RFID 보안위협 및 보안기술 현황 유비쿼터스 정보보호 Workshop 2008 ETRI 부설연구소 한대완(dwh@ensec.re.kr) 2008. 5. 29. 유비쿼터스 정보보호 Workshop 2008

목 차 1 2 3 4 5 RFID 시스템 개요 정보보호 관점에서 본 RFID의 특성 RFID 취약점 분석 사례 결 론

RFID란? 바코드 RFID tag Radio Frequency Identification RFID 도입의 목적 Identify physical objects through a radio interface RFID 도입의 목적 : 물류, 운송, 유통, 재고 관리 등의 효율성 개선 바코드 RFID tag 빠르고 자동화된 인식이 가능 Line-of-sight Radio contact 유일한 코드로 데이터 베이스에 저장됨 Specifies object type Uniquely specifies object

RFID 시스템 Reader Server: Secure Tag Reader: Insecure RFID 보급 확산, 정보보호 등 모든 면에서 태그가 Key 요소

RFID 태그의 분류(주파수별) 종류 저주파(LF) 고주파 (HF) 극초단파 (UHF) 마이크로파 주파수 120-140 KHz 13.56 MHz 433 860-960 MHZ 2.45GHz 인식 거리 수십 cm 수 m 수십 m 가격 저가 중저가 고가 용도 동물식별 재고관리 출입통제 스마트카드 컨테이너 식별 유통 물류 차량흐름통제 종이내장 인식속도 저속 고속 환경영향 강인 민감 태그크기 대형 소형

“RFID 정보보호”의 주요 대상 태그: 저가격 RFID ! 종류 가용자원 가 격 용 도 정보보호 비교적 용이 스마트 태그 풍부 고가 스마트카드 Mifare DESFire 어려움 “저가격” RFID 부족 저가 EPC태그 Mifare Classic “RFID 정보보호”의 주요 대상 태그: 저가격 RFID !

목 차 1 2 3 4 5 RFID 시스템 개요 정보보호 관점에서 본 RFID의 특성 RFID 취약점 분석 사례 결 론 7 7

제3자의 정보 획득 용이성 태그는 리더의 요구에 수동적으로 반응함 Who? I’m ~~ (별도의 정보보호 기능이 없는 한) 태그는 정당한 리더와 임의의 리더를 구분하지 못함 (별도의 정보보호 기능이 없는 한) 태그 내용이 제3자에게 그대로 노출됨

비대칭적 통신 채널 Forward Channel(리더->태그): 통신 거리가 긺 Backward Channel(태그->리더): 통신 거리가 짧음 Reader Tag Eavesdropper Backward Channel Range (~5m) Forward Channel Range (~100m) 태그의 많은 정보를 Forward Channel의 신호만으로 먼거리에서 알 수 있음 => 수동적인 도청이 쉬움!

물리적 공격에 취약 태그의 물리적인 획득, 훼손, 삽입이 쉬움 태그의 복제가 쉬움 - 능동 또는 수동적인 방식에 의한 태그 정보 획득이 쉬움 - 태그 정보를 다른 태그에 삽입하는 것도 쉬움 이러한 성질을 이용한 공격 => RFDump Note ! - RFDump가 가능하다는 사실은 RFID의 특성이므로, - RFDump를 방지 또는 의미 없게 만드는 정보보호 방식의 적용이 필요함

목 차 1 2 3 4 5 RFID 시스템 개요 정보보호 관점에서 본 RFID의 특성 RFID 취약점 분석 사례 결 론 11 11

분석사례 개요 13.56MHz 시스템 위주 다양한 기술의 복합 적용 분석 결과의 파급력 Q: RFID의 문제? 기술적으로는 다른 주파수대역 시스템도 비슷하게 가능 파급 효과 면에서 13.56MHz 시스템이 주 분석 대상이 됨 금융, 사용자 인증 등 정보보호가 고려되어야 하는 서비스 보안 알고리즘 탑재 다양한 기술의 복합 적용 RFID 통신 분석 기술 S/W, H/W 역공학(reverse engineering) 기술 암호 알고리즘 분석 기술 분석 결과의 파급력 공격 가능성이 다른 분야 시스템들에 비해 비교적 현실적 보완 및 대응이 쉽지 않음 Q: RFID의 문제? A: 사례 분석을 통해

RFDump 시연 L. Grunwald, RF-ID and Smart-Labels: Myth, Technology and Attacks, Blackhat Breifings 2004, Las Vegas, July 2004. Available at http://rf-dump.org 태그 정보 추출 RFID 보안 취약성 관련 최초 시연 13.56MHz 태그 정보 추출 후 동일 태그 복제 관련 소프트웨어가 모두 공개되어 있음 http://rf-dump.org

자동차 스마트키 복제 S.C. Bono et al., Security Analysis of a Cryptographically-Enabled RFID Device, 14th USENIX Security Symposium, 2005. TI사의 스마트키 통신도청 암호키 해킹 장비 태그 복제 태그 정보 전달 TI사의 자동차 스마트키 DST의 복제 성공 인증 알고리즘의 역공학을 통한 복원 키크기가 40비트 전수조사에 의해 키복원 후 복제

의료용 RFID 복제 Demo: Cloning a Verichip, July 2006. http://cq.cx/verichip.pl A: RFID 통신 도청장치 B: 안테나 태그 UID 추출 통신 도청 의료용 RFID 태그 태그 복제 장비

전자여권 BAC키 복원 E-passport hack demonstrated on Dutch TV, http://www.heise.de/english/newsticker/news/69197, Feb. 2006 도청을 통해 얻은 정보를 이용해 BAC 키가 복원 가능함을 보임 키의 entropy가 작아서 더 취약해짐 주의: 전자여권 전체의 취약성을 의미하지는 않음(복제 가능성을 의미하지 않음) 전자여권 RFID 통신 도청장비 BAC 키 해킹장비 도청 통신정보 전달

< Assembled Credit Card Emulator > RFID 신용카드 취약성 분석 T.S. Heydt-Benjamin et al., Vulnerabilities in First-Generation RFID-enabled Credit Cards, FC 2007, LNCS 4886, 2-14, Springer-Verlag, 2007. 2006년 미국에서 발급된 20여 종의 RFID 신용카드 분석 모든 카드들은 replay 공격에 취약함 모든 카드들은 skimming에 의한 사용자 위치추적이 가능함 일부 카드들은 skimming에 의해 얻은 정보로 다른 거래가 가능함 주의: 잘못된 운용 방식으로 인한 문제 => 보완 가능 < Assembled Credit Card Emulator >

Mifare RFID카드 취약성 분석(1/4) What is Mifare ? 네덜란드 필립스사에서 개발된 비접촉식 카드(ISO/IEC 14443A) 현재는 NXP 반도체에서 개발,보급 전세계적으로 10억개 이상 사용 교통카드, 신분증, 출입보안, 금융 서비스 등 40여개 응용분야 종류 Mifare Ultralight 512byte 메모리, 보안기능 없음 용도: 1회용 티켓(네덜란드 1회용 교통카드) Mifare Classic 메모리 크기에 따라 1K, 4K, Mini로 분류, 보안기능 제공 용도: 교통카드, 출입카드 등(영국 Oyster 교통카드) Mifare DESFire 스마트카드 표준 ISO/IEC 7816 지원 T-DES를 비롯한 높은 보안기능 제공 용도: 고비도 금융 카드

Mifare RFID카드 취약성 분석(2/4) 분석 결과 출처 K. Nohl et al., Mifare - Little security despite Obscurity, http://events.ccc.de/congress/2007/Fahrplan/events/2378.en.html P. Siekerman et al., Security Evaluation of the disposable OV-chipkaart, v1.6, July, 2007 N.T. Courtois et al., Algebraic Attacks on the Crypto-1 Stream Cipher in MiFare Classic and Oyster Cards, IACR ePrint 2008/166 전자신문 2008년 3월 14일자 “IC카드칩 ‘마이페어’ 해킹 노출” 주요 분석 내용 Mifare Ultralight RFDump를 통한 새로운 카드 복제 가능(제작비: 40유로) 네덜란드 1회용 교통카드의 경우 복제 후 영구 사용 가능 Mifare Classic H/W 역공학을 이용하여 암호 알고리즘(Crypto-1) 복원 대수적 공격을 이용하여 Crypto-1 해독

Mifare RFID카드 취약성 분석(3/4) Mifare Classic 분석 내용 H/W 역공학을 이용한 Crpyto-1 알고리즘 복원 암호의 통계적특성과 난수발생기의 약점을 이용한 위조카드 제작 성공 카드 UID와 암호 key 간에 상관관계가 존재함 PC를 이용 수 분만에 위조카드 제작 가능 Crypto-1 알고리즘의 암호학적 해독 후 복제카드 제작 성공 SAT-solver를 이용한 스트림암호에 대한 대수적 공격 적용 초기값을 알 경우 50비트 키스트림으로 200초 이내에 키 복구 가능 현실적인 적용 가능성 런던 교통카드(Oyster Card)의 경우 단 1회의 수동적 도청으로 수 분 안에 비밀키 복원 후 복제 가능한 것으로 보고됨

Mifare RFID카드 취약성 분석(4/4) Q: RFID의 문제인가? 역공학을 통한 암호 알고리즘 복원은 RFID와 큰 연관은 없음 공격에 필요한 데이터 획득이 용이함 도청, Sniffing 등이 사용자의 인지 없이 가능함 획득한 정보의 악용이 용이함 보안 기능 없는 태그의 경우 메모리 write로만 복제 가능 실험실 제작 수준의 보드형 태그로도 태그 위장 가능 예) 출입카드, 교통카드 등 암호 알고리즘의 취약성은 RFID와 밀접함 RFID의 통신, 구현, 동작 환경의 열악함 경량 암호 알고리즘 채택이 불가피 알고리즘의 암호학적 안전성 저하

목 차 1 2 3 4 5 RFID 시스템 개요 정보보호 관점에서 본 RFID의 특성 RFID 취약점 분석 사례 결 론 22 22

RFID 정보보호 개요 RFID 정보보호의 목적 RFID 정보보호방식의 핵심 RFID 보안기술의 분류 태그의 위조 방지 태그 관련 정보의 노출 방지 사용자 프라이버시 보호와 연관 RFID 정보보호방식의 핵심 태그와 리더의 (강화된) 양방향 인증 기능 제공 RFID 보안기술의 분류 물리적 보안 기술 패스워드를 이용한 보안 기술 암호 프로토콜을 이용한 기술

물리적 보안 기술 Blocker tag Kill tag Active Jamming Clipped tag 사용자 프라이버시 보호 목적 구현은 용이하나, 범용 환경에 적용 불가

패스워드를 이용한 기술 EPC Class 1 Gen 2 태그의 핵심 정보보호 수단 암호학적으로 안전하지 못 함 태그 내 Kill, 잠금, 접근 패스워드 저장 후 필요시 리더 인증 암호학적으로 안전하지 못 함 패스워드 길이가 32비트 이하이며, 능동 공격 등에 안전하지 못 함

암호 프로토콜을 이용한 기술(1/3) 해쉬함수 기반 인증 프로토콜 비밀키 암호 기반 인증 프로토콜 공개키 암호 기반 초창기에 제안된 Hash Lock(S. Weis), Okubo 스킴 등을 비롯한 수십 여종 이론적으로 안전하나, 구현 가능성 면에서 현실적이지 못하여 최근에는 연구되지 않는 추세임 비밀키 암호 기반 인증 프로토콜 AES 경량 구현(M. Feldhofer) 등을 통한 블록암호 기반 표준 인증프로토콜 구현 경량 블록암호(HIGHT, LDES 등) 및 스트림암호(eSTREAM 후보 알고리즘들) 설계 AES 경량 구현의 경우 동작속도 상에 문제가 있음 새롭게 제안된 알고리즘들의 경우 세밀한 안전성 분석이 요구됨 공개키 암호 기반 ECC 경량 구현을 통한 공개키암호 기반 인증프로토콜 구현 현재 기술로는 저가용 태그에 적용이 가능한 수준은 아님

암호 프로토콜을 이용한 기술(2/3) 암호 알고리즘의 경량 구현 결과 알고리즘 칩면적 (Gates) 출처: M. Feldhofer, RFIDSec’07 (0.35 μm CMOS 공정) 알고리즘 칩면적 (Gates) 전력소모(μA@100kHz) 속도 (Clock cycles) 요구조건 < 6,000 < 15 ? (32) AES-128 3,400 3.0 1,032 SHA-256 10,868 5.83 1,128 SHA-1 8,120 3.93 1,274 Trivium 3,090 0.68 (1,603) + 176 Grain 3,360 0.80 (130) + 104 ECC-192 23,600 13.3 500,000

암호 프로토콜을 이용한 기술 (3/3) 최근 연구동향 RFID 보안 프로토콜 설계시 주의사항 경량 암호 연산에 기반한 프로토콜 제안 RFID 정보보호 관련 가장 최근 연구동향 신규 난제 기반 프로토콜: HB+(A. Juels)를 비롯한 그 아류 프로토콜 들 경량 연산 논리 사용 프로토콜: LMAP, EMAP 등 EPC 제공 함수 기반 프로토콜 이론적 안전성 모델 정립 노력이 활발 RFID 시스템에 있어서 공격 및 안전성 모델 정립 기 제안 및 신규 제안 프로토콜들의 안전성 증명 노력 현재까지 완벽한 효율성과 안전성을 제공하는 프로토콜은 없음 Ref: http://www.avoine.net/rfid/ RFID 보안 프로토콜 설계시 주의사항 구현 면적 못지 않게 동작속도, 통신량 등이 중요 태그에서 난수 생성의 문제점 HB류 프로토콜의 현실성?

목 차 1 2 3 4 5 RFID 시스템 개요 정보보호 관점에서 본 RFID의 특성 RFID 취약점 분석 사례 결 론 29 29

결 론 RFID의 확산은 명약관화 RFID 정보보호 취약성의 문제점 RFID 정보보호 동향 제안 사용자 편리성 증대 + 업무 효율성 및 생산성 향상 효과가 가시화됨 각국 정부의 확산 의지가 강함 RFID 정보보호 취약성의 문제점 이론적 과장이 아닌 실생활에서 침해 사례가 나타나고 있음 RFID 신용카드, Mifare 카드의 예 서비스 특성상 사후 보완에 어려움이 큼 RFID 정보보호 동향 초창기 heuristic한 접근 방식은 지양되고 있음 암호학적으로 엄밀한 안전성 모델 수립 및 분석이 진행 중임 안전성과 실제 환경을 고려한 현실적인 프로토콜들이 제안되고 있음 제안 RFID 정보보호 필요성에 대한 인식 제고 및 홍보가 필요함 다양한 학계, 산업계, 정부 기관의 공동 연구 및 대응 필요성 RFID 정보보호 기술의 지속적인 연구 개발이 필요함 현실적인 적용 가능성 + 이론적 엄밀함

감사합니다.