEEE International Conference on Cybernetics (CYBCONF), 2017. P. 1–6.
13 Plosz S., Farshad A., Tauber M., Lesjak C., Ruprechter T., Pereira N. Security Vulnerabilities and Risks in Industrial Usage of Wireless Communication. In Proceedings of the 2014 IEEE Emerging Technology and Factory Automation (ETFA), Barcelona, Spain, 16–19 September 2014. P. 1–8.
14 Mahmood A., Sisinni E., Guntupalli L., Rondon, R., Hassan S.A., Gidlund M. Scalability Analysis of a LoRa Network under Imperfect Orthogonality. IEEETrans. Ind. Inform. 2018, doi:10.1109/TII.2018.2864681.
15 Рекомендации по стандартизации Р 1323565.1.005–2017 “Информационная технология. Криптографическая защита информации. Допустимые объемы материала для обработки на одном ключе при использовании некоторых вариантов режимов работы блочных шифров в соответствии с ГОСТ Р 34.13–2015".
16 Методические рекомендации МР 26.4.001–2019 “Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем (CRISP 1.0)".
17 Методические рекомендации МР 26.4.003–2018 “Информационная технология. Криптографическая защита информации. Криптографические механизмы защищенного взаимодействия контрольных и измерительных устройств".
18 Проект методических рекомендации “Информационная технология. Криптографическая защита информации. Методические рекомендации, описывающие использование российских криптографических механизмов для реализации обмена данными по протоколу DLMS".
19 Рекомендации по стандартизации Р1323565.1.020–2018 “Информационная технология. Криптографическая защита информации. Использование криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.2)".
20 Nozdrunov V.I. About Project of National Standard "Protocol of IoT for the Interchanging Data in Narrowband Spectrum (NB- Fi)". https://ctcrypt.ru/files/files/2018/Rump/R02_Nozdrunov.pdf.
21 ГОСТ Р 34.12–2015 Информационная технология. Криптографическая защита информации. Блочные шифры.
22 ГОСТ Р 34.13–2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров.
23 Man-in-the-Middle TLS Protocol Downgrade Attack. https://www.praetorian.com/blog/man-in-the-middle-tls-ssl-protocol-down- grade-attack.
24 This POODLE Bites: Exploiting the SSL 3.0 Fallback. https://www.openssl.org/~bodo/ssl-poodle.pdf.
1 ПНСТ 354–2019 “Информационные технологии. Интернет вещей. Протокол беспроводной передачи данных на основе узкополосной модуляции радиосигнала (NB-FI)".
2 Проект ПНСТ “Информационные технологии. Интернет вещей. Протокол обмена для высокоемких сетей с большим радиусом действия и низким энергопотреблением".
3 “Проект национального IoT-стандарта OpenUNB: критический разбор". https://habr.com/ru/post/464103/.
4 Первая редакция проекта ПНСТ “Информационные технологии. Интернет вещей. Протокол беспроводной передачи данных для высокоемких сетей на основе сверхузкополосной модуляции радиосигнала" (OpenUNB, OpenUltra-Narrowband).
5 Downgrade Attack on TLS 1.3 and Vulnerabilities in Major TLS Libraries. https://www.nccgroup.trust/us/about-us/newsroom- and-events/blog/2019/february/downgrade-attack-on-tls-1.3-and-vulnerabilities-in-major-tls-libraries/.
6 Avoine G., Ferreira L. Rescuing LoRaWAN 1.0, unpublished. https://fc18.ifca.ai/preproceedings/13.pdf.
7 Yang X. LoRaWAN: Vulnerability Analysis and Practical Exploitation. Delft University of Technology, 2017. https://repository.tudelft.nl/islandora/object/uuid:87730790-6166-4424-9d82-8fe815733f1e?collection=education.
8 Donmez C. M., Nigussiea E. Security of LoRaWAN v1.1 in Backward Compatibility Scenarios. The 15th International Conference on Mobile Systems and Pervasive Computing (MobiSPC 2018). Procedia Computer Science 2018. P. 51–58.
9 Butun I., Pereira N., Gidlund M. Security Risk Analysis of LoRaWAN and Future Directions. Future Internet, 2019, 11, 3.
10 Исхаков C.Ю., Исхакова А.А., Мещеряков Р.В. Анализ уязвимостей в энергоэффективных сетях дальнего радиуса действия на примере LoRaWAN. Сб. науч. тр. IV Международной научной конференции. – 2017. – C. 122–126.
11 Butun I., Pereira N., Gidlund M. Analysis of LoRaWAN v1.1 Security: Research Paper. In Proceedings of the 4th ACM MobiHoc Workshop on Experiences with the Design and Implementation of Smart Objects, Los Angeles, CA, USA, 2018, pp. 5:1–5:6.
12 Aras E., Ramachandran G.S., Lawrence P., Hughes D. Exploring the Security Vulnerabilities of LoRa. In Proceedings of the 2017 3rd IEEE International Conference on Cybernetics (CYBCONF), 2017. P. 1–6.
13 Plosz S., Farshad A., Tauber M., Lesjak C., Ruprechter T., Pereira N. Security Vulnerabilities and Risks in Industrial Usage of Wireless Communication. In Proceedings of the 2014 IEEE Emerging Technology and Factory Automation (ETFA), Barcelona, Spain, 16–19 September 2014. P. 1–8.
14 Mahmood A., Sisinni E., Guntupalli L., Rondon, R., Hassan S.A., Gidlund M. Scalability Analysis of a LoRa Network under Imperfect Orthogonality. IEEETrans. Ind. Inform. 2018, doi:10.1109/TII.2018.2864681.
15 Рекомендации по стандартизации Р 1323565.1.005–2017 “Информационная технология. Криптографическая защита информации. Допустимые объемы материала для обработки на одном ключе при использовании некоторых вариантов режимов работы блочных шифров в соответствии с ГОСТ Р 34.13–2015".
16 Методические рекомендации МР 26.4.001–2019 “Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем (CRISP 1.0)".
17 Методические рекомендации МР 26.4.003–2018 “Информационная технология. Криптографическая защита информации. Криптографические механизмы защищенного взаимодействия контрольных и измерительных устройств".
18 Проект методических рекомендации “Информационная технология. Криптографическая защита информации. Методические рекомендации, описывающие использование российских криптографических механизмов для реализации обмена данными по протоколу DLMS".
19 Рекомендации по стандартизации Р1323565.1.020–2018 “Информационная технология. Криптографическая защита информации. Использование криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.2)".
20 Nozdrunov V.I. About Project of National Standard "Protocol of IoT for the Interchanging Data in Narrowband Spectrum (NB- Fi)". https://ctcrypt.ru/files/files/2018/Rump/R02_Nozdrunov.pdf.
21 ГОСТ Р 34.12–2015 Информационная технология. Криптографическая защита информации. Блочные шифры.
22 ГОСТ Р 34.13–2015 Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров.
23 Man-in-the-Middle TLS Protocol Downgrade Attack. https://www.praetorian.com/blog/man-in-the-middle-tls-ssl-protocol-down- grade-attack.
24 This POODLE Bites: Exploiting the SSL 3.0 Fallback. https://www.openssl.org/~bodo/ssl-poodle.pdf.
