Hazırlayan : Mehmet Tülümen
1 . Digital Signature Transponder Nedir ?
2. DST Nasıl Ortaya Çıktı Ve Nerelerde Kullanılıyor ?
3. DST’ nin Çalışma Prensibi
4. DST’ nin Zayıf Yönleri
5. DST’ ye Saldırı
5.1. Tersine mühendislik
5.2. Anahtar Kırma
5.3. Simülasyon(benzetim)
6. İlgili çalışmalar
7. Sonuçlarımızın Pratik Faydaları
Giriş
Bu yazımızda , Texas Inst. tarafından, özellikle RFID cihazlarda , güvenlik amacı ile kullanılmakta olan Digital Signature Transponder yani DST40 algoritmasını inceleyeceğiz. Bu algorimanın nasıl geliştiğini, nerelerde kullanıldığını, ne düzeyde bir güvenlik sağladığını , algoritmasını ve saldırı yöntemlerini incelemeye çalışacağız.
1 . Digital Signature Transponder Nedir ?
Kısaca DST olarak bahsedeceğimiz Digital Signature Transponder Texas Instrument tarafından RFID sistemlerde kullanılmak üzere geliştirilmiş blok şifreleme mantığı ile çalışan, özünde Hellman algoritmasını barındıran bir şifreleme tekniğidir. Ortaya çıkış amacı radyo frekanslı sistemlerde güvenliği sağlamaktır. Otomobillerdeki kilit tanıma sistemleri, RFID etiketlerdeki güvenlik sistemleri tamamen DST algoritması ile korunmaktadır. 40 Bitlik bir anahtar sayesinde yapılan bu şifreleme tekniği aslında çokta zorlayıcı bir şifreleme tekniği değildir. Aşağıda bahsettiğimiz bölümlerde bunu daha iyi anlayacağız. Ancak öncelikle bu konuya derinlemesine bir göz atmalıyız.
2. DST Nasıl Ortaya Çıktı Ve Nerelerde Kullanılıyor ?
Radyo Frekans Kimlik Tespiti( RFID), okuyucuları arasında yapılan sorgulamalar sonucunda benzersiz kimlik tanımlayıcıları yayan küçük kablosuz cihazlara verilen genel bir addır. Walmart ve daha başka bazı büyük organizasyonlar önümüzdeki birkaç yıl içinde iddialı kurulum planları, RFID’ ye duyulan sert dönüşümleri olan ticari ve bilimsel içerikli bir ilgi ile teşvik etti. RFID cihazlarının en yaygın kullanım alanı özellikle tedarik zincirlerde EPC (Electronic Product Code) etiketi olarak bilinen biçimdedir. Bu RFID cihazı Sınıf 1 Jenerasyon 2 olarak tanımlanmış ve yakın zamanda düzenlenen etkin bir sanayi konsorsiyumunda EPC-global olarak adlandırılmıştır. EPC etiketleri çok az maliyetle üretilebilmeleri için tasarlanmıştır. Öyle ki 5 sent/1 ünite kadar bir değer üzerinden çok sayıda üretilmeleri mümkün olacak. Bazen kablosuz barkodlarla aynı etkide görülürler. Kimlik tanımlama hizmeti sunmayı hedeflerler, dijital bir yetkilendirme buradaki amaç değildir. Tabi ki, temel bir EPC etiketi, simetrik kripto grafik ilkeleri bile uyarlamaya yeterli devre sistemine sahip değildir.
Terim olarak RFID, her ne kadar, EPC etiketi olarak ifade edilse de, çeşitli yetenekleri olan kablosuz cihazların bir kümesi olarak görülebilir. Daha karmaşık ve pahalı RFID araçları ise, kripto grafik fonksiyonlar sunabilirler ve böylece yetkilendirme metotlarını destekleyebilirler. Bunlardan en ünlülerinden biride DST olarak bilinen cihazlardır. Texas Instruments tarafından üretilen DST’ler geniş çapta kurulum ve yüksek maliyeti olan(finansal ve diğer) geniş çapta güvenlik zaafları ile bilinen birkaç farklı uygulamada kullanılmaktadır. Bunlar ;
Araç Kilitleyiciler (immobilizer) : 150 milyondan fazla araç hareket kilitleyici anahtarı birçok günümüz arabaları, örneğin 2005 model FORD gibi, Texas Instruments’ın düşük frekanslı RFID sinyal çözücüleri ile çeşitli bölgelere gönderilmiştir. Bu sayı kript grafik güvenlik sunmayan ön tanımlı (fix-code) sinyal çözücüler de dahil, daha yeni modellerdeki DST’leri de kapsar. Araç hareket kilitleyiciler aracın yakıt enjeksiyon sistemindeki marş anahtarının izin koşulunu sağlayan gömülü RFID sinyal çözümleyicileri kendi konumlarına göre aralarında sorgulayarak çalınmış araçları belirleyebilirler. Bu cihazlar araba hızsızlıklarının %90 gibi bir oranla belirgin düşüşü ile doğrudan ilgilidir.
Elektronik Ödeme: DST’ler Exxon-Mobil SpeedPassTM tarafından, dünya üzerinde 10000’den fazla noktada kabul görmüş olan yedi milyondan fazla kriptografik erişimli anahtar zinciri etiketler içinde kullanılmaktadır.
DST, küçük bir mikroçip ve anten bobinin plasik veya cam içinde kapsüllenmesinden oluşur. Bu pasif bir cihaz olup, bunun anlamı ise herhangi monte edilmiş güç kaynağından ziyade, bir sorgulama sinyalinin gönderdiği elektromanyetik alan ile dış kaynaklı bir güç elde ederek çalışmaktadır. Bu kısım daha çok RFID çalışma prensibine girdiği için derinine girmeyeceğiz. Bilinmesi gereken tasarımın bu şekilde seçilmiş olması ile daha az yer kaplayan ve daha uzun ömürlü bir radyo sinyal alıcısı olmasına izin verilmiştir.
3. DST’ nin Çalışma Prensibi :
DST, Radyo Frekans komutları ile her alanda kullanımı mümkün 40-bit’lik şifrelenmiş gizli bir anahtar barındırır. Bir okuyucu ile iletişime geçtiği andan itibaren, DST fabrika ayarları ile gelen 24-bitlik bir tanımlama sinyali (ID) yayar ve gelen sorgu-yanıt protokol cevabına göre kendisini yetkilendirir. Bunun üzerine okuyucu 40-bitlik bir sorgu yollar. DST bu sorguyu verilen anahtar altında çözümler ve bunu 24-bitlik yeni bir yanıt olacak şekilde sonuçlanan kısaltılmış şifreli bir metin yollar.
Şekil 1.0 DST 40 Algoritmasının Gerçeklenmesi
Yukarıdaki grafikte görüldüğü üzere F kutuları sisteminin zayıf yönleridir. F kutularını çözen kişi sistemi kolayca alt edebilir. F kutularının çalışma şemasını DST’ ye saldırı bölümündeki şekil 2.0 ve 3.0 da görebilirsiniz.
4. DST’ nin Zayıf Yönleri :
Burada digital signal transponder olarak bilinen RFID cihazının güvenliğini alt etmenin mümkün olabileceğini anlatıyoruz. Texas Instruments tarafından üretilen DST (ve çeşitleri) bulunan bu cihazlar milyonlarca SpeedPassTM ödemeleri şifre çözücüsü ve otomobil marş anahtarlarının güvenliğinde kullanılır.
Bizim DST analizlerimizin üç farklı aşaması bulunmaktadır.
Bu kısımda, Texas Instruments tarafından geliştirilmiş olan DST sistemine nasıl saldırılabileceği konusunda bilgi vereceğiz. Sadece iki sorgu-yanıt çiftinin üretilmesi sonucunda DST cihazının gizli anahtarını elde edebiliyoruz. Keyfi sorgu-yanıt çiftleri için ise, yaklaşık bir saat içerisinde 16 FGPA kullanarak anahtarı çözümleyebiliyoruz. Seçili düz-metin saldırılarında sorgu-yanıt çiftleri ön tanımlı veya benzeri olduğu zamanlarda, bir zaman-mekân takası mümkündür, böylece şifrenin çözülme süreci dakikalarla ölçülebilecek noktalara kadar küçülür. Bir kez anahtar ele geçirildiğinde, artık pahalı olmaktan uzak, genel amaçlara uygun ve kolay bulunur herhangi bir RF aracı ile DST’yi kopyalayabilir ve bunu okuyucuyu kandırmak için göndereceğimiz sinyalin gerçek sinyali taklit etmesi için kullanabiliriz.
Sonuç olarak, DST algoritması ile korunan kaynaklara saldıran bir kişinin mütevazi kaynaklar ile – yani sadece birkaç yüz dolarlık her yerde bulunabilecek donanım ve bir bilgisayar ile – DST sistemini alt edebileceğini görebiliriz. Böyle bir saldırgan bu saldırıyı DST’yi üstünden basitçe yoklayarak (skimming), yani kısa mesafeden saniyenin küçük bir kısmında tarama yaparak, gerçekleştirebilir. Ayrıca, bir saldırgan uzak mesafeden birkaç adet yetkilendirme belgesi (ID) yakalayarak, haricen bir FPGA’nın kullanımına gerek duyulmadan hedeflenen bir DST’ye uygulanması gayet mümkün olan bir kopya üretebilir. Bu da örneğin araç hırsızlığında kullanılabilecek bir yöntemdir.
Bu makaleyi hazırlamadan önce incelenen bir makale de, makaleyi hazırlayan kişi saldırısını ispat etmek adına, kendi SpeedPastTM fişlerini (kayıtlarını) kullanarak bir anahtar ürettiğini ve saldırısını programlanabilir bir bağımsız RF cihazı ile uyguladığını anlatıyordu. Kişi, bu dijital simülatörü kullanarak bir gün içinde bir ExxonMobil istasyonundan birçok kere benzin almayı başardığını söylüyordu. Benzer şekilde, Renault Megane marka otomobillerdeki kullanılan kartlı sistemlerin hırsızların laptop kullanarak sistemi kopyalama yolu ile kandırarak aracı çaldıkları araştıranlar için bilinen bir durumdur. Bu duruma başka bir açıdan bakacak olursak, hırsızlar bir aracın düz kontak yapılması için gereken tüm ön koşulları çok fazla maliyet oluşturmadan basitçe gerçeklemiş oluyorlar.
5. DST’ ye Saldırı :
Saldırımız üç aşamadan oluşmaktadır.
5.1. Tersine mühendislik:
Tersine mühendislik çalışan bir yapının iç çalışma fonksiyonlarını belli başlı metotlar kullanarak çözmeye çalışmaktır. DST’deki sorgu-yanıt protokolünün temel düzeyde yayımlanmış bir şemasını elde ettik. Şemayı şekil 1′ de görebiliriz. Bu başlangıç noktasından, şifrenin tamamlanmış fonksiyonel ayrıntılarını belirleniyor. Bunu sıradan DST’ye sadece “oracle” ve “black-box” teknolojilerini kullanarak ve böylece seçilerek programlanmış şifreleme anahtarlar ve seçilmiş girdi sorgularını kullanarak her ikisine verilen yanıtları deneysel anlamda gözlemleyerek başarılabiliyor. Saldırının bu aşaması çabalarımızın bilimsel manada kalbini oluşturdu ve DST için özel olarak tasarlanmış olan kripto analiz tekniklerinin geliştirilmesini içeriyor.
5.2. Anahtar Kırma:
Yukarıda açıklandığı gibi, DST’nin anahtar boyutu 40-bit kadardır. Bizler 16 FPGA’dan oluşan bir dizi meydana getirirsek, bu sistem ile, keyfi sorgulara verilen iki yanıtı kullanarak bir saatin altında bir sürede DST anahtarını elde edebiliyoruz. Dahası, Hellman’ın çok bilindik zaman-mekan takasını hesaplamak adına bir FPGA tasarladık. Her ne kadar FPGA(alan programlanabilir giriş dizisi) kullanarak temel yoklama tablolarını önceden hesaplamış olsak da, yazılımın işletilmesi sıradan, abartısız bir PC kullanarak bir dakikanın altına sonuçlanacağını öngörmüştük.( bu aşamada bire FPGA’nın yardımıyla, şifranin kırılma süresi saniyeler bazına çekilebilir.) Bu sistemin tam analizi bu çalışmanın ileriki versiyonlarında ortaya konulacaktır.
5.3. Simülasyon(benzetim):
DST’nin hazır anahtarı(ve seri numarası) sayesinde, okuyucuyu kandırmak için bir RF çıktısını taklit edebiliyoruz. Bunu bir yazılım tabanlı radyoda gerçekleştirdik. Bu sistemin tasarımı çok dikkatle yapılan DST okuyucu cihazından gelen RF çıktısının analizini gerektirdi ki bu incelediğimiz SpeedPassTM okuyucular ve otomobil marş sistemleri arasında farklılık gösterir.
Şekil 2.0 – F kutularının gösterimi
Şekil 3.0 – F fonksiyonunun şema olarak gösterimi
6. İlgili çalışmalar:
Black-box tersine mühendisliği Japon dış ilişkiler ofisi olan Purple şifresinin ikinci dünya savaşı sırasında tekrar yapılandırılması olarak örnek gösterilebilir. William F. Friedman liderliği altında, Birleşik Devletler Sinyaller İstihbarat Servisi fiziksel hiçbir Purple şifre çözme makinesine gerek duymadan Purple şifre çözme makinesinin aynısını yaratma marifetini gösterdi. Günümüze ait tescilli birçok kriptografi algoritmasında tersinir-mühendislik uygulamalarının örnekleri bulunduğu iyi bilinmektedir. Örneğin RC4 şifresi, yasal olarak önceden RSA Data Security tarafından bir ticari sır olarak korunmakta iken, 1994’de, inanıldığına göre yazılımda tersinir mühendislik tatbik edilerek halka sızdırıldı. Genellikle mahremiyeti sağlamak adına GSM şirketleri tarafından kullanılan A5/1 ve A5/2 şifreleri ise, yine tersinir mühendislik sonucu açığa çıkarılarak yayımlandı. Tersinir mühendisliğin asıl metodu halen açıklanmamış olsa da kaynak manalı bir şekilde gerçekten kullanılan bir GSM telefonu idi.
Aslında, asıl kaynağı donanım yada yazılım olsun, günümüze ait herhangi bir şifrenin black-box tersinir mühendisliği ile yayımlanmış olmasından habersiziz. Refere edilecek herhangi bir literatür olmaksızın, deneme yanılma yöntemleri kullanarak kendi çabalarımız sonucu tekniklerimizi geliştirebiliriz.
Daha önceden söz ettiğim gibi, incelediğimiz sistem yazılım içinde kullanılan anahtarları bulmak için Hellman tarafından geliştirilmiş bir zaman-yer takası (space/time trade-off) ile seçilmiş sorgu çiftleri kullanmaktadır. Aynı zamanda bu sistem Riverst’ın “distinguished point”(farklılaştırma noktası) yani fazlalaştırıcısını da kullananan ve daha önceki çalışmalarda da 40 bitlik anahtarları kullanarak çeşitli DES anahtarlarını elde eden Hellman temelli sistemi bulan Quisquater et al.’dan feyz almış bir sistemdir.
7. Sonuçlarımızın Pratik Faydaları
DST şifresi üzerindeki saldırılarımız, hiçbir şekilde SpeedPastTM ağının güvenliğinin tümüyle satışlardan çıkarılması veya otomobil hırsızlığının kolaylaştırılması amacını taşımamaktadır. DST cihazlarının sorgu-yanıt protokolünün kripto grafik oluşumu, birkaç farklı güvenlik aşaması içinde sadece bir aşamayı oluşturmaktadır. ExxonMobil’in bizi bilgilendirdiği üzere SpeedPastTM ağı tıpkı klasik kredi kartı dolandırıcılığına da uygulandığı gibi bir çevrimiçi gevşek analiz yöntemlerinin işleme sokulduğu suç belirleme mekanizmalarına sahiptir. Böylece bahsettiğimiz saldırıları yapan bir kişinin bunu tamamen gizli kalarak yapamayacağını bilmesi gerekir; kuşku uyandıran kullanım örüntüsü SpeedPastTM cihazının ağ içinde işaretlenmesine ve devre dışı bırakılmasına yol açabilir. En büyük tehlike ise eğer saldırgan birden çok DST cihazını hedefleyebiliyor ve taklit edebiliyorsa oluşmaktadır, ki bu durum aşağıdaki senaryolarımızda ele alınmıştır.
Bir açından, otomobil hareket kilitleyici sistemlere olan tehlike çok daha fazladır, şöyle ki (1) Bir otomobil aslen bir çevrimdışı güvenlik sistemidir. Ve (2) bir tek başarılı saldırı ile aracın kontrolü tümüyle saldırgana geçebilir. DST’nin yapısı otomobilin çalınmasına hemen izin vermese de, hareket kilitleyici olan otomobili bu sisteme sahip olmayan diğer otomobiller seviyesine düşürmekte ve böylece bir açık yaratmaktadır. Bu tür bir güvenlik açığı otomobillerde ciddi olumsuz etkileri olacaktır. Yukarıda belirtildiği gibi, otomobil hırsızlığındaki gözle görülür düşüş – %90 kadar- ilk ortaya çıkışlarından beri bu hareket kilitleyicilerin bir marifeti olarak sunulmuştur. Şu anda bile, otomobil sektörü oldukça büyük bir sektördür ve sadece ABD’de FBI tarafından tam 1,260,471 otomobil hırsızlığı kayıtlara geçmiştir ve bunun yaklaşık 8.6 milyar dolar kadar kayba yol açtığı tahmin edilmektedir.
DST cihazının anahtarının elde edilmesi için iki sorgu-yanıt çiftinin işlenmesi gerekir. Bunun bir sonucu olarak, başarılı bir saldırının önünde ciddi fiziki engeller vardır. Hiç olmazsa, DST cihazlarının sağladığı kriptolojik korumayı geçebilmek gerçek dünya bazında ölçülebilecek tehditler ile sonuçlanmaktadır. Bu bölümde, çalışmamızın içeriği ve uygulanması hakkında bilgi verilecektir.
SONUÇ
Sonuç olarak günümüzün çok hızlı işlem yapabilen makineleri sayesinde 40 bitlik bir blok şifrelemesini kırmak kaba kuvvet algoritması ile çokta vakit almayacaktır. Bunun yanında birkaç makalede de okuduğum kadarı ile black-box atack denen bir saldırı ile de yine DST40′ ın üstesinden gelmek çok da donanım gücü gerektirmeyen bir durum. Bu yüzden DST40 şifreleme tekniği günümüz açısından pekte güven veren bir algoritma değildir. Bu gösteriyor ki DST40 algoritması ya yeniden düzenlenmeli ya da bugün birçok alanda kullanılan bu algoritmadan vazgeçilmelidir.