Marcin Grzonkowski (1)

Jacek Jarmakiewicz (2)

Wojciech Oszywa (1,2)

(1) -

(2) Wojskowa Akademia Techniczna, ul. Gen.S.Kaliskiego 2, Warszawa

m.grzonkowski@wil.waw.pl

jjarmakiewicz@wat.edu.pl

SYSTEM WYDAJNEJ GENERACJI DANYCH KRYPTOGRAFICZNYCH DLA INTERNETU RZECZY

W artykule przedstawiono problemy bez

w w-

cych w

sieci wymaga zastosowania funkcji e

do tej pory nie-

a-

dla domen IoT wykorzystanie

serwera kluczy symetrycznych z mechanizmem pregenera-

metody z lonej generacji

kluczy

k

1. PROBLEM W

INTERNECIE RZECZY

izacje

r-

w-

zana przez

podmioty prywatne

dzy bajki.

y

d-

jest any w

inicji

o-

walnych i zaadre

w Internecie. a-

soby takie jak energia, moc przetwarzania (CPU), prze-

, niewielka

wykonawcze) i smart obiekty takie jak np. osobi-

wymie-

ze so M2M (Ma-

chine-to-Machine), procesy komputerowe i inne przed-

mioty z wykorzystaniem Inter-

netu .

o-

esy kompu-

ikami wymiany danych. Miliony

a n-

l-

nej sieci Internet. Laptopy z kamerami, telewizory ste-

rowane gestami, smartfony z GPS, nawigacje i kamery

samochodowe, sensory i oprogramowanie komputerowe,

wszystkie one zbie je bez naszego

i zgody do

Internecie.

Zainteresowania i upodobania

izowanie ofert i

a nawet po-

trzeb ludzkich, takich jak nieustanny

elektronicznej, e-

Niestety dane wy-

mieniane przez nia a-

bezpieczone w sieci dziami do

ludzi. Smartfony,

y

rnetu.

Dzisiejsze smart telewizory wki,

enia, ale

ogramie reality-

onych dan

o

Internetu komunik a-

mi, co przynosi nowe

i inte-

ligentnych a

przed , jak i przed i-

e

celu jest zastosowanie stwa.

k-

zastosowania dodatkowych operacji przetwarzania a-

,

i-

zmem bez a-

,

zbudowania automatycznie

systemu kryptograficznego, takiego jaki jest

wymagany dla IoT, strybucja

mate

Wyniki przeprowadzonej analizy literaturowej

w IoT jest

d

nych z

wykorzystywanych przez nia o niewielkiej mocy

obliczeniowej. Dla nich

o mniejszej np. 112 bi-

t automa-

tyczny s W przypadku

niewielkiej sieci z-

, jednak w przypadku IoT

ze iwe.

zauwa

obecnie nie jest dostrzega

a-

o-

graficznych, jak wynika z przedstawionych w artykule

onych przez

w Internecie. Chodzi tutaj o systemy genera-

cji prawdziwie losowych kluczy kryptograficznych,

owych.

Nawet najsilniejsze algorytmy szyfrowania nie z-

pieczne

klucze wykorzystywane w systemie GSM.

Prawdopodobnie zaimplementowane w systemach

operacyjnych i aplikacjach mechanizmy generacji kluczy

kryptograficznych bez weryfikacji i oceny kodu opro-

w profesjonal-

nych zastosowaniach. Z na specjalnie wpro-

o-

o-

nych o-

wanie [6].

j

generowania danych kryptograficznych dla kryptosyste-

wykorzyst symetrycz-

ne metody kryptograficzne

o-

graficznych organizacji OASIS (Advanced Open Stan-

dards for Information Society) SKSML (Symmetric Key

Services Markup Language) o-

dzeniem wykorzystane przynaj

Internetu Rzeczy.

Zawarte w oryginal-

ne, i w literaturze

tematu do ej na stronach IEEE i innych.

2. MECHANIZMY DOSTARCZANIA

DANYCH KRYPTOGRAFICZNYCH

W IoT

-

a-

kresie przystosowania do konkretnych potrzeb, y-

korzystania tych modu

z-

s

,

m.in. poprzez o-

inteligentnych urz

Internetu do urz

tem operacyjny,

przyczyny

, pozyska

ich do

u-

o ,

ach jazdy, korkach

ulicznych i przy okazji w-

go spersonalizo

identyfikowalne w

ego

Inte-

w Internecie R

siebie nie ty ,

(Rys.1).

i-

dzisiaj nie ma efektywnych metod zdalnego zasilania

o-

wane w dwie klasy. Pierwsze o ograniczonych i sko

a-

dowywania: sensory, smartfony, GPSy, laptopy, tablety,

kamery, samochody. Drugie to one

smart, budownictwa go klima-

.

IoT i serwer kluczy symetrycznych

Powszechne

procesorowych z zainstalowanymi systemami operacyj-

nymi lub specjalizowanym oprogramowaniem z mecha-

nizmami wymiany danych z otoczeniem,

i nowe

problemy bezpiecz ochrony prywat-

nieodzowne jest wykorzystanie mechanizm u-

uwierzytelni . Dla

koniecznym jest sekret np. w postaci klucza kryptogra-

ficznego

czy kilku

kluczy i ich dostarczenie nie jest trudne zrea-

lizowane omeny Internetu Rzeczy

o-

, przy tej skali ich zasilenie w dane krypto-

atycznie.

wiele instytucji oraz firm komercyj-

nych w celu za

nternecie.

zastosowa-

niach

e-

takich ach o-

o-

stwa np.

SSH, IPSec, TLS (Transport Layer Security), DTLS.

W sieciach pakietowych powszechne z-

blokowy AES,

asymetryczny RSA do podpisu, algorytm DH do uzgad-

niania i transportu kluczy SHA-1 i

SHA-256.

e-

czy o ograniczonych zasobach energetycznych, mocy

przetwarzania i niewielkiej pa Zigbee, WPAN

(Wireless Personal Area Network), 6LoPAN, BAN

(Body Area Network). Tutaj nia i aplikacje wy-

mienia l-

o-

izmami

sterowaniem do medium ym

em sieci ruchem, komutacji, pobudzania okre-

stero

W Internecie R

o-

rzystane, takie jak mechanizm wymiany kluczy IKEv.2

obliczeniowej komputera. Inne mechanizmy przed ich

wykorzystaniem w Internecie R

weryfikacji, dotyczy to o-

o-

L-

SIoT (Datagram Transport Layer Security), MOBIKE

[8]. W odniesieniu do kryptografii

w

wykorzystane lub dostosowane standardowe mechani-

opisane przez IETF [9]. Inni wzy-

akresie kryptograficznych

primitives y-

stanie pojedynczego prymitywu (np. takiego jak AES)

p-

a

wymagania dla wszys a-

ograniczenia e. W ferworze nowych prac

funkcji kryptograficznych, mu

. S ystanie

k-

e-

afii opartej na

o-

wszechne zastosowanie gotowych bibliotek z funkcjami

kryptograficznymi pozwala na wykorzystanie p-

wny

o

a

o- efek-

tywniejszych kryptograficznie. Jako przy przytacza

np. weryfikacj

Online Certificate Status

Protocol) w protokole IKEv2 i

TLS [10,11].

e-

a-

nizm scentralizowanej dystrybucji kluczy kryptograficz-

nych zrealizowany

XML wykorzystywanego w SOA (Service Oriented

Architecture).

rwera SKS

(Symmetric Key Server p-

tograficzn o-

Mechanizm

l-

kich zasobach. Odchudze

d-

o

poprzez ten serwer (rys.3). a-

i-

n-

dardowym e-

o-

wiedzi klucze do a-

.

3. PROJEKT SYSTEMU WYDAJNEJ

GENERACJI DANYCH

KRYPTOGRAFICZNEGO DLA IoT

Wszystkie te przedmioty

aficznych w

z-

aga zastosowania proce-

z-

nymi.

3.1. o-

graficznych w IoT

e-

o-

na dane kryptograficzne, poprzez

ich ,

mo

Przygotowanie danych i dystrybucja

Eksploatacja danych

Rys. to-

systemie

kryptogr

o-

rzystywanych systemach w kraju. e-

emu.

kryptograficznych. Rozpoczyna

da

dane oraz adresat tych danych. Nie zawsze adresat da-

b

IoT. Wymaganiem jest to, a-

owane i potwierdzone.

Generowanie danych kryptograficznych to proces,

a-

W profesjonalnych

ograficznych

wykorzyst towe generatory o-

wych.

Archiwizacja danych, to proces pole a-

gazynowaniu wytworzonych danych w zabezpieczonej

Generacja kluczy to proces przygotowania danych

. Ponadto wytw dla kluczy certyfi-

katy, klucze na czas dystrybucji (

szyfrowane kluczami dystrybucyjnymi), opat

atrybutami takimi jak o

y z

systemu generacji do odbiorcy. Proces m i-

np. DVD czy CD automatycznie o-

EKMS (Electronic Key Exchange System).

Po

Weryfikacja i aktywowanie kluczy jest procesem w

odbiorca kluczy po ich otrzymaniu od systemu,

e e-

niu do dal-

szej dystrybucji do owych.

h, to okres czasu

kiedy klucze W tym

okresie, t

a-

nie.

e trac a-

cji). Aktualizacja kluczy to , ma on

na nowe klucze.

Usuniecie kluczy i archiwizacja to proces

urz dzenia.

C

y-

frowanych danych.

3.2. erwera kluczy symetrycznych

serwera

[12]. e

symetrycznych ze scentralizowanego serwera kluczy.

wykorzystana przez apli-

kacje jak i przez nia

informacji z SKSML jest realizowane z

wyko

kluczem symetrycznym.

o-

in licznym. Klucze

do szyfrowania w tych algorytmach

wyge-

nimi.

wa

r-

matycznych).

Algorytmy z kluczem public o-

klucza sesji

Szyfry z kluczem symetrycz-

azwyczaj na dwie klasy: strumieniowe

i blokowe.

Szyfry strumieniowe, a-

(zda

infor wnie

w oparciu o e-

niem zwrotnym. Szyfrowanie/deszyfrowanie polega na

-o

z-

l

a-

i np. 128, 192 lub 256 bi-

. Typo

rund prze

blokowy szyfruje jedynie a-

y-

frowanie infor

CBC).

implementa-

cji na procesorach

w systemach telekomunikacyj-

nych o niskiej o ym praw-

ie

ograniczona

e-

j-

niania strumienia danych (transmisja

streaming np. ).

e w zastosowaniach programowych

na procesory.

Stanowisko wytwarzania danych kryptograficznych

RNG (Random

Number Generator). Stanowisko powinno wy

a-

nia, krypto

Zastosowanie SKSML i zmodyfikowanie aplikacji

do korzystania z niego pozwala e-

upraszcza o-

wali roz bazuje

na serwerze kluczy s

wchodzi Serwer Aplikacji (ApplServ a

elementami klienckimi lub Serwerami po

urz

......

...

Rys. acji

kluczy kryptograficznych, szyfrowania i uwierzytelniania

Serwer Bazy Danych (DBServ) e-

e-

uwierzy

Kluczy i Podpisu (SymmerticKeyServ

kryptograficzny dla k

RandomSeqRepo) generowanych

przez generatory losowe RNG (1-

krypto , bada-

o-

w (KeyGenTh1-8).

W obecnie stosowanych implementacjach dane

o-

wych, bada-

nia y-

gotowania kluczy kryptograficznych dla relacji informa-

anych

odpo ,

wa to

Taki model dzi e-

a-

o-

opa

ania, adresat i inne). Problem generowania

u losowego. Generato-

kluczy, ale zasto o-

losowych nie jest wskazane

poziomu a o-

ra sprz

w przypadku syste-

, gdzie wymagany jest wysoki poziom bezpiecze

stwa .

Zaprojektowany i zaimplementowany system gene-

racji kluczy symetrycznych pozwala na nawet kilkuna-

se-

kwencyjnych ksploatowanych. Wy-

niki takie uzyskano poprzez zastosowanie kilku procedur

a

losowych. Opracowano i zastosowano:

losowych na komputerach wielordzeniowych i wie-

loprocesorowych;

ego.

Zastosowanie samej procedury e-

nerowania danych kryptograficznych nie powoduje wy-

d-

aniem

procedura wcze

ine (rys.3). Zgromadzenie kilku GB

generatora losowego. Procedura ej generacji z

pre

mocy p eniowych.

j-

nego sekwencyjnego wytwarzania danych kryptogra-

ficznych, jed

znanych mo

o

Burst Request s-

znacznej po-

pra nak

generacji kryp

wykorzystania procesora w metodzie

a

Na rys. 4 przedstawiono wykorzystanie procesor

dla tradycyjnego sekwencyjnego generatora kluczy, dla

wykorzystanie wynosi 20%, podczas

(8 w

o

procesory serwera .

Opracowana i zaimplementowana metoda generacji

danych kryptograficznych na procesorach wielordzenio-

wych. Nowoczesne procesory czterordzeniowe pozwala-

le prze-

twarzanych

wykorzystano proce

loso

Zmaga

k

owy.

Dla obecnie eksploatowanych sieci wygenerowanie

o-

a-

rzania danych w przypadkach kryzysowych jest nie do

3.3. Diagram wytwarzania kryptosystemu dla

domeny IoT

dla

zaimplementowanego serwera kluczy symetrycznych

domeny IoT. Serwer generowania kluczy kryptograficz-

nych KeyGenServ

urz

Apli e-

trycznych (SKSMLClientAppl) uwierzytelnia podpisem

elektronicznym SignReq() a-

nia nowych kluczy NewKeysGet() ManyNew-

SymKeysReq() odebrane jest przez ApplServ i zrealizo-

wany jest pr

bazo-danowym (DBServVerifi() ie zlecenie

trafia do Serwera Generacji Kluczy i Podpisu (KeyGen-

Serv p-

tosystemu SetKeyGen() i zaszyfrowanie danych krypto-

graficznych EncryptSetKeys()

(ApplServ), atrybutami relacji i inny-

d-

nic a-

klienckie-

go .

m-

puterowych generacji kluczy kryptograficznych Key-

GenThs

wykorzysta

a-

ny. Serwer KeyGenServ jest odpowiedzialny za tworze-

nie kryptosyste

odebranymi przez serwer SKS (ApplServ).

o-

e-

i transferu prawdo-

o-

l-

jednostki komputerowe.

Rys. 5. Diagram wytwarzania kryptosystemu dla domeny

w serwerze kluczy symetrycznych

oce-

o-

o-

zeczy.

Zaproponowana metoda generacji bazuje na proce-

z-

nych. W ro o-

e-

ra gro

repozytorium.

4. KLUCZY SYMETRYCZNYCH DLA IOT

4.1.

Zaprojektowany a-

a-

dania przeprowadzono na systemie operacyjnym Win-

dows 7 Professional na komputerze z procesorem i7 z

y-

SGCL-1MB. Pojedynczy generator pozwala na odczyt

e-

nych ko-

SGCL [14]

k-

nerowa-

dysku twardym komputera.

4.2. owych

j-

nego systemu generacji danych kryptograficznych wy-

symetrycznych o-

ka dym.

Badania p ty-

e-

Liczba wygenerowanych kluczy dla danej sieci wynosi

zatem n*(n-

Na rys. 6 przedstawiono wyniki generacji kluczy

o-

e-

e

wyge

realizowane w czasie 2 min. Jednak wygenerowanie

n-

tnie

bardziej efektywna, o-

Rys. t

blokowych

u-

czy

symetrycznych.

4.3. umieniowych

o-

wych w trady

(rys. 7), natomiast szacowany

o-

eneracji

w

pregenaracj -ro krotne

u-

t-

kluczy je

danych kryptograficznych czekanie na wygenerowanie

nowych da

krypto

kryptograficznych.

Czas g

en

era

cji

[h

]

Rys. e-

niowych

znacznie skraca czas wytwarzania danych kryptograficz-

e-

obecnie stosowane do utajniania danych w sieciach z

5. WNIOSKI

Do jego

generowania i

yp-

tosys

-

przez wydajne centra generacji danych kryptograficz-

nych. Z punktu widzenia ochrony systemu, korzystne

e-

d-

o-

Autorzy zaprojektowali i zaimplementowali serwer

-

-

zaproponowanym roz-

dzania kluczami symetrycznymi ze scentralizowanych

ser

z wykorzystaniem sieci Internet.

-

-

RNG i

Czas

gen

era

cji

[m

in]

dzisiaj na rynku

komputery wielordzeniowe.

-

-

-sto

,

i-

domeny IoT.

6. SPIS LITERATURY

[1] http://wyborcza.pl/1,76842,14705996,RPO__ Trze-

ba_sprawdzic__jak_PRISM_inwigiluje_Polakow.html,

2013r

[2] http://niebezpiecznik.pl/post/xkeyscore-jeszcze-

gorszy-niz-prism-czyli-nsa-zbiera-wszystko-co-robisz-w-

sieci/, 2013r

[3] C. Bormann, M. Ersue, A. Keranen, Terminology for

Constrained-Node Networks, RFC 7228, IETF 05.2014r

[4] T.Polk, S.Turner, Security Challenges For the Inter-

net Of Things (Security Area Directors), IETF 2011r

[5] N.Sullivan, How the NSA (may have) put a backdoor

, www.routers.com/article/2013/

12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220,

2013r

[6] J.Menn, Exclusive: Secret contract tied NSA and

security industry pioneer, www.reuters.com/article/

2013/12/20/us-usa-security-rsa-

idUSBRE9BJ1C220131220, 2013r

[7] C. Kaufman, Internet Key Exchange (IKEv2) Proto-

col, RFC 4306, IETF 2005r

[8] V. Devarapalli, P. Eronen, Secure Connectivity and

Mobility Using Mobile IPv4 and IKEv2 Mobility and

Multihoming (MOBIKE), RFC 5266, IETF 06.2008

[9] H. Tschofenig, J. Arkko, Report from the Smart Ob-

ject Workshop, RFC 6578, IETF 2012r

[10] M. Myers, H. Tschofenig, Online Certificate Status

Protocol (OCSP) Extensions to IKEv2, RFC 4806, IETF

2007r

[11] T. Dierks, E. Rescorla, The Transport Layer Securi-

ty (TLS) Protocol Version 1.2, RFC 5246, IETF 2008r

[12] Symmetric Key Services Markup Language

(SKSML) Version 1.0, OASIS 2011r

[13] Per- FMLS2010 Key Manage-

ment Overview, Swedish Defence Material Administra-

tion, 2008r

[14] -1 MB,

r