Skip to main content
QUICK REVIEW

[论文解读] We Can Remember It for You Wholesale: Implications of Data Remanence on the Use of RAM for True Random Number Generation on RFID Tags (RFIDSec 2009)

Nitesh Saxena, Jonathan Voris|ArXiv.org|Jul 7, 2009
Physical Unclonable Functions (PUFs) and Hardware Security参考文献 17被引用 24
一句话总结

本文研究了在RFID标签中利用SRAM数据残留特性生成真随机数的可行性,表明断电后内存中残留的数据严重限制了随机数提取的频率与可靠性。作者在英特尔WISP标签上实现了真随机数生成器,结果显示从512KB内存中最多只能提取309比特的随机性,且由于残留效应导致实际延迟超过数秒,使得在实时认证协议中重复使用变得不切实际。

ABSTRACT

Random number generation is a fundamental security primitive for RFID devices. However, even this relatively simple requirement is beyond the capacity of today's average RFID tag. A recently proposed solution, Fingerprint Extraction and Random Number Generation in SRAM (FERNS) [14, 15], involves the use of onboard RAM as the source of "true" randomness. Unfortunately, practical considerations prevent this approach from reaching its full potential. First, this method must compete with other system functionalities for use of memory. Thus, the amount of uninitialized RAM available for utilization as a randomness generator may be severely restricted. Second, RAM is subject to data remanence; there is a time period after losing power during which stored data remains intact in memory. This means that after a portion of memory has been used for entropy collection once it will require a relatively extended period of time without power before it can be reused. In a usable RFID based security application, which requires multiple or long random numbers, this may lead to unacceptably high delays. In this paper, we show that data remanence negatively affects RAM based random number generation. We demonstrate the practical considerations that must be taken into account when using RAM as an entropy source. We also discuss the implementation of a true random number generator on Intel's WISP RFID tag, which is the first such implementation to the authors' best knowledge. By relating this to the requirements of some popular RFID authentication protocols, we assess the (im)practicality of utilizing memory based randomness techniques on resource constrained devices.

研究动机与目标

  • 评估利用SRAM数据残留作为低成本RFID标签中真随机性来源的可行性。
  • 识别在将片上内存重新用于随机数生成时的实际限制因素——尤其是内存竞争与数据残留。
  • 在英特尔WISP RFID标签上实现并评估真随机数生成器,据作者所知,这是首个此类实现。
  • 分析这些限制对HB+和HB#等流行RFID认证协议的影响。
  • 探讨由于残留现象导致强制内存重用而引发的潜在侧信道攻击与拒绝服务攻击。

提出的方法

  • 通过电源循环与后续内存读取,将RFID标签中未初始化的SRAM块重新用作物理熵源。
  • 使用密码学哈希函数(如SHA-1)从断电后SRAM内容中提取随机性,将原始值视为指纹处理。
  • 在英特尔WISP RFID标签上开展实验,测量断电后可提取的熵值与恢复时间。
  • 分析内存衰减至未初始化状态所需的时间,量化连续生成随机数之间的延迟。
  • 评估该延迟对实际RFID应用场景(如门禁卡)的影响。
  • 建模潜在攻击,包括持续供电以强制重用残留数据,导致输出可预测。

实验结果

研究问题

  • RQ1SRAM中的数据残留在多大程度上限制了RFID标签中随机数生成的频率?
  • RQ2在典型RFID标签的RAM中,数据残留效应使随机性质量下降之前,最多可提取多少可用熵?
  • RQ3能否在资源受限的RFID标签(如WISP)上实际实现真随机数生成器?
  • RQ4内存竞争与残留延迟如何影响需要频繁生成随机数的RFID认证协议的性能?
  • RQ5当攻击者利用残留现象预测或干扰随机数生成时,会引入哪些新的攻击面?

主要发现

  • 在RFID标签的512字节SRAM中,最多只能提取309比特的可用随机性,超过此范围后残留效应将导致熵质量下降。
  • SRAM在断电后完全衰减至未初始化状态所需的时间为数秒,使得在实时应用中重复生成随机数变得不切实际。
  • 与现有系统功能的内存竞争严重限制了可用于随机数生成的未初始化SRAM可用性,进一步降低了可用熵。
  • 必须将标签从读取器场中移除以允许内存衰减,这一要求从根本上改变了标准RFID使用模式,带来显著的用户负担。
  • 攻击者可通过持续供电对标签进行拒绝服务攻击,阻止内存衰减,从而阻断随机数生成。
  • 本研究证明,基于内存的随机数生成在理论上具有吸引力,但由于时间与资源限制,对当前RFID认证协议而言在实践中不可行。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。