Skip to main content
QUICK REVIEW

[論文レビュー] Analysing ZigBee Key Establishment Protocols

Ender Yüksel|arXiv (Cornell University)|May 30, 2012
Formal Methods in Verification被引用数 2
ひとこと要約

この論文は、LySaプロセス計算における静的プログラム解析を用いて、ZigBee-2007エンドツーエンドアプリケーション鍵確立プロトコルの形式的分析を提示する。不適切な新鮮性の取り扱いに起因する深刻なリプレイ攻撃の脆弱性を特定し、メッセージ構造とラウンドインジケータの強化によって攻撃を防ぐ修正済みプロトコルを提案。誤検出なしの過剰近似静的解析により検証済み。

ABSTRACT

In this report, we present our approach for protocol analysis together with a real example where we find an important flow in a contemporary wireless sensor network security protocol. We start by modelling protocols using a specific process algebraic formalism called LySa process calculus. We then apply an analysis based on a special program analysis technique called control flow analysis. We apply this technique to the ZigBee-2007 End-to-End Application Key Establishment Protocol and with the help of the analysis discover an unknown flaw. Finally we suggest a fix for the protocol, and verify that the fix works by using the same technique.

研究の動機と目的

  • ZigBee-2007エンドツーエンドアプリケーション鍵確立プロトコルにおけるセキュリティ上の欠陥を特定し、形式的に検証すること。
  • シミュレーションを用いず、静的プログラム解析がプロトコルの脆弱性を検出する有効性を示すこと。
  • ラウンドインジケータを用いた構造化されたメッセージ構造により、メッセージの新鮮性を保証することで、リプレイ攻撃に耐性を持つ修正プロトコルを提案すること。
  • 同じ形式的解析手法を再び適用して修正されたプロトコルの正当性を検証し、正しさと終了性を保証すること。

提案手法

  • ZigBee鍵確立プロトコルを、並列および暗号プロトコルを指定するための形式的記法であるLySaプロセス計算でモデル化すること。
  • 制御フローキャンセリングを適用して実行時の振る舞いの過剰近似を計算し、潜在的な攻撃経路の検出を可能にすること。
  • メッセージの送信元・宛先、暗号化/復号化のパターンを正確なアノテーションで追跡する静的解析フレームワークを用いること。
  • ラウンドインジケータをメッセージパターンに導入し、古いプロトコル実行と新しい実行を区別することで、リプレイ攻撃の検出を可能にすること。
  • 共有のマスターキーを持つ不正な攻撃者および正当な(例:信頼できるセンター)攻撃者を含む攻撃者モデルを拡張すること。
  • 同じ静的解析を再実行することで、提案された修正を検証し、修正済みプロトコルに依然として欠陥が存在しないことを確認すること。

実験結果

リサーチクエスチョン

  • RQ1LySaにおける静的プログラム解析は、ZigBee-2007のような実世界の規格における微細なプロトコル欠陥を検出できるか?
  • RQ2ZigBee-2007鍵確立プロトコルに存在する、リプレイ攻撃を可能にする具体的な脆弱性は何か?
  • RQ3鍵交換プロトコルにおいて、新鮮性を形式的に保証するにはどうすればよいか?
  • RQ4同じ静的解析手法を用いて、修正済みプロトコルが安全であることを形式的に検証できるか?
  • RQ5特に誤検出と反例の欠如に関して、静的解析のプロトコル検証における限界は何か?

主な発見

  • ZigBee-2007エンドツーエンドアプリケーション鍵確立プロトコルに、以前に発見されていなかったリプレイ攻撃の脆弱性が存在することが判明した。これは、メッセージの新鮮性の取り扱いが不適切であることに起因する。
  • この欠陥は、プロトコルが古いプロトコル実行と新しい実行を区別していないため発生し、攻撃者がメッセージをリプレイすることでセッション鍵が侵害される。
  • ラウンドインジケータをメッセージパターンに導入することで、プロトコルインスタンスを区別し、リプレイ攻撃を防止する修正プロトコルが提案された。
  • 同じ静的解析手法を用いて修正されたプロトコルの正当性を形式的に検証し、同定された欠陥が修正済みであることが確認された。
  • この解析手法は、動作意味論に関して終了性と正しさを保証し、モデルチェックインと比較してスケーラブルな代替手段を提供する。
  • 暗号化だけではセキュリティを保証できないことが示され、ノンスや新鮮性メカニズムの適切な使用は形式的に検証される必要がある。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。