radio frequency identification (rfid) presentazione realizzata da: davino cristiano ferri vincenzo...
TRANSCRIPT
Radio Frequency Radio Frequency IDentificationIDentification
(RFID)(RFID)
Presentazione realizzata da
Davino Cristiano Davino Cristiano
Ferri VincenzoFerri Vincenzo
Mercogliano UmbertoMercogliano Umberto
Lezione tenuta dal
Prof P DrsquoArco
Tecnologia RFIDTecnologia RFID RFID RFID egrave lacronimo di egrave lacronimo di Radio Radio
Frequency IDentificationFrequency IDentification
Ersquo una tecnologia per Ersquo una tecnologia per lrsquoidentificazionelrsquoidentificazioneautomatica di oggetti animali o automatica di oggetti animali o personepersone
Il sistema si basa sul leggere a Il sistema si basa sul leggere a distanza informazioni contenute distanza informazioni contenute in un ldquoTagrdquo usando un ldquoReaderrdquoin un ldquoTagrdquo usando un ldquoReaderrdquo
Un porsquo di storiahellipUn porsquo di storiahellip
1945- Durante la seconda guerra mondiale gli Inglesi erano 1945- Durante la seconda guerra mondiale gli Inglesi erano interessati a distinguere gli aerei propri che ritornavano dalla interessati a distinguere gli aerei propri che ritornavano dalla costa del continente da quelli nemicicosta del continente da quelli nemici
1960 - Sviluppo della teoria RFID messa a punto delle prime 1960 - Sviluppo della teoria RFID messa a punto delle prime applicazioniapplicazioni
1979- Primo Tag RFID impiantabile in animali 1979- Primo Tag RFID impiantabile in animali
1986- Tag incapsulato in vetro e iniettabile 1986- Tag incapsulato in vetro e iniettabile
1996- Tutti i vagoni ferroviari USA vengono equipaggiati con Tag 1996- Tutti i vagoni ferroviari USA vengono equipaggiati con Tag RFID RFID
1996- La cittagrave di Los Angeles introduce gli RFID per gli animali1996- La cittagrave di Los Angeles introduce gli RFID per gli animali
Marzo 2005 - Il Garante della privacy indica lrsquoobbligo di una Marzo 2005 - Il Garante della privacy indica lrsquoobbligo di una informativa per i produttoriutilizzatori di Tag RFID (il consenso informativa per i produttoriutilizzatori di Tag RFID (il consenso non egrave richiesto)non egrave richiesto)
Fino ai giorni nostrihellipFino ai giorni nostrihellip
Ersquo possibile impiantare chip RFID ovunque (anche nel corpo umano)Ersquo possibile impiantare chip RFID ovunque (anche nel corpo umano)
Applicazioni drsquousoApplicazioni drsquouso Magazzini e punti venditaMagazzini e punti vendita
Ogni prodotto egrave identificato univocamente da un Tag permettendo un Ogni prodotto egrave identificato univocamente da un Tag permettendo un miglior controllo delle merci e dei loro spostamentimiglior controllo delle merci e dei loro spostamenti
TrasportiTrasporti I Tag possono essere applicati anche sui mezzi di trasporto cosigrave come I Tag possono essere applicati anche sui mezzi di trasporto cosigrave come
sul conducente Altre applicazioni sono Tag sui bagagli negli aeroporti o sul conducente Altre applicazioni sono Tag sui bagagli negli aeroporti o sulle chiavi di accensione delle autosulle chiavi di accensione delle auto
Tracciamento praticheTracciamento pratiche Non molto in uso ma nella burocrazia puograve aiutare ad automatizzare la Non molto in uso ma nella burocrazia puograve aiutare ad automatizzare la
ricerca in archivi cartacei e gestire meglio gli spostamenti delle pratiche ricerca in archivi cartacei e gestire meglio gli spostamenti delle pratiche dentro gli ufficidentro gli uffici
BibliotecheBiblioteche I Tag sono posti su libri video CD consentendo un controllo ed una I Tag sono posti su libri video CD consentendo un controllo ed una
gestione piugrave accurata dei beni sostituendo la lamina metallica che ne gestione piugrave accurata dei beni sostituendo la lamina metallica che ne controlla solo lrsquoeventuale uscita dalla bibliotecacontrolla solo lrsquoeventuale uscita dalla biblioteca
AntitaccheggioAntitaccheggio Una barriera posta allrsquouscita di un magazzino o di un negozio accerta Una barriera posta allrsquouscita di un magazzino o di un negozio accerta
che nessuna marce abbia varcato la soglia in maniera illecitache nessuna marce abbia varcato la soglia in maniera illecita
CuriositagravehellipCuriositagravehellip ldquoldquoInoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e Inoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e
schiavi a farsi mettere un marchio sulla mano destra o sulla schiavi a farsi mettere un marchio sulla mano destra o sulla fronte Nessuno poteva comprare o vendere se non portava il fronte Nessuno poteva comprare o vendere se non portava il marchio cioegrave il nome della bestia o il numero che corrisponde al marchio cioegrave il nome della bestia o il numero che corrisponde al suo nome Qui sta la sapienza Chi ha intelligenza calcoli il suo nome Qui sta la sapienza Chi ha intelligenza calcoli il numero della bestia percheacute egrave un numero duomo e il suo numero numero della bestia percheacute egrave un numero duomo e il suo numero egrave seicentosessantasei egrave seicentosessantasei (Apocalisse 1316-18)(Apocalisse 1316-18)
Ciograve che il verso dice in sostanza egrave che Ciograve che il verso dice in sostanza egrave che ad un certo puntoad un certo punto qualcuno qualcuno metteragrave in funzione un sistema di identificazione personale senza il quale metteragrave in funzione un sistema di identificazione personale senza il quale tutti quelli che non lo possederanno saranno esclusi da qualsiasi tutti quelli che non lo possederanno saranno esclusi da qualsiasi transazione commerciale non potranno comprare cibo e altri articoli non transazione commerciale non potranno comprare cibo e altri articoli non potranno vendere prodotti qualsiasi cosa possa essere potranno vendere prodotti qualsiasi cosa possa essere
Componenti di un sistema RFIDComponenti di un sistema RFID Il Tag comunica il suo Il Tag comunica il suo
identificativo al Readeridentificativo al Reader
bull bull Il Reader comunica lrsquoID al Il Reader comunica lrsquoID al ServerServer
bull bull Il Server recupera dal Il Server recupera dal database le informazioni database le informazioni legate allrsquoID e le legate allrsquoID e le restituisce al Readerrestituisce al Reader
bull bull Eventualmente il Reader Eventualmente il Reader invieragrave delle invieragrave delle informazioni al Taginformazioni al Tag
TagTag
EgraveEgrave il componente elettronico con cui vengono etichettati gli il componente elettronico con cui vengono etichettati gli oggetti da identificareoggetti da identificare
EgraveEgrave composto da un microchip con una propria memoria e da composto da un microchip con una propria memoria e da unrsquoantenna montati su un supporto fisicounrsquoantenna montati su un supporto fisico
Dimensioni di pochi millimetriDimensioni di pochi millimetri
Resistente alle sollecitazioniResistente alle sollecitazioni
Resistente alle variazioni di temperatura (-40C +85C) Resistente alle variazioni di temperatura (-40C +85C)
Il Tag possiede una sua memoria interna tipo EEPROM Il Il Tag possiede una sua memoria interna tipo EEPROM Il tipo di memoria identifica la modalitagrave drsquouso del Tagtipo di memoria identifica la modalitagrave drsquouso del Tag
La dimensione dellrsquoantenna limita il range di trasmissione e La dimensione dellrsquoantenna limita il range di trasmissione e ricezione del Tagricezione del Tag
I microchipI microchip
Funge da contenitore datiFunge da contenitore dati
Mantiene un codice univocoMantiene un codice univoco
Tipologie dei TagTipologie dei Tag
Il tipo e la quantitagrave di memoria contenuta nel Tag Il tipo e la quantitagrave di memoria contenuta nel Tag definiscono la modalitagravedefiniscono la modalitagrave di utilizzodi utilizzo
Read OnlyRead Only Il Tag puograve essere interrogato in sola lettura La capacitagrave Il Tag puograve essere interrogato in sola lettura La capacitagrave
di memoria egrave minima I Tag passivi sono di solito read di memoria egrave minima I Tag passivi sono di solito read onlyonly
Read amp WriteRead amp Write La memoria del Tag puograve essere sia letta che scritta La La memoria del Tag puograve essere sia letta che scritta La
dimensione egrave dellrsquoordine di qualche KiloByte ed il loro dimensione egrave dellrsquoordine di qualche KiloByte ed il loro costo egrave maggiorecosto egrave maggiore
Write Once ndash Read ManyWrite Once ndash Read Many Ersquo consentito scrivere allrsquointerno del Tag una sola volta Ersquo consentito scrivere allrsquointerno del Tag una sola volta
dopodichegrave la sua memoria egrave accessibile solo in letturadopodichegrave la sua memoria egrave accessibile solo in lettura
ATTIVI
PASSIVI
SEMI
PASSIVI
Tipologia
LF HF UHF MW
UHFMW
Classe 0
Classe 1
Classe 2
Classe 3
Classe 4
1 bit
N Kbit
Capacitagravememoria
Tipomemoria
Frequenza
Tipologie di TagTipologie di Tag
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Tecnologia RFIDTecnologia RFID RFID RFID egrave lacronimo di egrave lacronimo di Radio Radio
Frequency IDentificationFrequency IDentification
Ersquo una tecnologia per Ersquo una tecnologia per lrsquoidentificazionelrsquoidentificazioneautomatica di oggetti animali o automatica di oggetti animali o personepersone
Il sistema si basa sul leggere a Il sistema si basa sul leggere a distanza informazioni contenute distanza informazioni contenute in un ldquoTagrdquo usando un ldquoReaderrdquoin un ldquoTagrdquo usando un ldquoReaderrdquo
Un porsquo di storiahellipUn porsquo di storiahellip
1945- Durante la seconda guerra mondiale gli Inglesi erano 1945- Durante la seconda guerra mondiale gli Inglesi erano interessati a distinguere gli aerei propri che ritornavano dalla interessati a distinguere gli aerei propri che ritornavano dalla costa del continente da quelli nemicicosta del continente da quelli nemici
1960 - Sviluppo della teoria RFID messa a punto delle prime 1960 - Sviluppo della teoria RFID messa a punto delle prime applicazioniapplicazioni
1979- Primo Tag RFID impiantabile in animali 1979- Primo Tag RFID impiantabile in animali
1986- Tag incapsulato in vetro e iniettabile 1986- Tag incapsulato in vetro e iniettabile
1996- Tutti i vagoni ferroviari USA vengono equipaggiati con Tag 1996- Tutti i vagoni ferroviari USA vengono equipaggiati con Tag RFID RFID
1996- La cittagrave di Los Angeles introduce gli RFID per gli animali1996- La cittagrave di Los Angeles introduce gli RFID per gli animali
Marzo 2005 - Il Garante della privacy indica lrsquoobbligo di una Marzo 2005 - Il Garante della privacy indica lrsquoobbligo di una informativa per i produttoriutilizzatori di Tag RFID (il consenso informativa per i produttoriutilizzatori di Tag RFID (il consenso non egrave richiesto)non egrave richiesto)
Fino ai giorni nostrihellipFino ai giorni nostrihellip
Ersquo possibile impiantare chip RFID ovunque (anche nel corpo umano)Ersquo possibile impiantare chip RFID ovunque (anche nel corpo umano)
Applicazioni drsquousoApplicazioni drsquouso Magazzini e punti venditaMagazzini e punti vendita
Ogni prodotto egrave identificato univocamente da un Tag permettendo un Ogni prodotto egrave identificato univocamente da un Tag permettendo un miglior controllo delle merci e dei loro spostamentimiglior controllo delle merci e dei loro spostamenti
TrasportiTrasporti I Tag possono essere applicati anche sui mezzi di trasporto cosigrave come I Tag possono essere applicati anche sui mezzi di trasporto cosigrave come
sul conducente Altre applicazioni sono Tag sui bagagli negli aeroporti o sul conducente Altre applicazioni sono Tag sui bagagli negli aeroporti o sulle chiavi di accensione delle autosulle chiavi di accensione delle auto
Tracciamento praticheTracciamento pratiche Non molto in uso ma nella burocrazia puograve aiutare ad automatizzare la Non molto in uso ma nella burocrazia puograve aiutare ad automatizzare la
ricerca in archivi cartacei e gestire meglio gli spostamenti delle pratiche ricerca in archivi cartacei e gestire meglio gli spostamenti delle pratiche dentro gli ufficidentro gli uffici
BibliotecheBiblioteche I Tag sono posti su libri video CD consentendo un controllo ed una I Tag sono posti su libri video CD consentendo un controllo ed una
gestione piugrave accurata dei beni sostituendo la lamina metallica che ne gestione piugrave accurata dei beni sostituendo la lamina metallica che ne controlla solo lrsquoeventuale uscita dalla bibliotecacontrolla solo lrsquoeventuale uscita dalla biblioteca
AntitaccheggioAntitaccheggio Una barriera posta allrsquouscita di un magazzino o di un negozio accerta Una barriera posta allrsquouscita di un magazzino o di un negozio accerta
che nessuna marce abbia varcato la soglia in maniera illecitache nessuna marce abbia varcato la soglia in maniera illecita
CuriositagravehellipCuriositagravehellip ldquoldquoInoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e Inoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e
schiavi a farsi mettere un marchio sulla mano destra o sulla schiavi a farsi mettere un marchio sulla mano destra o sulla fronte Nessuno poteva comprare o vendere se non portava il fronte Nessuno poteva comprare o vendere se non portava il marchio cioegrave il nome della bestia o il numero che corrisponde al marchio cioegrave il nome della bestia o il numero che corrisponde al suo nome Qui sta la sapienza Chi ha intelligenza calcoli il suo nome Qui sta la sapienza Chi ha intelligenza calcoli il numero della bestia percheacute egrave un numero duomo e il suo numero numero della bestia percheacute egrave un numero duomo e il suo numero egrave seicentosessantasei egrave seicentosessantasei (Apocalisse 1316-18)(Apocalisse 1316-18)
Ciograve che il verso dice in sostanza egrave che Ciograve che il verso dice in sostanza egrave che ad un certo puntoad un certo punto qualcuno qualcuno metteragrave in funzione un sistema di identificazione personale senza il quale metteragrave in funzione un sistema di identificazione personale senza il quale tutti quelli che non lo possederanno saranno esclusi da qualsiasi tutti quelli che non lo possederanno saranno esclusi da qualsiasi transazione commerciale non potranno comprare cibo e altri articoli non transazione commerciale non potranno comprare cibo e altri articoli non potranno vendere prodotti qualsiasi cosa possa essere potranno vendere prodotti qualsiasi cosa possa essere
Componenti di un sistema RFIDComponenti di un sistema RFID Il Tag comunica il suo Il Tag comunica il suo
identificativo al Readeridentificativo al Reader
bull bull Il Reader comunica lrsquoID al Il Reader comunica lrsquoID al ServerServer
bull bull Il Server recupera dal Il Server recupera dal database le informazioni database le informazioni legate allrsquoID e le legate allrsquoID e le restituisce al Readerrestituisce al Reader
bull bull Eventualmente il Reader Eventualmente il Reader invieragrave delle invieragrave delle informazioni al Taginformazioni al Tag
TagTag
EgraveEgrave il componente elettronico con cui vengono etichettati gli il componente elettronico con cui vengono etichettati gli oggetti da identificareoggetti da identificare
EgraveEgrave composto da un microchip con una propria memoria e da composto da un microchip con una propria memoria e da unrsquoantenna montati su un supporto fisicounrsquoantenna montati su un supporto fisico
Dimensioni di pochi millimetriDimensioni di pochi millimetri
Resistente alle sollecitazioniResistente alle sollecitazioni
Resistente alle variazioni di temperatura (-40C +85C) Resistente alle variazioni di temperatura (-40C +85C)
Il Tag possiede una sua memoria interna tipo EEPROM Il Il Tag possiede una sua memoria interna tipo EEPROM Il tipo di memoria identifica la modalitagrave drsquouso del Tagtipo di memoria identifica la modalitagrave drsquouso del Tag
La dimensione dellrsquoantenna limita il range di trasmissione e La dimensione dellrsquoantenna limita il range di trasmissione e ricezione del Tagricezione del Tag
I microchipI microchip
Funge da contenitore datiFunge da contenitore dati
Mantiene un codice univocoMantiene un codice univoco
Tipologie dei TagTipologie dei Tag
Il tipo e la quantitagrave di memoria contenuta nel Tag Il tipo e la quantitagrave di memoria contenuta nel Tag definiscono la modalitagravedefiniscono la modalitagrave di utilizzodi utilizzo
Read OnlyRead Only Il Tag puograve essere interrogato in sola lettura La capacitagrave Il Tag puograve essere interrogato in sola lettura La capacitagrave
di memoria egrave minima I Tag passivi sono di solito read di memoria egrave minima I Tag passivi sono di solito read onlyonly
Read amp WriteRead amp Write La memoria del Tag puograve essere sia letta che scritta La La memoria del Tag puograve essere sia letta che scritta La
dimensione egrave dellrsquoordine di qualche KiloByte ed il loro dimensione egrave dellrsquoordine di qualche KiloByte ed il loro costo egrave maggiorecosto egrave maggiore
Write Once ndash Read ManyWrite Once ndash Read Many Ersquo consentito scrivere allrsquointerno del Tag una sola volta Ersquo consentito scrivere allrsquointerno del Tag una sola volta
dopodichegrave la sua memoria egrave accessibile solo in letturadopodichegrave la sua memoria egrave accessibile solo in lettura
ATTIVI
PASSIVI
SEMI
PASSIVI
Tipologia
LF HF UHF MW
UHFMW
Classe 0
Classe 1
Classe 2
Classe 3
Classe 4
1 bit
N Kbit
Capacitagravememoria
Tipomemoria
Frequenza
Tipologie di TagTipologie di Tag
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Un porsquo di storiahellipUn porsquo di storiahellip
1945- Durante la seconda guerra mondiale gli Inglesi erano 1945- Durante la seconda guerra mondiale gli Inglesi erano interessati a distinguere gli aerei propri che ritornavano dalla interessati a distinguere gli aerei propri che ritornavano dalla costa del continente da quelli nemicicosta del continente da quelli nemici
1960 - Sviluppo della teoria RFID messa a punto delle prime 1960 - Sviluppo della teoria RFID messa a punto delle prime applicazioniapplicazioni
1979- Primo Tag RFID impiantabile in animali 1979- Primo Tag RFID impiantabile in animali
1986- Tag incapsulato in vetro e iniettabile 1986- Tag incapsulato in vetro e iniettabile
1996- Tutti i vagoni ferroviari USA vengono equipaggiati con Tag 1996- Tutti i vagoni ferroviari USA vengono equipaggiati con Tag RFID RFID
1996- La cittagrave di Los Angeles introduce gli RFID per gli animali1996- La cittagrave di Los Angeles introduce gli RFID per gli animali
Marzo 2005 - Il Garante della privacy indica lrsquoobbligo di una Marzo 2005 - Il Garante della privacy indica lrsquoobbligo di una informativa per i produttoriutilizzatori di Tag RFID (il consenso informativa per i produttoriutilizzatori di Tag RFID (il consenso non egrave richiesto)non egrave richiesto)
Fino ai giorni nostrihellipFino ai giorni nostrihellip
Ersquo possibile impiantare chip RFID ovunque (anche nel corpo umano)Ersquo possibile impiantare chip RFID ovunque (anche nel corpo umano)
Applicazioni drsquousoApplicazioni drsquouso Magazzini e punti venditaMagazzini e punti vendita
Ogni prodotto egrave identificato univocamente da un Tag permettendo un Ogni prodotto egrave identificato univocamente da un Tag permettendo un miglior controllo delle merci e dei loro spostamentimiglior controllo delle merci e dei loro spostamenti
TrasportiTrasporti I Tag possono essere applicati anche sui mezzi di trasporto cosigrave come I Tag possono essere applicati anche sui mezzi di trasporto cosigrave come
sul conducente Altre applicazioni sono Tag sui bagagli negli aeroporti o sul conducente Altre applicazioni sono Tag sui bagagli negli aeroporti o sulle chiavi di accensione delle autosulle chiavi di accensione delle auto
Tracciamento praticheTracciamento pratiche Non molto in uso ma nella burocrazia puograve aiutare ad automatizzare la Non molto in uso ma nella burocrazia puograve aiutare ad automatizzare la
ricerca in archivi cartacei e gestire meglio gli spostamenti delle pratiche ricerca in archivi cartacei e gestire meglio gli spostamenti delle pratiche dentro gli ufficidentro gli uffici
BibliotecheBiblioteche I Tag sono posti su libri video CD consentendo un controllo ed una I Tag sono posti su libri video CD consentendo un controllo ed una
gestione piugrave accurata dei beni sostituendo la lamina metallica che ne gestione piugrave accurata dei beni sostituendo la lamina metallica che ne controlla solo lrsquoeventuale uscita dalla bibliotecacontrolla solo lrsquoeventuale uscita dalla biblioteca
AntitaccheggioAntitaccheggio Una barriera posta allrsquouscita di un magazzino o di un negozio accerta Una barriera posta allrsquouscita di un magazzino o di un negozio accerta
che nessuna marce abbia varcato la soglia in maniera illecitache nessuna marce abbia varcato la soglia in maniera illecita
CuriositagravehellipCuriositagravehellip ldquoldquoInoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e Inoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e
schiavi a farsi mettere un marchio sulla mano destra o sulla schiavi a farsi mettere un marchio sulla mano destra o sulla fronte Nessuno poteva comprare o vendere se non portava il fronte Nessuno poteva comprare o vendere se non portava il marchio cioegrave il nome della bestia o il numero che corrisponde al marchio cioegrave il nome della bestia o il numero che corrisponde al suo nome Qui sta la sapienza Chi ha intelligenza calcoli il suo nome Qui sta la sapienza Chi ha intelligenza calcoli il numero della bestia percheacute egrave un numero duomo e il suo numero numero della bestia percheacute egrave un numero duomo e il suo numero egrave seicentosessantasei egrave seicentosessantasei (Apocalisse 1316-18)(Apocalisse 1316-18)
Ciograve che il verso dice in sostanza egrave che Ciograve che il verso dice in sostanza egrave che ad un certo puntoad un certo punto qualcuno qualcuno metteragrave in funzione un sistema di identificazione personale senza il quale metteragrave in funzione un sistema di identificazione personale senza il quale tutti quelli che non lo possederanno saranno esclusi da qualsiasi tutti quelli che non lo possederanno saranno esclusi da qualsiasi transazione commerciale non potranno comprare cibo e altri articoli non transazione commerciale non potranno comprare cibo e altri articoli non potranno vendere prodotti qualsiasi cosa possa essere potranno vendere prodotti qualsiasi cosa possa essere
Componenti di un sistema RFIDComponenti di un sistema RFID Il Tag comunica il suo Il Tag comunica il suo
identificativo al Readeridentificativo al Reader
bull bull Il Reader comunica lrsquoID al Il Reader comunica lrsquoID al ServerServer
bull bull Il Server recupera dal Il Server recupera dal database le informazioni database le informazioni legate allrsquoID e le legate allrsquoID e le restituisce al Readerrestituisce al Reader
bull bull Eventualmente il Reader Eventualmente il Reader invieragrave delle invieragrave delle informazioni al Taginformazioni al Tag
TagTag
EgraveEgrave il componente elettronico con cui vengono etichettati gli il componente elettronico con cui vengono etichettati gli oggetti da identificareoggetti da identificare
EgraveEgrave composto da un microchip con una propria memoria e da composto da un microchip con una propria memoria e da unrsquoantenna montati su un supporto fisicounrsquoantenna montati su un supporto fisico
Dimensioni di pochi millimetriDimensioni di pochi millimetri
Resistente alle sollecitazioniResistente alle sollecitazioni
Resistente alle variazioni di temperatura (-40C +85C) Resistente alle variazioni di temperatura (-40C +85C)
Il Tag possiede una sua memoria interna tipo EEPROM Il Il Tag possiede una sua memoria interna tipo EEPROM Il tipo di memoria identifica la modalitagrave drsquouso del Tagtipo di memoria identifica la modalitagrave drsquouso del Tag
La dimensione dellrsquoantenna limita il range di trasmissione e La dimensione dellrsquoantenna limita il range di trasmissione e ricezione del Tagricezione del Tag
I microchipI microchip
Funge da contenitore datiFunge da contenitore dati
Mantiene un codice univocoMantiene un codice univoco
Tipologie dei TagTipologie dei Tag
Il tipo e la quantitagrave di memoria contenuta nel Tag Il tipo e la quantitagrave di memoria contenuta nel Tag definiscono la modalitagravedefiniscono la modalitagrave di utilizzodi utilizzo
Read OnlyRead Only Il Tag puograve essere interrogato in sola lettura La capacitagrave Il Tag puograve essere interrogato in sola lettura La capacitagrave
di memoria egrave minima I Tag passivi sono di solito read di memoria egrave minima I Tag passivi sono di solito read onlyonly
Read amp WriteRead amp Write La memoria del Tag puograve essere sia letta che scritta La La memoria del Tag puograve essere sia letta che scritta La
dimensione egrave dellrsquoordine di qualche KiloByte ed il loro dimensione egrave dellrsquoordine di qualche KiloByte ed il loro costo egrave maggiorecosto egrave maggiore
Write Once ndash Read ManyWrite Once ndash Read Many Ersquo consentito scrivere allrsquointerno del Tag una sola volta Ersquo consentito scrivere allrsquointerno del Tag una sola volta
dopodichegrave la sua memoria egrave accessibile solo in letturadopodichegrave la sua memoria egrave accessibile solo in lettura
ATTIVI
PASSIVI
SEMI
PASSIVI
Tipologia
LF HF UHF MW
UHFMW
Classe 0
Classe 1
Classe 2
Classe 3
Classe 4
1 bit
N Kbit
Capacitagravememoria
Tipomemoria
Frequenza
Tipologie di TagTipologie di Tag
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Fino ai giorni nostrihellipFino ai giorni nostrihellip
Ersquo possibile impiantare chip RFID ovunque (anche nel corpo umano)Ersquo possibile impiantare chip RFID ovunque (anche nel corpo umano)
Applicazioni drsquousoApplicazioni drsquouso Magazzini e punti venditaMagazzini e punti vendita
Ogni prodotto egrave identificato univocamente da un Tag permettendo un Ogni prodotto egrave identificato univocamente da un Tag permettendo un miglior controllo delle merci e dei loro spostamentimiglior controllo delle merci e dei loro spostamenti
TrasportiTrasporti I Tag possono essere applicati anche sui mezzi di trasporto cosigrave come I Tag possono essere applicati anche sui mezzi di trasporto cosigrave come
sul conducente Altre applicazioni sono Tag sui bagagli negli aeroporti o sul conducente Altre applicazioni sono Tag sui bagagli negli aeroporti o sulle chiavi di accensione delle autosulle chiavi di accensione delle auto
Tracciamento praticheTracciamento pratiche Non molto in uso ma nella burocrazia puograve aiutare ad automatizzare la Non molto in uso ma nella burocrazia puograve aiutare ad automatizzare la
ricerca in archivi cartacei e gestire meglio gli spostamenti delle pratiche ricerca in archivi cartacei e gestire meglio gli spostamenti delle pratiche dentro gli ufficidentro gli uffici
BibliotecheBiblioteche I Tag sono posti su libri video CD consentendo un controllo ed una I Tag sono posti su libri video CD consentendo un controllo ed una
gestione piugrave accurata dei beni sostituendo la lamina metallica che ne gestione piugrave accurata dei beni sostituendo la lamina metallica che ne controlla solo lrsquoeventuale uscita dalla bibliotecacontrolla solo lrsquoeventuale uscita dalla biblioteca
AntitaccheggioAntitaccheggio Una barriera posta allrsquouscita di un magazzino o di un negozio accerta Una barriera posta allrsquouscita di un magazzino o di un negozio accerta
che nessuna marce abbia varcato la soglia in maniera illecitache nessuna marce abbia varcato la soglia in maniera illecita
CuriositagravehellipCuriositagravehellip ldquoldquoInoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e Inoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e
schiavi a farsi mettere un marchio sulla mano destra o sulla schiavi a farsi mettere un marchio sulla mano destra o sulla fronte Nessuno poteva comprare o vendere se non portava il fronte Nessuno poteva comprare o vendere se non portava il marchio cioegrave il nome della bestia o il numero che corrisponde al marchio cioegrave il nome della bestia o il numero che corrisponde al suo nome Qui sta la sapienza Chi ha intelligenza calcoli il suo nome Qui sta la sapienza Chi ha intelligenza calcoli il numero della bestia percheacute egrave un numero duomo e il suo numero numero della bestia percheacute egrave un numero duomo e il suo numero egrave seicentosessantasei egrave seicentosessantasei (Apocalisse 1316-18)(Apocalisse 1316-18)
Ciograve che il verso dice in sostanza egrave che Ciograve che il verso dice in sostanza egrave che ad un certo puntoad un certo punto qualcuno qualcuno metteragrave in funzione un sistema di identificazione personale senza il quale metteragrave in funzione un sistema di identificazione personale senza il quale tutti quelli che non lo possederanno saranno esclusi da qualsiasi tutti quelli che non lo possederanno saranno esclusi da qualsiasi transazione commerciale non potranno comprare cibo e altri articoli non transazione commerciale non potranno comprare cibo e altri articoli non potranno vendere prodotti qualsiasi cosa possa essere potranno vendere prodotti qualsiasi cosa possa essere
Componenti di un sistema RFIDComponenti di un sistema RFID Il Tag comunica il suo Il Tag comunica il suo
identificativo al Readeridentificativo al Reader
bull bull Il Reader comunica lrsquoID al Il Reader comunica lrsquoID al ServerServer
bull bull Il Server recupera dal Il Server recupera dal database le informazioni database le informazioni legate allrsquoID e le legate allrsquoID e le restituisce al Readerrestituisce al Reader
bull bull Eventualmente il Reader Eventualmente il Reader invieragrave delle invieragrave delle informazioni al Taginformazioni al Tag
TagTag
EgraveEgrave il componente elettronico con cui vengono etichettati gli il componente elettronico con cui vengono etichettati gli oggetti da identificareoggetti da identificare
EgraveEgrave composto da un microchip con una propria memoria e da composto da un microchip con una propria memoria e da unrsquoantenna montati su un supporto fisicounrsquoantenna montati su un supporto fisico
Dimensioni di pochi millimetriDimensioni di pochi millimetri
Resistente alle sollecitazioniResistente alle sollecitazioni
Resistente alle variazioni di temperatura (-40C +85C) Resistente alle variazioni di temperatura (-40C +85C)
Il Tag possiede una sua memoria interna tipo EEPROM Il Il Tag possiede una sua memoria interna tipo EEPROM Il tipo di memoria identifica la modalitagrave drsquouso del Tagtipo di memoria identifica la modalitagrave drsquouso del Tag
La dimensione dellrsquoantenna limita il range di trasmissione e La dimensione dellrsquoantenna limita il range di trasmissione e ricezione del Tagricezione del Tag
I microchipI microchip
Funge da contenitore datiFunge da contenitore dati
Mantiene un codice univocoMantiene un codice univoco
Tipologie dei TagTipologie dei Tag
Il tipo e la quantitagrave di memoria contenuta nel Tag Il tipo e la quantitagrave di memoria contenuta nel Tag definiscono la modalitagravedefiniscono la modalitagrave di utilizzodi utilizzo
Read OnlyRead Only Il Tag puograve essere interrogato in sola lettura La capacitagrave Il Tag puograve essere interrogato in sola lettura La capacitagrave
di memoria egrave minima I Tag passivi sono di solito read di memoria egrave minima I Tag passivi sono di solito read onlyonly
Read amp WriteRead amp Write La memoria del Tag puograve essere sia letta che scritta La La memoria del Tag puograve essere sia letta che scritta La
dimensione egrave dellrsquoordine di qualche KiloByte ed il loro dimensione egrave dellrsquoordine di qualche KiloByte ed il loro costo egrave maggiorecosto egrave maggiore
Write Once ndash Read ManyWrite Once ndash Read Many Ersquo consentito scrivere allrsquointerno del Tag una sola volta Ersquo consentito scrivere allrsquointerno del Tag una sola volta
dopodichegrave la sua memoria egrave accessibile solo in letturadopodichegrave la sua memoria egrave accessibile solo in lettura
ATTIVI
PASSIVI
SEMI
PASSIVI
Tipologia
LF HF UHF MW
UHFMW
Classe 0
Classe 1
Classe 2
Classe 3
Classe 4
1 bit
N Kbit
Capacitagravememoria
Tipomemoria
Frequenza
Tipologie di TagTipologie di Tag
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Applicazioni drsquousoApplicazioni drsquouso Magazzini e punti venditaMagazzini e punti vendita
Ogni prodotto egrave identificato univocamente da un Tag permettendo un Ogni prodotto egrave identificato univocamente da un Tag permettendo un miglior controllo delle merci e dei loro spostamentimiglior controllo delle merci e dei loro spostamenti
TrasportiTrasporti I Tag possono essere applicati anche sui mezzi di trasporto cosigrave come I Tag possono essere applicati anche sui mezzi di trasporto cosigrave come
sul conducente Altre applicazioni sono Tag sui bagagli negli aeroporti o sul conducente Altre applicazioni sono Tag sui bagagli negli aeroporti o sulle chiavi di accensione delle autosulle chiavi di accensione delle auto
Tracciamento praticheTracciamento pratiche Non molto in uso ma nella burocrazia puograve aiutare ad automatizzare la Non molto in uso ma nella burocrazia puograve aiutare ad automatizzare la
ricerca in archivi cartacei e gestire meglio gli spostamenti delle pratiche ricerca in archivi cartacei e gestire meglio gli spostamenti delle pratiche dentro gli ufficidentro gli uffici
BibliotecheBiblioteche I Tag sono posti su libri video CD consentendo un controllo ed una I Tag sono posti su libri video CD consentendo un controllo ed una
gestione piugrave accurata dei beni sostituendo la lamina metallica che ne gestione piugrave accurata dei beni sostituendo la lamina metallica che ne controlla solo lrsquoeventuale uscita dalla bibliotecacontrolla solo lrsquoeventuale uscita dalla biblioteca
AntitaccheggioAntitaccheggio Una barriera posta allrsquouscita di un magazzino o di un negozio accerta Una barriera posta allrsquouscita di un magazzino o di un negozio accerta
che nessuna marce abbia varcato la soglia in maniera illecitache nessuna marce abbia varcato la soglia in maniera illecita
CuriositagravehellipCuriositagravehellip ldquoldquoInoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e Inoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e
schiavi a farsi mettere un marchio sulla mano destra o sulla schiavi a farsi mettere un marchio sulla mano destra o sulla fronte Nessuno poteva comprare o vendere se non portava il fronte Nessuno poteva comprare o vendere se non portava il marchio cioegrave il nome della bestia o il numero che corrisponde al marchio cioegrave il nome della bestia o il numero che corrisponde al suo nome Qui sta la sapienza Chi ha intelligenza calcoli il suo nome Qui sta la sapienza Chi ha intelligenza calcoli il numero della bestia percheacute egrave un numero duomo e il suo numero numero della bestia percheacute egrave un numero duomo e il suo numero egrave seicentosessantasei egrave seicentosessantasei (Apocalisse 1316-18)(Apocalisse 1316-18)
Ciograve che il verso dice in sostanza egrave che Ciograve che il verso dice in sostanza egrave che ad un certo puntoad un certo punto qualcuno qualcuno metteragrave in funzione un sistema di identificazione personale senza il quale metteragrave in funzione un sistema di identificazione personale senza il quale tutti quelli che non lo possederanno saranno esclusi da qualsiasi tutti quelli che non lo possederanno saranno esclusi da qualsiasi transazione commerciale non potranno comprare cibo e altri articoli non transazione commerciale non potranno comprare cibo e altri articoli non potranno vendere prodotti qualsiasi cosa possa essere potranno vendere prodotti qualsiasi cosa possa essere
Componenti di un sistema RFIDComponenti di un sistema RFID Il Tag comunica il suo Il Tag comunica il suo
identificativo al Readeridentificativo al Reader
bull bull Il Reader comunica lrsquoID al Il Reader comunica lrsquoID al ServerServer
bull bull Il Server recupera dal Il Server recupera dal database le informazioni database le informazioni legate allrsquoID e le legate allrsquoID e le restituisce al Readerrestituisce al Reader
bull bull Eventualmente il Reader Eventualmente il Reader invieragrave delle invieragrave delle informazioni al Taginformazioni al Tag
TagTag
EgraveEgrave il componente elettronico con cui vengono etichettati gli il componente elettronico con cui vengono etichettati gli oggetti da identificareoggetti da identificare
EgraveEgrave composto da un microchip con una propria memoria e da composto da un microchip con una propria memoria e da unrsquoantenna montati su un supporto fisicounrsquoantenna montati su un supporto fisico
Dimensioni di pochi millimetriDimensioni di pochi millimetri
Resistente alle sollecitazioniResistente alle sollecitazioni
Resistente alle variazioni di temperatura (-40C +85C) Resistente alle variazioni di temperatura (-40C +85C)
Il Tag possiede una sua memoria interna tipo EEPROM Il Il Tag possiede una sua memoria interna tipo EEPROM Il tipo di memoria identifica la modalitagrave drsquouso del Tagtipo di memoria identifica la modalitagrave drsquouso del Tag
La dimensione dellrsquoantenna limita il range di trasmissione e La dimensione dellrsquoantenna limita il range di trasmissione e ricezione del Tagricezione del Tag
I microchipI microchip
Funge da contenitore datiFunge da contenitore dati
Mantiene un codice univocoMantiene un codice univoco
Tipologie dei TagTipologie dei Tag
Il tipo e la quantitagrave di memoria contenuta nel Tag Il tipo e la quantitagrave di memoria contenuta nel Tag definiscono la modalitagravedefiniscono la modalitagrave di utilizzodi utilizzo
Read OnlyRead Only Il Tag puograve essere interrogato in sola lettura La capacitagrave Il Tag puograve essere interrogato in sola lettura La capacitagrave
di memoria egrave minima I Tag passivi sono di solito read di memoria egrave minima I Tag passivi sono di solito read onlyonly
Read amp WriteRead amp Write La memoria del Tag puograve essere sia letta che scritta La La memoria del Tag puograve essere sia letta che scritta La
dimensione egrave dellrsquoordine di qualche KiloByte ed il loro dimensione egrave dellrsquoordine di qualche KiloByte ed il loro costo egrave maggiorecosto egrave maggiore
Write Once ndash Read ManyWrite Once ndash Read Many Ersquo consentito scrivere allrsquointerno del Tag una sola volta Ersquo consentito scrivere allrsquointerno del Tag una sola volta
dopodichegrave la sua memoria egrave accessibile solo in letturadopodichegrave la sua memoria egrave accessibile solo in lettura
ATTIVI
PASSIVI
SEMI
PASSIVI
Tipologia
LF HF UHF MW
UHFMW
Classe 0
Classe 1
Classe 2
Classe 3
Classe 4
1 bit
N Kbit
Capacitagravememoria
Tipomemoria
Frequenza
Tipologie di TagTipologie di Tag
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
CuriositagravehellipCuriositagravehellip ldquoldquoInoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e Inoltre obbligograve tutti piccoli e grandi ricchi e poveri liberi e
schiavi a farsi mettere un marchio sulla mano destra o sulla schiavi a farsi mettere un marchio sulla mano destra o sulla fronte Nessuno poteva comprare o vendere se non portava il fronte Nessuno poteva comprare o vendere se non portava il marchio cioegrave il nome della bestia o il numero che corrisponde al marchio cioegrave il nome della bestia o il numero che corrisponde al suo nome Qui sta la sapienza Chi ha intelligenza calcoli il suo nome Qui sta la sapienza Chi ha intelligenza calcoli il numero della bestia percheacute egrave un numero duomo e il suo numero numero della bestia percheacute egrave un numero duomo e il suo numero egrave seicentosessantasei egrave seicentosessantasei (Apocalisse 1316-18)(Apocalisse 1316-18)
Ciograve che il verso dice in sostanza egrave che Ciograve che il verso dice in sostanza egrave che ad un certo puntoad un certo punto qualcuno qualcuno metteragrave in funzione un sistema di identificazione personale senza il quale metteragrave in funzione un sistema di identificazione personale senza il quale tutti quelli che non lo possederanno saranno esclusi da qualsiasi tutti quelli che non lo possederanno saranno esclusi da qualsiasi transazione commerciale non potranno comprare cibo e altri articoli non transazione commerciale non potranno comprare cibo e altri articoli non potranno vendere prodotti qualsiasi cosa possa essere potranno vendere prodotti qualsiasi cosa possa essere
Componenti di un sistema RFIDComponenti di un sistema RFID Il Tag comunica il suo Il Tag comunica il suo
identificativo al Readeridentificativo al Reader
bull bull Il Reader comunica lrsquoID al Il Reader comunica lrsquoID al ServerServer
bull bull Il Server recupera dal Il Server recupera dal database le informazioni database le informazioni legate allrsquoID e le legate allrsquoID e le restituisce al Readerrestituisce al Reader
bull bull Eventualmente il Reader Eventualmente il Reader invieragrave delle invieragrave delle informazioni al Taginformazioni al Tag
TagTag
EgraveEgrave il componente elettronico con cui vengono etichettati gli il componente elettronico con cui vengono etichettati gli oggetti da identificareoggetti da identificare
EgraveEgrave composto da un microchip con una propria memoria e da composto da un microchip con una propria memoria e da unrsquoantenna montati su un supporto fisicounrsquoantenna montati su un supporto fisico
Dimensioni di pochi millimetriDimensioni di pochi millimetri
Resistente alle sollecitazioniResistente alle sollecitazioni
Resistente alle variazioni di temperatura (-40C +85C) Resistente alle variazioni di temperatura (-40C +85C)
Il Tag possiede una sua memoria interna tipo EEPROM Il Il Tag possiede una sua memoria interna tipo EEPROM Il tipo di memoria identifica la modalitagrave drsquouso del Tagtipo di memoria identifica la modalitagrave drsquouso del Tag
La dimensione dellrsquoantenna limita il range di trasmissione e La dimensione dellrsquoantenna limita il range di trasmissione e ricezione del Tagricezione del Tag
I microchipI microchip
Funge da contenitore datiFunge da contenitore dati
Mantiene un codice univocoMantiene un codice univoco
Tipologie dei TagTipologie dei Tag
Il tipo e la quantitagrave di memoria contenuta nel Tag Il tipo e la quantitagrave di memoria contenuta nel Tag definiscono la modalitagravedefiniscono la modalitagrave di utilizzodi utilizzo
Read OnlyRead Only Il Tag puograve essere interrogato in sola lettura La capacitagrave Il Tag puograve essere interrogato in sola lettura La capacitagrave
di memoria egrave minima I Tag passivi sono di solito read di memoria egrave minima I Tag passivi sono di solito read onlyonly
Read amp WriteRead amp Write La memoria del Tag puograve essere sia letta che scritta La La memoria del Tag puograve essere sia letta che scritta La
dimensione egrave dellrsquoordine di qualche KiloByte ed il loro dimensione egrave dellrsquoordine di qualche KiloByte ed il loro costo egrave maggiorecosto egrave maggiore
Write Once ndash Read ManyWrite Once ndash Read Many Ersquo consentito scrivere allrsquointerno del Tag una sola volta Ersquo consentito scrivere allrsquointerno del Tag una sola volta
dopodichegrave la sua memoria egrave accessibile solo in letturadopodichegrave la sua memoria egrave accessibile solo in lettura
ATTIVI
PASSIVI
SEMI
PASSIVI
Tipologia
LF HF UHF MW
UHFMW
Classe 0
Classe 1
Classe 2
Classe 3
Classe 4
1 bit
N Kbit
Capacitagravememoria
Tipomemoria
Frequenza
Tipologie di TagTipologie di Tag
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Componenti di un sistema RFIDComponenti di un sistema RFID Il Tag comunica il suo Il Tag comunica il suo
identificativo al Readeridentificativo al Reader
bull bull Il Reader comunica lrsquoID al Il Reader comunica lrsquoID al ServerServer
bull bull Il Server recupera dal Il Server recupera dal database le informazioni database le informazioni legate allrsquoID e le legate allrsquoID e le restituisce al Readerrestituisce al Reader
bull bull Eventualmente il Reader Eventualmente il Reader invieragrave delle invieragrave delle informazioni al Taginformazioni al Tag
TagTag
EgraveEgrave il componente elettronico con cui vengono etichettati gli il componente elettronico con cui vengono etichettati gli oggetti da identificareoggetti da identificare
EgraveEgrave composto da un microchip con una propria memoria e da composto da un microchip con una propria memoria e da unrsquoantenna montati su un supporto fisicounrsquoantenna montati su un supporto fisico
Dimensioni di pochi millimetriDimensioni di pochi millimetri
Resistente alle sollecitazioniResistente alle sollecitazioni
Resistente alle variazioni di temperatura (-40C +85C) Resistente alle variazioni di temperatura (-40C +85C)
Il Tag possiede una sua memoria interna tipo EEPROM Il Il Tag possiede una sua memoria interna tipo EEPROM Il tipo di memoria identifica la modalitagrave drsquouso del Tagtipo di memoria identifica la modalitagrave drsquouso del Tag
La dimensione dellrsquoantenna limita il range di trasmissione e La dimensione dellrsquoantenna limita il range di trasmissione e ricezione del Tagricezione del Tag
I microchipI microchip
Funge da contenitore datiFunge da contenitore dati
Mantiene un codice univocoMantiene un codice univoco
Tipologie dei TagTipologie dei Tag
Il tipo e la quantitagrave di memoria contenuta nel Tag Il tipo e la quantitagrave di memoria contenuta nel Tag definiscono la modalitagravedefiniscono la modalitagrave di utilizzodi utilizzo
Read OnlyRead Only Il Tag puograve essere interrogato in sola lettura La capacitagrave Il Tag puograve essere interrogato in sola lettura La capacitagrave
di memoria egrave minima I Tag passivi sono di solito read di memoria egrave minima I Tag passivi sono di solito read onlyonly
Read amp WriteRead amp Write La memoria del Tag puograve essere sia letta che scritta La La memoria del Tag puograve essere sia letta che scritta La
dimensione egrave dellrsquoordine di qualche KiloByte ed il loro dimensione egrave dellrsquoordine di qualche KiloByte ed il loro costo egrave maggiorecosto egrave maggiore
Write Once ndash Read ManyWrite Once ndash Read Many Ersquo consentito scrivere allrsquointerno del Tag una sola volta Ersquo consentito scrivere allrsquointerno del Tag una sola volta
dopodichegrave la sua memoria egrave accessibile solo in letturadopodichegrave la sua memoria egrave accessibile solo in lettura
ATTIVI
PASSIVI
SEMI
PASSIVI
Tipologia
LF HF UHF MW
UHFMW
Classe 0
Classe 1
Classe 2
Classe 3
Classe 4
1 bit
N Kbit
Capacitagravememoria
Tipomemoria
Frequenza
Tipologie di TagTipologie di Tag
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
TagTag
EgraveEgrave il componente elettronico con cui vengono etichettati gli il componente elettronico con cui vengono etichettati gli oggetti da identificareoggetti da identificare
EgraveEgrave composto da un microchip con una propria memoria e da composto da un microchip con una propria memoria e da unrsquoantenna montati su un supporto fisicounrsquoantenna montati su un supporto fisico
Dimensioni di pochi millimetriDimensioni di pochi millimetri
Resistente alle sollecitazioniResistente alle sollecitazioni
Resistente alle variazioni di temperatura (-40C +85C) Resistente alle variazioni di temperatura (-40C +85C)
Il Tag possiede una sua memoria interna tipo EEPROM Il Il Tag possiede una sua memoria interna tipo EEPROM Il tipo di memoria identifica la modalitagrave drsquouso del Tagtipo di memoria identifica la modalitagrave drsquouso del Tag
La dimensione dellrsquoantenna limita il range di trasmissione e La dimensione dellrsquoantenna limita il range di trasmissione e ricezione del Tagricezione del Tag
I microchipI microchip
Funge da contenitore datiFunge da contenitore dati
Mantiene un codice univocoMantiene un codice univoco
Tipologie dei TagTipologie dei Tag
Il tipo e la quantitagrave di memoria contenuta nel Tag Il tipo e la quantitagrave di memoria contenuta nel Tag definiscono la modalitagravedefiniscono la modalitagrave di utilizzodi utilizzo
Read OnlyRead Only Il Tag puograve essere interrogato in sola lettura La capacitagrave Il Tag puograve essere interrogato in sola lettura La capacitagrave
di memoria egrave minima I Tag passivi sono di solito read di memoria egrave minima I Tag passivi sono di solito read onlyonly
Read amp WriteRead amp Write La memoria del Tag puograve essere sia letta che scritta La La memoria del Tag puograve essere sia letta che scritta La
dimensione egrave dellrsquoordine di qualche KiloByte ed il loro dimensione egrave dellrsquoordine di qualche KiloByte ed il loro costo egrave maggiorecosto egrave maggiore
Write Once ndash Read ManyWrite Once ndash Read Many Ersquo consentito scrivere allrsquointerno del Tag una sola volta Ersquo consentito scrivere allrsquointerno del Tag una sola volta
dopodichegrave la sua memoria egrave accessibile solo in letturadopodichegrave la sua memoria egrave accessibile solo in lettura
ATTIVI
PASSIVI
SEMI
PASSIVI
Tipologia
LF HF UHF MW
UHFMW
Classe 0
Classe 1
Classe 2
Classe 3
Classe 4
1 bit
N Kbit
Capacitagravememoria
Tipomemoria
Frequenza
Tipologie di TagTipologie di Tag
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
I microchipI microchip
Funge da contenitore datiFunge da contenitore dati
Mantiene un codice univocoMantiene un codice univoco
Tipologie dei TagTipologie dei Tag
Il tipo e la quantitagrave di memoria contenuta nel Tag Il tipo e la quantitagrave di memoria contenuta nel Tag definiscono la modalitagravedefiniscono la modalitagrave di utilizzodi utilizzo
Read OnlyRead Only Il Tag puograve essere interrogato in sola lettura La capacitagrave Il Tag puograve essere interrogato in sola lettura La capacitagrave
di memoria egrave minima I Tag passivi sono di solito read di memoria egrave minima I Tag passivi sono di solito read onlyonly
Read amp WriteRead amp Write La memoria del Tag puograve essere sia letta che scritta La La memoria del Tag puograve essere sia letta che scritta La
dimensione egrave dellrsquoordine di qualche KiloByte ed il loro dimensione egrave dellrsquoordine di qualche KiloByte ed il loro costo egrave maggiorecosto egrave maggiore
Write Once ndash Read ManyWrite Once ndash Read Many Ersquo consentito scrivere allrsquointerno del Tag una sola volta Ersquo consentito scrivere allrsquointerno del Tag una sola volta
dopodichegrave la sua memoria egrave accessibile solo in letturadopodichegrave la sua memoria egrave accessibile solo in lettura
ATTIVI
PASSIVI
SEMI
PASSIVI
Tipologia
LF HF UHF MW
UHFMW
Classe 0
Classe 1
Classe 2
Classe 3
Classe 4
1 bit
N Kbit
Capacitagravememoria
Tipomemoria
Frequenza
Tipologie di TagTipologie di Tag
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Tipologie dei TagTipologie dei Tag
Il tipo e la quantitagrave di memoria contenuta nel Tag Il tipo e la quantitagrave di memoria contenuta nel Tag definiscono la modalitagravedefiniscono la modalitagrave di utilizzodi utilizzo
Read OnlyRead Only Il Tag puograve essere interrogato in sola lettura La capacitagrave Il Tag puograve essere interrogato in sola lettura La capacitagrave
di memoria egrave minima I Tag passivi sono di solito read di memoria egrave minima I Tag passivi sono di solito read onlyonly
Read amp WriteRead amp Write La memoria del Tag puograve essere sia letta che scritta La La memoria del Tag puograve essere sia letta che scritta La
dimensione egrave dellrsquoordine di qualche KiloByte ed il loro dimensione egrave dellrsquoordine di qualche KiloByte ed il loro costo egrave maggiorecosto egrave maggiore
Write Once ndash Read ManyWrite Once ndash Read Many Ersquo consentito scrivere allrsquointerno del Tag una sola volta Ersquo consentito scrivere allrsquointerno del Tag una sola volta
dopodichegrave la sua memoria egrave accessibile solo in letturadopodichegrave la sua memoria egrave accessibile solo in lettura
ATTIVI
PASSIVI
SEMI
PASSIVI
Tipologia
LF HF UHF MW
UHFMW
Classe 0
Classe 1
Classe 2
Classe 3
Classe 4
1 bit
N Kbit
Capacitagravememoria
Tipomemoria
Frequenza
Tipologie di TagTipologie di Tag
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
ATTIVI
PASSIVI
SEMI
PASSIVI
Tipologia
LF HF UHF MW
UHFMW
Classe 0
Classe 1
Classe 2
Classe 3
Classe 4
1 bit
N Kbit
Capacitagravememoria
Tipomemoria
Frequenza
Tipologie di TagTipologie di Tag
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Frequenze di un TagFrequenze di un Tag
LFLF125 KHz125 KHz
HFHF1356 MHz1356 MHz
UHF UHF 850-950 850-950
MHzMHz
MWMW254 GHz254 GHz
Range lettura Range lettura (Tag passivi)(Tag passivi) 05 m05 m 1 ndash 15 m1 ndash 15 m 3 m3 m 5 ndash 10 m5 ndash 10 m
Data rateData rate scarsoscarso buonobuono elevatoelevato molto molto elevatoelevato
Capacitagrave Capacitagrave lettura lettura
metalliliquidimetalliliquidibuonabuona discretadiscreta scarsascarsa pessimapessima
DimensioneDimensione molto molto grandegrande grandegrande mediomedio piccolopiccolo
Applicazioni Applicazioni tipichetipiche
controllo controllo accessi accessi tracc tracc
animalianimali
controllo controllo accessi accessi tracc tracc
oggettioggetti
tracc pallet tracc pallet e e
contenitori contenitori pedaggio pedaggio
elettronicoelettronico
supply supply chain chain
pedaggio pedaggio elettronicoelettronico
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Tag AttiviTag Attivi Contengono una propria sorgente di alimentazione di solito Contengono una propria sorgente di alimentazione di solito
una batteria al litio (durata 10 anni circa)una batteria al litio (durata 10 anni circa)
Possono avviare una comunicazione in quanto emettono Possono avviare una comunicazione in quanto emettono continuamente un segnalecontinuamente un segnale
Spesso hanno un elevato range di comunicazione (circa Spesso hanno un elevato range di comunicazione (circa dieci metri)dieci metri)
Hanno una memoria RAM interna piuttosto grande Hanno una memoria RAM interna piuttosto grande dellrsquoordine di qualche KiloBytedellrsquoordine di qualche KiloByte
Hanno un costo che varia da 8 a 45 euro a seconda delle Hanno un costo che varia da 8 a 45 euro a seconda delle componenticomponenti
Dimensione minima una moneta da 1 euroDimensione minima una moneta da 1 euro
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Tag PassiviTag Passivi Non contengono alcuna batteriaNon contengono alcuna batteria
Si alimentano tramite le onde elettromagnetiche che Si alimentano tramite le onde elettromagnetiche che ricevono dal Reader (Tag attivo)ricevono dal Reader (Tag attivo)
Non possono avviare una comunicazione ed hanno un Non possono avviare una comunicazione ed hanno un basso range di comunicazionebasso range di comunicazione
Per le tecnologie di cui dispongono hanno in media un Per le tecnologie di cui dispongono hanno in media un costo inferiore allrsquo euro in genere tra i 10 ed i 50 centesimicosto inferiore allrsquo euro in genere tra i 10 ed i 50 centesimi
Dimensione minima 04 mm times 04 mmDimensione minima 04 mm times 04 mm
Distanza di intercettazione 6 metriDistanza di intercettazione 6 metri
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
ReaderReader
Egrave il componente elettronico in grado di Egrave il componente elettronico in grado di
Interrogare il Tag Interrogare il Tag
Alimentare il Tag passivoAlimentare il Tag passivo
Recuperare e decifrare i dati contenuti nel suo internoRecuperare e decifrare i dati contenuti nel suo interno
Gestire le collisioni tra i messaggi di risposta Gestire le collisioni tra i messaggi di risposta
Interfacciarsi con un sistema informativo esistenteInterfacciarsi con un sistema informativo esistente
Decodificare il segnale di risposta del TagDecodificare il segnale di risposta del Tag
Passare al calcolatore per lrsquoelaborazionePassare al calcolatore per lrsquoelaborazione
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Struttura di un ReaderStruttura di un Readerbull bull Controller Controller egrave il cuore del Reader egrave il cuore del Reader
Gestisce la comunicazione con Gestisce la comunicazione con lrsquohost Traduce i comandi interni in lrsquohost Traduce i comandi interni in segnali captabili dalle antenne dei segnali captabili dalle antenne dei TagTag
bull bull Network Interface Network Interface insieme di insieme di porte di comunicazione che porte di comunicazione che permettono di collegare il Reader permettono di collegare il Reader allrsquohostallrsquohost
bull bull Apparato ricetrasmettitore Apparato ricetrasmettitore permette di interfacciarsi in permette di interfacciarsi in radiofrequenza con le antenne radiofrequenza con le antenne secondo una banda di frequenza secondo una banda di frequenza prestabilitaprestabilita
bull bull Antenne Antenne emettono fisicamente le emettono fisicamente le onde elettromagnetiche captabili onde elettromagnetiche captabili dai Tag Nei Reader piugrave sofisticati vi dai Tag Nei Reader piugrave sofisticati vi possono essere piugrave antenne possono essere piugrave antenne ognuna adibita ad una particolare ognuna adibita ad una particolare frequenzafrequenza
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Tipologie di SistemiTipologie di SistemiA seconda della presenza di Tag e Reader in un ambiente egrave possibileA seconda della presenza di Tag e Reader in un ambiente egrave possibiledefinire quattro tipologie di sistemidefinire quattro tipologie di sistemi
One-to-ManyOne-to-Many Ossia un solo Reader per piugrave Tag (un piccolo negozio al Ossia un solo Reader per piugrave Tag (un piccolo negozio al
dettaglio)dettaglio)
One-to-OneOne-to-One Un solo Reader per un solo Tag (la chiave di accensione di Un solo Reader per un solo Tag (la chiave di accensione di
unrsquoauto)unrsquoauto)
Many-to-OneMany-to-One Piugrave Reader per un solo Tag (Telepass)Piugrave Reader per un solo Tag (Telepass)
Many-to-ManyMany-to-Many Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)Piugrave Reader per piugrave Tag (Biblioteche magazzini grandi negozi)
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Sicurezza e privacySicurezza e privacy Ogni individuo in possesso Ogni individuo in possesso
di prodotti ldquoTaggatirdquo di prodotti ldquoTaggatirdquo rischia di essere anchrsquoesso rischia di essere anchrsquoesso ldquoTaggatordquoldquoTaggatordquo
In base a ciograve che possiede In base a ciograve che possiede egrave possibile sapereegrave possibile sapere Dove si trova una persona Dove si trova una persona
in un dato momento (se egrave in un dato momento (se egrave in prossimitagrave di un in prossimitagrave di un Reader)Reader)
Quali sono le sue abitudini Quali sono le sue abitudini (cosa ha comprato)(cosa ha comprato)
In pratica egrave possibile In pratica egrave possibile tracciare una persona e tracciare una persona e controllarlacontrollarla
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Sicurezza e privacySicurezza e privacy
I sistemi RFID originariamente sono sistemi promiscui cioegrave I sistemi RFID originariamente sono sistemi promiscui cioegrave che rispondono a qualsiasi Reader tenti di interrogarliche rispondono a qualsiasi Reader tenti di interrogarli
Le preoccupazioni principali riguardano la possibilitagrave che la Le preoccupazioni principali riguardano la possibilitagrave che la tecnologia possa essere utilizzata per violare la privacy del tecnologia possa essere utilizzata per violare la privacy del possessore degli oggetti ldquoTaggatirdquopossessore degli oggetti ldquoTaggatirdquo
In origine non crsquoerano grosse preoccupazioni da questo In origine non crsquoerano grosse preoccupazioni da questo punto di vistaMa la possibilitagrave di crescita dei sistemi RFID punto di vistaMa la possibilitagrave di crescita dei sistemi RFID pone tale problematiche al centro dellrsquoattenzionepone tale problematiche al centro dellrsquoattenzione
Per fare in modo che la privacy di una persona non venga Per fare in modo che la privacy di una persona non venga lesa occorre stabilire dei sistemi di sicurezzalesa occorre stabilire dei sistemi di sicurezza
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Tecniche di difesaTecniche di difesa
Killing ndash SleepingKilling ndash Sleeping Il Tag viene disattivato definitivamente o temporaneamente Il Tag viene disattivato definitivamente o temporaneamente Il Reader usa un PIN drsquoaccesso prima di inviare il comando killIl Reader usa un PIN drsquoaccesso prima di inviare il comando kill
RinominazioneRinominazione Cambia lrsquoidentificativo ad ogni interrogazione Cambia lrsquoidentificativo ad ogni interrogazione
Il Reader puograve compiere lrsquooperazioneIl Reader puograve compiere lrsquooperazione
Il Tag contiene una serie di pseudonimi che usa ciclicamenteIl Tag contiene una serie di pseudonimi che usa ciclicamente
Identificativo cifrato Ricifratura periodicaIdentificativo cifrato Ricifratura periodica
Ricifratura Universale A seguito di ogni interrogazioneRicifratura Universale A seguito di ogni interrogazione
Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso Problema aperto Scambio di identificativi cifrati tra due Tag Blocco Attraverso lrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o menolrsquouso di un bit di privacy (01) il Tag puograve essere leggibile o meno
Blocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggereBlocco soft Il Tag ldquosuggeriscerdquo ad un Reader onesto di non leggere
Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a Uso di una Trusted Computing Platform (TCP) I Reader sono ldquoforzatirdquo a seguire le regole stabilite (policy)seguire le regole stabilite (policy)
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
AutenticazioneAutenticazione
Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Lautenticazione nei sistemi RFID egrave il procedimento con il quale Tag e Reader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzatiReader dimostrano lrsquoun lrsquoaltro di essere dispositivi autorizzati
Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave Un tag non ha mezzi per capire se il Reader che lo sta interrogando egrave legale o menolegale o meno
Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare Inoltre la contraffazione di tag egrave piuttosto semplice richiede di effettuare uno scanning del Tag e poi di duplicarlouno scanning del Tag e poi di duplicarlo
Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag Una soluzione per ridurre i rischi egrave quella di crittografare i dati nei Tag quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei quelli che viaggiano nellrsquoaria durante la trasmissione e quelli conservati nei TagTag
Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti Uso di protocolli standard di autenticazione giagrave largamente usati nelle reti o nelle smart card non possibileo nelle smart card non possibile
Egrave dunque necessario progettare protocolli di autenticazione sicuri ed Egrave dunque necessario progettare protocolli di autenticazione sicuri ed efficienti implementabili nei sistemi RFIDefficienti implementabili nei sistemi RFID
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Protocolli per la sicurezzaProtocolli per la sicurezza
Challenge-Response
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Protocollo HBProtocollo HB Il protocollo HB fu progettato da Nicholas Hopper e Manuel Il protocollo HB fu progettato da Nicholas Hopper e Manuel
Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri Blum per lrsquoidentificazione e lrsquoautenticazione sicura di esseri umani nei confronti di un computer Fu sviluppato come umani nei confronti di un computer Fu sviluppato come unrsquoalternativa al metodo tradizionale della password Il suo unrsquoalternativa al metodo tradizionale della password Il suo vantaggio principale egrave che lrsquoidentificativo segreto noto vantaggio principale egrave che lrsquoidentificativo segreto noto allrsquoutente e al computer non viene mai direttamente allrsquoutente e al computer non viene mai direttamente inviato lungo il canale di comunicazioneinviato lungo il canale di comunicazione
Juels e Weis intuirono che questo protocollo pensato per un Juels e Weis intuirono che questo protocollo pensato per un sistema con poca memoria e capacitagrave computazionale (ie sistema con poca memoria e capacitagrave computazionale (ie lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoessere umano) era in realtagrave un protocollo naturale per lrsquoautenticazione di Tag RFID da parte dei Reader lrsquoautenticazione di Tag RFID da parte dei Reader
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
LPNLPN La sicurezza del protocollo HB egrave basata sulla difficoltagrave La sicurezza del protocollo HB egrave basata sulla difficoltagrave
computazionale del problema LPNcomputazionale del problema LPN
LPN Learning Parity with NoiseLPN Learning Parity with Noise
In informatica la paritagrave di una stringa di bit egrave indicata nel modo In informatica la paritagrave di una stringa di bit egrave indicata nel modo seguenteseguente
1 se il numero di Bit pari ad 1 egrave dispari
0 se il numero di Bit pari ad 1 egrave pari
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
LPNLPN
Ad esempiohellipAd esempiohellip
S=1011S=1011 La La paritagraveparitagrave egrave 1 egrave 1 perchegrave crsquoegrave un numero dispari di 1 nella perchegrave crsquoegrave un numero dispari di 1 nella
stringastringa La paritagrave puograve essere determinata calcolando lrsquoXOR dei La paritagrave puograve essere determinata calcolando lrsquoXOR dei
singoli bit in singoli bit in ss come segue come segue
1 0 1 1 = 11 0 1 1 = 1
00 11
00 00 11
11 11 00
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
LPNLPN
Il protocollo HB usa il prodotto interno che viene Il protocollo HB usa il prodotto interno che viene calcolato tramite la paritagrave dellrsquocalcolato tramite la paritagrave dellrsquoANDAND bit-a-bit di due bit-a-bit di due stringhestringhe
Esempio calcolo del prodotto interno q sEsempio calcolo del prodotto interno q s
10111010amp1010 0
= s= q
= r
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
LPNLPN
Se ci sono dati diversi valori di Se ci sono dati diversi valori di qq e e rr allora possiamo determinare facilmente allora possiamo determinare facilmente il valore di il valore di ss usando lrsquoalgebra lineare usando lrsquoalgebra lineare
q1
q2
q3
s =
r1
r2
r3
Le colonne della matrice q devono essere linearmente indipendenti
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
LPNLPN Lrsquoaggiunta di ldquorumorerdquo rende difficile il Lrsquoaggiunta di ldquorumorerdquo rende difficile il
precedente problemaprecedente problema
Il ldquorumorerdquo egrave aggiunto invertendo il Il ldquorumorerdquo egrave aggiunto invertendo il valore di valore di rr casualmente (con probabilitagrave casualmente (con probabilitagrave ε)ε)
q1
q2
q3
s =
r1
r2
r3
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
LPNLPN
Essenzialemente LPN consiste nel Essenzialemente LPN consiste nel calcolare calcolare s s in presenza di rumore in presenza di rumore
Il protocollo HB egrave basato su questo Il protocollo HB egrave basato su questo problema percheacute egrave NP-Hardproblema percheacute egrave NP-Hard
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Protocollo HBProtocollo HB
Rispondi alla seguente
sfida1011
Segreto bull 1010
Nel protocollo reale ci sono molte interrogazioni effettuate in parallelo
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Protocollo HBProtocollo HB
0
Segreto bull 1010 =
1011 bull 1010 = 0
Inverto il risultato No
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Protocollo HBProtocollo HB
Sei stato
accettato
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Protocollo HBProtocollo HB
ReaderS x є 01n ε
Sceglie qєR 01n
Calcola rrsquo = (q bull x)
Se rrsquo== r allora accetta
altrimenti rifiuta
TagS x є 01n ε
υ є 01 Prob[υ=1]= ε
Calcola r = (q bull x) υ
(υ =1 con probabilitagrave ε)
S= Segreto condiviso
ε= Probab errore
Invia q ( sfida )
Risposta r inviata al Reader
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Protocollo HBProtocollo HB
Dopo Dopo nn iterazioni il Reader accetta iterazioni il Reader accetta se le risposte del Tag presentano al se le risposte del Tag presentano al piugrave (piugrave (nnε) errori ε) errori
Egrave inoltre possibile inserire una Egrave inoltre possibile inserire una soglia di tolleranza agli errori soglia di tolleranza agli errori indicata con indicata con δδ
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Robustezza del Protocollo HBRobustezza del Protocollo HB
Il protocollo HB egrave resistente rispetto Il protocollo HB egrave resistente rispetto ad attacchi passiviad attacchi passivi
Il Reader deve spedire challenge Il Reader deve spedire challenge diverse ad ogni iterazionediverse ad ogni iterazione
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
3636
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
Rispondi alla
seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
0010111hellip
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Robustezza del Protocollo HBRobustezza del Protocollo HB
bull Se cegrave un attacco attivo allora il Se cegrave un attacco attivo allora il Protocollo HB risulteragrave essere Protocollo HB risulteragrave essere insicuroinsicuro
La maggioranza
delle risposte egrave 1
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Robustezza del Protocollo HBRobustezza del Protocollo HB
Rispondi alla seguente sfida
Segreto bull 1000hellipE fallo 1000 volte
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Robustezza del Protocollo HBRobustezza del Protocollo HB
0010111hellip
1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Robustezza del Protocollo HBRobustezza del Protocollo HB1 0 0 0
0 1 0 0
q3
q4
s =
1
0
r3
r4
La maggioranza
delle risposte egrave 0
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Robustezza del protocollo HBRobustezza del protocollo HB
Quindi lrsquoavversario attraverso un sistema Quindi lrsquoavversario attraverso un sistema di equazioni lineari puograve ricostruire la di equazioni lineari puograve ricostruire la matrice e quindi attraverso il metodo di matrice e quindi attraverso il metodo di Gauss calcolare il segreto Gauss calcolare il segreto ss
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Robustezza del Protocollo HB Robustezza del Protocollo HB
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Rispondi alla seguente sfida
Segreto bull 1101
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Robustezza del Protocollo HB Robustezza del Protocollo HB
0
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Robustezza del Protocollo HB Robustezza del Protocollo HB
Sei stato
accettato
1
0
1
1
1 0 0 0
0 1 0 0
0 0 1 0
0 0 0 1
s =
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
RicapitolandoRicapitolandobull Basato sul problema LPN (NP-hard)Basato sul problema LPN (NP-hard)
bull Dopo n interrogazioni il Reader accetta Dopo n interrogazioni il Reader accetta il Tag se le sue risposte hanno (n ∙ il Tag se le sue risposte hanno (n ∙ εε))plusmnplusmnδδerrorierrori
bull ParametriParametri n n numero di richieste numero di richieste pp numero di segreti numero di segretiValore di Valore di εεValore di Valore di δδ
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
Falsi PositiviFalsi Positivi
bull Falso positivo Un Tag non valido Falso positivo Un Tag non valido che egrave accettato erroneamente dal che egrave accettato erroneamente dal ReaderReader
bull Falso negativo Un Tag valido che Falso negativo Un Tag valido che egrave rifiutato erroneamente dal egrave rifiutato erroneamente dal ReaderReader
bull Obiettivo Un protocollo sicuro Obiettivo Un protocollo sicuro minimizza i falsi positivi e negativiminimizza i falsi positivi e negativi
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings
RiferimentiRiferimenti N J Hopper and M Blum Secure Human Identification Protocols Proc of Asiacrypt
2001 Lecture Notes in Computer Science Vol 2248 pp 52-66 2001
A Juels RFID privacy A technical primer for the non-technical reader In K Strandburg and DS Raicu editors Privacy and Technologies of Identity A Cross-Disciplinary Conversation Springer-Verlag 2005
A Juels R Pappu and S Garfinkel RFID Privacy An Overview of Problems and Proposed Solutions IEEE Security and Privacy 3(3) 34-43 MayJune 2005
Un link utile httpwwwcsstevensedu~klivings