Криптографические методы защиты информации на более дешевых модулях

     
     Введение
     В современном мире автоматизация набирает огромную популярность. Если раньше данная тема затрагивала в основном промышленные объекты, то сейчас она активно развивается в сегменте обычных пользователей. Термины «умный дом», «умный чайник», «умная лампочка» и другие уже перестают быть чем-то новым, функционал интернет-вещей стараются внедрять в любое новое пользовательское устройство. Это очень удобно, так как доступ к данным устройствам становится возможным практически в любой точке мира, где есть доступ к сети Интернет.
     Устройства с таким функционалом в основном используют протокол Wi-Fi для подключения к локальной сети. Этот протокол избавляет устройства от использования проводных интерфейсов, но одновременно создает угрозу НСД для всей локальной сети в целом. Конечно, сам по себе протокол имеет средства защиты, но на текущий момент существует множество инструментов взлома и обхода этих мер, таким образом, защита данной сети не доставит злоумышленнику больших проблем.
     Некоторые производители беспроводных систем в своих решениях используют другие протоколы беспроводной передачи данных, примером может стать протокол ZigBee разработанный еще в 2003 году. Основным преимуществом данного решения является то, что в итоге пользователь получает самоорганизующуюся сеть с низким энергопотреблением. Это делает продукт более гибким и практичным. Однако у данного решения есть и минусы, а именно цена. За хороший модуль, с мощным передатчиком придется заплатить не малую сумму. Не стоит забывать и о безопасности, в данном случае она достигается за счет того, что протокол использует криптографические методы защиты. Злоумышленник перехвативший пакет данных не сможет извлечь какую-либо пользу для себя, так как информация зашифрована.
     В данной ВКР будут продемонстрированы криптографические методы защиты информации на более дешевых модулях. Вся сложность заключается в вычислительной сложности, так как практически во всех пользовательских устройствах используются маломощные микроконтроллеры, способные обработать лишь простые команды, но никак не алгоритмы шифрования. Требуется реализовать шифрование на микроконтроллере, а так же исправить некоторые недочеты связанные с криптостойкостью алгоритма.


1 Понятие и назначение IoT
     Интернет вещей (англ. Internet of Things, IoT) —представление вычислительной сети бытовых предметов, оснащённых встроенными контроллерами с приемо-передающим модулем для взаимодействия друг с другом или с внешней средой.
     
     Рисунок 1 – Общее представление IoT
     Если говорить про интернет вещей более понятно, то под ним самим термином понимается пространство, в котором существует взаимодействие цифрового и аналогового миров. Благодаря этому происходит переопределение наших отношений с объектами, а также выявляются их дополнительные суть и свойства.
     Впервые, про данную концепцию заговорили в далеком 1926 году. Никола Тесла был первым кто предложил что-то похожее. Его идея заключалась в объединении всех вещей в одно целое, используя радио. Элементы управления при этом будут не больше записной книжки и спокойно залезут в карман. Однако, первой интернет-вещью стал подключенный к сети тостер Джона Ромки, одного из создателей протокола TCP/IP. 
     В 2008 году количество устройств подключенных к сети стало гораздо больше чем пользователей имеющих доступ к ней. Это доказывает и показывает колоссальный рост интернет вещей, а также подчеркивает актуальность данной темы.
     Развитие этого направления требует создание четких границ взаимодействия, сферу и масштабы влияния. Большинство экспертов в качестве модели приводят 4х уровневую классификацию:
* 1-й уровень. Происходит идентификация каждого отдельного объекта.
* 2-й уровень. Разрабатываемые сервисы для обслуживания потребностей человека. В качестве примера можно рассмотреть систему «умный дом».
* 3-й уровень. Разрабатываемые сервисы для обслуживания и сбора информации с уровней находящихся ниже. Производиться обработка информации поступающей от жителей города или иного поселения. Данный уровень можно отнести к системе «умный город».
* 4-й уровень. Сложные технические системы, способные принимать и обрабатывать большие объемы информации поступающие со всей планеты. 


1.1. Передача данных в сети интернета вещей
     Передача данных между приборами должна быть стабильной и безопасной. Компания Cisco провела тщательный анализ, в результате чего пришла к выводу что к требованиям сетей нового типа может быть адаптирована технология IP. В данном случае под ним подразумевается только средство связи между разными устройствами, тогда как о едином машинном языке говорить пока не приходится. Но даже обладая таким стартом, можно говорить о том, что сложный массив отдельных единиц техники всё же будет стандартизирован, и это произойдёт по тому же принципу, как было с интернетом. 
     На сегодняшний день данная концепция опирается на две технологии:
  1. Радиочастотная идентификация (RFID). Метод позволяющий извлекать и записывать данные используя радиосигналы. Данная технология отлично подходит для отслеживания движений групп объектов. К примеру, можно взять бесконтактные пропуска, благодаря которым система всегда будет понимать где находиться владелец определенного пропуска, что может способствовать запуску определенного сценария событий.

Рисунок 2 – Принцип работы RFID
  2. Беспроводные сенсорные сети. Суть данного решения заключается в объединении датчиков и исполнительных устройств в одну общую, локальную сеть используя радиоканал. Расстояние между устройствами может достигать несколько сотен метров. Передача пакетов данных будет осуществляться за счет ретрансляции между элементами системы. Данное решение уже воплощено в жизнь и активно используется. Оно способно решить задачи логистики, управления и отказоустойчивости.

Рисунок 3 – Беспроводные сенсорные сети


1.2.  Сложность реализации
     На данный момент самой главной проблемой является отсутствие стандарта. Поэтому при процессе встраивания готового решения возникают значительные трудности. Также необходимо обеспечить автономность всех вещей, а именно создавать независящие от электросети датчики, способные получать электроэнергию из окружающей среды. Интерес представляет и то, чем будет являться интернет вещей без интернета. Ведь достаточно будет пропасть электричеству и все наработки могут оказаться ненужными. Поэтому необходимо будет обеспечить питанием не только миниатюрные датчики, но и обрабатывающие узлы системы.
      Еще одним тормозящим фактом является цена устройств и вообще затрат на развитие таких систем. Типичная лампочка, управляемая по технологии Wi-Fi, стоит приличных денег. В ее конструктив входит контроллер, светодиоды и неразборный корпус. Последнее является огромным минусом, так как после выхода из строя нескольких диодов, которые вполне можно заменить, пользователь выкидывает данной устройство, вместе с контроллером. Данный девайс удобен и практичен, но из-за конструктивных особенностей возникает вопрос о покупке чего-то более дешевого и ремонтируемого. Большинство фирм слишком сильно завышают цены на свои устройства, что отталкивает пользователей и соответственно тормозит развитие данной темы. 


2 Беспроводные средства связи в умных системах
     В современных умных системах часто предпочитают использовать беспроводные технологии передачи информации, это удобно с точки зрения эксплуатации и интегрирования. Информация в таких системах не имеет огромных объемов, также и не требуется высокая скорость передачи так как в основном содержимое пакетов данных является исполнительными командами. Основным критерием выбора технологии является помехоустойчивость и дальность связи. В рамках данной работы мы рассмотрим несколько решений, первым из которых будет Z-Wave.
     Z-Wave это беспроводной протокол связи созданный для автоматизации малых сооружений, к ним можно отнести жилые помещения и коммерческие объекты. В данной технологии используются маломощные радиочастотные модули малых размеров, которые можно интегрировать в бытовую технику и различные устройства, такие как устройства контроля доступа, осветительную и отапливаемую технику.
     
     Рисунок 4 – Логотип компании Z-Wave
     В отличие от других технологий, а именно Wi-Fi и других решений нацеленных в основном на передачу больших потоков информации, Z-Wave работает в диапазоне частот не превышающих 1ГГц и оптимизирована для передачи команд управления с минимальными задержками. Выбранный диапазон частот не был случайным, это обусловлено малым количеством устройств создающих помехи в данном диапазоне.
     Z-Wave в основном предназначен для разработки дешевых и энергоэффективных систем, а так же потребительских устройств которые могут работать даже на батарейках. Огромное внимание следует уделить системам безопасности разработанным на данной технологии. Практически любой датчик работающий от батарейки формата AA способен проработать около года, что является отличным показателем для беспроводных систем. 
     Z-Wave работает по ячеистой топологии сети, в которой исполнительное устройство может принимать и ретранслировать принятый ранее пакет данных к ближайшим узлам. Особенность данной сети является то, что она самоорганизующаяся и строиться относительно внешних факторов, таких как преграды, слабые помехи. Дополнительные устройства в данную сеть могут быть встроены в любое время. Каждому устройству в подсети назначается свой Network ID, который не может превышать значение 232, но это не значит что количество устройств ограничивается данной цифрой. Создание другой подсети решает данную проблему.
     Преимущества:
* Отсутствие проводных интерфейсов;
* Множество ключей шифрования для предотвращения клонирования пакета данных;
* Возможность увеличить количество устройство в любой момент времени;
* Совместимость со всеми устройствами из данного семейства;
* Легкость разработки ПО;
     Недостатки:
* Не подходит для передачи огромных объемов информации;
* Стоимость построения большой сети будет стоить дороже, чем проводная сеть;
* Требуются устройства ретрансляторы для передачи сигналов на большие расстояния.


2.1. Wi-Fi
     Это технология беспроводной сети позволяющая передавать огромные потоки данных на основе стандартов IEEE 802.11. Благодаря Wi-Fi можно быстро развернуть локальную сеть и подключить к ней все устройства поддерживающие этот стандарт. По сравнению с mesh сетями, данное решение проигрывает в надежности и энергопотреблении. Все устройства имеющие доступ к этой сети должны быть подключены к сети электропитания, так как данная сеть работает на частоте 2.4ГГЦ и 5ГГц что в свою очередь требует повышенного потребления электроэнергии.
     
     Рисунок 4 – Логотип Wi-Fi (Wi-Fi Alliance)
      В отличие от Z-Wave все клиенты имеют прямое подключение к центральному устройству и в случае каких-либо неполадок (помех, физических преград), у клиента нет возможности передать пакет данных используя другой сетевой путь. Конечно, все эти минусы становятся незаметными если взять во внимание тот факт, что изначально данная технология создавалась и создается для передачи больших потоков информации без использования проводных интерфейсов.
     Наибольшую популярность Wi-Fi завоевал в интернет вещах. Множество производителей внедряют его в свои бытовые устройства. Данное решение обуславливается тем, что данный протокол способен полноценно работать с сетями интернет и благодаря этому с легкостью можно управлять этими устройствами из любой точки мира. 
     Радиоканал используемый для передачи информации потенциально подвержен вмешательству с целью перехвата информации. В качестве мер защиты предусмотрены как аутентификация, так и шифрование, однако эти элементы защиты имеют свои изъяны. Шифрование требует множество вычислительных операций что снижает скорость передачи данных. Изначально в качестве стандарта шифрования использовался WEP (Wired Equivalent Privacy), который вскоре был признался не эффективным средством защиты за счет уязвимостей в алгоритме распределения ключей RC4. Через некоторое время был создан стандарт WPA (Wi-Fi Protected Access) использующий в своей работе протокол целостности временных ключей TKIP (Temporal Key Integrity Protocol) и метод расчета контрольной суммы MIC (Message Integrity Code) для проверки целостности пакетов. Вскоре был выпущен стандарт WPA2 использующий ассиметричное шифрование AES-256.
     Тема блокировки каналов связи злоумышленником не получила должного внимание по сравнению с темой шифрования. Благодаря физической природе технологии Wi-Fi, информационный сигнал способен преодолевать некоторые препятствия и выходить за границы объекта защиты.
     
     Злоумышленник при наличие необходимого оборудования способен перехватить пакеты данных и извлечь MAC-адреса отправителя и получателя. Используя эту информацию можно отключить устройство отправителя, перехватывать конкретные пакеты данных, вывести из строя Wi-Fi маршрутизатор путем отправки ему ложных пакетов на обработку. А так же существует вариант атаки в следствии которого возможно заглушить один или несколько каналов связи, тем самым сделать данную беспроводную сеть совершенно бесполезной.
     Криптографические методы защиты – это лишь вопрос времени. На сегодняшний день существует множество инструментов и методов взлома. Заполучив адрес отправителя (клиента) злоумышленник может сформировать запрос на деаутентификацию после чего Wi-Fi маршрутизатор завершит данную сессию. Клиент потеряв соединение отправит зашифрованный благодаря WPA2 запрос на создание новой сессии. Злоумышленник может перехватить данное сообщение и начать расшифровку пакета путем перебора ключей. После данных манипуляций безопасность сети будет зависеть от того, насколько быстро завершиться алгоритм подбора ключей. Скорость работы алгоритма зависит от вычислительной мощности устройства исполняющего данную задачу. Так же эту задачу возможно распараллелить, используя другие вычислительные машины или подключить GPU ускорители позволяющие существенно ускорить процесс расшифровки. Когда процесс расшифровки будет закончен, злоумышленник получит пароль для текущей сети, после чего сможет без проблем аутентифицироваться и получить полноценный доступ к сети.
     Так же следует упомянуть важную деталь. Несмотря на то что Wi-Fi энергозависимое устройство, его используют в большинстве умных систем, а именно для выгрузки информации с домашнего сервера умного дома на внешние сервера обслуживающей компании. Данное решение обусловлено тем, что большинство устройств обеспечивающих домашнюю автоматизации не имеют возможности выхода в интернет.
     Преимущества:
* Возможность развертывания сети без использования кабеля, что уменьшает стоимость реализации.
* Возможность получения доступа к сети мобильными устройствами.
* Доступ к сети без использования проводных интерфейсов.
* В пределах распространения Wi-Fi сигнала множество пользователей имеет возможность выхода в интернет.
     Недостатки:
* В используемом диапазоне частот работает множество других устройств, что вызывает помехи и ухудшает качество сигнала.
* Стандарты шифрования на текущее время устарели. Взлом любой точки доступа с помощью подбора ключей занимает 1–2 дня.
* Частотный диапазон в разных странах отличается. 


2.2. ZigBee
     Это стандарт для набора протоколов связи высокого уровня, который реализуются на маломощных, малогабаритных, цифровых трансиверах функционирующих на стандарте IEEE 802.15.4-2006 для организации беспроводных пользовательских сетей используя коротковолновой диапазон частот. ZigBee был разработан для устройств функционирующих в радиоволновом диапазоне где необходимы такие параметры как простота использования, минимальное энергопотребление и безопасность передачи данных по сети.
     
     Рисунок 4 – Логотип ZigBee
     На сегодняшний день данный протокол охватывает множество направлений. Наиболее популярными можно назвать такие направления как:
* Домашняя автоматизация
* Автоматизация строительства
* Телекоммуникационные приложения
* Медицинский уход
* Устройства развлекательного характера
* Рациональное распределение электроэнергии
     Так как ZigBee модуль может активироваться за 15мс и меньше, задержка «ответа» устройства может быть минимальной по сравнению с Bluetooth задержка которого обычно достигает 3 секунд. Экономия электроэнергии достигается за счет спящего режима, так как большую часть времени цифровой трансивер бездействует и отключает некоторые аппаратные модули. 
     Данный стандарт, как и Z-Wave, функционирует с использованием mesh-сетей. Ячеистая топология с возможностью перестраивать маршруты в случае неполадок на одном из узлов – идеальное решение для отказоустойчивой сети
     Безопасность в ZigBee достигается за счет использования криптографических средств защиты. Все пакеты данных проходящие через промежуточные устройства зашифрованы. В качестве алгоритма шифрования используется AES-128 ключ которого постоянно меняется. Вся вычислительная задача данного алгоритма исполняется трансивером, поэтому производитель устройства должен закладывать 30-40% избыточной вычислительной мощности, для быстрой обработки пакетов данных. Огромные задержки в сети построенной с использованием данного стандарта приведет к медленному реагированию всей системы в целом, что сделает ее практически бесполезной.
     Так же стоит обратить внимание на процедуру лицензирования. Стандарт ZigBee доступен всем пользователям при условии его некоммерческого использования. Чтобы стать коммерческим разработчиком требуется вступить в членство альянса ZigBee, после чего появляется доступ к еще не опубликованным спецификациям и возможность производства устройств для продажи.
     Преимущества:
* Малое потребление энергии
* Поддержка диапазонов ниже 1ГГц
* Откзоустойчивость
     
     Недостатки:
* Малая пропускная способность
* Сложность лицензирования для коммерческих предприятий
     

     
     

.......................