RFID 보안 인증 프로토콜 발표자: 대구대학교 최 현 민 2006년 08월 01일
목 차 RFID 시스템 개요 RFID 보안의 취약성 RFID 보안 요구사항 RFID 보안 프로토콜 보안 방식별 비교 분석 결론 목 차 RFID 시스템 개요 RFID란? RFID vs 바코드 시스템 RFID 구성 RFID의 장점/문제점 RFID 보안의 취약성 RFID 보안 요구사항 RFID 보안 프로토콜 Kill command feature Hash lock 방식 Randomized Hash lock 방식 External re-encryption scheme(외부 재 암호화 기법) Hash-chain 기반 기법 보안 방식별 비교 분석 결론
RFID 시스템 개요 RFID란? 자동인식(Autonmatic Identification)기술의 하나 정보가 저장된 사물을 물리적인 접촉없이 무선(RF : Radio Frenquence)에 의한 인식 기술이다. 빠른 응답속도로 원거리에서도 인식이 가능하고, 여러 개의 정보를 동시에 판독하거나 수정가능. 데이터 인식 오류가 거의 없고, 인식 가능 범위가 넓음. RFID Tag는 재사용성이 가능함. 최대 521KB의 메모리를 가지고 있어 넉넉히 데이터 저장이 가능함
RFID 시스템 개요 RFID vs 바코드 시스템
RFID 시스템 개요 RFID 구성 데이터를 저장하는 RFID 핵심 기능 태그에 읽기와 쓰기가 가능하도록 하는 장치 태그(Tag) 데이터를 저장하는 RFID 핵심 기능 리더(Reader) 태그에 읽기와 쓰기가 가능하도록 하는 장치 서버(Server) 태그에서 전송된 정보의 복호 및 해독
RFID 시스템 개요 RFID의 장점 RFID의 문제점 반영구적 사용 대용량의 메모리 내장 이동중이거나 원거리 인식가능 다수의 정보를 동시에 인식 가능 반복 재사용 가능 공간 제약이 없이 동작 가능 RFID의 문제점 주파수 대역의 한계 바코드에 비해 높은 비용 스마트 카드에 비해 메모리 용량 낮음 보안기능 리더가 ID를 요청하면 도청이 가능 이용자의 인식 없이 섬유, 플라스특등 모든 사물에 탑재될 수 있어 리더에 의해 정보가 읽혀지게 됨
RFID 보안의 취약성
RFID 보안의 취약성 사용자 프라이버시 침해 기존의 가상 공간 공격은 물리적인 공간으로 확대됨 언제, 어디서나 태그 소유자 및 환경 정보 모니터링 가능 태그 소유자 및 태그 부착 아이템에 대한 위치 추적 여러 개의 리더로부터의 정보를 가공하여 거래내역 추적 가능 기존의 가상 공간 공격은 물리적인 공간으로 확대됨 센서 및 액츄에이터와 같은 I/O장치에 대한 공격으로 물리적인 공격 가능 태그 위변조 방지 및 접근 제어 기술 구현의 어려움 Tamper resistance 기술 적용의 어려움 기존의 보안 기술을 사용한 위변조 방지 및 접근 제어 기술 적용의 어려움
RFID 요구 사항 RFID 보안 요구 사항 태그의 응답이 공격자에겐 무의미해야 함. 태그의 ID를 공격자가 알 수 없어야 함 기밀성 제공(Confidentiality) 태그의 응답이 공격자에겐 무의미해야 함. 익명성 제공(Anonymity) 태그의 ID를 공격자가 알 수 없어야 함 사용자의 소지품 정보 노출 방지 불추적성(Untracebility) 태그를 추적할 수 없어야 함 기밀성과 익명성을 포괄하는 개념으로 불구분성+전방향 안전성을 가져야 함 위조(frogery)방지 공격자의 응답이 다른 태그로 인지되는 것을 막아햐 함
RFID 요구 사항 전방향 안전성 (forward security 불구분성 (Indistinguishability) 공격자가 태그의 현재 내용을 읽더라도 이전에 태그가 방출한 값을 알아 낼 수는 없음 불구분성 (Indistinguishability) 한 태그의 응답을 다른 태그의 응답과 구분하지 못하는 것 (향후 추적을 불가능하도록 하기 위해)
RFID 보안 프로토콜 Kill command feature(Kill 명령어의 접근법) 유일한 8비트 패스워드를 가지는 각 태그는 패스워드를 전송하자마자, 태그 스스로 자신의 정보를 삭제 시키는 방식이다. Kill command feature 문제점 태그를 이용한 정보 관리나 태그의 재사용 등의 RFID시스템의 장점을 제거해 버린다. 패스워드 길이가 8비트이므로, 공격자로 하여금 쉽게 패스워드 추측을 가능하게 만드는 문제가 있다.
RFID 보안 프로토콜 Hash lock 방식 리더는 각 태그 마다 유일한 키(k)를 가지고 있다. 태그는 mataID=H(k)를 가지고 있다. 태그는 자신의 mataID를 리더에 보낸다. 리더는 이에 해당하는 키(k)를 태그에 보낸다. 태그는 리더로부터 받은 키(k)를 해쉬한 값과 자신의 metaID를 비교하여, 그 값이 동일하면 자신의 ID를 전송한다. Query Reader Tag SERVER mataID mataID (key,ID) key ID
RFID 보안 프로토콜 Randomized Hash lock 방식 각 태그는 난수 생성기로 부터 생성된 난수값(r)과 자신의 ID를 연접하여 해쉬값, c=H(ID∥r)을 계산한후, c, r을 리더에 전송한다. 리더는 이 값(c,r)을 서버에 전송한다. 서버에는 각 태그의 ID가 저장되어 있으므로, 서버는 정송받은 c와 같은 값이 나올 때까지 모든 태그의 ID와 전송받은 r을 해쉬하여 c와 관련된 ID를 검색하고, 이것을 리더에 보낸다. Query Reader Tag SERVER H(ID∥r) Get all IDs ID1, ID2,…IDn IDk
RFID 보안 프로토콜 External re-encryption scheme(외부 재 암호화 기법) 문제점 인증 기관에서만 추적이 가능하도록 인증 기관의 공개키로 암호화하는 방식 주기적으로 태그 정보를 재암호화(re-encryption) 매우 제한적인 연산자원(computing resource)만을 가짐 재암호화는 보안이 보장되는 외부 기계를 통해 수행 문제점 상당한 양의 연산자원 요구 재암호화를 위한 임프라를 구축하는 것은 큰부담 현실적으로 구현시 많은 어려움이 있다.
RFID 보안 프로토콜 Hash-chain 기반 기법 si si+1 ai ai+1 서버는 각 태그(Tt, t=1, …, m)에 대해 랜덤 값 st,1을 생성하여 태그(Tt)에 st,1을 저장하고, 자신의 데이터베이스에도 각 태그의(IDt, st, 1)를 저장해 둔다. 태그(Tt)는 at,1 = G(st,1)를 계산한 후 값을 리더에게 보내고, 이전의 자신의 비밀 값 St,1를 St, i+1= H(St , 1)로 갱신한다. 리더는 태그로 부터 받은 정보 at,1을 서버에 보내고, 서버는 at,1값이 나올 때까지 자신의 데이터베이스에 저장된 모든 태그의 st,1을 해쉬한 후 , 해당 태그의 IDt를 검출하여 리더에 보낸다. si si+1 ai ai+1 H G
보안 방식별 비교 분석 보안방식 보안요구도의 충족도 태그 연산 장 점 단 점 태그 보호 트래킹 전방위 안전성 Kill 명령어 일부 만족 일부 만족 없음 구현 용이 짧은 패스워드에 대한 공격의 위험성 존재, 태그의 재사용 여부 Hash lock 방식 않음 만족 않음 해쉬 추적기능, 태그 위조 가능 Randomized Hash lock 방식 해쉬, 난수발생 보안요구사항 난수 발생기의 구현 필요, 백-앤드 서버의 계산 로드 External re-encryption scheme 방식 이론적으로 가장 안전 외부 유닛 필요, 비현실적 Hash-chain 기반 기법 저가의 연산으로 보안 요구사항 만족 안전성 검증 미비, 저가의 해쉬함수 구현 연구 필요
결론 낮은 비용으로 암호화 프로세스가 가능한 RFID를 개발하고 구현. 해시함수, 난수 생성기, 대칭키 암호, 비대칭키 암호등의 경량화 연구 포함 수동형 RFID 태그에 적용 가능하여야만 시장성이 있다. 표준화된 RFID의 보안 요구 사항에 대한 정의 및 정형화된 기법은 존재하지 않으며, 보안연구에 표준화 작업이 중요