Cryptographic Algorithms and Protocols for Security and Privacy in Wireless Ad Hoc Networks

Full text

(1)A. KATHOLIEKE UNIVERSITEIT LEUVEN FACULTEIT INGENIEURSWETENSCHAPPEN DEPARTEMENT ELEKTROTECHNIEK Kasteelpark Arenberg 10, B-3001 Leuven-Heverlee. Cryptographic Algorithms and Protocols for Security and Privacy in Wireless Ad Hoc Networks. Promotor: Prof. dr. ir. B. Preneel. Proefschrift voorgedragen tot het behalen van het doctoraat in de ingenieurswetenschappen door Stefaan SEYS. mei 2006.

(2)

(3) A. KATHOLIEKE UNIVERSITEIT LEUVEN FACULTEIT INGENIEURSWETENSCHAPPEN DEPARTEMENT ELEKTROTECHNIEK Kasteelpark Arenberg 10, B-3001 Leuven-Heverlee. Cryptographic Algorithms and Protocols for Security and Privacy in Wireless Ad Hoc Networks. Jury: Prof. H. Neuckermans, voorzitter Prof. B. Preneel, promotor Prof. C. Mitchell (RHUL) Prof. F. Piessens Prof. J. Vandewalle Prof. I. Verbauwhede. U.D.C. 681.3*D46. Proefschrift voorgedragen tot het behalen van het doctoraat in de ingenieurswetenschappen door Stefaan SEYS. mei 2006.

(4) c Katholieke Universiteit Leuven – Faculteit Ingenieurswetenschappen ° Arenbergkasteel, B-3001 Heverlee (Belgium) Alle rechten voorbehouden. Niets uit deze uitgave mag vermenigvuldigd en/of openbaar gemaakt worden door middel van druk, fotocopie, microfilm, elektronisch of op welke andere wijze ook zonder voorafgaande schriftelijke toestemming van de uitgever. All rights reserved. No part of the publication may be reproduced in any form by print, photoprint, microfilm or any other means without written permission from the publisher. D/2006/7515/53 ISBN 90-5682-719-7.

(5) Acknowledgements There are lots of people I would like to thank for a variety of reasons. First, I want to thank my promotor Prof. Bart Preneel for giving me the opportunity to pursue a Ph.D. at COSIC. Bart is especially thanked for his guidance and advice (quite literally 24/7) during the past years, and for carefully reading and correcting earlier drafts of this thesis. I am also very grateful to Prof. Frank Piessens and Prof. Chris Mitchell for managing to read the whole manuscript so thoroughly in record time and providing helpful suggestions and comments to improve this thesis. I want to thank Prof. Joos Vandewalle and Prof. Ingrid Verbauwhede for kindly accepting to be members of the jury, and Prof. Neuckermans for chairing it. A big thanks goes to all my past and current COSIC fellows for their friendliness and help. In particular, I would like to thank Claudia D´ıaz for the enjoyable time we spent researching all things anonymous, and Dave Singelée for our joined work on ad hoc network security. Special thanks go to my former colleagues Joris Claessens for setting a great example, and Wim Moreau for making me feel at home in COSIC from day one. I thank my long-time officemates and friends Robert Maier, Thomas Herlea and Dave Singelée for always living up to the hundreds of small and bigger requests I must have made during the past years. I would also like to thank Karel Wouters and Dave for taking care of some of my responsibilities during the busy time of writing this thesis. Péla Noë deserves a big thank you for keeping me from drowning in my ohso dreaded paperwork and other practical matters. I also thank Péla for her friendship and showing interest in life outside COSIC. I would like to thank Elvira Wouters for her patience and valuable help with all sorts of administrative matters. A word of thanks also goes to my long-time friends for showing (or at least feigning) interest in my work and providing an easy escape from my Ph.D life. i.

(6) ii I would like to thank my family for their continuous encouragements, especially my parents for their unconditional support, and finally my partner Michèle for her love and enthusiasm. I want to acknowledge the K.U.Leuven and the Institute for the Promotion of Innovation by Science and Technology in Flanders (IWT), for funding my research work. Stefaan Seys May 2006.

(7) Abstract Wireless ad hoc networks are the next evolutionary step in digital communication systems. Supporting security and privacy are essential before these networks can become an everyday reality. Without the necessary measures, wireless communications are easy to intercept and the activities of the users can be traced. Moreover, the specific properties of wireless ad hoc networks, in particular the lack of fixed servers and the limited resources of the network devices, present interesting challenges when designing security and privacy solutions in this environment. This thesis presents solutions for a number of important security problems in wireless ad hoc networks. The thesis starts with an overview of the efficiency of the most important cryptographic primitives, including block ciphers, stream ciphers, hash functions, public key cryptosystems, and digital signature schemes. Efficiency means cycles (or energy) per Byte or operation. The information that is collected here was used in the design of the cryptographic protocols presented in the thesis. One-time signature schemes based on a one-way function are an attractive solution for low-power devices, as they can be efficiently implemented using block ciphers or hash functions. The drawback is that they require large keys that can only be used once. This thesis evaluates the overall performance of several onetime signature schemes and public key authentication mechanisms, and compares them with conventional signature schemes. Cooperation can be useful to share the load of a demanding task in resource constrained environments. This thesis presents a construction to transform a onetime signature scheme into a cooperative threshold one-time signature scheme, which allows multiple users to jointly sign a message. This scheme is used to build a complete authentication mechanism for sensor networks. Key establishment is a difficult task in ad hoc networks due to the absence of fixed servers. The thesis presents a key establishment scheme for dynamic ad hoc iii.

(8) iv networks that does not rely on fixed servers or public key cryptography. This key establishment scheme is integrated with an existing routing scheme for ad hoc networks. The security and efficiency of the resulting scheme are analyzed. Finally, the thesis deals with privacy in ad hoc networks. The state of the art of anonymous routing schemes for ad hoc networks is presented and analyzed. Following this analysis, the thesis presents a novel anonymous routing scheme for wireless ad hoc networks that protects the anonymity of the users against a stronger adversary, while being more efficient than previous works. The security and efficiency of this scheme are analyzed..

(9) Samenvatting Draadloze ad-hoc netwerken zijn de volgende evolutionaire stap in digitale communicatiesystemen. Vooraleer deze netwerken op grote schaal ingezet kunnen worden, zal men de nodige maatregelen moeten ondernemen om de beveiliging en privacy van de gebruikers en hun gegevens te kunnen garanderen. Zonder extra maatregelen is het eenvoudig om draadloze communicatie te onderscheppen en de activiteiten van de gebruikers te volgen. Het ontwerp van deze maatregelen wordt bemoeilijkt door de specifieke eigenschappen van ad-hoc netwerken, in het bijzonder de afwezigheid van vaste servers en de beperkte rekenkracht, geheugen, bandbreedte en energievoorraad van de mobiele toestellen. Dit resulteert dan ook in een boeiend en uitdagend onderzoeksdomein. Deze thesis is gericht op het oplossen van een aantal belangrijke beveiligingsproblemen. De thesis begint met een overzicht van de efficiëntie van de belangrijkste cryptografische primitieven: bloken stroomcijfers, hashfuncties, publieke-sleutelvercijferingsalgoritmen en digitale handtekeningen. Efficiëntie betekent hier het aantal processorcycli (of energieverbruik) per Byte of per operatie. De informatie die hier verzameld is, werd gebruikt in het ontwerp van de protocollen die in deze thesis gepresenteerd worden. Eénmalige-handtekeningschema’s, die gebaseerd zijn op een éénwegsfunctie, zijn interessant voor toestellen met beperkte capaciteiten, aangezien zij efficiënt geimplementeerd kunnen worden op basis van blokcijfers of hashfuncties. Het nadeel van deze schema’s is echter dat ze erg grote sleutels nodig hebben die slechts éénmaal gebruikt kunnen worden. Deze thesis evalueert de globale performantie van verschillende éénmalige-handtekeningschema’s en authentiseringsmechanismen voor publieke sleutels; en vergelijkt deze met conventionele schema’s. Deze thesis stelt een constructie voor om éénmalige-handtekeningschema’s om te zetten naar een drempelschema. In dit schema kunnen een aantal knopen samenwerken om een handtekening te plaatsen. Deze vorm van samenwerking kan bruikbaar zijn daar zij toelaat een zware taak te verdelen over verschillende v.

(10) vi. Abstract in Dutch. toestellen. Dit schema wordt vervolgens gebruikt om een volledig authentiseringsmechanisme voor sensornetwerken te ontwerpen. Het afspreken van geheime sleutels is niet eenvoudig in ad-hoc netwerken door de afwezigheid van vaste servers. Deze thesis stelt een mechanisme voor om geheime sleutels af te spreken in een dynamisch ad-hoc netwerk. Om het systeem zo efficiënt mogelijk te houden, maken we geen gebruik van publieke-sleutelcryptografie. Het schema werkt autonoom, zonder hulp van vaste knopen die dienst doen als sleutelverdelingscentra. Dit schema wordt vervolgens ge¨ıntegreerd met een routeringsprotocol voor ad-hoc netwerken. De veiligheid en de efficiëntie van het protocol worden geanalyseerd. Ten slotte handelt deze thesis ook over privacy in ad-hoc netwerken. De thesis geeft een volledig overzicht en analyse van de state-of-the-art van anonieme routeringsprotocollen voor ad-hoc netwerken. Na deze analyse volgt de beschrijving van een nieuw anoniem routeringsprotocol dat bestaande protocollen tracht te verbeteren op twee gebieden: efficiëntie en anonimiteit. De veiligheid en efficiëntie van het schema worden geanalyseerd..

(11) List of Tables 2.1 2.2. 2.6. Performance of ASIC implementations of 128-bit AES and MUGI. Power consumptions of SHA-1, AES, RSA, DSA and ECDSA on a 32-bit Intel StrongARM SA1100 @ 206MHz. . . . . . . . . . . . Performance of 128-bit AES on several platforms. . . . . . . . . . . Software performance of cryptographic primitives. . . . . . . . . . Elliptic curve, symmetric primitives, RSA and discrete log in F∗q key length comparison. . . . . . . . . . . . . . . . . . . . . . . . . . Software performance of public key primitives. . . . . . . . . . . .. 3.1 3.2 3.3 3.4. Cost of the LDW for different group sizes g. . . . . . . . Authentication paths for a Merkle tree with 8 leaves. . . Efficiency of one-time signature schemes. . . . . . . . . . Summary of digital signature costs for message hash size. 5.1 5.2 5.3. Expected number of turns before a node is no longer isolated. . . . 99 Efficiency of the EHBT scheme. . . . . . . . . . . . . . . . . . . . . 102 Maximum supported compromised link keys for several configurations. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106. 6.1 6.2. Comparison of different anonymous routing schemes. . . . Average privacy and privacy/cost ratio of two probability butions for TTL value selection. . . . . . . . . . . . . . . . Average privacy and privacy/cost ratio of two probability butions for padding length selection. . . . . . . . . . . . .. 2.3 2.4 2.5. 6.3. vii. . . . . . . . . . . . . . . . s = 160.. . . . .. 17 17 17 32 32 33 46 49 66 68. . . . . . 131 distri. . . . . 143 distri. . . . . 146.

(12)

(13) List of Figures 2.1 2.2. Schematic model of an encryption scheme. . . . . . . . . . . . . . . 15 Schematic model of a digital signature scheme. . . . . . . . . . . . 21. 3.1 3.2. 43. Security level offered by the HORS scheme. . . . . . . . . . . . . . Evolution of the number of public keys when using the HORS signature scheme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Example Merkle hash tree with 8 leaves. . . . . . . . . . . . . . . . 3.4 Public key chains . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5 Signing efficiency of one-time signature schemes. . . . . . . . . . . 3.6 Verification efficiency of one-time signature schemes. . . . . . . . . 3.7 Communication efficiency of one-time signature schemes. . . . . . . 3.8 Energy consumption of signer (communications and computations). 3.9 Energy consumption of verifier (communications and computations). 3.10 Overall energy consumption of one-time signature schemes. . . . . 4.1 4.2 5.1 5.2 5.3 5.4 5.5. 44 48 52 63 64 64 65 65 66. Preparation phase of the cooperative threshold one-time signature scheme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Example sensor network with three cells. . . . . . . . . . . . . . . . 83 Evolution of node W ’s neighborhood as it travels through the network. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Multiple routes that can be used to establish link keys. . . . . . . Network model. Nodes move on the grid of the torus. . . . . . . Probability of having at least one node in the overlap between two consecutive neighborhoods. . . . . . . . . . . . . . . . . . . . . . Probability that a node does not share a key with any of the nodes in its neighborhood. . . . . . . . . . . . . . . . . . . . . . . . . . ix. . 92 . 94 . 99 . 100 . 100.

(14) x. List of Figures. 6.1 6.2 6.3 6.4. Intercepting and blocking of messages. . . . . . . . . . . . . . . . DSR route discovery process. . . . . . . . . . . . . . . . . . . . . Trapdoor Boomerang Onion used in ANODR. . . . . . . . . . . . ANODR Route Request and Reply messages transmitted by node Ni , and elements stored in its routing table. . . . . . . . . . . . . 6.5 ASR Route Request and Reply messages, and elements stored in the routing table by node Ni . . . . . . . . . . . . . . . . . . . . . 6.6 MASK Route Request and Reply messages, and elements stored in the routing table by node Ni . . . . . . . . . . . . . . . . . . . 6.7 SDAR Route Request and Reply messages, and elements stored in the routing table by node Ni . . . . . . . . . . . . . . . . . . . . . 6.8 Hidden route from source S to destination D. . . . . . . . . . . . 6.9 Evolution of padding and TTL values of a message. . . . . . . . . 6.10 Privacy and cost of an exponential probability distribution for TTL value selection. . . . . . . . . . . . . . . . . . . . . . . . . . 6.11 Privacy and cost of an exponential probability distribution for padding length selection. . . . . . . . . . . . . . . . . . . . . . . .. . 114 . 120 . 123 . 124 . 125 . 127 . 129 . 134 . 140 . 144 . 146.

(15) List of Acronyms ADSL AES AODV APES AP BS CA CBC CCM CFB DES DHIES DSN DSR DoS DSA DSS ECB ECC ECDSA ECIES ECPM EHBT FIPS. Asymmetric Digital Subscriber Line Advanced Encryption Standard Ad hoc On-demand Distance Vector (Routing) Anonymity and Privacy in Electronic Services (IWT/STWW Project) Access Point Base Station Certification Authority Cipher Block Chaining Counter with CBC-MAC Cipher Feedback Data Encryption Standard Diffie-Hellman Integrated Encryption Scheme Distributed Sensor Network Dynamic Source Routing Denial of Service Digital Signature Algorithm Digital Signature Standard Electronic Codebook Error-Correcting Code Elliptic Curve Digital Signature Algorithm Elliptic Curve Integrated Encryption Scheme Elliptic Curve Point Multiplication Efficient Hierarchical Binary Tree (protocol) Federal Information Processing Standards xi.

(16) xii FPGA GPS GSM IOI IP ISP KDC LAN LDM LDW LFSR MAC MANET MCSP NAT NIST NSA OEAP OFB OCB OSI OTS OWF PET PGP PKI PSS PSEC RFID RREQ RREP SIM. List of Acronyms. Field-Programmable Gate Array Global Positioning Systems Global System for Mobile Communications Item of Interest Internet Protocol Internet Service Provider Key Distribution Center Local Area Network Lamport-Diffie one-time signature scheme with Merkle improvement Lamport-Diffie one-time signature scheme with Winternitz improvement Linear Feedback Shift Register Message Authentication Code Mobile Ad hoc Network Mobile Communication Service Provider Network Address Translation National Institute for Standards and Technology National Security Agency Optimal Asymmetric Encryption Padding Output Feedback Offset Codebook Mode Open Systems Interconnection One-Time Signature (scheme) One-Way Function Privacy Enhancing Technique Pretty Good Privacy Public Key Infrastructure Probabilistic Signature Scheme Provably Secure Elliptic Curve (cryptosystem) Radio Frequency Identification Route Request Route Reply Subscriber Identity Module.

(17) xiii SSH. Secure Shell. SSL STS TBO. Secure Socket Layer Station-to-Station (protocol) Trapdoor Boomerang Onion. TCP TTL TORA. Transmission Control Protocol Time-to-Live Temporally Ordered Routing Algorithm. URL WEP WLAN. Universal Resource Locator Wired Equivalent Privacy Wireless Local Area Network.

(18)

(19) List of Notations x ∈R S. Element x is selected uniformly random from the set S.. QRn. The set of quadratic residues modulo integer n.. {0, 1}n. Bit-string of length n, i.e., any piece of digital data ({0, 1}∗ indicates arbitrary length).. {0, 1}nR. A uniform random selected bit-string of length n ({0, 1}∗R indicates arbitrary length, i.e., a source of random bits).. Int(x). The value of the bit-string x interpreted as an integer (with little or big endian).. bxc. The largest integer less than or equal to x.. dxe. The smallest integer larger than or equal to x.. a | b, a 6 | b. Integer a divides b, integer a does not divide b.. |x|. Bit-length of x.. i=a→b. For all integers i ranging from a to b, starting from a.. Proc(x). Indicates a procedure or algorithm using input x.. Proc(x). Indicates the output of the algorithm Proc(x).. xv.

(20) xvi. List of Notations. ha, bi. The concatenation of bit-strings a and b. This notation is only used if using a, b is confusing.. Ek [m]. The encryption with a symmetric cipher of message m using secret key k.. MACk [m]. The Message Authentication Code of message m using secret key k.. Pub D (m). The encryption with an asymmetric cipher of message m using the public key of user D (if we need to specify a specific public key, we will use Pub pk (m)).. Sign D (m). A digital signature on message m using the private key of user D (if we need to specify a specific private key, we will use Sign sk (m)).. Ek [a], MACk [·]. Shorthand for hEk [a], MACk [a]i. This notation can also be used with other operators, e.g., hEk [a], Sign D (·)i.. Ek [a, MACk [·]]. Shorthand for hEk [a, MACk [a]]i. This notation can also be used with other operators, e.g., hEk [a, Sign D (·)]i.. SignRSAD (m). RSA signature on message m using the private key of user D.. SignOT D (m). One-time signature on message m using D’s private key. Here, we assume that the one-time signature scheme does not include padding and hashing of the message.. S −→ D : m. Sender S transmits message m to destination D.. S −→ ∗ : m. Sender S broadcasts message m..

(21) Contents Acknowledgements. i. Abstract. iii. Abstract in Dutch. v. List of Tables. vii. List of Figures. ix. List of Acronyms. xi. List of Notations. xv. Contents. xvii. Summary in Dutch. xxi. 1 Introduction 1.1 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 This thesis and related work . . . . . . . . . . . . . . . . . . . . . . 1.3 Outline and main contributions . . . . . . . . . . . . . . . . . . . . 2 Efficiency of Cryptographic Primitives 2.1 Symmetric primitives . . . . . . . . . . . . 2.1.1 Symmetric encryption . . . . . . . 2.1.2 Efficiency of symmetric techniques 2.2 Public key cryptography . . . . . . . . . . xvii. . . . .. . . . .. . . . .. . . . .. . . . .. . . . .. . . . .. . . . .. . . . .. . . . .. . . . .. . . . .. . . . .. . . . .. 1 1 3 7 11 12 12 15 19.

(22) xviii. Contents. 2.2.1 2.2.2 2.2.3. 2.3. Introduction . . . . . . . . . . . . . . . . . . . . Public key certificates . . . . . . . . . . . . . . . The RSA, Rabin and DSA public-key encryption nature schemes . . . . . . . . . . . . . . . . . . . 2.2.4 Elliptic curve cryptography . . . . . . . . . . . . 2.2.5 Efficiency of public key cryptography . . . . . . . Conclusions and future work . . . . . . . . . . . . . . .. . . . . . . . . . . and sig. . . . . . . . . . . . . . . . . . . .. . 19 . 20 . . . .. 22 27 29 31. 3 Efficiency of One-Time Signature Schemes 3.1 Lamport-Diffie one-time signatures . . . . . . . . . . . . . . . . . 3.1.1 Lamport-Diffie scheme with Merkle improvement . . . . . 3.1.2 Lamport-Diffie scheme with Winternitz improvement . . . 3.2 The HORS one-time signature scheme . . . . . . . . . . . . . . . 3.2.1 On the security of HORS . . . . . . . . . . . . . . . . . . 3.3 Efficiency of one-time signature schemes . . . . . . . . . . . . . . 3.3.1 Efficiency of the LDM . . . . . . . . . . . . . . . . . . . . 3.3.2 Efficiency of the LDW . . . . . . . . . . . . . . . . . . . . 3.3.3 Efficiency of the HORS scheme . . . . . . . . . . . . . . . 3.4 One-time public key authentication . . . . . . . . . . . . . . . . . 3.4.1 Merkle trees . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.2 One-way chains . . . . . . . . . . . . . . . . . . . . . . . . 3.5 Efficiency of one-time signature schemes with public key authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5.1 Efficiency of Merkle tree authentication . . . . . . . . . . 3.5.2 Efficiency of one-way chain authentication . . . . . . . . . 3.6 Comparison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.7 Conclusions and future work . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . .. 35 36 37 37 39 41 43 45 45 46 47 47 49. . . . . .. 52 52 57 61 67. 4 Efficient Cooperative Signatures 4.1 Threshold signatures . . . . . . . . . . . . . . 4.2 Threshold Lamport-Diffie signatures . . . . . 4.3 Multi-signer LDW signatures . . . . . . . . . 4.4 Cooperative threshold one-time signatures . . 4.4.1 Signature generation . . . . . . . . . . 4.4.2 Signature verification . . . . . . . . . 4.4.3 Informal Security proof of our scheme. . . . . . . .. 71 72 73 74 75 76 78 80. . . . . . . .. . . . . . . .. . . . . . . .. . . . . . . .. . . . . . . .. . . . . . . .. . . . . . . .. . . . . . . .. . . . . . . .. . . . . . . .. . . . . . . ..

(23) xix. Contents. 4.5. 4.6. Application of our scheme in sensor networks . . . . . 4.5.1 Network operation . . . . . . . . . . . . . . . . 4.5.2 Strong authentication between query nodes and 4.5.3 One-time secret key updates . . . . . . . . . . Conclusions . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . cells . . . . . .. . . . . .. . . . . .. . . . . .. . . . . .. 81 81 83 85 88. 5 Dynamic Key Establishment 5.1 Secure Neighborhood Discovery protocol . . . . . . . . . . . . . 5.1.1 Neighborhood . . . . . . . . . . . . . . . . . . . . . . . . 5.1.2 Bootstrapping the system: key pre-distribution . . . . . 5.1.3 Dynamic Neighborhood Discovery . . . . . . . . . . . . 5.2 Establishing link keys . . . . . . . . . . . . . . . . . . . . . . . 5.2.1 Normal operation . . . . . . . . . . . . . . . . . . . . . . 5.2.2 Exceptional operation . . . . . . . . . . . . . . . . . . . 5.3 Implementation based on DSR . . . . . . . . . . . . . . . . . . 5.4 Performance evaluation . . . . . . . . . . . . . . . . . . . . . . 5.4.1 Analytic model and simulations . . . . . . . . . . . . . . 5.4.2 Efficiency of the scheme . . . . . . . . . . . . . . . . . . 5.5 Security analysis . . . . . . . . . . . . . . . . . . . . . . . . . . 5.5.1 Informal analysis of the Secure Neighborhood Discovery 5.5.2 Informal analysis of AuthDSR . . . . . . . . . . . . . . 5.5.3 Evolution of compromised link keys . . . . . . . . . . . 5.6 Conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . .. 89 90 90 91 91 93 93 94 95 96 96 101 102 102 103 104 106. 6 Privacy in Ad Hoc Networks 6.1 Introduction . . . . . . . . . . . . . . . . . . . . . . 6.1.1 Privacy in a digitized world . . . . . . . . . 6.1.2 Anonymity at different layers . . . . . . . . 6.2 Anonymity: definitions and requirements . . . . . 6.2.1 Definitions . . . . . . . . . . . . . . . . . . 6.2.2 Adversary model . . . . . . . . . . . . . . . 6.2.3 Goals . . . . . . . . . . . . . . . . . . . . . 6.3 Anonymous connections in wired networks . . . . . 6.3.1 Overview of existing technologies . . . . . . 6.4 Anonymous connections in mobile ad hoc networks 6.4.1 On demand routing protocols . . . . . . . .. . . . . . . . . . . .. . . . . . . . . . . .. 107 108 108 110 111 111 112 115 116 117 119 119. . . . . . . . . . . .. . . . . . . . . . . .. . . . . . . . . . . .. . . . . . . . . . . .. . . . . . . . . . . .. . . . . . . . . . . .. . . . . . . . . . . ..

(24) xx. Contents. 6.5. 6.6. 6.7. 6.4.2 A generic anonymous on demand routing protocol . . . 6.4.3 Evaluation of state of the art . . . . . . . . . . . . . . . 6.4.4 Comparison and evaluation . . . . . . . . . . . . . . . . ARM: efficient anonymous routing for mobile ad hoc networks 6.5.1 Trapdoor identifier . . . . . . . . . . . . . . . . . . . . . 6.5.2 Route discovery . . . . . . . . . . . . . . . . . . . . . . . 6.5.3 Route reply . . . . . . . . . . . . . . . . . . . . . . . . . 6.5.4 Data forwarding . . . . . . . . . . . . . . . . . . . . . . 6.5.5 Padding and time-to-live schemes . . . . . . . . . . . . . 6.5.6 Variations . . . . . . . . . . . . . . . . . . . . . . . . . . Analysis of the padding and time-to-live schemes . . . . . . . . 6.6.1 Privacy offered by random TTL selection . . . . . . . . 6.6.2 Privacy offered by random padding selection . . . . . . 6.6.3 Analysis of our protocol . . . . . . . . . . . . . . . . . . Conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . .. 121 121 129 130 130 132 134 136 137 139 139 139 143 147 147. 7 Conclusions and Future Research 149 7.1 Conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 7.2 Future work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 References. 153. Index. 169. List of Publications. 171.

(25) Algoritmen en protocollen voor beveiliging en privacy in draadloze ad-hoc netwerken Nederlandse samenvatting. Hoofdstuk 1: Inleiding Door de steeds verdergaande miniaturisatie van computersystemen is het tegenwoordig mogelijk om toestellen te ontwikkelen die een relatief krachtige processor, opslagcapaciteit en communicatiemogelijkheden bundelen in een draagbare verpakking. Typische voorbeelden zijn PDA’s en mobiele telefoons. Momenteel worden meestal rechtstreekse punt-tot-punt-verbindingen gebruikt, zoals bijvoorbeeld een mobiele telefoon naar een basisstation of een PDA naar een WiFi toegangspunt. Een andere mogelijkheid, die momenteel sterk in ontwikkeling is, zijn draadloze ad-hoc netwerken of Mobile Ad hoc Networks (MANET’s). In een ad-hoc netwerk vormen knopen automatisch en autonoom een netwerk van zodra ze in elkaars bereik komen. Wanneer een knoop wil communiceren met een andere knoop die buiten zijn bereik is, dan wordt het bericht doorgestuurd van knoop naar knoop tot de eindbestemming bereikt wordt. MANET’s kunnen bijvoorbeeld ingezet worden om snel en goedkoop een communicatienetwerk op te zetten in gebieden waar er geen bestaande infrastructuur is, of waar deze vernietigd werd, zoals in ramp- en oorlogsgebieden. Een ander voorbeeld van ad-hoc netwerken zijn sensornetwerken. Sensornetwerken bestaan uit duizenden xxi.

(26) xxii. Summary in Dutch. miniatuursensors die draadloos met elkaar communiceren over een ad-hoc netwerk. Mogelijke toepassingen van sensornetwerken zijn het opmeten van bodemen weercondities op akkers, detecteren van barsten in grote bouwwerken zoals bruggen, enz. Omdat het relatief eenvoudig is om draadloze communicatie ongedetecteerd te onderscheppen, speelt de beveiliging van deze netwerken een cruciale rol in de ontwikkeling ervan. De beveiliging van ad-hoc netwerken is niet vanzelfsprekend door verschillende redenen. Ten eerste zijn de knopen beperkt in rekencapaciteit, geheugen, bandbreedte en energievoorraad. Dit betekent dat de beveiligingsmechanismen zo efficiënt mogelijk moeten zijn. Ten tweede zijn er niet altijd vaste knopen (“servers”) in het netwerk die kunnen aangesproken worden om een bepaalde dienst te leveren. Hierdoor zijn de meeste traditionele beveiligingsmechanismen (bijvoorbeeld voor het afspreken van sleutels) niet van toepassing in ad-hoc netwerken. Ten slotte wordt de beveiliging bemoeilijkt door de multi-hop routering en het feit dat de knopen zich vrij kunnen bewegen door het netwerk. Naast beveiliging is ook de privacy van de gebruiker van belang. Door gebruik te maken van draadloze communicatie laat de gebruiker immers automatisch sporen na van zijn activiteiten. Privacy zal zeker een belangrijke rol spelen in ad-hoc netwerken, daar iedere gebruiker mogelijk berichten zal doorsturen van andere gebruikers. Ad-hoc netwerken zorgen dus voor nieuwe uitdagingen inzake beveiliging en privacy. Deze thesis levert een bijdrage tot mogelijke oplossingen voor een deel van deze uitdagingen. Deze thesis bestudeert niet één bepaald onderdeel tot in de kleinste details, maar behandelt meerdere uiteenlopende aspecten. Hoofdstuk 2 geeft een overzicht van de state-of-the-art van cryptografische primitieven en geeft een analyse van de efficiëntie van deze algoritmen. De ontwerpen in de volgende hoofdstukken zijn gebaseerd op de resultaten die in dit hoofdstuk verzameld werden. Hoofdstuk 3 geeft een gedetailleerde analyse van de efficiëntie van éénmalige digitale handtekeningen die gebaseerd zijn op een éénwegsfunctie. Deze analyse houdt rekening met alle aspecten van het gebruik van digitale handtekeningen in een draadloze omgeving: genereren van sleutels, berekenen van een handtekening, verifiëren van een handtekening, doorsturen van een handtekening en verificatie van een éénmalige publieke sleutels. In hoofdstuk 4 stellen we een constructie voor om éénmalige-handtekeningschema’s om te vormen tot coöperatieve éénmalige-handtekeningschema’s. Met dit schema kunnen verschillende gebruikers samen een handtekening zetten op een bepaald bericht. In een tweede deel van dit hoofdstuk tonen we hoe dit schema kan ingezet worden in een complete oplossing voor de authentisering van berichten in sensornetwerken. Hoofdstuk 5 handelt over een sleutelverdelingssysteem voor dynamische ad-hoc netwerken. Via dit systeem kunnen knopen sleutels afspreken met andere knopen in hun.

(27) xxiii steeds veranderende buurt. We tonen ook aan dat hetzelfde systeem kan gebruikt worden om een sleutel af te spreken met knopen die verder (meer dan één hop) verwijderd zijn. Ten slotte bespreken we hoe het systeem kan ge¨ıntegreerd worden in een bestaand routeringsprotocol voor ad-hoc netwerken. Hoofdstuk 6 handelt over de privacy in ad-hoc netwerken. Het hoofdstuk begint met een inleiding tot het onderzoeksdomein en stelt de state-of-the-art voor van anonieme routeringsprotocollen voor ad-hoc netwerken. Daarna stellen we een nieuw anoniem routeringsprotocol voor dat ontworpen werd om efficiënter te zijn en meer anonimiteit te bieden dan bestaande voorstellen. Hoofdstuk 7 sluit de thesis af en formuleert nieuwe uitdagingen voor de toekomst.. Hoofdstuk 2: Effici¨ entie van cryptografische primitieven Bijna alle protocollen voor de beveiliging van netwerken en computersystemen maken in meer of mindere mate gebruik van cryptografische primitieven. Zoals in de inleiding vermeld werd, hebben we bij het ontwerp van de protocollen die we voorstellen in hoofdstukken 3 tot en met 6, getracht om een zo efficiënt mogelijke oplossing te bieden. Dit hoofdstuk is dan ook gericht op de efficiëntie van de belangrijkste klassen van cryptografische primitieven: symmetrische bloken stroomcijfers, hashfuncties, asymmetrische vercijferingsschema’s en digitale handtekeningschema’s.. Effici¨ entie van symmetrische primitieven Symmetrische vercijferingssystemen maken gebruik van een geheime sleutel die gekend is door twee partijen: de partij die een boodschap vercijfert en de partij die de boodschap zal ontcijferen. Blokcijfers transformeren een klaartekstblok van vaste lengte naar een cijfertekstblok van vaste lengte. Er zijn verschillende manieren (“modes of operation”) om klaarteksten die langer zijn dan de bloklengte te vercijferen. In 2000 werd Rijndael verkozen als de nieuwe Advanced Encryption Standard (AES) voor de Verenigde Staten. Rijndael won de wedstrijd die uitgeschreven werd door de National Institute for Standards and Technology (NIST) in 1997 om de bestaande Data Encryption Standard (DES) te vervangen. Als opvolger van de DES, zal de AES de de facto cryptografische standaard worden voor de vercijfering in het bankwezen, administraties en de industrie. Een belangrijk criterium bij het ontwerp van de AES was veelzijdigheid. Dit betekent dat het algoritme efficiënt moet.

(28) xxiv. Summary in Dutch. ge¨ımplementeerd kunnen worden op uiteenlopende platformen, zowel in software als in hardware. Deze veelzijdigheid zorgt ervoor dat de AES een zeer performant blokcijfer is, en een ideaal referentiepunt is om andere algoritmen aan te toetsen. In tegenstelling tot blokcijfers, produceren stroomcijfers een oneindig lange pseudo-willekeurige bitstroom S(k) die enkel afhangt van de sleutel. Een boodschap m kan dan vercijferd worden door deze samen te tellen (XOR) met de pseudowillekeurige bitstroom S(k): c = m ⊕ S(k). Om de cijfertekst c te ontcijferen moet deze operatie gewoon herhaald worden: m = c ⊕ S(k). Stroomcijfers hebben het voordeel dat er niet moet gewacht worden tot een klaartekstblok gevuld is en dat er geen foutpropagatie is (zolang de stromen gesynchroniseerd blijven). Draadloze communicatiesystemen maken meestal gebruik van stroomcijfers om de communicatie te vercijferen. Zo maken Bluetooth en GSM gebruik van respectievelijk het E0 en A5/1 stroomcijfer. Deze algoritmen werden ontworpen om zo efficiënt mogelijk te zijn, zowel in energieverbruik als in het aantal poorten in de hardware-implementatie. Het WEP-algoritme dat gebruikt wordt in de IEEE 802.11 standaard voor draadloze netwerken maakt gebruik van het RC4 stroomcijfer. RC4 is zeer snel in software en heeft zeer weinig werkgeheugen nodig (< 1 kByte). Cryptografische hashfuncties spelen een belangrijke rol in integriteitsbescherming van berichten en in digitale handtekeningschema’s. Een hashfunctie beeldt bitrijen van willekeurige lengte af op bitrijen van een vaste lengte. Een hashfunctie H moet minstens voldoen aan de volgende drie eigenschappen: (1) éénwegsfunctie: het is onmogelijk om uit een hashwaarde h een bericht m te berekenen zodat H(m) = h, (2) zwak botsingsvrij: het is onmogelijk om, gegeven een boodschap m, een tweede boodschap m0 te vinden met H(m) = H(m0 ) en (3) sterk botsingsvrij: het is onmogelijk om twee verschillende boodschappen te vinden met dezelfde hashwaarde. In het kader van het NESSIE project werden de snelheid en de veiligheid van verschillende cryptografische primitieven geëvalueerd. Een deel van de resultaten zijn samengevat in Tabel 1.. Effici¨ entie van publieke-sleutelcryptografie In tegenstelling tot symmetrische cryptografische systemen maakt publieke-sleutelcryptografie gebruik van twee verschillende sleutels: een private (geheime) en een publieke sleutel. De publieke sleutel wordt afgeleid uit de private sleutel, omgekeerd is dit niet mogelijk. De private sleutel wordt nooit vrijgegeven, terwijl de publieke sleutel door iedereen gekend mag zijn..

(29) xxv Bij publieke-sleutelvercijfering worden de private en publieke sleutel gegenereerd door de ontvanger Bob (de persoon die boodschappen zal ontcijferen). Een boodschap vercijferen voor Bob verloopt zo: Alice verkrijgt de publieke sleutel van Bob, gebruikt deze om haar bericht te vercijferen en stuurt het resultaat naar Bob. Bob gebruikt dan zijn private sleutel om het ontvangen bericht te ontcijferen. Merk op dat iedereen Bob’s publieke sleutel mag gebruiken om berichten naar hem te sturen. Bij symmetrische cryptografie zou Bob met iedere zender een andere geheime sleutel moeten afspreken. Bij digitale handtekeningschema’s is het gebruik van de publieke en private sleutel omgekeerd: de zender gebruikt zijn private sleutel om een boodschap te handtekenen. De ontvanger gebruikt de publieke sleutel van de zender om zijn handtekening te controleren. Aangezien de publieke sleutel voor iedereen beschikbaar is, kan dus iedereen handtekeningen van alle gebruikers controleren. De veiligheid van de meeste publieke-sleutelsystemen is gebaseerd op een “moeilijk” wiskundig probleem. Zo is de veiligheid van het veel gebruikte RSA encryptie- en handtekeningschema gerelateerd aan de moeilijkheid om grote getallen te factoriseren. Het nadeel van publieke-sleutelsystemen is dat ze veel minder efficiënt zijn dan symmetrische primitieven (zie Tabel 1). Publieke-sleutelsystemen die gebruik maken van elliptische krommen (zoals ECDSA) hebben het voordeel dat ze efficiënter zijn dan hun tegenhangers (zoals DSA) die werken in het veld F∗q en dat ze dezelfde veiligheid kunnen bieden met kleine sleutellengtes. Zo is ECDSA met een 160-bit sleutel even veilig als DSA met een 1024-bit sleutel.. Conclusies Uit Tabel 1 blijkt duidelijk dat symmetrische primitieven veel efficiënter zijn dan publieke-sleutelsystemen. Publieke-sleutelsystemen die gebruik maken van elliptische krommen zijn efficiënter dan hun tegenhangers die werken in het veld F∗q en bieden bovendien dezelfde veiligheid met kortere sleutels. Ten slotte merken we op dat de publieke operaties (vercijferen en handtekeningen verifiëren) van RSA en Rabin ongeveer twee maal zo snel zijn dan de ECDSA-operaties. De geheime operaties zijn dan weer veel minder efficiënt. In de volgende hoofdstukken hebben we steeds getracht om deze efficiëntieverschillen optimaal te benutten, d.w.z. dat de minst krachtige knopen in het netwerk steeds enkel de efficiënte operaties moeten uitvoeren..

(30) xxvi. Summary in Dutch. Tabel 1. Performantie van cryptografische primitieven in software [134]. Algoritme AES RC4 RIPEMD-160 SHA-1 SHA-2 SHA-2 RSA-OAEP ECDSA-GF(2p ) ECDSA-GF(2163 ) RSA-PSS. |sleutel| |hash| 128 128 160 160 256 512 1024 160 163 1024. Platform PIII/Linux Athlon 25/26/523 30/31/500 7.3/2659 11/2600 18/16/1339 21/12/1493 15/16/1024 12/12/825 40/44/2747 34/39/2369 83/157/11K 71/106/9752 2026K/42M/1654M 2289K/48M/2027M 4775K/6085K/4669K 4464K/572K/4354K 5061K/6809K/4852K 4602K/6159K/4426K 42M/2029K/1334M 48M/2288K/1419M. Voor de AES en RSA-OAEP zijn dit vercijfer-/ontcijfer-/sleutel-initialisatietijden. Voor RC4 is dit genereren van de sleutelstroom/sleutel-initialisatie. Voor de hashfuncties is dit hash/initialisatie/initialisatie+finalisatie. Voor de ECDSA en RSA-PSS zijn dit handteken-/verificatie-/sleutelgeneratietijden. De symmetrische primitieven zijn gemeten in cycli/Byte of cycli/initialisatie, de asymmetrische in cycli/aanroep.. Hoofdstuk 3: Effici¨ entie van ´ e´ enmalige digitale handtekeningen Uit het vorige hoofdstuk blijkt dat symmetrische primitieven veel efficiënter zijn dan publieke-sleutelsystemen. Zelf met de snelste publieke-sleuteloperaties, RSA vercijfering of verificatie, neemt één publieke-sleuteloperatie evenveel tijd in dan het vercijferen van 80 kBytes met AES. Dit heeft ons gemotiveerd om een gedetailleerde studie te maken van de efficiëntie van éénmalige-handtekeningschema’s die enkel gebruik maken van éénwegsfuncties. Daar éénwegsfuncties efficiënt ge¨ımplementeerd kunnen worden via blokcijfers of hashfuncties, lijken deze schema’s op het eerste zicht efficiënter te zijn dan conventionele handtekeningschema’s zoals RSA, DSA en ECDSA. Het nadeel van deze systemen is echter dat een publieke sleutel slechts éénmaal gebruik kan worden. Hierdoor is een efficiënt mechanisme voor het authentiseren van meerdere publieke sleutels een belangrijk aspect bij het gebruik van éénmalige-handtekeningschema’s. In dit hoofdstuk evalueren we dan ook alle aspecten van het gebruik van éénmaligehandtekeningschema’s: (1) genereren van de private en publieke sleutels, (2) authentiseren van de publieke sleutels, (3) handtekeningen zetten en verifiëren en (4) de communicatiekost..

(31) xxvii De belangrijkste bijdragen in dit hoofdstuk zijn: – Een gedetailleerde evaluatie van de efficiëntie van drie besproken éénmaligehandtekeningschema’s: LDM, LDW en HORS. – Een gedetailleerde evaluatie van de efficiëntie van twee authentiseringsmechanismen: Merkle-bomen en éénwegskettingen. – Een analyse van de veiligheid van het HORS-schema.. E´ enmalige-handtekeningschema’s We hebben drie verschillende éénmalige-handtekeningschema’s geëvalueerd: het Lamport-Diffie-schema met verbeteringen door Merkle (LDM), het LamportDiffie-schema met verbeteringen door Winternitz (LDW) en het HORS-schema. Deze schema’s maken enkel gebruik van een éénwegsfunctie f . In zijn eenvoudigste vorm kan het Lamport-Diffie-schema gebruikt worden om één bit te handtekenen. De private sleutel bestaat uit twee willekeurige getallen x0 en x1 . De publieke sleutel wordt berekend door de functie f toe te passen op de private sleutel. Dit resulteert in het koppel {f (x0 ), f (y0 )}. De handtekening voor bit b is xb . Het is duidelijk dat eenzelfde sleutelpaar maar éénmaal gebruikt kan worden. Om meerdere bits te tekenen wordt dit schema meerdere keren herhaald. In dit geval bestaat de private sleutel dus uit meerdere willekeurige getallen: sk = {x1 , x2 , . . . , xt }.. Authentisering van de ´ e´ enmalige publieke sleutels Iedere ontvanger heeft een geauthentiseerde kopie nodig van de publieke sleutel om een handtekening te kunnen verifiëren. Aangezien een publieke sleutel slechts éénmaal kan gebruikt worden in deze schema’s, is er nood aan een efficiënte manier om meerdere publieke sleutels te authentiseren. In deze thesis hebben wij twee mechanismen bestudeerd: Merkle-bomen en éénwegskettingen. Merkle-bomen Een Merkle-boom is een binaire boom met op iedere knoop een getal van l bits. De waarde van iedere interne knoop is gelijk aan het resultaat van een éénwegsfunctie toegepast op de twee kinderen (zie Fig. 1): ( leaf i = P [i, i] = leafcalc(i) , ¡ ¢ P [i, j] = f hP [i , (i + j − 1 )/2 ], P [(i + j + 1 )/2 , j ]i ..

(32) xxviii. Summary in Dutch. Hierin is leafcalc het algoritme dat gebruikt wordt om de onderste bladen van de boom te berekenen. In dit geval bestaat leafcalc uit twee deeltaken: het genereren van een publieke sleutel en het berekenen van de hashwaarde van deze publieke sleutel. Iedere hashwaarde die zo bekomen wordt, is één blad van de boom. De volledige boom wordt berekend door de gebruiker S, die handtekeningen wil plaatsen. We veronderstellen dat iedere gebruiker V , die handtekeningen wil verifiëren, een geauthentiseerde kopie heeft gekregen van de top van de boom (P [1, 8] in Fig. 1). Een bepaald blad van de boom, neem leaf 3 in Fig. 1, kan op de volgende manier geauthentiseerd worden: gebruiker S berekent het blad leaf 4 en de interne knopen P [5, 8] en P [1, 2]. Deze waarden, het authentiseringspad genoemd, stuurt hij samen met de derde publieke sleutel (die bij leaf 3 hoort) door naar gebruiker V . Gebruiker V berekent nu leaf 3 (leaf 3 is de hashwaarde van de ontvangen publieke sleutel) en berekent uit leaf 3 en de ontvangen leaf 4 de waarde P [3, 4]. Deze waarde combineert hij met de ontvangen waarde P [1, 2] om P [1, 4] te berekenen. Uit P [1, 4] en P [5, 8] kan hij uiteindelijk de top van de boom berekenen. Indien deze dezelfde is als de geauthentiseerde kopie die gebruiker V al in zijn bezit had, dan wordt de publieke sleutel aanvaard. Wanneer Merkle-bomen gebruikt worden in combinatie met een éénmalig-handtekeningschema, dan bestaat het plaatsen van een handtekening uit de volgende handelingen: 1. Berekenen van de top van de boom. Hiervoor moeten alle publieke sleutels, die in de toekomst gebruikt zullen worden, berekend worden. Dit moet slechts één keer gebeuren per boom. De top van de boom wordt verspreid naar alle gebruikers die handtekeningen zullen verifiëren. 2. Genereren van de publieke en private sleutel die voor deze handtekening gebruikt zullen worden. 3. Berekenen van het authentiseringspad. Jakobsson et al. [80] hebben hiervoor een algoritme ontwikkeld dat slechts O(log2 (N )/ log2 (log2 (N ))) invocaties van f nodig heeft per pad dat berekend moet worden. 4. Berekenen van de handtekening. 5. Doorsturen van de handtekening, de publieke sleutel en het authentiseringspad. Om een handtekening te verifiëren, controleert men eerst de authenticiteit van de ontvangen publieke sleutel (via het authentiseringspad en de top van de gebruikte Merkle-boom) en daarna de handtekening zelf..

(33) xxix P [1, 8] P [1, 4] P [1, 2]. P [5, 8] P [3, 4]. P [5, 6]. P [7, 8]. leaf1. leaf2. leaf3. leaf4. leaf5. leaf6. leaf7. leaf8. ···. ···. ···. ···. ···. ···. ···. ···. Figuur 1. Merkle tree met 8 bladen. De top P [1, 8] kan gebruikt worden om heel de boom te authentiseren.. E´ enwegskettingen Een tweede efficiënte methode om publieke sleutels te authentiseren is het gebruik van éénwegskettingen. De persoon die handtekeningen wil plaatsen, begint met het genereren van een private sleutel: sk N = {x1 , x2 , . . . , xt }. In plaats van de functie f éénmaal toe te passen om de publieke sleutel te bekomen, past de gebruiker de functie N -maal toe. Hier is N het aantal publieke sleutels die geauthentiseerd kunnen worden met de éénwegskettigen. De laatste set van waarden die zo bekomen wordt, pk 1 = {f N (x1 ), f N (x2 ), . . . , f N (xt )}, is de eerste publieke sleutel die gebruikt zal worden. Deze wordt op een geauthentiseerde manier doorgegeven aan alle personen die handtekeningen willen verifiëren (zoals de top van de Merkle-boom). De voorlaatste set van waarden, sk 1 = {f N −1 (x1 ), f N −1 (x2 ), . . . , f N −1 (xt )}, is de eerste private sleutel die zal gebruikt worden om een handtekening te plaatsen. Aangezien een handtekening 1 kan deze geverifiëerd worden door de bestaat uit een deel van de private sleutel, functie f toe te passen en na te kijken of dat men de overeenkomstige waarden uit de publieke sleutel pk 1 bekomt. Eénmaal het sleutelpaar (pk 1 , sk 1 ) gebruikt is, worden de vorige set van waarden op de kettingen de nieuwe private sleutel: sk 2 = {f N −2 (x1 ), f N −2 (x2 ), . . . , f N −2 (xt )}. De nieuwe publieke sleutel is gelijk aan de oude private sleutel: pk 2 = sk 1 . Dit proces wordt verder gezet tot de oorspronkelijke private sleutel sk N bereikt is. Op deze manier kunnen N handtekeningen geplaatst worden. Wanneer éénwegskettingen gebruikt worden in combinatie met een éénmalighandtekeningschema, dan bestaat het plaatsen van een handtekening uit de volgende handelingen:.

(34) xxx. Summary in Dutch. 1. Berekenen van de éénwegskettingen. Hiervoor moeten alle publieke sleutels, die in de toekomst gebruikt zullen worden, berekend worden. Dit moet slechts één keer gebeuren. De laatste bekomen waarden worden verspreid naar alle gebruikers die handtekeningen willen verifiëren. 2. Genereren van de private sleutel die voor deze handtekening gebruikt zal worden. Voor de eerste handtekening is dit het meeste werk, omdat dan tot het einde van de kettingen moet gerekend worden. Voor iedere volgende handtekening wordt dit steeds minder intensief, omdat steeds een kleiner deel van de kettingen berekend moet worden. 3. Berekenen van de handtekening. 4. Doorsturen van de handtekening. Bemerk dat hier geen publieke sleutel moet doorgestuurd worden.. Effici¨ entie van de verschillende schema’s We hebben de performantie geëvalueerd van de drie éénmalige-handtekeningschema’s in combinatie met de twee mechanismen om publieke sleutels te authentiseren. Deze evaluatie resulteerde in algebra¨ısche uitdrukkingen voor alle verschillende aspecten en numerieke evaluaties. Figuur 2 geeft de totale kost per handtekening in mJ van de verschillende schema’s. In dit scenario werd verondersteld dat er een handtekening gestuurd wordt naar 10 personen ter verificatie. Verder werd er verondersteld dat de top van de Merkle-boom of de eerste publieke sleutel (in het geval van éénwegskettingen) geauthentiseerd werd met een ECDSA-handtekening. Deze initialisatiekost zorgt ervoor dat de kost per handtekening in eerste instantie kleiner wordt als het aantal handtekeningen per boom of set van éénwegskettingen groter wordt.. Hoofdstuk 4: Effici¨ ente co¨ operatieve digitale handtekeningen In dit hoofdstuk stellen we een constructie voor die het mogelijk maakt om ieder éénmalig-handtekeningschema om te zetten naar een drempelschema. In dit schema kunnen een aantal knopen samenwerken om een handtekening te plaatsen. In een (t, n)-drempelschema moeten minstens t knopen samenwerken om een correcte handtekening te verkrijgen. De belangrijkste bijdragen in dit hoofdstuk zijn:.

(35) xxxi 6000 HORS−18 with Merkle 5000 HORS−20 with OWC. LDW with OWC mJ/signature. 4000 3000. LDM with OWC. LDM with Merkle HORS−20 with Merkle ECDSA. 2000. LDW with Merkle. 1000 HORS−18 with OWC 0 0. 200. 400. 600. 800. 1000 1200 # signatures. 1400. 1600. 1800. 2000. Figuur 2. Vergelijking van het energieverbruik van de verschillende handtekeningschema’s. We veronderstellen hier 1 persoon die een handtekening plaats die door 10 personen geverifiëerd wordt.. – We stellen een constructie voor om een éénmalig-handtekeningschema om te zetten naar een drempelschema. – We tonen aan hoe dit kan ingezet worden in een authentiseringsmechanisme voor sensornetwerken.. Co¨ operatief ´ e´ enmalig-handtekeningschema Traditionele handtekeningschema’s zijn gebaseerd op “eenvoudige” wiskundige uitdrukkingen. Zo bestaat een RSA-handtekening in essentie uit het berekenen van een modulaire macht: s = md (mod pq). Hierin is s de handtekening, m de boodschap en {d, p, q} de geheime sleutel. Dit maakt het mogelijk om een drempelschema te bouwen via mathematische constructies. Een eenvoudig drempelschema voor RSA kan eruit bestaan de geheime sleutel d te verdelen in twee delen d1 en d2 , zodat d1 + d2 = d. Deze sleutels worden verdeeld tussen twee gebruikers. Deze gebruikers rekenen dan ieder een “halve” handtekening uit: s1 = md1 (mod pq) en s2 = md2 (mod pq). Het product van deze twee halve handtekeningen is een geldige RSA-handtekening die geplaatst werd met de sleutel d: s1 s2 = s. Daar éénmalige-handtekeningschema’s die gebaseerd.

(36) xxxii. Summary in Dutch. H ECC (H ) = α code words. ω symbols. k users. H50. Figuur 3. Voorbereidingsfase van het coöperatief éénmalig-handtekeningschema. zijn op éénwegsfuncties niet kunnen beschreven worden met elegante wiskunde uitdrukkingen, is het niet mogelijk een gelijkaardige constructie te gebruiken. Om toch een drempelschema te kunnen construeren, geven we iedere gebruiker een eigen volledige private en publieke sleutel. De redundantie wordt dan niet toegevoegd aan de handtekeningen zelf (zoals in het voorbeeld van de RSAconstructie), maar aan het bericht dat getekend zal worden. Figuur 3 toont dit proces. Eerst wordt de hashwaarde H van het bericht berekend. Op deze hashwaarde wordt een foutcorrigerende code toegepast die de nodige redundantie toevoegt, dit resulteert in ECC (H). Iedere gebruiker zal een deel van deze ECC (H) handtekenen. De persoon die de handtekening wil controleren, verzamelt en verifiëert eerst alle individuele partiële handtekeningen. Daarna gebruikt hij de foutcorrigerende code om H 0 te bereken uit de gereconstrueerde ECC 0 (H). Indien de berekende H 0 gelijk is aan de hashwaarde van de gehandtekende boodschap, dan wordt de volledige handtekening geaccepteerd. Na een gedetailleerde beschrijving, geven we een veiligheidsanalyse van de constructie.. Authentisering in sensornetwerken Na de beschrijving van het coöperatief éénmalig-handtekeningschema, geven we aan hoe het kan ingezet worden om efficiënte data-authentisering te bieden in sensornetwerken. In vele sensornetwerken worden sensorknopen gegroepeerd in clusters. Wanneer bijvoorbeeld de temperatuur van een kamer opgevraagd wordt, dan worden de verschillende opmetingen van een volledige cluster eerst lokaal verwerkt tot een globaal resultaat. Dit resultaat wordt dan als antwoord teruggestuurd..

(37) xxxiii Wij stellen een authentiseringsmethode voor die toelaat dat al de knopen in eenzelfde cluster samenwerken om een bericht te authentiseren. Daarnaast stellen we ook een efficiënte methode voor om de publieke en private sleutels te hernieuwen. Het volledige systeem is zo ontworpen dat de zwakke sensorknopen nooit rekenintensieve taken moeten uitvoeren, maar dat deze taken steeds door de sterke “‘query”-knoop (de knoop die de gegevens van het sensornetwerk uitleest) uitgevoerd worden.. Hoofdstuk 5: Dynamisch sleutelbeheer Wanneer symmetrische cijfers worden gebruikt om gegevens te vercijferen, dan is het essentieel dat de twee communicerende partijen kunnen beschikken over een gedeelde geheime sleutel. In dit hoofdstuk stellen we een mechanisme voor om deze sleutel af te spreken in een dynamisch ad-hoc netwerk. Om het systeem zo efficiënt mogelijk te houden, maken we geen gebruik van publieke-sleutelcryptografie. De belangrijkste bijdragen in dit hoofdstuk zijn: – We stellen een efficiënt sleutelbeheersysteem voor ad-hoc netwerken voor. Dit schema werkt autonoom, zonder hulp van vaste knopen die dienst doen als sleutelverdelingscentra. – We tonen aan hoe dit schema kan ge¨ıntegreerd worden met een routeringsschema voor ad-hoc netwerken. – We hebben de veiligheid en de efficiëntie van het voorgestelde systeem geanalyseerd.. Initialisatie Ons systeem is een uitbreiding van “key pre-distribution”-schema’s (KPD) naar een omgeving waar knopen zich vrij kunnen bewegen. In een KPD-schema worden geheime sleutels in de knopen ge¨ınstalleerd voor ze uitgezet worden. Een eenvoudig KPD-schema kan er bijvoorbeeld in bestaan dat iedere knoop 60 willekeurig gekozen sleutels krijgt uit een set van 5000 sleutels. De kans dat twee knopen dan een sleutel delen is ongeveer 50%. Er bestaan vele variaties die bijvoorbeeld rekening houden met de plaats waar een knoop waarschijnlijk zal terechtkomen, enz..

(38) xxxiv. Summary in Dutch. Sleutels opzetten met de buurt Eénmaal de knopen uitgezet zijn, proberen zij sleutels af te spreken met alle knopen in hun buurt. Een buurt met straal l wordt gedefinieerd als alle knopen die bereikbaar zijn in maximaal l hops. Indien een knoop geen sleutel deelt via het KPD-schema met één of meerdere van zijn buren, dan zal hij via andere knopen waarmee hij wel een sleutel deelt, een sleutel opzetten met deze buren. Na deze initiële fase deelt elke knoop een geheime sleutel met alle andere knopen in zijn buurt. Veronderstel nu dat (door de mobiliteit van de knopen) een nieuwe knoop B in de buurt van knoop A komt. Knoop A zal nu een sleutel met de nieuwe knoop afspreken. Met zeer grote waarschijnlijkheid zullen er meerdere paden zijn tussen knopen A en B, waarbij iedere hop op dit pad beschermd is door een sleutel die gedeeld is door de twee eindpunten van deze hop (aangezien iedere knoop sleutels deelt met zijn gehele buurt). Knoop A stuurt via één van deze paden een bericht naar knoop B met de vraag een sleutel af te spreken. Knoop B genereert dan een willekeurige sleutel en verdeelt deze in stukken via een (m, n) “secret sharing”-mechanisme. Met dit mechanisme heeft men minstens m van de n delen van de sleutel nodig om deze te reconstrueren. Knoop B stuurt nu ieder deel over een verschillend pad naar knoop A. Hierbij worden de delen hop-perhop vercijferd via de bestaande sleutels. Knoop A reconstrueert de sleutel uit minstens m delen. Het “secret sharing”-mechanisme heeft twee voordelen. Ten eerste mogen een aantal delen van de geheime sleutel verloren gaan en ten tweede moet een aanvaller minstens m delen bemachtigen om het geheim te achterhalen.. Integratie met een routeringsprotocol In dit deel tonen we aan hoe ons sleutelbeheersysteem ge¨ıntegreerd kan worden in bestaande routeringsprotocollen, in het bijzonder het Dynamic Source Routing (DSR) protocol. De integratie van de twee systemen, routering enerzijds en sleutelbeheer anderzijds, heeft twee voordelen. Ten eerste kan het routeringsprotocol beveiligd worden met de sleutels die opgezet worden via het sleutelbeheer systeem en ten tweede wordt de extra overhead vermeden die gecreëerd wordt, wanneer de twee systemen onafhankelijk van elkaar ge¨ımplementeerd worden.. Performantie- en veiligheidsanalyse Ten slotte geven we een performantie- en veiligheidsanalyse van het voorgestelde sleutelbeheersysteem. De performantieanalyse is gebaseerd op een analytisch model en op simulaties om aan te tonen dat het analytisch model accuraat is..

(39) xxxv In de veiligheidsanalyse wordt de veiligheid van het sleutelbeheersysteem en het ge¨ıntegreerd routeringsprotocol besproken. Ten slotte hebben we, via een eenvoudig analytisch model, achterhaald hoe snel het aantal gecompromitteerde knopen groeit wanneer een aanvaller een fractie c van de geheime sleutels achterhaald heeft. Deze analyse geeft aan dat het schema veiliger wordt wanneer men de straal l van de buurt kleiner maakt, en wanneer men het (m, n) “secret sharing”mechanisme minder robuust maakt (een kleinere m kiest).. Hoofdstuk 6: Privacy in ad-hoc netwerken Dit laatste hoofdstuk handelt over privacy in ad-hoc netwerken. In de huidige samenleving, waar de digitalisering zich blijft uitbreiden, wordt onze privacy steeds meer bedreigd. Met de huidige technologie is het mogelijk om op zeer korte tijd zeer grote hoeveelheden gegevens te verwerken (bedenk bijvoorbeeld hoe snel de Google zoekmachine resultaten kan produceren). Door de digitalisering van diensten laten we ook steeds meer sporen na van onze handelingen. Al onze banktransacties en informatie over telefoongesprekken worden opgeslagen, ons koopgedrag wordt verzameld via klantenkaarten, enz. Door het gebruik van mobiele telefonie, zoals GSM, wordt niet alleen informatie over de gesprekken opgeslagen, maar ook de locatie van waar we belden. Met de introductie van ad-hoc netwerken, waarin iedere gebruiker mogelijk berichten zal doorsturen van andere gebruikers, zal dit probleem nog groter worden. In dit geval kunnen we niet langer vertrouwen op de mobiele operator om onze gegevens te beschermen. We vatten dit hoofdstuk aan met een inleiding tot het privacy-domein. Daarna geven we een volledig overzicht en analyse van de state-of-the-art van anonieme routeringsprotocollen voor ad-hoc netwerken. In de analyse duiden we de zwakke en sterke punten aan van de voorgestelde protocollen. Na deze inleiding stellen we een eigen protocol voor anonieme routering in ad-hoc netwerken voor. In ons voorstel trachten we de bestaande protocollen te verbeteren op twee gebieden: op het gebied van efficiëntie en de geboden anonimiteit. De belangrijkste bijdragen in dit hoofdstuk zijn: – We geven een overzicht van de state-of-the-art in anonieme routeringsprotocollen voor ad-hoc netwerken. – We presenteren een nieuw schema dat meer privacy biedt en efficiënter is dan de bestaande voorstellen. – We geven een gedetailleerde analyse van de anonimiteit die geboden wordt..

(40) xxxvi. Summary in Dutch. N2 S N1. D. Figuur 4. Route tussen zender S en bestemming D. De volle lijn duidt een echte route tussen S en D aan, terwijl de stippelijnen nepberichten aanduiden om de locatie van de echte route te beschermen.. ARM: anonieme routering voor mobiele ad-hoc netwerken Een eerste onderdeel van het anoniem routeringsprotocol is de constructie van éénmalige pseudoniemen die knopen kunnen gebruiken om elkaar te contacteren. De voorgestelde constructie is gebaseerd op een geheime sleutel die gedeeld wordt tussen de twee communicerende partijen. De pseudoniemen die op deze manier bekomen worden, hebben het voordeel dat ze op een efficiënte manier herkend kunnen worden door de andere partij, zonder dat enige andere partij een idee heeft aan wie het bericht gericht is. Eénmaal een nieuw pseudoniem geconstrueerd is, kan het gebruikt worden om één of meerdere paden op te zetten naar de andere partij. Het opzetten van deze paden gebeurt zodanig dat de deelnemende knopen (die berichten zullen doorsturen naar elkaar tot de eindbestemming bereikt is) geen idee hebben wie de communicerende partijen zijn of waar deze gelocaliseerd zijn. Onze oplossing biedt dus bescherming tegen de knopen die deel uitmaken van het netwerk. Daarnaast biedt onze oplossing ook bescherming tegen een aanvaller die alle berichten in het netwerk kan afluisteren. Het is duidelijk dat, wanneer deze aanvaller herhaaldelijk een bericht ziet passeren over eenzelfde route, hij kan aannemen dat de eindpunten van deze route met elkaar communiceren. Daarom stellen we een systeem voor om de locatie van een echte route te beschermen via nepberichten (zie Fig. 4). Om deze bescherming te bieden maken we zowel gebruik van een “padding”schema (hierdoor krijgen berichten een willekeurige lengte) en een “time-to-live”schema (de nepberichten sterven uit nadat ze een aantal hops afgelegd hebben). Na de voorstelling van ons anoniem routeringsprotocol geven we een gedetailleer-.

(41) xxxvii de analyse van de anonimiteit en efficiëntie die geboden wordt door padding en time-to-live schema’s..

(42)

(43) Chapter 1. Introduction 1.1. Motivation. The short but rapidly evolving history of digital communication systems has recently taken another turn. Since their introduction in the 1940s, digital computers have evolved from room-filling machines, available only to a few large organizations, to affordable, light and portable devices. In parallel, starting in the late 1950s, computer networks evolved from small isolated networks centered around a mainframe, to the now omnipresent Internet, connecting computers around the globe. Until recently, computers were typically connected to a wall socket using a wire, limiting the mobility of the users. With the introduction of the 802.11 Wireless Local Area Network (WLAN) standard in the 1990s, it is now possible to make a wireless connection to an Access Point (AP), which replaces the traditional Ethernet socket. These recent advances in wireless technologies and further miniaturization of computer systems, enable the next major evolutionary step: Mobile Ad hoc Networks (MANETs). The most important characteristics of MANETs are [121]: – Self-organized and Decentralized: An ad hoc network establishes itself the moment two or more devices enter each others’ communication range. This happens without the use of any fixed infrastructure, but relies solely on the devices that make up the ad hoc network. – Dynamic network topology: In many situations, the devices will be mobile. Next to this, due to power considerations, devices can turn themselves off at any time. Both actions imply a changing network topology. 1.

(44) 2. Chapter 1. Introduction. – Multi-hop, wireless connections: Obviously, nodes can only be mobile if they are linked through wireless connections. Possible technologies include radio and infrared. In order to be able to communicate with devices that are out of range, intermediate devices will forward data packets in a hop-by-hop fashion. – Heterogeneity: The devices that make up an ad hoc network can have very different capabilities (ranging from radio enabled light switches, al the way up to laptops). MANETs make it possible to rapidly deploy networks in areas that have no existing communications infrastructure, making them extremely well suited to establishing communications in disaster areas or war zones. Other applications include urban mesh networks and car to car networks. Urban mesh networks have the potential to allow users to bypass broadband providers. A single house could connect to the Internet and then extend access to the entire neighborhood via wireless, multi-hop ad hoc networking. Cars could benefit in many ways from a communication link. Next to the obvious benefits to business and entertainment applications, safety on the road would also improve: traffic congestion avoidance, collision avoidance, braking coordination, remote diagnostics, etc. One specific example of MANETs are Distributed Sensor Networks (DSNs). Sensor networks consist of thousands of miniature sensors (referred to as motes) that are deployed in some area of interest [14, 90, 135, 171, 174]. These sensors, equipped with the necessary computing power and communication capabilities, form a wireless ad hoc network to collect and forward the necessary sensing data. Typical characteristics of sensor networks (in addition to those of a MANET) are: – Unattended: Once the sensors have been deployed, they may be physically impossible to reach. – Limited power supply: In many situations, the sensor node’s energy is supplied by a battery. If the sensor’s cannot be reached, then the battery cannot be replaced. – Limited processing power: Cheap miniature sensors with ultra-low power budgets will not be equipped with fast, multimedia-enabled processors. – Limited bandwidth: Fast transmission speeds are not required and require more power. Possible applications of sensor networks include: (1) A farmer or ecologist could equip motes with sensors that detect temperature, humidity, etc., making each mote a mini weather station. Scattered throughout a field, orchard or forest, these motes would allow the tracking of micro-climates, detect diseases, etc. (2).

(45) 1.2 This thesis and related work. 3. A biologist could equip an endangered animal with a collar containing a mote that senses position, temperature, etc. As the animal moves around, the mote gathers data from the sensors. This data is collected by an ad hoc network of data retrieving motes scattered throughout the animals natural habitat. (3) Skyscrapers, bridges and other large structures could be fitted with motes that are equipped with a positioning system. Minute changes in related position of motes can be used to detect cracks and creases in these structures. Providing security is an important issue that needs to be solved before MANETs can become an everyday reality. Wireless communications are easy to intercept without detection. Moreover, radio waves travel through walls and windows, and can be intercepted outside the physical perimeter of homes and corporations. The media attention given to the failing Wired Equivalent Privacy (WEP)1 protocol [24, 63, 170], and in a lesser degree, to the Bluetooth security shortcomings [82], proves that security is deemed important by the general public. Due to the specific properties of wireless ac hoc networks, it is not straightforward to provide security services. First of all, there are no online central servers that can be used to facilitate security services such as signing public key certificates or establishing session keys. Secondly, multi-hop routing implies that every node in the system is a potential router for any other node. Mechanisms need to be in place to establish the level of trust we have in these other nodes, to protect our data from them, etc. Thirdly, because of the dynamic network topology, routes will continuously change. New nodes will enter a node’s neighborhood, while old nodes leave the neighborhood. This means that nodes will continuously have to establish new trust relationships. Finally, the security mechanisms will have to operate on nodes with limited resources. Traditional security mechanisms were not designed with the specific properties of ad hoc networks in mind. Therefore, the majority of these mechanisms are not directly applicable to MANETs. Since the late 1990s, a substantial research effort has been directed at designing security mechanisms for wireless ad hoc networks.. 1.2. This thesis and related work. Providing security for ad hoc networks encompasses the complete information security research domain, ranging from developing efficient cryptographic primitives to preparing security policies. We can distinguish several subtopics (many of them a complete research field themselves): 1 WEP. (LANs).. was the first mechanism proposed to secure IEEE 802.11 wireless Local Area Networks.

(46) 4. Chapter 1. Introduction. Efficient cryptographic primitives Many security mechanisms rely on cryptography. Because of the limited resources of the nodes in an ad hoc network, it is important that these cryptographic primitives are as efficient as possible. Efficiency has always been an important characteristic of cryptographic primitives, but when designing protocols for ad hoc networks, their efficiency should be considered as important as the security they offer. We provide a detailed analysis of the efficiency of the most common cryptographic primitives in Chapter 2. In Chapter 3, we present a detailed analysis of the efficiency of one-time signature schemes based on a universal oneway function. Finally, in Chapter 4 we show how it is possible to construct cooperative threshold one-time signature schemes, in which multiple users can cooperate to sign a message. Authentication and Key establishment Cryptography reduces the confidentiality and integrity of a message to the confidentiality and integrity of a key. When using symmetric cryptography, the parties involved have to negotiate a secret key. A good key establishment scheme provides entity authentication (all parties know the identity of the other parties with whom they are establishing a key), key authentication (all parties are assured that no unauthorized parties could have obtained the secret key), and key confirmation (all parties are assured that all other parties have knowledge of the secret key). Key establishment schemes can be divided into three major categories: (1) key pre-distribution schemes, (2) schemes using a trusted third party, and (3) schemes based on public key cryptography. Key pre-distribution schemes have received a lot of attention in the setting of ad hoc networks. They are very suited for ad hoc networks as they do not require a trusted third party to be available at all times, and are very efficient (they do not require computations and very little communications). Eschenauer and Gligor [58] were the first to propose random key pre-distribution to establish keys in ad hoc networks. They propose installing a random subset of a larger batch of keys in every node. After deployment, the nodes check whether they share a key with one or more of their neighbors. For example, two nodes will share at least one key with a probability of 50% if each of them receives 60 different keys out of a batch of 5000 keys. Many variations and adaptations have been proposed subsequently (e.g., based on location information, using structured key distribution instead of random distribution, etc.). We refer to [37] for an overview. Du et al. have combined Blom’s key pre-distribution scheme [22] with random key pre-distribution, resulting in a scheme with a nice threshold property. As long as.

(47) 1.2 This thesis and related work. 5. less than or equal to λ nodes have been compromised, uncompromised nodes are secure; when more than λ nodes are compromised, all pairwise keys in the entire network are compromised [56]. These proposals are all targeted at static (or near-static) networks. In Chapter 5 we propose a key establishment scheme that extends key pre-distribution schemes to the setting of dynamic networks. This scheme uses key pre-distribution as a bootstrap mechanism and allows nodes to continuously establish pairwise keys with their neighbors or any other node in the network. We achieve this by allowing every node in the network to become a trusted third party for any other node. Schemes using trusted third parties are not really suited for ad hoc networks as they assume that the trusted third party is available to anybody. However, they can be applied in a distributed fashion as in the scheme we propose in Chapter 5. The disadvantage of public key based schemes is that they require certificates and that public key algorithms are inefficient (Chapter 2). Zhou and Haas [185] propose to distribute the task of the Certification Authority (CA) to multiple nodes using a threshold scheme. This has two advantages: (1) if one or more of the CAs becomes unreachable, a node can still obtain a certificate, and (2) an adversary will have to compromise multiple CAs before he can falsify certificates. We have extended this idea in [156]. The self-organized Public Key Infrastructure (PKI) for ad hoc networks was introduced by Hubaux et al. [75]. Their scheme is similar to Pretty Good Privacy (PGP) [187] in the sense that public key certificates are issued by the users. However, as opposed to PGP, certificates are stored and distributed by the users (and not by certificate directories). Each user maintains a local repository that contains a limited number of certificates. When user u wants to obtain the public key of user v, they merge their local repositories, and u tries to find an appropriate certificate chain from u to v in the merged repositories. A third mechanism to authenticate public keys is using identity-based public key systems [23]. In identity-based schemes, the public key is mathematically derived from the identity of the user, i.e., knowing the identity of a user automatically provides you with an authenticated copy of that user’s public key. This has been adapted to ad hoc networks in, a.o., [42, 93]. Finally, we mention the work by Jakobsson and Pointcheval [81]. They propose a variation on the well known Station-to-Station (STS) protocol [107, Sect. 12.6], that is specifically designed for efficiency. Carman et al. [35, 36] have analyzed several approaches for key management in sensor networks. They present detailed performance evaluation of several schemes, including key pre-distribution, protocols using a trusted server, autonomous key agreement protocols and the use of identity-based public key cryptography..

No results found