Mobile, wireless and Ad hoc networks security: security and privacy in RFID and IoT systems: cryptographic protocols for resource constrained devices

Abstract

This doctoral thesis proposes novel approaches in Radio Frequency Identifiers (RFID) & Internet of Things (IoT) systems security by designing privacy-preserving authentication protocols with minimal cryptographic hardware requirements. Different approaches are examined including the use of agent-based back-end platforms to support heterogeneous devices/tags and the use of security and privacy policies to offer fine-grain management and context-aware information control in such systems. The effectiveness of the solution was demonstrated by an air travel scenario, highlighting the value of tag delegation when tags are owned and managed by an individual human being instead of a corporation. The research therein also addresses security vulnerabilities in existing lightweight cryptographic RFID authentication protocols. The research outputs include a thorough investigation of a few cryptographic RFID authentication systems, showing them to be vulnerable against real-world attacks. Recurring protocol design faults were identified and, where applicable, mitigation is offered. Based on the extensive look at proposed RFID protocols, the thesis defined five important security requirements that a security RFID protocol should satisfy, setting the bar for future attempts. The research was motivated by the emerging landscape of technology, particularly RFID systems, and the Internet of Things. The research aimed to contribute to the field of cybersecurity by providing practical solutions that enhance the security and privacy of resource-constrained systems, following the principles of security and privacy by default and by design.

Η παρούσα διδακτορική διατριβή πραγματεύεται θέματα ασφάλειας και ιδιωτικότητας που ανακύπτουν σε συστήματα βασισμένα σε συσκευές περιορισμένων πόρων, όπως τα συστήματα ταυτοποίησης μέσω ραδιοσυχνοτήτων (RFID) και το Διαδίκτυο των πραγμάτων (IoT). Ζητήματα οικονομικής βιωσιμότητας, όπως το κόστος παραγωγής των ετικετών RFID, και φυσικοί περιορισμοί (π.χ. οι ανενεργές ετικέτες RFID δεν διαθέτουν ενσωματωμένες πηγές ενέργειας) δεν επιτρέπουν τη χρήση αξιόπιστων και δοκιμασμένων λύσεων, που βασίζονται σε προτυποποιημένα κρυπτογραφικά σχήματα και πρωτόκολλα ασφαλείας. Για αυτό το λόγο υπήρξε μια γόνιμη περίοδος κατά την οποία η ερευνητική κοινότητα εξέτασε διεξοδικα εναλλακτικές τεχνικές και προσεγγίσεις, που έκαναν χρήση περιορισμένης κρυπτογραφίας. Στην περίπτωσή μας, προσεγγίσαμε το πρόβλημα εξετάζοντας αρχικά τις αδυναμίες ασφάλειας που υπάρχουν σε προτεινόμενες κρυπτογραφικές λύσεις αυθεντικοποίησης RFID που χρησιμοποιούν περιορισμένη κρυπτογραφία. Αναγνωρίζοντας και αναλύοντας τις αδυναμίες τους και επισημαίνοντας τους πιθανούς κινδύνους ως προς την ασφάλεια και την ιδιωτικότητα των συστημάτων RFID. Τα αποτελέσματα της έρευνας περιλαμβάνουν μια διεξοδική ανάλυση επιλεγμένων κρυπτογραφικών πρωτοκόλλων αυθεντικοποίησης RFID, επιδεικνύοντας τις αδυναμίες τους μέσω πρακτικών επιθέσεων και παρέχοντας μέτρα αντιμετώπισης για τη μείωσή τους όπου είναι εφικτό. Επιπροσθέτως, βασιζόμενοι στην ανάλυση προτεινόμενων πρωτοκόλλων RFID, καθορίσαμε πέντε σημαντικές απαιτήσεις ασφάλειας που πρέπει να ικανοποιεί ένα ασφαλές πρωτόκολλο RFID, θέτοντας τον πήχη για μελλοντικές προσπάθειες. Επιπλέον, προτείνονται καινοτόμα πρωτόκολλα αυθεντικοποίησης RFID που εξασφαλίζουν την ασφάλεια και την προστασία της ιδιωτικότητας, χρησιμοποιώντας ελαφριές κρυπτογραφικές τεχνικές. Τα πρωτόκολλα αυτά είναι παραμετροποιήσιμα, γεγονός που τους επιτρέπει να υποστηρίζουν σημαντικές λειτουργίες όπως η αυθεντικοποίηση ετικέτας, η ασφαλής ανάθεση διαχείρισης σε τρίτους και η μεταφορά ιδιοκτησίας με σεβασμό στην ιδιωτικότητα. Ταυτόχρονα με τα πρωτόκολλα, προτείνουμε λύσεις που κάνουν χρήση ευφυών πρακτόρων αλλά και δομημένων πολιτικών ασφάλειας και ιδιωτικότητας με σχεδιαστικό στόχο του να αντιμετωπίσουν τις εντοπισμένες προκλήσεις ασφάλειας και ιδιωτικότητας στα συστήματα RFID και να συμβάλλουν στον τομέα της κυβερνοασφάλειας παρέχοντας πρακτικές λύσεις που ενισχύουν την ασφάλεια και την ιδιωτικότητα συστημάτων με περιορισμένους πόρους, όπως τα συστήματα RFID και IoT, ακολουθώντας τις αρχές της ασφάλειας και ιδιωτικότητας από προεπιλογή και από το σχεδιασμό. Χωρίς, φυσικά, να αυξάνεται υπέρμετρα το τελικό κόστος της συσκευής. Οι λύσεις επιτρέπουν στους χρήστες να αυθεντικοποιούνται σε συστήματα RFID χωρίς να αποκαλύπτουν ευαίσθητες προσωπικές πληροφορίες, βελτιώνοντας έτσι την ιδιωτικότητα και μειώνοντας την πιθανότητα μη εξουσιοδοτημένης παρακολούθησης ή επιτήρησης. Εν κατακλείδι, αυτή η διδακτορική διατριβή στοχεύει στο να συμβάλει στον τομέα της κυβερνοασφάλειας, κρυπταναλύοντας υπάρχουσες λύσεις αλλά και παρέχοντας πρακτικές λύσεις που ενισχύουν την ασφάλεια και την ιδιωτικότητα των συστημάτων που χρησιμοποιούν συσκευές με περιορισμένους πόρους, όπως τα συστήματα RFID και IoT.