[論文レビュー] We Can Remember It for You Wholesale: Implications of Data Remanence on the Use of RAM for True Random Number Generation on RFID Tags (RFIDSec 2009)
この論文は、RFIDタグにおけるSRAMのデータ保持特性を用いた真の乱数生成の可能性を調査しており、電源断後の残留データが、ランダムネス抽出の周波数と信頼性を著しく制限することを示している。著者らは、IntelのWISPタグ上で真の乱数生成器を実装し、512KBのRAMから最大309ビットのランダムネスしか抽出できないことを示した。また、データ保持の影響により、実用的な遅延が数秒を超えることが判明し、リアルタイム認証プロトコルにおける繰り返し使用は現実的でないことが明らかになった。
Random number generation is a fundamental security primitive for RFID devices. However, even this relatively simple requirement is beyond the capacity of today's average RFID tag. A recently proposed solution, Fingerprint Extraction and Random Number Generation in SRAM (FERNS) [14, 15], involves the use of onboard RAM as the source of "true" randomness. Unfortunately, practical considerations prevent this approach from reaching its full potential. First, this method must compete with other system functionalities for use of memory. Thus, the amount of uninitialized RAM available for utilization as a randomness generator may be severely restricted. Second, RAM is subject to data remanence; there is a time period after losing power during which stored data remains intact in memory. This means that after a portion of memory has been used for entropy collection once it will require a relatively extended period of time without power before it can be reused. In a usable RFID based security application, which requires multiple or long random numbers, this may lead to unacceptably high delays. In this paper, we show that data remanence negatively affects RAM based random number generation. We demonstrate the practical considerations that must be taken into account when using RAM as an entropy source. We also discuss the implementation of a true random number generator on Intel's WISP RFID tag, which is the first such implementation to the authors' best knowledge. By relating this to the requirements of some popular RFID authentication protocols, we assess the (im)practicality of utilizing memory based randomness techniques on resource constrained devices.
研究の動機と目的
- 低コストのRFIDタグにおいて、SRAMのデータ保持特性を真の乱数の源として使用する可能性を評価すること。
- 特にメモリの競合とデータ保持の影響を含め、オンボードメモリを乱数生成に再利用する際の実用的制限を同定すること。
- 著者らの知る限り、最初の実装となるIntelのWISP RFIDタグ上で真の乱数生成器を実装・評価すること。
- HB+ や HB# といった一般的なRFID認証プロトコルにおける、これらの制限の影響を分析すること。
- データ保持により強制的にメモリを再利用させることで生じる、サイドチャネル攻撃およびサービス拒否攻撃の可能性を検討すること。
提案手法
- 電源のオン・オフを繰り返し、未初期化のSRAMブロックを物理的エントロピー源として再利用する。
- 電源投入後のSRAM内容からランダムネスを抽出するため、暗号ハッシュ関数(例:SHA-1)を用い、生の値を指紋として扱う。
- IntelのWISP RFIDタグを用いて実験を行い、電源断後の抽出可能エントロピーと回復までの時間を測定した。
- メモリが未初期化状態に完全に衰えるまでの時間を分析し、連続する乱数生成間の遅延を定量化した。
- この遅延が、アクセス制御カードのような実世界のRFID利用モデルに与える影響を評価した。
- 継続的な電源供給により残留データの再利用を強制する攻撃の可能性をモデル化し、出力が予測可能になることを示した。
実験結果
リサーチクエスチョン
- RQ1SRAMにおけるデータ保持が、RFIDタグにおける乱数生成の周波数にどの程度制限を及えるか?
- RQ2一般的なRFIDタグのRAMから、データ保持の影響がランダムネス品質を低下させる前に、どの程度の有用エントロピーを抽出できるか?
- RQ3リソース制限のあるRFIDタグ(例:WISP)に真の乱数生成器を実装することは現実的に行えるか?
- RQ4メモリの競合とデータ保持の遅延は、頻繁な乱数生成を要するRFID認証プロトコルの性能にどのように影響するか?
- RQ5攻撃者がデータ保持現象を悪用して乱数生成を予測または遮断する場合、どのような新たな攻撃表面が生じるか?
主な発見
- 512バイトのSRAMを搭載したRFIDタグにおいて、データ保持の影響により、最大309ビットの有用ランダムネスしか抽出できない。
- 電源断後のSRAMが完全に未初期化状態に戻るまでの時間は数秒にのぼり、リアルタイムアプリケーションでは繰り返しの乱数生成が現実的でない。
- 既存のシステム機能とのメモリ競合が、ランダムネス生成に利用可能な未初期化メモリの可用性を著しく制限し、有用エントロピーをさらに減少させる。
- タグをリーダーの電磁界から取り外してメモリの衰えを待つ必要があるという要件は、標準的なRFID利用モデルを根本的に変えるものであり、ユーザーへの負担が著しく増加する。
- 攻撃者がタグを継続的に電源投入することで、メモリの衰えを防ぎ、結果として乱数生成を遮断するサービス拒否攻撃を実行できる。
- 本研究では、RAMベースの乱数生成が理論的には魅力的であるが、時間的およびリソース的制約のため、現在のRFID認証プロトコルには実用的ではないことが示された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。