認證改進協定 認證改進協定 認證改進協定
4.4 改進協定 改進協定 改進協定與現有同類 改進協定 與現有同類 與現有同類協定 與現有同類 協定 協定之 協定 之 之 之安全性 安全性 安全性 安全性比較 比較 比較 比較
在第三章中,我們分析了兩套符合 EPC-C1G2 之 RFID 身分認證協定,分別為
Lo-Yeh 協定與 SRP。我們發現在 EPC-C1G2 架構下,Lo-Yeh 協定無法抵擋 EPC 取 得攻擊、位置追蹤攻擊與假冒攻擊;並指出 SRP 無法抵擋位置追蹤攻擊、猜測攻擊、
假冒攻擊與去同步攻擊。之後,我們基於分析結果提出符合 EPC-C1G2 之微擴充架構
— EPC-C1G2*,並且,我們提出了符合 EPC-C1G2* 之 RFID 身分證改進協定亦詳細分 析其安全性。另一方面,基於分析之公平性與一致性,我們將 EPC-C1G2* 架構套用在 Lo-Yeh 協定與 SRP,並以 Lo-Yeh 協定* 與 SRP* 表示,分析如下:
Lo-Yeh 協定協定協定協定* 之分析之分析之分析之分析
在 Case 1 中,攻擊者首先藉著竊聽步驟 1 與步驟 2 以得到 N1、N2 與 M1 =
(EPCx∥N1∥N2∥CRC(EPCx∥N1∥N2))♁PRNG(Kx♁N2)。根據位元填充機制,M1 的前 96 位元為 EPCx 與 96-bit 的 PRNG(Kx♁N2) 作 XOR 運算的結果,而接續的 96 位 元為 N1 與 96-bit 的 PRNG(Kx♁N2) 作 XOR 運算的結果,故攻擊者可使用竊得的
N1 自 M1 的第 97 位元到第 112 位元擷取出 96-bit 的 PRNG(Kx♁N2),再以 96-bit 的 PRNG(Kx♁N2) 自 M1 的前 96 位元擷取出 96-bit 的 EPCx。此外,在 Case 2 中
,攻擊者亦可藉著竊聽步驟 1 與步驟 2 以得到 N1、N2 與 M1 = (EPCx∥Kx∥N1∥
N2∥CRC(EPCx∥Kx∥N1∥N2))♁PRNG(EPCx♁N2),並使用竊得的 N1 自 M1 的第 193 位元到第 288 位元擷取出 96-bit 的 PRNG(EPCx♁N2) , 接 著 , 便 可 以 96-bit 的
PRNG(EPCx♁N2) 自 M1 的前 96 位元擷取出 96-bit 的 EPCx。因此,Lo-Yeh協定* 仍 無法抵擋破解 EPC 攻擊。如第三章所敘述,Lo-Yeh 協定因無法抵擋破解 EPC 攻擊,
使得攻擊者可進行位置追蹤攻擊並取得 Tag 的 Kx,進而成功進行假冒攻擊。而 Lo-Yeh
協定* 也有同樣的問題,一旦破解 EPC 攻擊成功,則位置追蹤攻擊與假冒攻擊亦可成
功。
SRP* 之分析之分析 之分析之分析
在第三章所敘述對於 SRP 之猜測攻擊中,攻擊者可針對 Ki 與 EPCs 進行猜測進 而破解 Tag 秘密資訊,然而,因 SRP* 的運算參數與變數皆擴充為 96 位元,攻擊者 要猜得 Ki 與 EPCs 在計算上不可行 (computationally infeasible )。因此,SRP* 可抵擋 我們先前描述的猜測攻擊與接續的去同步攻擊及假冒攻擊。不過,SRP* 仍無法抵擋位 置追蹤攻擊如下:首先,攻擊者假冒 Reader 產生亂數 NR
′ 並傳送給 Tag。接著,Tag
產生亂數 NT 並計算
M1′ = PRNG(EPCs♁NR
′)♁K
iD = NT♁Ki
E = NT♁PRNG(Ci♁Ki)
之後,Tag 將 (Ci, M1′, D, E) 傳送給攻擊者,攻擊者將不予回應並結束此次認證程序。
之後,攻擊者再次假冒 Reader 重送同樣的亂數 NR
′ 給 Tag。Tag 將產生新的亂數 N
T+Tag 並使用同樣的 Ki、Pi、Ci 與 EPCs 執行步驟 2,接著,回傳 (Ci, M1′, D+, E+) 給 攻擊者。之後,由於 M1′ 之計算結果皆相同,攻擊者便可成功將這次所得到之 M1′ 比 對前次所收到的 M1′ 以達成位置追蹤攻擊。換言之,攻擊者僅傳送兩次同樣的亂數並 使 Tag 無法更新,便能得知欲追蹤之 Tag 在假冒 Reader 能存取資料的距離範圍內,
藉以侵犯 Tag 擁有者的隱私。更嚴重的是即使之後更新該 Tag 內的 Ki,攻擊者仍可 成功攻擊。
符合 符合符合
符合 EPC-C1G2* 之之之之 RFID 身分認證改進協定與現有同類協定之安全性比較身分認證改進協定與現有同類協定之安全性比較身分認證改進協定與現有同類協定之安全性比較身分認證改進協定與現有同類協定之安全性比較表表表 表
改進協定與現有同類協定之安全性比較請見 (表4-2)。
表 4-2:改進協定與同類協定之安全性比較表
攻擊
協定 破解 EPC 攻擊 猜測攻擊 位置追蹤攻擊 假冒攻擊 去同步攻擊