Атаки, перехватывающие расстояния, на ограничивающие расстояние протоколы

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 12:55, 14 декабря 2015.
Distance Hijacking Attacks on Distance Bounding Protocols
Article Hijacking Screenshot.png
Авторы Cas Cremers[@: 1];
Kasper B. Rasmussen[@: 2];
Benedikt Schmidt[@: 3];
Srdjan C* apkun[@: 4]
Опубликован 2012 г.
Перевели Gregory Schetinin and Valeria Semin
Год перевода 2015 г.

Аннотация: После нескольких лет исследований стали появляться первые реализации ограничивающих расстояние протоколов (далее ОРП). Обычно эти протоколы анализируют с точки зрения устойчивости к трём видам атак исторически известным под названиями «Подлог расстояния», «Мафиозный подлог» и «Террористический подлог».
Мы выделяем и анализируем четвёртый основной тип атаки на ОРП называемый «Перехватом расстояния». Эта атака представляет серьёзную угрозу во многих практических случаях (сценариях). Мы показываем, что многие из ОРП уязвимы для такой атаки, и предлагаем решения, делающие эти протоколы устойчивыми по отношению к данному типу атаки. Мы показываем, что проверка ОРП с использованием существующих формальных и неформальных оболочек не гарантирует устойчивость к атакам «Перехвата расстояния». Рассуждая об ОРП, мы расширяем формальную оболочку, добавляя затмевающие атаки. Мы используем полученную оболочку для проверки отсутствия всех известных атак на протоколы, в состав которых были включена наша защита.
Ключевые слова: ограничение расстояния, проверка местоположения, атаки, перехват, окружение с множеством проверяющих, формальная модель, формальная проверка.

Введение

Использование протоколов, ограничивающих расстояние, позволяет свидетельству V установить верхнюю границу на физическом расстоянии до программы автоматического доказательства P. В последние годы было предложено несколько вариантов ОРП[1], [2], [3], [4], [5], [6], [7],[8],[9],[10], [11], [12],[13],[14]. Предложенные протоколы отличаются своей производительностью и предоставляемыми гарантиями безопасности. По состоянию на сегодня, реализовано несколько протоколов, использующих цифровую обработку и короткие символы [15], [16], остальные протоколы используют аналоговую обработку и сигнальные потоки (алгоритм функционирования схож с радарными системами)[10].
До сих пор безопасность использования ОРП оценивалась на основе устойчивости протоколов к трём типам атак. Исторически, эти типы атак известны как «Подлог расстояния», «Мафиозный подлог» и «Террористический подлог». Атака «Подлог расстояния» заключается в следующем: одиночный недобросовестная P убеждает V, что P находится на другом расстоянии от V, чем то есть на самом деле. Атака «Мафиозный подлог» заключается в следующем: атакующий изменяет расстояние между добросовестной P и V, вмешиваясь в их общение. Атака «Террористический подлог» заключается в следующем: недобросовестная P вступает в сговор с другим атакующим, находящимся ближе к V, с целью исказить расстояние от P до V. До текущего момента, считалось, что, если ОРП устойчив к этим трём типам атак, то протокол считается безопасным (или надёжным).
Тем не менее, мы доказываем, что многие протоколы (вне зависимости от их реализации на физическом уровне), в том числе классический протокол Брандса и Чаума[2] и недавно предложенный протокол ЦИК (Циклический Избыточный Код)[10], уязвимы перед атаками, в случае их использование в многопользовательских средах. Мы называем этот вид атаки «Перехватом расстояния». В этой атаке, недобросовестная P убеждает V, что она находится на другом расстоянии от V, чем то есть на самом деле, используя наличие в среде добросовестной P. Например, недобросовестная P может достичь своей цели путём перехвата этапа измерения расстояния ОРП от добросовестной P (находящего ближе или дальше). Этот тип атаки представляет серьёзную угрозу многим сценариям работы.
Концептуально, атака «Перехвата расстояния» - это нечто среднее между «Подлогом расстояния» и «Террористическим подлогом». Но в отличие от «Террористического подлога», в котором недобросовестная Р вступает в сговор с другим атакующим, «Перехват расстояния» подразумевает, что недобросовестная Р взаимодействует с другими добросовестными P. По сравнению с «Подлогом расстояния», в котором участвуют только недобросовестная Р и В, «Перехват расстояния» подразумевает наличие других добросовестных Р. Из этих отличий вытекают существенные последствия. Например, защитные меры, призванные защитить протокол от «Террористического подлога» опираются на предположение, что недобросовестные Р не желают делиться ключами с атакующими. Эти защитные меры не смогут защитить протокол, если недобросовестные Р применят атаку «Перехвата расстояния», не прибегая к помощи других атакующих. Более того, «Перехват расстояния» может возникать даже в ситуациях, когда «Террористический подлог» не представляет угрозы. Сейчас мы докажем, что протоколы, устойчивые к трём классическим типам атак уязвимы перед атакой «Перехвата расстояния».
Мы представляем исчерпывающую классификацию атак на ОРП, которая включает в себя атаку «Перехвата расстояния». Наша классификация, естественно, приводит к небольшим изменениям уже известных типов атак. Вместо применения традиционных названий для наших новых определений, мы предлагаем использовать более описательные, но менее универсальные, названия.
Мы проводим целевое исследование существующих протоколов. Все предложенные в последние годы ОРП могут быть грубо разделены на 2 группы: на основанные на протоколе Брандса и Чаума и на основанные на протоколе Ханке и Куна. Мы покажем, что все алгоритмы, повторяющие структуру, предложенную Брандаса и Чума уязвимы перед «Перехватом расстояния». Протоколы, повторяющие структуру, предложенную Ханке и Куну менее уязвимы к новому типу атаки. Мы предлагаем два класса эффективных и универсальных контрмер, позволяющих сделать протокол Брандса и Чаума (а также похожие другие протоколы) устойчивым к атаке «Перехвата расстояния», сценарий которой описан выше. Наши контрмеры не затратные – протоколы можно исправить без добавления дополнительных сообщений или криптографических операций.
Примечательно, ни одна из существующих оболочек анализа ОРП (например, [17], [18], [19], [20], [21]) не гарантирует отсутствия наших атак «Перехвата расстояния» даже если некоторые случаи атак «Перехвата расстояния» могут быть обнаружены, используя данные среды. Мы расширяем формальную оболочку Базина и соавторов[18] для обнаружения всех известных атак «Перехвата расстояния», после чего используем её для анализа нескольких протоколов. Новая оболочка позволяет нам промоделировать на битовом уровне все операции с сообщениями: оценивать затмевающие участки сообщения[22] и изменять некоторые биты сообщения. Мы используем оболочку для формального доказательства на примере отдельных протоколов, что наши контрмеры защищают от обнаруженных атак.
Мы показываем, что все ОРП, включая основанные на протоколе Ханке и Куна, могут быть уязвимы перед «Перехватом расстояния», если используются вместе с другим ОРП. Это может происходить, если более одного ОРП используется в среде (например, в многопротокольной среде). В частности, некоторые протоколы (например, протоколов Ханке и Куна), используемые добросовестным Р, позволяют недобросовестному Р перехватить расстояние у добросовестного Р. Такого рода атаки являются примером «атаки на выбранный протокол»[23]. Но в отличии от «атаки на выбранный протокол», наша атака не нуждается в обмене криптографическим материалом. Мы рассматриваем разнообразные ОРП, позволяющие перехватывать расстояние, и показываем как сглаживать такие атаки.
Итого: Во-первых, мы определяем, что атаки «Перехвата расстояния», представляют угрозу для ОРП, используемых в многопользовательских средах, отсутствие данных атак не гарантируется существующими оболочками. Во-вторых, мы показываем, что известные ОРП уязвимы перед «Перехватом расстояния», и предлагаем контрмеры. В-третьих, мы расширяем формальную оболочку для рассуждения об ОРП с целью моделирования затмевающих атаки и использования полученного результата для доказательства корректности наших контрмер для некоторых протоколов. В-четвёртых, мы обращаемся к безопасности использования ОРП в многопротокольных средах и предлагаем сглаживающие меры. В конце, мы обобщаем «Перехват расстояния» до «Перехвата местонахождения» и показываем, что возможно перехватить местонахождение, в котором нет других Р. Структура нашего анализа следующая. В разделе 2 мы рассказываем об ОРП. В разделе 3 мы вводим понятие атаки «Перехвата расстояния» и анализируем устойчивость существующих протоколов к этим атакам. Мы соотносим новый вид атаки с классическими типами атак и приводим новую исчерпывающую классификацию. В разделе 4 мы показываем, каким образом ОРП могут стать устойчивыми к атакам «Перехвата расстояния». В разделе 5 мы представляем расширенную формальную оболочку и анализируем набор протоколов. В разделе 6 мы анализируем устойчивость ОРП к «Перехвату расстояния» в многопротокольных средах. Мы вводим понятие «Перехвата местоположения» в разделе 7, в разделе 8 мы описываем о других работах в этом направлении, а раздел 9 – заключение.

Предпосылки

Рис.1. Протокол Брандса и Чаума, основанный на проверке подписи.

Целью ОРП - позволяет свидетельству V установить верхнюю границу на физическом расстоянии до программы автоматического доказательства P. В качестве примера, опишем базовый алгоритм Брандса и Чаума с проверкой подписи[2], представленный на рис. 1. В данном протоколе Р генерирует случайную (далее, ∈R) битовую строку m1,…,mk и отправляет контрольное сообщение, содержащее эту фиксацию этой строки, свидетельству V. Таким образом, позже узнав значение данной строки, V сможет проверить действительно ли P отправила именно эту строку. Свидетельство затем генерируют свою случайную битовую строку α1,..., αk и начинает (так называемый) быстрый битовый обмен. В процессе обмена V посылает по одному свои биты, P как можно быстрее формирует ответный бит, являющийся результатом исключающего-или (⊕) соответствующего присланного бита α и бита из строки m. После окончания быстрого битового обмена V вычислит верхнюю границу расстояния исходя из времени ответа P. Отметим, что P может (на своё усмотрение) откладывать отправку ответа, тем самым создавая впечатление, что находится дальше от V, чем то есть на самом деле, но в тоже время P не может отвечать быстрее «времени передачи сообщения». После этого этапа P соединяет все биты в строку c, подписывает её и отправляет V. Получив её, свидетельство V проверяет, что ранее посланная строка с фиксацией соответствует полученным ответам: для этого вычисляет mi = αi ⊕ βi и открывает фиксацию – объединяет полученные биты и сравнивает их с полученной подписью, используя открытый ключ P. Поскольку целью ОРП является установление свидетельством верхней границы расстояния, свидетельство никогда не будет участвовать в атаках, иначе это будет означать, что свидетельство атакует само себя. Атакующий, конечно, может представлять себя в качестве другого свидетельства V', используя своё расположения для атаки на настоящее свидетельство V.
Как было сказано во введении, традиционно анализируют ОРП применительно к трём типам атак: «Подлог расстояния», «Мафиозный подлог» и «Террористический подлог». Любые атаки, которые можно отнести к одному из этих трёх типов, преследуют одну и ту же цель: заставить свидетельство V поверить, что программа Р находится ближе к свидетельству, чем то есть на самом деле. Основное различие между этими типами атак в группах атакующих, в их взаимоотношениях.
«Мафиозный подлог», также называемый эстафетной атакой, был впервые описан Десметом[24]. В этом типе атаки присутствуют добросовестные Р и V, а саму атаку выполняет внешней атакующий А. Атакующий пытается сократить измеряемое расстояние между добросовестной Р и V. Обычно «Мафиозном подлоге» физическое расстояние между А и V мало, что позволяет А сокращать измеряемое расстояние.
Третий тип атаки – это «Террористический подлог»[24]. В этом типе атаки недобросовестная Р вступает в сговор с внешним атакующим А с целью убедить свидетельство V, что она находится ближе к свидетельству, чем то есть на самом деле. Все контрмеры, защищающие от «Террористического подлога», предполагают, что недобросовестная P не желают предоставлять А доступ к своему долгосрочному ключу (открытому или закрытому). Возможная причина такого нежелания – избежание в будущем подмены недобросовестной Р внешним атакующим А (А может использовать ключ для подмены Р в своих целях) и избежание прослеживаемости (ключ может быть в будущем использован для обвинения недобросовестной Р в участии в атаке «Террористический подлог»). Кроме того, свидетельство не может отличить внешнего атакующего от программы Р, если атакующий знает долгосрочный ключ Р.

Перехват расстояния

В этом разделе мы даём определение четвёртому типу атаки, который до сих пор не учитывался при создании ОРП, - атака «Перехвата расстояния». Мы соотносим этот тип атаки с тремя классическими типами атак на ОРП и предлагаем исчерпывающую классификацию атак на ОРП.

Атака перехвата расстояния

Мы говорим, что программа Р – добросовестная тогда и только тогда, когда все действия Р соответствуют спецификации протокола.
Definition 1. A Distance Hijacking attack is an attack in which a dishonest prover P exploits one or more honest parties P1, . . . , Pn to provide a verifier V with false information about the distance between P and V. Протокол считается уязвимым перед атакой «Перехвата расстояния», если он позволяет P успешно провести данную атаку. Заметим, что данная атака не исключает вовлеченность других атакующих, с которыми недобросовестная Р вступает в сговор, или вовлеченность других добросовестный свидетельств, которые могут позволять проводить данную атаку.
В контексте ОРП информацией о расстоянии является верхняя оценка этого расстояния, следовательно атаки заключаются в убеждении V, что Р находится ближе, чем то есть на самом деле. В стандартной атаке «Перехвата расстояния» на ОРП недобросовестная Р убеждает V, что она прошла фазу измерения расстояния (например, быстрый битовый обмен) с V, хотя на самом деле эта фаза была пройденная добросовестной программой Р'. Это происходит без кооперации с добросовестной Р'. Чаще всего, этот тип атаки выполняется путём завершения ОРП добросовестной Р' (как в обычной ситуации), но с заменой сообщений, которые содержат подписи или MAC-адресом добросовестной P', сообщениями с подписью или МАС-адресом недобросовестной Р.
Пример 1 (атака «Перехвата расстояния» на протокол Брандса и Чаума, основанный на проверке подписи). Рис.2 отображает стандартную атаку «Перехват расстояния» на протокол Брандса и Чаума, основанный на проверке подписи, показанный на рис. 1.

Рис. 2. Атака «Перехвата расстояния» на протокол Брандса и Чаума, основанный на проверке подписи. Обозначим подписи, сделанные с помощью ключей P и P’, как «Подпись P(c)» и «Подпись P’(c)» соответственно.

В этой атаке V считает, что взаимодействует с P, причем P – недобросовестная программа. Когда добросовестная программа P’ пытается доказать своё расстояние, P сначала разрешает протоколу функционировать в обычном режиме между P’ и V, ожидая когда P' отправит свою подпись. Отметим, что в этот момент V не обладает криптографическими доказательствами, что принятые сообщения на самом деле были отправлены программой P'. Когда P’ отправляет свою подпись, P глушит сообщение и переподписывает содержимое c собственным ключом и отправляет результат свидетельству V. V успешно проверяет фиксацию из контрольного сообщения и подпись и ошибается, так как будет считать, что P отправила и все предыдущие сообщения. Таким образом, V подразумевает, что P находится в радиусе, определённом на фазе вычисления верхней оценки расстояния до программы P, хотя на самом деле эта фаза была проведена программой P’.
Далее мы расскажем сценарий, в котором атака «Перехвата расстояния» представляет серьёзную угрозу.
Пример 2 (Реальный сценарий). Представим сценарий, показанный на рис. 3, в котором несколько человек работают в защищенной инфраструктуре. В этой инфраструктуре есть мэйнфрейм, содержащий чувствительную информацию. Обладая необходимым уровнем доступа, можно подсоединиться к мэйнфрейму можно по беспроводной сети (это сделано для облегчения доступа нескольких пользователей одновременно). В случае, если сотрудник теряет свою смарт-карту с закрытым ключом, то доступ к мэйнфрейму предоставляется только внутри здания. Это проверяется каждый раз, когда сотрудник заходит в систему, путём применения ОРП между станцией внутри здания (т.е. свидетельством V) и терминалом сотрудника (т.е. программой P).

Рис. 3. Реальный сценарий атаки «Перехвата расстояния». P обладает (украденной) смарт-картой. Но не обладает доступом в защищенную инфраструктуру и не имеет сообщников внутри инфраструктуры. В атаке «Перехвата расстояния» P использует присутствие добросовестной P’ для убеждения V, что P находится внутри защищенной инфраструктуры.

Представим себе, что атакующий сумел получить доступ к смарт-карте сотрудника, но не может физически войти в здание. Вместо этого, злоумышленник паркует около здания свой микроавтобус с мощной антенной, способной взаимодействовать с беспроводной связью внутри здания. Но для того чтобы войти в систему, злоумышленник должен доказать, что находится внутри здания путём проведения сеанса с использованием ОРП.
Если используемый ОРП уязвим перед атакой «Перехвата расстояния», злоумышленник сможет использовать наличие смарт-карты другого сотрудника (не являющего сообщником злоумышленника и не находящемся в курсе происходящего), находящего внутри здания, для проведения атаки «Перехвата расстояния». Система безопасности мэйнфрейма считает, что злоумышленник находится внутри здания и обладает достоверным закрытым ключом, и ему предоставляется беспроводная связь.
Можно сказать, что описанная атака лобовая, но немалое количество ОРП уязвимы перед атакой «Перехвата расстояния», что мы покажем в части 3.5. В части 4 мы обсуждаем более сложные атаки «Перехвата расстояния», в случае если в одной среде используется несколько ОРП.

Соотношение с историческими типами атак

Для начале сравним атаку «Перехвата расстояния» с тремя классическими типами атак, которые традиционно рассматриваются в анализе ОРП.
Как было сказано во введении, рассуждая концептуально, атака «Перехвата расстояния» может быть расположена между «Подлогом расстояния» и «Террористическим подлогом». Кто-то может предложить расширить определение атаки «Подлога расстояния», либо атаки «Террористический подлог» для включения в один из этих типов атаки «Перехвата расстояния». Предшествующий анализ показал, что контрмеры не упреждают такую атаку, следовательно, многие протоколы могут быть ошибочно названы устойчивыми к (вновь определенным) атакам «Подлога расстояния» или «Террористического подлог» или же существующие контрмеры будут признаны недостаточными. Поэтому мы выделяем атаку «Подлога расстояния» в отдельный тип атаки.
and another honest party. Мы показываем, что существующие три типа атаки не покрывают атаку «Перехвата расстояния». В атаке «Мафиозный подлог» программа P добросовестная. В атаке «Подлог расстояния» - атака одиночной недобросовестной программы. Эти два типа, очевидно, отличаются от атаки «Перехвата расстояния», включающей как минимум недобросовестную P и другие добросовестные программы.
Для демонстрации разницы между атакой «Перехвата расстояния» и наиболее близкой к ней типа атаки – «Террористического подлога» – рассмотрим сценарий из примера 2. Вспомним, что в «Террористическом подлоге» недобросовестная программа сговаривается с другим, находящимся ближе, злоумышленником. В сценарии, приведенном в примере, есть две основные причины, почему защищенность от атаки «Террористический подлог» не гарантирует также защиту и от атаки «Перехвата расстояния». Во-первых, заметим, что «Террористический подлог» невозможен в данном сценарии, так как у злоумышленника нет сообщника внутри здания, готового сотрудничать с ним. Поэтому проектировщики системы безопасности могут рассматривать протокол, базирующийся на протоколе проверяющем подписи (Брандса и Чаума), но атака «Перехвата расстояния» всё равно не исключается. Во-вторых, общепринятая защитная мера от «Террористического подлога» – это необходимость раскрытия злоумышленником своего закрытого ключа своему сообщнику – эта мера позволяет определить атакующего. Но в сценарии из в примера из примера 2 эта мера не поможет – у атакующего нет проблем доступа к похищенному долгосрочному ключу. Более того, даже если он раскроет свой ключ, он будет идентифицирован как по неизменившейся смарт-карте честного сотрудника. В обычных случаях, смарт-карта даже не зафиксирует ничего необычного и удалит все полученные данные после завершения сессии. Из чего делается вывод, что защищенность от «Террористического подлога» путём использования ряда предположений или контрмеры, не исключает уязвимость перед атакой «Перехвата расстояния».

Классификация атак

Традиционные типы атак («Мафиозный подлог», «Подлог расстояния» и «Террористический подлог») определяются, как независимые друг от друга и несовместимые друг с другом. Это усложняет процесс проверки, все ли возможные атаки на ОРП покрываются этими типами, даже если они включают атаку «Перехвата расстояния». Мы предлагаем исправить эту ситуацию путём получения определения типов атак, объединяющих все возможные атаки, путём анализа этих атак. Интуитивно, мы выполняем процесс классификации, основанный на трёх признаках, характеризующих каждую атаку: добросовестность P, отсутствие других программ (групп программ), участвующих в атаке на свидетельство, помимо P, и, если нет, то добросовестные ли эти другие программы или нет. На основе анализа этих трёх признаков, выделяется четыре типа атаки.
Введём некоторую дополнительную терминологию. Цель ОРП – вычисление правильной верхней оценки расстояния. Точнее говоря, свидетельство V вычисляет корректную верхнюю оценку расстояния d до P, если P или идентифицирующий ключ (в данном контексте, Р идентифицируется своим ключом. Если кто-то ещё знает ключ Р, то свидетельство не может их отличить от Р.) находится в радиусе (вычисленного или ожидаемого) расстояния d. Сделаем два предположения об ОРП. Во-первых, в отсутствии атакующих свидетельство верно вычисляет верхнюю оценку расстоянию. Во-вторых, подразумевается, что ОПР гарантируют слабую проверку подлинности Р (например, живости[25]). Используя приведенные выше терминологию и предположения, мы представляем исчерпывающую классификацию (рис. 4) атак на ОРП, в которых свидетельство вычисляет ошибочную верхнюю оценку расстояния до программы. Предполагается, что V неверно вычисляет верхнюю оценку расстояния d до P. Поэтому, ни Р, ни её идентифицирующие ключи не находятся в радиусе d. Поэтому нарушение первого предположения вызвано наличием злоумышленника.

Рис. 4. Классификация атак на ОРП, в которых свидетельство неверно вычисляет верхнюю оценку расстояния до программы.


Мы выделяем два основных случая. Если программа P добросовестная, то P не является атакующим, следовательно, внешний атакующий изменяет расстояние. Такой тип атаки назовём «Внешним подлогом расстояния»..
Определение 2. Внешний подлог расстояния – это атака, в которой атакующий снабжает свидетельство V ложной информацией о расстоянии между добросовестной программой P и V.
Во втором случае, если P является недобросовестной программой, мы выделяем ещё две ситуации. Первая, если только Р вовлечена в атаку, то Р является атакующим, пытаясь изменить собственное расстояние. Этот тип атаки назовём «Одиночный подлог расстояния».
Определение 3. Одиночный подлог расстояния – это атака, в которой одиночная программа P снабжает свидетельство V ложной информацией о расстоянии между P и V.
Если же присутствуют другие вовлеченные программы, то проводим последнее разделение. Если другие вовлеченные программы недобросовестные или состоят в сговоре, то такой тип атаки назовём «Подлогом расстояния с участием нескольких злоумышленников».
Определение 4. Подлог расстояния с участием нескольких злоумышленников – это атака, в которой программа P с помощью одной и более программ, не являющимися добросовестными, снабжает свидетельство V ложной информацией о расстоянии между P и V.
В противном случае, если одна из других вовлеченных программ является добросовестной, называем этот тип атаки «Перехватом расстояния» согласно определению 1.
При составлении выше описанной классификации мы старались придерживаться основных исторических типов атак. Фактически три типа наших атак являются историческими типами. Но мы старались дать им более описательные, но менее универсальные названия. В частности, наше определение «Одиночного подлога расстояния» соответствует классической интерпретации атаки «Подлога расстояния». Предложенное определение «Внешнего подлога расстояния» соответствует «Мафиозному подлогу», а определение «Подлог расстояния с участием нескольких злоумышленников» включает в себя «Террористический подлог».
Стоит указать на то, что несмотря на то, что P соответствует конкретной программе (а точнее группе программ, обладающей одним ключом), данная классификация может применяться и к анонимным ОРП[26]. В анонимных ОРП единственной гарантией, предоставляемой свидетельством, это то, что кто-то находится в пределах установленного расстояния (а не конкретная программа P находится в пределах установленного расстояния). Для включения анонимных ОРП в данную модель говорим, что все программы используют один и тот же ключ (который может быть публичным) и на рис. 4 заменяем слово «программа» на словосочетание «ближайшая программа».

Многопользовательские среды

Рис. 5. Сценарий, в котором V принимает сессии протоколов от нескольких программ, здесь от P и P', атака "Перехвата расстояния" может представлять серьёзную угрозу.

Рис. 6. Сценарий с многими программами и свидетельствами, в которых свидетельство Vx принимают сессии только от программ x. Даже в этом случае "Перехват расстояния" возможен.

Основным условием для атаки «Перехвата расстояния» является то, что в среде существует несколько программ (пользователей), которые могут быть использованы недобросовестной программой. Назовём такие среды, в которых могут быть несколько программ (или пользователей), многопользовательскими средами. Приведём два примера таких сред.
Множество программ, одно свидетельство: Такой сценарий может возникать, когда свидетельство принимает подтверждения от нескольких программ (как показано на рис. 5). Например, это может происходить в ограничивающем расстояние протоколе RFID, в котором читатель может принимать множество тэгов. В этом случае, «Перехват расстояния» осуществляется, если недобросовестная программа P перехватывает расстояние между P’ и V и убеждает V, что P находится на этом расстоянии, ложным образом сокращая расстояние между P и V.
Отметим, что в приведенном выше примере, свидетельство V принимает сессии протоколов от нескольких программ. В примере ниже, мы покажем, что это необязательно для проведения атаки.
Множество программ, множество свидетельств: представим среду, в которой есть множество программ P,P’,… и соответствующих свидетельств VP,VP’,…. Каждое свидетельство VP принимает подтверждение расстояний только от P, ровно как свидетельство VP’ принимает подтверждение от P’. Даже в этом сценарии программа P может перехватить сессию программы P’ со свидетельством VP’ с целью ошибочно убедить VP, что P находится на расстоянии dist(P’,VP). Такой тип сценария приведен на рис. 6. P’ предполагает, что взаимодействует с VP’, но на самом деле быстрые ответы принимаются свидетельством VP, которое считает, что они были посланы программой P.
Отметим, что данная атака сработает, если ни P с VP, ни P с P’ не находятся близко друг к другу. Вместо этого, коммуникация между P’ и VP’ может быть задействована благодаря атакующему, который может ретранслировать их сообщения между P’ и VP’, используя для связи с P’ мощный приёмник и усиливающую антенну. Данный второй сценарий может даже возникать в разных доменах: единственным условием является совместимость фаз измерения расстояния (например, быстрого битового обмена) в разных доменах.

Анализ существующих ОРП

Таблица 1. Обнаруженные уязвимости существующих ОРП перед атакой «Перехвата расстояния» (в монопротокольных средах).

Протокол Обнаружена уязвимость
1 Брандс и Чаум (Фиат-Шамир) [2] Да
2 Брандс и Чаум (Шнорр) [2] Да
3 Брандс и Чаум (подпись) [2] Да
4 Бассард и Багга [3] Нет
5 ЦИК [10] Нет
6 Ханке и Кун [4] Нет
7 Хитоми [8] Нет
8 KA2 [6] Нет
9 Кун, Люкер, Типпенхауэр [16] Да
10 ВАОР [14] Да
11 Мэдоус и соавторы для для F(…)= 〈NV,NP⨁P〉 [20] Да
12 Манилла и Пеинадо [7] Нет
13 Шумо устойчивый ВАОР [12] Да
14 Поулидор [13] Нет
15 Рейд и соавторы [11] Нет
16 Swiss-Knife [5] Нет
17 Древовидный [1] Нет
18 ССБФ+ОР [9] Да
19 ССБФ+ОР Ноэнт [9] Да

Проанализировав несколько протоколов, мы нашли множество новых атак, попадающих в класс атак «Перехвата расстояния». Результаты анализа протоколов приведены в таблице 1. Большинство найденных атак – новые. Насколько нам известно, только две из них ранее упоминались в литературе. Упрощенная версия «Брандс и Чаума (подпись)» приведена в [21]. Атака на протокол из семейства протоколов, предложенных Мэдоусом и соавторами, в частности на реализацию, включающую F(NV,NP, P) = (NV,NP⊕P), описана в [18]. Все остальные атаки в таблице – новые.
В нашем анализе мы используем следующие модели системы и атакующего. Мы предполагаем, что злоумышленник контролирует сеть и может подслушивать, перехватывать, вставлять и блокировать сообщения. Мы не накладываем никаких ограничений на количество или местонахождение устройств, контролируемых атакующим. Злоумышленник может контролировать несколько недобросовестных программ, а также другие беспроводные устройства. Сущности определяются своими ключами; сущности, использующие одинаковые ключи не могут быть различены.
В этой статье мы подробно описываем две атаки из приведенной таблицы. Мы уже описали атаку на базовый протокол Брандса и Чаума, использующий проверку подписи, в примере 1. Атаку на протокол Куна, Люкера и Типпенхауэра мы описали в примере 4.
В целом, может показаться, что все протоколы, которые очень похожи на исходный протокол Брандса и Чаума, не предлагают защиты «Перехвата расстояния». В то время как протоколы, основанные на протоколе Ханке и Куна, которые явно используют общий ключ между агентами на фазе ограничения расстояния, защищены от «Перехвата расстояния» в монопротокольных средах. Тем не менее, в разделе 6 мы покажем, что все протоколы, основанные на протоколе Ханке и Куна, уязвимы перед «Перехватом расстояния» в мультипротокольных средах.
Отметим, что для многих атак, перечисленных в таблице, необходимо, чтобы свидетельство V не было «потревожено» сообщениями от P. В качестве примера, вспомним атаку из рис. 2. Если V будет принимать и обрабатывать последнее подписанное сообщение от P, то V может завершить протокол, и атака провалится. Существует несколько практических сценариев, в которых возможные прямые атаки. Например, если подписанное сообщение отправляется через обычные WiFi каналы, то P подразумевает, что отвечает какому-то другому свидетельству V2. В данном случае, P отправляет сообщения, адресованные V2, и оборудование V может отфильтровать сообщения перед тем, как они придут на протокольный уровень. В противном случае, атакующий может глушить и прослушивать сигналы, отправляемые P (кроме быстрого битового обмена P). Глушение представляется возможным во всех протоколах, за исключением ВАОР, который включает обнаружение глушения и завершает протокол в этом случае.

Защита от "Перехвата расстояния"

Рис. 7. Фазы в ОРП: Начальная настройка, замер расстояния и завершение. Начальная и завершающая фазы могут быть пустыми.

Мы узнали, что множество протоколов уязвимы перед атакой «Перехвата расстояния», теперь мы расскажем, как исправить эту ситуацию. Не углубляясь в детали, во всех протоколах можно выделим три фазы, показанные рис.7: Начальная фаза, в которой происходит одноразовый обмен начальными данными и контрольные фиксации; фаза «Замера расстояния», в которой происходит замер физического расстояния (чаще всего используется быстрый битовый обмен), и Завершающая фаза, в которой, чаще всего, происходит подтверждение личности. Единственная фаза, которая не может быть пустой – это фаза «Замера расстояния». Фаза «Замер расстояния» происходит по следующей схеме: свидетельство отсылает новое задание программе, на которое программа отвечает каким-то значением; этот процесс может быть разделен на несколько раундов. Измеренное расстояние вычисляется, исходя из замеренных времён ответов. Это означает, что программа должна отвечать на задания сразу же, и нежелательно использовать криптографические операции (шифрование или подписи) для вычисления расстояния.
В стандартной атаке «Перехвата расстояния» недобросовестная программа использует присутствие ответы другой программы на фазе «Замера расстояния». Получается, что недобросовестная программа может использовать добросовестную программу только до тех пор, пока это допускает протокол (несмотря некоторые ограничения, связанными с тем, что недобросовестная программа не следует протоколу и может создавать сообщения на своё усмотрение). Поэтому в предлагаемых решениях мы предлагаем обеспечивать отсутствие злоупотреблений со стороны других программ ответами добросовестной программы, которая та посылает свидетельству.
Перед тем как продолжать, мы еще воспользуемся интуицией, показав почему два (казалось бы) простых улучшения в базовом протоколе Брандса и Чаума не срабатывают.
Пример 3 (Недоработанная поправка: Xor идентификатора). Первая недоработанная поправка заключается в добавлении идентификатора программы к ответным сообщениям, отправляя «задание» ⊕ NP ⊕ P. Проблема данного решения заключается в том, что идентификатор атакующего P' может отличаться от идентификатора добросовестной программы P всего лишь на несколько битов. Тогда результат «задание» ⊕ NP ⊕ P совпадает с результатом «задание» ⊕ NP ⊕ P’ во всех совпадающих битах идентификатора, остаётся только отгадать оставшиеся результирующие биты «задание» ⊕ NP ⊕ P’ заменить ими биты, посылаемые от P к свидетельству. После того, как недобросовестная программа узнает задание и NP, она может проверить правильность своих догадок и отправить подпись. Если расстояние Хэмминга между идентификаторами P и P’ равно k, то недобросовестной программе необходимо угадать k бит и вероятность, соответственно, равна (1/2)^k.

Рис. 8. Атака на протокол Брандса и Чаума, использующий защищенные каналы на "начальном" и "завершающем" этапах. Пунктирные стрелки обозначают передачу по защищенному каналу, в которой P' считает P свидетельством.

Пример 4 (Недоработанная поправка: защищённые каналы). Вторая поправка заключается в использовании на фазе «Начальной настройки» и «Завершающей фазе» защищенных каналов (например, с SSL/TLS), которые взаимно заверяются сертификатами клиента и сервера. Протокол, использующий такие каналы, описан в[16]. Поскольку теперь атакующий не могут прослушивать (или изменять) содержимое, то может показаться, что угроза перехвата устранена. Но на рис. 8 показано, что такие протоколы всё ещё уязвимы перед «Перехватом расстояния». В представленной атаке P притворяется свидетельством при общении с P’, а при общении с V предстаёт в роли программы. Таким образом, P’ считает, что доказывает своё расстояние для P, и передает P первоначальную фиксацию по защищенному каналу. А P просто передаёт эту фиксацию свидетельству V. Поскольку фаза «Замера расстояния» не защищается защищенным каналом P’ будет отвечать на задания V. После чего P’ завершает этот этап, используя защищенный канал с P. P переподписывает эту информацию и отправляет её V, используя защищенный канал.
Как показано в примерах, не так просто защитить протокол от атаки «Перехвата расстояния». Решением является превращение сообщения от пользователя во время замера расстояния в сообщение, отличающееся от сообщений других пользователей (т.е. свидетельство не примет ответ одной программы (пусть P’) от ответа другой программы (пусть P)). Обсудим два возможных решения: явное связывание и неявное связывание.
Первый класс решений: явное связывание. Первое решение позволяет различать ответы разных программ друг от друга путём явного включения идентификационной информации в ответ совместно с защитой целостности. Примерами явного связывания могут служить следующие случаи, в которых программой один раз генерируется NP, которое он фиксирует в «Начальной фазе».
задание ⊕ h(P,NP), где h - хэш-функция.
задание ⊕ signP(NP).
задание ⊕ MACk(P,V )(P,NP), где k(P, V ) - симметричный ключа, используемый для общения между P и V.
Второй класс решений: неявное связывание. Второе решение не позволяет различать ответы от нескольких программ, основываясь только на этих ответах. Это решение предполагает, что добросовестные программы не раскрывают другим какую-то секретную информацию (чаще всего, это единожды сгенерированный ключ NP) до того, как будет завершена фаза «замера расстояния». Значит, до этой фазы только программы, сгенерировавшая NP, знает секретную информацию и может использовать её для создания сообщений. В протоколах, фиксирующих (временную) секретную информацию на «Начальной фазе», программы могут подтвердить свой идентификатор в фиксации, отправив фиксацию(P,NP) до фазы «замера расстояния». Пока программа P не раскроет эту информацию в процессе или после своего ответа недобросовестные программы не могут зафиксировать NP для подтверждения своего идентификатора. Следовательно, свидетельство может проверить, что идентификатор программы на фазе «замера расстояния» соответствует идентификатору программы, полученному в фиксации из «Начальной фазы»

Формальный анализ

Предыдущие формальные модели недостаточно эффективно выявляют атаку «Перехвата расстояния». Особенно, они не выявляют затмевающие части сообщения (см. [22]), например это биты, для посылки которых использовался более мощный сигнал. Несколько атак «Перехвата расстояния» используют такие затмевающие приёмы. Для выявления таких атак мы расширяем формальную оболочку Базина и соавторов[18], чтобы позволить атакующему манипулировать сообщениями на беспроводных каналах путём затмения части сообщения, так же как и изменения значений отдельных битов сообщения. В результате получим новую оболочку, позволяющую формально доказать отсутствие всех ранее перечисленных атак «Перехвата расстояния». Полная Isabel/HOL формализация всех определений и доказательств из этого раздела приведена в [27].
В разделе 5.1 мы описываем базовую модель из [18] и описываем её расширение в 5.2

Базовая модель

Агенты и окружение: мы подразумеваем, что есть счетно-бесконечное непересекающиеся множества Добросовестных и Недобросовестных агентов, состоящие из добросовестных и недобросовестных агентов соответственно. Мы определяем множество всех агентов как Agent = Honest∪Dishonest. Мы используем A, B, P, V для обозначения агентов. Мы связываем каждого агента с его местоположением loc_A ∈ R^3. Основываясь на местоположении агента, мы можем определить коммуникацию в зоне прямой видимости между двумя агентами А и В по следующей формуле:

Formula1.png

Сообщения: мы предполагаем, что есть счетно-бесконечное множество Const из констант. Предположим, что есть счетно-бесконечное непересекающееся множество Nonce_A для каждого агента А, и определим Nonce =⋃(A∈Agent)Nonce_A. Мы предполагаем существует счетно-бесконечное множество Key из ключей, которые могут быть разделены на ключи для симметричного шифрования и ключи для ассиметричного шифрования/подписей. Обозначим инверсную операцию как ^(-1) и определим с её помощью симметричные ключи. Множество синтаксический сообщений SMsg определяется грамматикой:

Formula2.png

где atom ∈ Agent ∪ Const ∪ Key ∪ Nonce – это атомарное сообщение, а остальные компоненты определяют пары, хэши, шифрование с k ∈ Key, исключающее-или и пустые сообщения. Мы используем sign_A (M) как сокращения для {M}_sk(A).
Определим множество сообщений Msg как SMsg/=_E, где =_E является эквациональной теорией, основанной на множестве равенств:

Formula3.png

Далее, мы нарушаем нотацию и записываем M как обозначение соответствующего эквивалентного класса: {M'|M'=_E M} ∈Msg.
События и Следы: Множество события определяется следующим образом:

Formula4.png

Для Send А обозначает агента, выполняющего отправку, M – отправленное сообщение, M* - последовательность сообщений обозначающий локальное состояние информации, связанной с событием. Для Recv А обозначает агента, принимающего сообщение, M – принятое сообщения. Для Claim А обозначает требующего агента, а M – собственно требование. След tr – это последовательность событий по временам (t,EV )где t ∈ R.
Начальное знание: для моделирования изначального распределения ключей мы определяем функции pk∶ Agent → Key, sk∶ Agent → Key, и K∶ Agent × Agent → Key, которые обозначают публичный, закрытый и общедоступный ключи агентов с ожидаемыми свойствами, например: pk(A)^(-1) = sk(A) и K(A,B) = K(B,A). Мы определяем начальное знание об агенте А следующим образом:

Formula5.png

Вывод сообщений: Пусть А – агент, а tr – след. Тогда множество DM_A(tr) выведенных сообщений определяется условиями, показанными на рис. 9.

Рис. 9. Правила, определяющие DMA(tr).

Данные правила моделируют манипулирование сообщениями под идеальным криптографическим предположением, и всё по модулю E.
Сеть и атакующий: множество возможных следов TR для базовых моделей определяется как множество, определенное начальным правилом START, правилом атакующего INTR и базовым сетевым правилом BASICNET (Отметим, что в [18] оно названо NET-правилом), показанными на рис. 10 вместе с правилами, формализующими анализируемый протокол.

Рис 10. Правила для сети и атакующего из базовой модели.

Для примера правил, определяющих протокол, см. рис. 12. Все правила обладают очевидным свойством: все время в условиях монотонно, т.е. временная отметка нового события не может быть меньше максимальной временной отметки в следе. Правила INTR позволяют недобросовестному агенту отправлять произвольно получаемые сообщения. Правило BASICNET формализует то, что если есть сообщение М, отправленное агентом А, то В может принять это сообщение в момент времени t такое, что t ≥ t' +cdist_LoS (A,B)
Получая набор следов для протокола из его модели, мы можем определить протокол как безопасный.
Определение 5. ОРП считается безопасным, если всех наборы (V,P, dist), возникающие в следах протокола достоверны, т.е. соответствуют locV и locP. Здесь мы учитываем тот факт, что мы позволяем недобросовестным узлам делиться своими ключами, и определяем эти узлы как недобросовестные агенты, например набор (V,P, dist) для недобросовестного Р достоверен, если существует такой недобросовестный P’, что dist является верхней оценкой расстояния между V и P’.

Расширенная модель

Сетевое правило BASICNET из [18] не учитывает манипуляции с сообщениями, передаваемыми через беспроводные каналы связи. В результате несколько атак из предыдущих разделов (например атака из примера 3) не может быть воспроизведена базовой моделью. Мы определяем расширенную модель путём замены правила BASICNET новым правилом EXTNET, показанным на рис. 11, позволяющим строить более детальную модель процесса манипулирования с сообщениями.
Начнём с замечания, что правило BASICNET не позволяет учитывать способность атакующего затмевать части сообщения. Затмения могут быть использованы для замены компонент в парах известными сообщениями или превращениями неизвестного сообщения М в другое неизвестное сообщение M’, причем M и M’ будут отличаться только несколькими битами.
В контексте модели, в которой сигналы проходят расстояния, что требуется в моделировании ОРП, атакующий, находящийся далеко от принимающего (т.е. свидетельства), может хотеть использовать затмения для изменения сообщения M отправителя (т.е. программы), находящегося близко с принимающим, в сообщение M’. Пусть t – время отправки программой сообщения M. Так как атакующий находится на удалении, то он должен отправить затмевающие биты (M ? M’) в момент времени t’, где t’ < t, для того, чтобы эти биты пришли одновременно с сообщением М к свидетельству. Если злоумышленник знает хотя бы часть сообщения, которое он хочет навязать принимающему, то задача достаточно проста. А вот если эта часть сообщения М неизвестна в момент времени t’ и требуется сообщение М для вычисления М’, ему необходимо угадать позиции, в которых М и M’ различаются, потом угадать значения битов M’ на этих позициях и, в конце концов, затмить М в этих позициях угаданными битами. Мы предполагаем, что угадать правильно много битов из сообщения М можно с очень малой вероятностью, которую можно считать равной 0. Следовательно, атакующий может превратить М в М’ с ненулевой вероятностью тогда и только тогда, когда расстояние Хэмминга между M и M’ мало.
Для описания этих манипуляций требуется ввести два определения. Первое определяет компоненты сообщения М: components(M)= components(M1)∪components(M2) ЕслиM=〈M1,M2〉 И components(M)={M} иначе. Второе, множество LHW, состоящее из сообщений, которые могут иметь низкий вес Хэмминга, определяется так:

Formula6.png

где atom = Agent ∪ Const. Это исключает множества Nonce, ключи, хэши, шифрование, исключающее-или для таких сообщений, так как вероятность, что они будут обладать низким весом Хэмминга, может быть принята равной 0, если данное сообщение не заменяет себя же. Мы не исключаем пары, обладающие низким весом Хэмминга, т.к. мы позволяем атакующему изменять компоненты пар индивидуально.
Наше сетевое правило EXTNET показано на рис. 11. Согласно этому правилу, агент В может получить сообщение М, если все компоненты Х сообщения М соответствуют событию отправки (с совместимой временной отметкой) сообщения М’, таким что M’ содержит компоненту Y с малым расстоянием Хэмминга до X, т.е. вес Хэмминга для X ⊕ Y – низкий.

Рис. 11. Новое сетевое правило для расширенной модели.

Рис. 12. Формализация протокола Брандса и Чаума.

Пример 5. Мы предполагаем, что атакующий не знает ни NV, ни NP. Для затмения NP с помощью NI в сообщении 〈NV,NP〉, отправленном добросовестной Р, атакующему надо отправить NI (заранее) так, чтобы оба отправленные сообщения слились в одно принятое сообщение 〈NV,NI〉.
В примере 3 атакующий затмевает некоторые биты (неизвестного) сообщения NV ⊕ NP ⊕ P, превращая его в (также неизвестное) сообщение NV ⊕ NP ⊕ P'. В нашей модели атакующему не нужно ничего предпринимать, т.к. (NV ⊕ NP ⊕ P') ⊕ (NV ⊕ NP ⊕ P) = P ⊕ P' ∈ LHW. Интуитивно становится понятно, что позволять атакующему менять несколько битов в неизвестном сообщение, эквивалентно введению некоторого шума в беспроводном соединении.
Множество возможных следов TR в нашей расширенной модели как минимум определяется начальным правилом START, правилом атакующего INTR, правилом EXTNET для расширенного протокола и правилами, формализующему данный протокол.
Формализация протокола: мы формализуем исходный алгоритм Брандса и Чаума, основанный на проверке подписи, правилами, показанными на рис. 12.
Pi и Vi являются константами, используемые для локального состояния свидетельства и программы на шаге i. Правила обеспечивают, что на предыдущие шаги были выполнены и необходимое сообщение были принято и Nonce недавно обновлены (т.е. не входят в след tr). Последнее правило VERRESP использует время отправки задания и время получения ответа на задание для вычисления верхней границы расстояния между Р и V. Для более подробного изучения вопроса в подобных оболочках призываем читателя обратиться к[18].
Итог исследования: мы проанализировали протокол Брандса и Чаума и различные поправки к нему в нашей расширенной оболочке. Например, мы доказали, что если мы вносим поправки для включения явных связей, атака «Перехвата расстояния» больше не представляет угрозы. Отметим, что для доказательства правильности версии с неявной связью нам требуется предположение, что свидетельства не могут принимать биты и сообщения, которые они сами же и отправили (например, будем использовать разные каналы). Без этого предположения протокол Брандса и Чаума уязвим перед атакой «Перехвата расстояния» (из-за отражений и использования низкого веса Хэмминга для затмений). В качестве другого примера, наша расширенная оболочка раскрывает, что модификация ответа в виде NV ⊕NP ⊕P ненадежна, т.к. возможна атака из примера 3. Отметим, что базовая оболочка из[18], не включавшая манипуляцию сообщениями с использованием беспроводных каналов, не включает эту атаку и, соответственно, можно говорить о безопасности использования протокола. В нашей расширенной модели наглядно показан эффект от дополнительных возможностей противника.
Для более подробного описания данного целевого исследования и его формализации мы советуем читателю обратиться к[27].

Многопротокольные среды

До сих пор мы обсуждали атаку «Перехвата расстояния» в монопротокольных средах, где и недобросовестная и добросовестная программы используют одинаковый ОРП. Но возможно, что пары свидетельство-программа используют разные ОРП, например, в случае если пары принадлежат разным доменам. Таким среды называются многопротокольными.
«Перехват расстояния» в многопротокольных средах: далее мы покажем, что существуют вполне возможные многопротокольные среды, в которых протоколы устойчивы к «Перехвату расстояния» в монопротокольных средах, но становятся уязвимыми в многопротокольных средах.
Мы определяем многопротокольную среду (MPE) как множество троек (А,В,R), обозначающих что агент А может исполнять роль R (например, роль программы в протоколе Брандса и Чаума) во время общения с В, и где как минимум два протокола содержатся множеству. Мы говорим, что ОРП DB уязвим перед атакой «Перехвата расстояния» в MPE, если недобросовестная Р может успешно провести атаку «Перехвата расстояния» против свидетельства V, использующего DB и исполняющего роль свидетельства в среде (и следовательно, (V,P,DB(свидетельство)) ∈ MPE).
Легко сказать, что если взять любой ОРП и создать на его основе MPE, то этот протокол будет уязвим перед атакой «Перехвата расстояния». Например, все ОРП будут уязвимы перед атакой «Перехвата расстояния», если в той же среде использовать протокол с похожей фазой «Замера расстояния», что даёт недобросовестной программе полный контроль над способом вычисления ответных битов добросовестным пользователем. Это не такой невозможный сценарий, так как вполне вероятно, что в среде работают свидетельство и недобросовестная программа (например, по протоколу Ханке и Кунеа). В этой же среде работает и добросовестная программа, использующая ненадёжный протокол, определяющий дальность до какого-то объекта, (ПОД) поддерживающий тот же тип «замера расстояния», что и протокол Ханке и Куна. Этот ненадёжный ПОД может позволить недобросовестной программе устанавливать биты, которые добросовестная программа использует в фазе «замера расстояния» (например, для отладки). Также возможно, что ненадёжный ПОД всего лишь включен как дополнительное свойство и некритично для программы и поэтому может «сосуществовать» с протоколом Ханке и Куна на устройствах (и разделяет одну и ту же аппаратную реализацию замера расстояния с использованием протокола Ханке и Куна). Это означает, что никакая реализация многопользовательского ОРП не может быть определена как безопасная, если не применяются никакие дополнительные меры.
В выше приведенном примере мы использовали ненадёжный протокол. Однако, похожие атаки возможны и на протоколы, являющиеся надёжными в монопротокольных средах. Мы показываем это на примере протокола Ханке и Куна[4]. Мы создаём многопротокольную среду, в которой свидетельство использует протокол Ханке и Куна, добросовестный пользователь использует незначительную вариацию протокола Ханке и Куна, который устойчив против атаки «Перехвата расстояния» в монопротокольной среде. Этот протокол показан на рис. 13, отличается от протокола Ханке и Куна, в котором программа не вычисляет значения регистров NP0 и NP1, которые вычисляются свидетельством и отправляются (конфиденциально) программе. Данная модификация протокола имела бы смысл, если можно было бы предположить, что у программы нет хорошего ГСЧ (например, RFID тэг).

Рис. 13. ОРП, допускающий атаку "Перехвата расстояния" на протокол Ханке и Куна в многопротокольной среде.

Атака «Перехвата расстояния» в этой среде происходит следующим образом. Недобросовестная программа P начинает взаимодействие по исходному протоколу Ханке и Куна со свидетельством V и вычисляет общие значения регистров с V (для подробностей см. протокол Ханке и Куна[4]). Р затем ведёт себя как свидетельство и начинает взаимодействие по модифицированному протоколу Ханке и Куна (рис. 13) с добросовестной программой Р’. P затем снабжает P’ значениями из регистров как это обусловлено в модифицированном протоколе. V и P’ затем проводят быстрый битовый обмен и V верит, что обмен был проведен с P.
Отметим, что атака не требует двух протоколов для распределения долгосрочных ключей: V проверяет использование ключей по протоколу Ханке и Куна, которые есть у программы Р и которые неизвестны программе P’. Однако, атака обязательно требует использование свидетельством V и программой P’ совместимой аппаратуры для проведения фазы «быстрых ответов».
Похожим образом можно построить модифицированную версию протокола Брандса и Чаума. Если её запустить параллельно с протоколом Ханке и Куна, то станет возможна атака «Перехвата расстояния» на протокол Ханке и Куна. Эта особенность напоминает атаку «На выбранный протокол» в криптографическом анализе протоколов. Эти две концепции мы расскажем в разделе 8.
Защита от атаки «Перехвата расстояния» в многопротокольных средах: ранее мы предложили контрмеры, предотвращающие данную атаку в монопротокольных средах. Теперь мы обсудим подходы, которые сгладят данные атаки в многопротокольных средах.
Для многопротокольных сред очевидным решением является попытка удостовериться в том, что все протоколы используют разное (несовместимое) оборудование для фазы «Замера расстояния». Эта аналогия с концепции пометок и непересекающегося шифрования для классических протоколов шифрования. Следовательно, атаки в многопротокольных средах могут быть предотвращены путём улучшенной регулировки в реализации и использовании ОРП. Незначительные программно-специфичные модификации фазы «Замера расстояния» (например, включения специфичных для приложения «битов-пустышек») могут предотвратить некоторое количество атак. Схоже образом, специальными производственными средствами и средствами развёртывания могут быть внесены модификации, которые могут защитить от многопротокольных атак; однако, это может быть слишком дорого.
Существует набор сценариев, в которых такая защита на этапах развёртывания и регулировки не может быть использована. А программно-специфичные модификации ОРП могут быть сложны для реализации. Это накладывает существенные ограничения на фазу «замера расстояния», поэтому эта фаза будет осуществляться на аппаратном уровне. Также возможно, что лишь несколько реализаций замера расстояния появятся в будущем, лимитируя доступные программно-специфичные модификации этой фазы. Это, в конце концов, означает, что большинство ОРП будут использовать одну и ту же реализацию фазы «Замера расстояния».
Просчитывая такие сценарии, мы предлагаем альтернативное решение, которое позволяет использовать «приманки для программ». Вспомним, что для проведения атаки «Перехвата расстояния» недобросовестной программе требуется либо доказать, что она провела фазу «Замера расстояния» (хотя на самом деле фазу провела добросовестная программа), либо заставить добросовестную программу провести фазу «Замера расстояния», используя конкретные специальные биты. Проблема предотвращения ложных доказательств, естественно, распространяется не только на монопротокольные системы, но и на многопротокольные: здесь этот тип атаки может быть предотвращен, если использовать ОРП, устойчивые к «Перехвату расстояния» в монопротокольных средах. Однако, как мы показали, протоколы, которые безопасны для использования в монопротокольных сферах, уязвимы в многопротокольных сферах, в которых добросовестный пользователь может провести фазу «Замера расстояния» с использование бит, предоставленных недобросовестной программой. Наша цель – обнаружить такие атаки с помощью «приманок для программ».
Наше решение работает так: свидетельство настраивает некоторое количество виртуальных и реальных приманок в виде программ, которые могут быть как физическими, так и виртуальными устройствами, находящимися в зоне видимости свидетельством. Эти программы-ловушки могут быть созданы либо свидетельством, либо устройствами, которым свидетельство доверяет и которых контролирует. Другим программам данные программы-ловушки предоставляют свои истинные или ложные координаты или идентификаторы, а также поддерживают широкий набор ОРП. Идея всей этой установки в том, что когда злоумышленник начинает атаку «Перехвата расстояния», он выбирает одну из программ-ловушек для использования в своей атаке. Свидетельство же, кроме настройки ловушек, сокращает функционал ловушек до специфичных ОРП – они реализуют только те протоколы, которые заставляют злоумышленника раскрыть много битов из своего секретного ключа (т.к. злоумышленник делится ключом со свидетельством) добросовестной программ, если он хочет успешно провести атаку «Перехвата расстояния». Это наиболее частое средство защиты от атаки «Террористический подлог». Таким образом, злоумышленник использует одну из ловушек в процессе атаки, раскрывает большинство битов своего ключа, которым он делится со свидетельством, которые станут известны программе-ловушке. Если злоумышленник хочет быть уверен в успехе атаки, то он должен раскрыть все биты своего ключа ловушке. Для проверки была ли проведена атака «Перехвата расстояния» свидетельству после завершения ОРП с данной программой необходимо попросить свои ловушки прислать ему биты, которые они использовали в любой недавно проведенной фазе «Замера расстояния». Если предоставленные биты позволяют реконструировать (большую часть) ключа, которым свидетельство поделилось с программой[5], то свидетельство приходит к выводу, что программа пыталась провести атаку «Перехвата расстояния».

Перехват местоположения

Рис. 14. Проверка расстояния и "Перехват расстояния": P перехватывает местоположение P' путём взлома ОРП, которые P' используетcя для каждого свидетельства.

Рис. 15. "Перехват расстояния" в пустое местоположение: когда программе P необходимо подтвердить своё местоположение, она крадёт расстояние до P1 от V1, расстояние до P2 от V2 и расстояние до P3 от V3. Свидетельства приходят к выводу, что P находится в точке, показанной стрелкой.

В данном разделе мы обобщаем атаку «Перехват расстояния» до атаки «Перехвата местоположения». Мы рассматриваем проблему проверки местоположения в ситуации, когда несколько свидетельств устанавливают местоположение программы, даже если она себя ведёт недобросовестно, притворяясь, что находится в другом месте, чем то есть на самом деле. Цель протоколов проверки местоположения (ППМ) в том, чтобы обеспечить достоверное определение местонахождения программы. Такие протоколы основываются на ОРП. Программа несколько раз использует ОРП для доказательства своей близости к некому множеству свидетельств. Основываясь на совокупной информации, свидетельства определяют местоположение объекта.
Данный процесс показан на рис. 14. Окружности показывают измеренное свидетельствами V1, V2, V3 расстояние, на основании которого они делают вывод, что P’ должна находится на пересечении этих окружностей. Если недобросовестная программа P может взломать сессии «замера расстояния» группы P, то она может притвориться, что находится в том же месте где и P’ независимо от своего реального местоположения. Данная ситуация описывают атаку «Перехвата местоположения»: недобросовестная программа перехватывает местоположение P’.
Определение 6. Атака «Перехвата местоположения». Атакой «Перехвата местоположения» называют атаку, в которой недобросовестная программа P использует одну и более программу P1,..,Pn для снабжения свидетельств V1,…,Vk ложной информацией о местоположении P (абсолютном или относительном к свидетельству).
Угроза атаки «Перехвата местоположения» увеличивается в контексте проверки местоположения, т.к. в атаке могут использоваться результаты нескольких замеров верхних оценок расстояний. Например, обсудим ситуацию, представленную на рис. 15: три добросовестные программы P1, P2 и P3 находятся в зоне видимости свидетельств. Как и раньше, недобросовестная программа может выполнять атаки «Перехвата расстояния» на фазах измерения расстояния, взламывая на своё усмотрения местоположение P1, P2 или P3. Однако злоумышленник может скомбинировать атаки «Перехвата расстояния» на все добросовестные программы, что позволит ему притвориться, что находится в точке пересечения предельных расстояний множества добросовестных программ. Например, на рис. 15 злоумышленник может убедить свидетельства путём комбинации фаз измерения расстояния от добросовестных программ, что он находится в точке, указанной стрелкой даже если там вообще никто не находится.
Целевое исследование «Перехвата местоположения»: для акцентирования актуальности проблемы «Перехвата местоположения» даже в новых протоколах мы предлагаем небольшое исследование протокола Чайн и соавторов[28], уязвимого перед атакой «Перехвата местоположения». В этом протоколе программа высылает запрос на определение своего местоположения и в ответ принимает множество заданий от нескольких свидетельств. Программа соединяет все задания и отвечает всем свидетельствам, используя широковещательную рассылку. Этот «многие-к-одному» ответ на задание представляет собой один раунд базового ОРП, в данном случае – это первоначальный протокол Брандса и Чаума[2]. Авторы представляют доказательства, что данная схема оптимальна в том смысле, что обеспечивает «максимальную безопасность» для любых схем проверки местоположения, основанный исключительно на времени прохождения сообщения.
Несмотря на предоставленные доказательства, данная схема уязвима перед атакой «Перехвата местоположения» (рис. 14). Доказательства в[28] устанавливают, что программа должна находиться в заявленном местонахождении (с какой-то точностью) для того, чтобы корректно отвечать на задания. Однако доказательства не используют идентификацию узла в заявленном местоположении, оставляя это основному ОРП. А так как ОРП уязвим перед атакой «Перехвата расстояния», ППМ наследует эту уязвимость. В данном случае можно использовать другой ОРП вместо протокола Брандса и Чаума с целью получения безопасной схемы, но данный пример показывает, что даже новые протоколы с доказательствами оптимальной безопасности могут быть уязвимы перед атакой «Перехвата местоположения».

Работы на заданную тему

Ограничение расстояние с для RFID тэгов: Авойн и соавторы представляют в[17] оболочку для анализа RFID-ОРП. Они дают определение трём основным типам атак, а также определяют «Самозваный подлог», в котором «одна программа притворяется другой»[17], например как нарушения слабой аутентификации. Они рассматривают эти четыре типа атак с точки зрения черного ящика и белого ящика, определяя восемь рекомендаций для обеспечения безопасности. Ни одна из этих моделей не покрывает включает в себя атаку «Перехвата расстояния». Дюрхолз с соавторами в [19] предложил первую вычислительную формальную оболочку для доказательства свойств RFID-ОРП, использующих симметричные ключи. В предлагаемой оболочке считается, что злоумышленник взаимодействует только с одной программой (тэгом) и одним свидетельством (читателем). Следовательно, доказательство надежности протокола RFID не гарантирует отсутствия атаки «Перехвата расстояния».
Формальные модели для ограничения расстояния: Мэдоус с соавторами разработал формальную методологию для доказательство свойств ОРП[20]. Поскольку методология не вполне подходит для описания недобросовестных программ, авторы не смогли проанализировать сценарии, которые позволили бы обнаружить атаки «Перехвата расстояния».
Маллади и соавторы[21] и Базин с соавторами[18] первыми рассмотрели формальные подходы к ОРП в многопротокольных сценариях и с присутствием недобросовестных программ. Они предположили аппаратно-поддерживаемую оболочку для анализа ОРП и моделируют вариацию первоначального протокола Брандс и Чаума, основанного на анализе подписей. Они анализируют этот протокол в различных сценариях и обнаруживают атаку, которая попадает в наш класс. В сценарии «дальнего злоумышленника» злоумышленника находится дальше от свидетельства, чем вычисленное расстояние. Это означает, что сценарий «дальнего злоумышленника» покрывает и «Подлог расстояния» и «Перехват расстояния». Однако особенность не согласуется с утверждением Маллади и соавторов, что включение идентификатора программы в её подпись делает протокол надёжным в сценарии «дальнего злоумышленника». Из нашего анализа становится ясно, что протокол всё ещё уязвим перед атакой «Перехвата расстояния».
Базин с соавторами в[18] предложили базовую оболочку, которые мы использовали в данной работе в качестве стартовой для нашей расширенной модели. Они анализируют семейство ОРП, предложенное Мэдоусом с соавторами[20], и обнаруживают атаку, которая относится к нашему классу «Перехвата расстояния» - её называют «Самозваным подлогом». Они доказывают, что модификация протокола, основанная на конкатенации, будет надежной в их оболочке. Этот протокол становится ненадежным в расширенной оболочке, т.к. он всё равно уязвим перед атакой «Перехвата расстояния», использующего затмения.
«Атака на выбранный протокол»: описанная в разделе 6 атака «Перехвата расстояния» в многопротокольной среде напоминает атаку на выбранный протокол (или многопротокольную) в криптографическом анализе протоколов, введенный Келси, Шнеером и Вагнером [23]. Они описывают каким образом, имея один криптографически надёжный протокол, можно сконструировать (выбрать) другой (тоже надежный) протокол, который при использовании параллельно с первым позволит злоумышленнику атаковать первый протокол, используя второй. «Атака на выбранный протокол» является примером многопротокольной атаки[29]. В традиционной (Долев-Яо) окружении многопротокольные атаки требуют, чтобы оба протокола использовали одну ключевую инфраструктуру, и в этом случае многие протоколы становятся уязвимыми[29]. Создавая протоколам разные ключи, мы решаем проблему[30], во многих случаях это гарантировано на практике. Следовательно, практическая угроза в многопротокольных атаках в окружении Долева-Яо ограничена.
Напротив, наши многопротокольные атаки «Перехвата расстояния» не требуют наличие общих ключей для протоколов. Скорее, фаза «Замера расстояния» должна рассматриваться в качестве надежного примитива, и необходима большая осторожность в случаях, когда надежные примитивы становятся общими для нескольких протоколов. В противном случае, неожиданные ситуации могут возникать, о чем свидетельствуют наши атаки. На практике, многопротокольные «Перехваты расстояния» представляют, куда большую угрозу, чем «Атаки на выбранный протокол», потому что производится лишь несколько различных аппаратных реализаций для замера расстояния, которые могут быть использованы в большом количестве протоколов.

Заключение

Во многих практических сценариях, включая те, в которых «Террористический подлог не представляет угрозы», атака «Перехвата расстояния представляет серьёзную угрозу. Удивительно, что до сих пор этот тип атаки не анализировался в предлагаемых ОРП.
По факту наш анализ показывает, что многие ОРП не могут безопасно использоваться в сценариях с несколькими программами. К счастью, оказывается, что адаптирование протоколов, чтобы они стали устойчивыми к этим атакам, возможно в монопротокольных средах без навязывания существенных накладных расходов. Похожий анализ проводится и для ППМ по отношению к атаке «Перехвата местоположения».
Мы вводим новую расширенную оболочку для рассуждения об ОРП, используя формулы, которая в то же время включает в себя манипуляции сообщениями на уровне битов (манипуляции проводятся злоумышленником). Результат такого смешанного подхода достаточно многообещающий. Оболочка позволяет нам обнаруживать больше атак, чем предыдущие оболочки, включая атаку «Перехвата расстояния», а также даёт нам возможность доказать защищенность от найденных нами атак.br /> Мы предлагаем исчерпывающую классификацию ОРП. В данном случае мы предлагаем новые названия и определения трём классическим типам атак. Наши новые названия менее универсальные, но более описательные, чем старые названия. Мы надеемся, наша исчерпывающая классификация внесёт свой вклад в системный анализ угроз для ОРП.
Совершенно ясно, что безопасное функционирование в условии окружения множеством программ является желанной особенностью, давая преимущество тем протоколам, которые устойчивы к атаке «Перехвата расстояния». Предусмотрительно будет анализировать вновь предлагаемые ОРП с точки зрения их устойчивость к атаке «Перехвата расстояния».

Контакты авторов материала

  1. Высшая техническая школа Цюриха, подразделение Информационной безопасности, Цюрих, Швейцария, E-mail:[cas.cremers@inf.ethz.ch]
  2. Университет Калифорнии, Ирвайн, отделение Программной Инженерии, Ирвайн, Калифорния, E-mail:[kbrasmus@ics.uci.edu]
  3. Высшая техническая школа Цюриха, подразделение Информационной безопасности, Цюрих, Швейцария, E-mail:[benschmi@inf.ethz.ch]
  4. Высшая техническая школа Цюриха, подразделение Информационной безопасности, Цюрих, Швейцария, E-mail:[capkuns@inf.ethz.ch]




Список использованной литературы

[17] [1] [18] [2] [3] [28] [29] [24] [15] [19] [30] [4] [23] [5] [6] [16] [25] [20] [7] [8] [9] [22] [10] [11] [21] [27] [12] [13] [14] [26]

  1. 1,0 1,1 1,2 G. Avoine and A. Tchamkerten. An efficient distance bounding RFID authentication protocol: Balancing false-acceptance rate and memory requirement. In Proceedings of the 12th International Conference on Information Security, ISC ’09, pages 250–261. Springer, 2009.
  2. 2,0 2,1 2,2 2,3 2,4 2,5 2,6 2,7 S. Brands and D. Chaum. Distance-bounding protocols. In Advances in Cryptology - EUROCRYPT ’93, volume 765 of LNCS, pages 344–359. Springer, 1994.
  3. 3,0 3,1 3,2 L. Bussard and W. Bagga. Distance-bounding proof of knowledge to avoid real-time attacks. In Security and Privacy in the Age of Ubiquitous Computing, volume 181 of IFIP Advances in Information and Communication Technology, pages 223–238. Springer Boston, 2005.
  4. 4,0 4,1 4,2 4,3 4,4 G. Hancke and M. Kuhn. An RFID distance bounding protocol. In Proc. of IEEE/CreatNet SecureComm, pages 67–73, 2005.
  5. 5,0 5,1 5,2 5,3 C. Kim, G. Avoine, F. Koeune, F.-X. Standaert, and O. Pereira. The Swiss-Knife RFID distance bounding protocol. In Information Security and Cryptology ICISC 2008, volume 5461 of Lecture Notes in Computer Science, pages 98–115. Springer, 2009.
  6. 6,0 6,1 6,2 C. H. Kim and G. Avoine. RFID distance bounding protocol with mixed challenges to prevent relay attacks. In Proceedings of the 8th International Conference on Cryptology and Network Security, CANS ’09, pages 119–133. Springer, 2009.
  7. 7,0 7,1 7,2 J. Munilla and A. Peinado. Distance bounding protocols for RFID enhanced by using void-challenges and analysis in noisy channels. Wirel. Commun. Mob. Comput., 8:1227–1232, November 2008.
  8. 8,0 8,1 8,2 P. Peris-Lopez, J. C. H. Castro, J. M. Est?evez-Tapiador, and J. C. A. van der Lubbe. Shedding some light on RFID distance bounding protocols and terrorist attacks. CoRR, abs/0906.4618, 2009.
  9. 9,0 9,1 9,2 9,3 P. Peris-Lopez, J. Hernandez-Castro, J. Tapiador, E. Palomar, and J. van der Lubbe. Cryptographic puzzles and distancebounding protocols: Practical tools for RFID security. In RFID, 2010 IEEE International Conference on, pages 45–52, 2010.
  10. 10,0 10,1 10,2 10,3 10,4 K. B. Rasmussen and S. C? apkun. Realization of RF distance bounding. In USENIX Security 2010: Proceedings of the 19th USENIX Security Symposium. USENIX, 2010.
  11. 11,0 11,1 11,2 J. Reid, J. M. G. Nieto, T. Tang, and B. Senadji. Detecting relay attacks with timing-based protocols. In Proceedings of the 2nd ACM symposium on Information, computer and communications security, ASIACCS ’07, pages 204–213. ACM, 2007.
  12. 12,0 12,1 12,2 D. Singel?ee and B. Preneel. Distance bounding in noisy environments. In Proceedings of the 4th European conference on Security and privacy in ad-hoc and sensor networks, ESAS’07, pages 101–115. Springer, 2007.
  13. 13,0 13,1 13,2 R. Trujillo-Rasua, B. Martin, and G. Avoine. The Poulidor distance-bounding protocol. In Proceedings of the 6th international conference on Radio frequency identification: security and privacy issues, RFIDSec’10, pages 239–257. Springer, 2010.
  14. 14,0 14,1 14,2 S. C* apkun, L. Buttya?n, and J.-P. Hubaux. SECTOR: secure tracking of node encounters in multi-hop wireless networks. In Proceedings of the 1st ACM workshop on Security of ad hoc and sensor networks, SASN ’03, pages 21–32. ACM, 2003.
  15. 15,0 15,1 S. Drimer and S. J. Murdoch. Keep your enemies close: Distance bounding against smartcard relay attacks. In USENIX Security 2007: Proceedings of the 19th USENIX Security Symposium, 2007.
  16. 16,0 16,1 16,2 16,3 M. Kuhn, H. Luecken, and N. O. Tippenhauer. UWB impulse radio based distance bounding. In Proceedings of the Workshop on Positioning, Navigation and Communication (WPNC), 2010.
  17. 17,0 17,1 17,2 17,3 G. Avoine, M. A. Bing?ol, S. Kardas?, C. Lauradoux, and B. Martin. A Framework for Analyzing RFID Distance Bounding Protocols. Journal of Computer Security – Special Issue on RFID System Security, 2010.
  18. 18,00 18,01 18,02 18,03 18,04 18,05 18,06 18,07 18,08 18,09 18,10 18,11 D. Basin, S. C? apkun, P. Schaller, and B. Schmidt. Let’s get physical: Models and methods for real-world security protocols. In Proceedings of the 22nd International Conference on Theorem Proving in Higher Order Logics, TPHOLs ’09, pages 1–22. Springer, 2009.
  19. 19,0 19,1 19,2 U. Duerholz, M. Fischlin, M. Kasper, and C. Onete. A formal approach to distance-bounding RFID protocols. In Information Security Conference (ISC) 2011, LNCS, 2011. To appear.
  20. 20,0 20,1 20,2 20,3 20,4 C. Meadows, R. Poovendran, D. Pavlovic, L. Chang, and P. Syverson. Distance bounding protocols: Authentication logic analysis and collusion attacks. In Secure Localization and Time Synchronization for Wireless Sensor and Ad Hoc Networks, volume 30 of Advances in Information Security, pages 279–298. Springer US, 2007.
  21. 21,0 21,1 21,2 21,3 B. B. S. Malladi and K. Kothapalli. Automatic analysis of distance bounding protocols. In Foundations of Computer Security. Affiliated to LICS09, August 2009. Informal proceedings.
  22. 22,0 22,1 22,2 C. Po?pper, N. O. Tippenhauer, B. Danev, and S. C? apkun. Investigation of signal and message manipulations on the wireless channel. In ESORICS 2011 - 16th European Symposium on Research in Computer Security. Proceedings, volume 6879 of LNCS, pages 40–59. Springer, 2011.
  23. 23,0 23,1 23,2 J. Kelsey, B. Schneier, and D. Wagner. Protocol interactions and the chosen protocol attack. In Proc. 5th International Workshop on Security Protocols, volume 1361 of LNCS, pages 91–104. Springer, 1997.
  24. 24,0 24,1 24,2 Y. Desmedt. Major security problems with the ‘unforgeable’ (Feige)-Fiat-Shamir proofs of identity and how to overcome them. In Proceedings of the 6th worldwide congress on computer and communications security and protection (SecuriCom), pages 147–159, March 1988.
  25. 25,0 25,1 G. Lowe. A hierarchy of authentication specifications. In Proc. 10th IEEE Computer Security Foundations Workshop (CSFW), pages 31–44. IEEE, 1997.
  26. 26,0 26,1 S. C* apkun and M. C? agalj. Integrity regions: authentication through presence in wireless networks. In ACM workshop on Wireless security, pages 1–10. ACM, 2006.
  27. 27,0 27,1 27,2 B. Schmidt. Isabelle/HOL sources for the extended framework, models, and proofs. Available online at http://www.infsec.ethz. ch/research/software#protoveriphy.
  28. 28,0 28,1 28,2 J. T. Chiang, J. J. Haas, and Y.-C. Hu. Secure and precise location verification using distance bounding and simultaneous multilateration. In Proceedings of the second ACM conference on Wireless network security, WiSec ’09, pages 181–192. ACM, 2009.
  29. 29,0 29,1 29,2 C. Cremers. Feasibility of multi-protocol attacks. In Proc. Of The First International Conference on Availability, Reliability and Security (ARES), pages 287–294, Vienna, Austria, April 2006. IEEE Computer Society.
  30. 30,0 30,1 J. Guttman and F. Thayer. Protocol independence through disjoint encryption. In Proc. 13th IEEE Computer Security Foundations Workshop (CSFW), pages 24–34. IEEE Computer Society, 2000.