تحليل امنيتي نسخه پروتكل بهبوديافته SPRS: يك پروتكل احراز اصالت براي سامانه‌هاي RFID

Cryptanalysis of the Improved SPRS Protocol: an Authentication Protocol for RFID Systems

پروتكل‌هاي احراز اصالت يكي از ابزارهايي هستند كه براي اطمينان از هويت طرفين ارتباط در فضاي سايبري استفاده مي‌شوند. اگر اين ‌چنين پروتكل‌هايي داراي ضعف باشند، امنيت فضاي سايبري با تهديدات جدي روبرو مي‌شود كه اين تهديدات در كاربردهاي دفاعي از اهميت فوق‌العاده‌اي برخوردار است. نويسندگان مقاله ]1[، با تحليل يك پروتكل احراز اصالت به نام SPRS ]2[، توسط حملاتي مانند كشف مقادير مخفي، جعل هويت برچسب و رديابي برچسب، نسخه بهبوديافته اين پروتكل را ارايه نموده اند. هم چنين ادعا شده كه اين پروتكل برخلاف نسخه پيشين خود هم در مقابل حملات وارده بر نسخه پيشين و هم در برابر ديگر حملات فعال و غيرفعال امن است. در اين مقاله نشان داده مي شو‌د كه پروتكل بهبوديافته هم در مقابل حمله كشف مقادير مخفي و حمله رديابي برچسب آسيب‌پذير است و امنيت آن با دو نسخه برون خط و برخط از حمله كشف مقادير مخفي به چالش كشيده مي‌شود. اساس حمله هاي ارايه شده در اين مقاله اين است كه با فرض Y=PRNG(X) و اين كه تابع يك تابع عمومي است و و هر دو 16 بيتي هستند، اجراي يك جستجوي جامع براي پيداكردن به عنوان پيش تصوير با حداكثر ارزيابي بيرون از خط تابع امكان‌پذير مي‌باشد. نسخه برون خط حمله با پيچيدگي يك بار شنود پروتكل و اجراي بار ارزيابي تابع مي‌تواند 4 مقدار مخفي 16 بيتي پروتكل يعني مقادير ، ، و را آشكار كند و نسخه برخط حمله با پيچيدگي دو بار جعل هويت برچسب‌خوان و اجراي بار ارزيابي تابع مي تواند اين 4 مقدار مخفي پروتكل را آشكار كند. با اين حملات كشف مقادير مخفي، پروتكل بهبوديافته SPRS درمقابل ديگر حملات فعال و غيرفعال ديگر هم امن نمي‌باشد. علاوه بر اين، يك حمله رديابي برچسب مستقل از طول تابع ارايه مي‌شود كه با استفاده از آن حمله‌كننده قادر است برچسب را بين دو نشست با برچسب‌خوان رديابي كند.

Authentication protocols are tools used to ensure the identity of the parties in cyberspace. If these protocols are compromised, the cyber security is threatened. These threats are of paramount importance in military applications. Recently, in [1] an authentication protocol, called SPRS has been considered and several attacks such as secret disclosure attack, tag impersonation attack and tag traceability attack have been applied on it. In addition, authors of that paper, presented the improved version of the protocol and claimed the improved protocol, unlike its predecessor, is secure against the attacks applied on the predecessor version and also other active and passive attacks.In this paper, we show that unfortunately, the security claims of authors do not hold and the improved protocol is also vulnerable against secret disclosure attack and tag traceability attack. We offer two versions of the secret disclosure attack which are offline and online versions. The basis of the attacks presented in this paper is that given Y=PRNG(X) and PRNG function is a public function and X and Y are 16 bits, performing an exhaustive search to find X as a pre-image of Y with a maximum of 216 off-line evaluations of PRNG function is possible. The offline version of the attack with the complexity of one run of protocol eavesdropping and doing 233 evaluations of PRNG function can disclose 4 secret values of protocol i.e. Ki, Pi, NT and EPCS which are 16 bits and the online version of the attack with the complexity of two times impersonating the reader and doing 217 evaluations of PRNG function can disclose these 4 secret values of protocol. Given these secret disclosure attacks, the improved protocol is not secure against other active and passive attacks as well. In addition, we propose a tag traceability attack to trace a given tag which does not depend on the length of the output of the PRNG function. Given this attack, an adversary can trace a given tag between any two sessions with the reader.