How not to secure wireless sensor networks: A plethora of insecure polynomial-based key pre-distribution schemes

Deze paper onthult dat drie recent voorgestelde polynoomgebaseerde sleutelvoorbereidingsschema's voor draadloze sensornetwerken volledig onveilig zijn, omdat een aanvaller met informatie van maximaal twee knooppunten of één knooppunt plus een sleutel alle groepssleutels kan berekenen, waardoor de fundamentele beveiligingsdoelen worden geschonden.

De kern

Titel: Waarom deze "slimme" sleutels voor sensoren een complete mislukking zijn

Stel je voor dat je een enorm dorp hebt vol met kleine, slimme sensoren (zoals temperatuurmeters of bewegingsdetectoren). Deze sensoren moeten met elkaar praten, maar ze zijn heel klein en hebben weinig batterijkracht. Om te voorkomen dat boze buitenstaanders hun gesprekken afluisteren, moeten ze geheime sleutels hebben om te vergrendelen.

In dit wetenschappelijke artikel legt Chris J. Mitchell uit hoe drie recente ideeën voor het verdelen van deze sleutels volledig falen. Hij noemt ze "polynoomgebaseerde plannen", maar laten we het simpel houden: het zijn drie verschillende manieren om een groep sensoren een geheim te geven zonder dat ze hoeven te bellen of te mailen.

Het Grote Probleem: De Sleutelkast is open

De drie plannen (van auteurs Harn, Hsu, Gong, Albakri en anderen) beloofden het volgende:

• Elke sensor krijgt bij de fabriek een paar "delen" van een geheim.
• Als een groep sensoren samen wil werken, kunnen ze die delen combineren tot één nieuwe, unieke sleutel.
• Alleen sensoren die bij die specifieke groep horen, zouden die sleutel kunnen maken.

De realiteit (zoals onthuld in dit artikel):
Het werkt totaal niet zoals beloofd. Het is alsof je een huis bouwt met een slot dat alleen open gaat als je de juiste sleutel hebt, maar het blijkt dat één enkele sleutel in het huis eigenlijk de sleutel is voor alle deuren in het hele dorp.

Hier zijn de drie scenario's die Mitchell beschrijft, vertaald naar alledaagse analogieën:

1. Het Harn-Hsu Plan: De "Eén Sleutel voor Alles" Fout

Stel je voor dat elke sensor een eigen sleutelbos krijgt. De makers dachten: "Als een sensor alleen zijn eigen sleutelbos heeft, kan hij alleen de deur openen van de groep waar hij bij hoort."

De klap:
Mitchell laat zien dat als een hacker maar één sensorkraak (of zelfs maar één sensor die al gehackt is), die hacker met dat ene sleutelbos elke mogelijke groepssleutel kan berekenen.

• De analogie: Het is alsof je een mastercode hebt die niet alleen je eigen huis opent, maar ook de kluis van de bank, het postkantoor en het huis van je buurman. Het maakt niet uit of je bij die groep hoort; met die ene code kun je alles openen.
• Het resultaat: De geheime sleutels zijn niet meer geheim. De hele beveiliging is waardeloos.

2. Het Harn-Gong Plan: De "Kopie" Fout

Dit plan is bijna hetzelfde als het eerste, maar dan iets simpeler. Het is alsof je in plaats van een sleutelbos, slechts één grote sleutel krijgt die je moet vermenigvuldigen met een getal.

• De klap: Omdat het zo'n simpelere versie is van het eerste plan, werkt exact hetzelfde hack. Als iemand één sensor heeft, heeft hij de hele sleutelkast.
• Conclusie: Dit plan is net zo onveilig als het eerste, alleen dan in een nog kwetsbaarder jasje.

3. Het Albakri-Harn Plan: De "Samenwerking" Fout

Dit plan was iets complexer. De sensoren kregen een "token" (een soort digitaal pasje) met daarop een ingewikkelde formule. De auteurs dachten: "Twee sensoren samen kunnen nog niet alles kraken, en zeker niet als ze niet bij elkaar horen."

De klap:
Mitchell toont aan dat dit ook faalt, maar dan op twee manieren:

1. Samenwerken: Als twee sensoren met elkaar praten (of als een hacker twee sensoren heeft), kunnen ze samen alle sleutels van alle groepen berekenen.
2. Eén sleutel te veel: Als een hacker maar één sensor heeft én toevallig één groepssleutel weet (die die sensor eigenlijk niet mag hebben), dan kan hij ook alle andere sleutels berekenen.

• De analogie: Stel je voor dat je een puzzel hebt. De makers dachten dat je 10 stukjes nodig had om het plaatje te zien. Mitchell laat zien dat je met slechts 2 stukjes (of 1 stukje + 1 losse rand) het hele plaatje kunt reconstrueren.

Waarom is dit gebeurd? (De "Dikke Boek" Fout)

Het meest verbazingwekkende aan dit artikel is niet alleen dat de plannen fout zijn, maar waarom ze fout zijn.
De oorspronkelijke schrijvers van deze plannen hebben in hun artikelen "bewijzen" gepubliceerd die zeiden: "Dit is veilig."
Mitchell zegt: "Nee, die bewijzen zijn alsof iemand zegt: 'Dit slot is veilig, want het is duidelijk dat niemand het kan openen'."

• Ze hebben geen echte wiskundige test gedaan. Ze hebben gewoon gezegd dat het veilig was, zonder hard bewijs.
• In de wereld van cryptografie (het maken van onkraakbare codes) is "het lijkt veilig" niet genoeg. Je moet het kunnen bewijzen. Omdat ze dat niet deden, zaten er enorme gaten in.

Wat betekent dit voor de toekomst?

Het artikel concludeert dat deze drie plannen (en een vierde plan dat erop gebaseerd was) niet te redden zijn. Je kunt ze niet "fixen" door er een beetje tape omheen te plakken. De hele basis is verkeerd.

De les voor iedereen:
Als je een nieuw systeem bedenkt om dingen veilig te maken, moet je niet alleen zeggen "het werkt". Je moet laten zien, met harde wiskunde, dat het echt veilig is. Anders bouw je een huis op een zandbodem, en zodra de eerste storm (een hacker) komt, stort het hele systeem in.

Kortom: Deze sensoren-plannen waren als een slot dat opende met één toets. De makers dachten dat het slim was, maar het was eigenlijk een open deur voor elke inbreker.

Technische samenvatting

Probleemstelling

Het paper adresseert een kritiek probleem in de beveiliging van draadloze sensornetwerken (WSN): de implementatie van groeps-sleutelvoorbereidingsschema's (group key pre-distribution schemes) op basis van polynomen. Drie recente, nauw verwante schema's (Harn-Hsu, Harn-Gong en Albakri-Harn) waren voorgesteld als veilige en lichtgewicht oplossingen. Deze schema's zouden het mogelijk moeten maken dat een willekeurige subset van sensornodes een gedeelde geheim sleutel kan genereren zonder communicatie-overhead, gebruikmakend van vooraf gedistribueerde informatie van een vertrouwde Key Generation Centre (KGC).

Het fundamentele probleem dat Mitchell aan de kaak stelt, is dat deze schema's volledig onveilig zijn. Ondanks claims van de auteurs dat de schema's veilig zijn tegen aanvallen waarbij tot $k$ of $t-1$ nodes worden gekaapt, toont het paper aan dat een aanvaller met de informatie van slechts één (of in één geval twee) nodes alle mogelijke groepssleutels kan berekenen, zelfs voor groepen waar de aangevallen node niet toe behoort. Dit schendt het basisontwerpdoel van het systeem: dat nodes alleen toegang moeten hebben tot sleutels van groepen waar ze lid van zijn.

Methodologie

Mitchell hanteert een cryptanalytische benadering om de drie schema's te ontleeden:

1. Analyse van de wiskundige structuur: Alle drie de schema's opereren in de ring van gehele getallen $\mathbb{Z}_N$, waarbij $N$ een RSA-modulus is ($N = p \times q$). De auteur benadrukt dat in dit domein vermenigvuldiging en deling (via modulaire inverse) mogelijk zijn voor vrijwel alle willekeurig gekozen getallen.
2. Identificatie van algebraïsche relaties: De auteur toont aan dat er directe, lineaire algebraïsche relaties bestaan tussen de gedeelde polynomen, de node-identificatoren en de gegenereerde groepssleutels.
3. Constructie van Insider-aanvallen:
   • Harn-Hsu en Harn-Gong: De auteur demonstreert dat een aanvaller met de "shares" (aandelen) van één enkele node alle parameters kan afleiden die nodig zijn om elke groepssleutel te reconstrueren.
   • Albakri-Harn: Hier is een collusie van twee nodes nodig, of de kennis van één node gecombineerd met één groepssleutel waar die node geen recht op heeft, om het systeem volledig te breken.
4. Kritische evaluatie van de oorspronkelijke bewijzen: Het paper analyseert de "bewijzen" van veiligheid die in de originele papers werden gepresenteerd. Mitchell concludeert dat deze geen rigoureuze wiskundige bewijzen zijn, maar eerder een reeks ononderbouwde claims die als "voor de hand liggend" worden gepresenteerd.

Belangrijkste Bijdragen en Resultaten

1. Breken van het Harn-Hsu Schema (2015)

• Methode: Een node $S_i$ bezit een set van $l-1$ polynoomshares. Door de verhouding te nemen van een share geëvalueerd op een andere node-ID versus op 0 ($s_{i,j}(ID_r) / s_{i,j}(0)$), kan de aanvaller de verhouding $z_r = f(ID_r)/f(0)$ berekenen voor alle andere nodes.
• Resultaat: Met deze verhoudingen en de kennis van de totale groepssleutel (die uit de shares kan worden afgeleid), kan de aanvaller elke willekeurige groepssleutel $K_{S'}$ berekenen, ongeacht de samenstelling van de groep.
• Bijwerking: Het afgeleide Cheng-Hsu-Xia-Harn schema (voor authenticatie) is eveneens onveilig, omdat de authenticatie gebaseerd is op sleutels die door iedereen kunnen worden berekend.

2. Breken van het Harn-Gong Schema (2015)

• Methode: Dit schema wordt geanalyseerd als een speciaal geval van het Harn-Hsu schema waarbij alle shares voor een node gelijk zijn.
• Resultaat: Dezelfde aanval werkt hier direct op. De complexiteit is lager, maar de kwetsbaarheid is identiek.

3. Breken van het Albakri-Harn Schema (2019)

• Methode: Dit schema gebruikt een multivariaat polynoom (token) in plaats van een set univariate polynomen. Mitchell toont aan dat dit token wiskundig equivalent is aan het product van de shares uit het Harn-Hsu schema.
• Aanval:
  • Twee nodes in collusie: Door hun tokens te delen, kunnen ze de verhoudingen van de coëfficiënten van de onderliggende polynomen afleiden. Hiermee kunnen ze alle groepssleutels berekenen.
  • Eén node + één sleutel: Als een node een sleutel kent van een groep waar hij niet toe behoort, kan hij de ontbrekende parameter berekenen en zo alle andere sleutels afleiden.

4. Kritiek op de "Bewijzen"

Het paper onthult dat de beweringen van veiligheid in de originele papers (zoals Theorem 1 in Albakri-Harn) volledig gebaseerd zijn op intuïtie in plaats van formele cryptografische bewijzen. De auteurs claimen dat het "duidelijk" is dat een aanvaller geen informatie kan krijgen, terwijl Mitchell exact het tegenovergestelde aantoont.

Significantie en Conclusies

• Fundamentele Ontwerpfout: De fouten zijn niet triviaal te repareren; ze zitten in de fundamentele algebraïsche structuur van de voorgestelde methoden. Het lijkt onmogelijk om deze specifieke aanpak van polynoomgebaseerde sleutelvoorbereiding veilig te maken zonder de kern te veranderen.
• Waarschuwing voor de gemeenschap: Het paper waarschuwt dat het gebruik van polynoomgebaseerde schema's voor groeps-sleutelverdeling zonder rigoureuze beveiligingsbewijzen extreem riskant is. Er zijn reeds veel andere schema's in de literatuur als gebrekkig aangetoond.
• Alternatieven: Er bestaan reeds efficiënte schema's met bewezen beveiliging (zoals die van Blundo et al. en Boyd et al.) die dezelfde doelen bereiken zonder deze fundamentele kwetsbaarheden.
• Impact op afgeleide protocollen: Het paper wijst erop dat andere onderzoekers (bijv. Harn et al.) onveilige basis-schema's hebben gebruikt als bouwstenen voor bredere protocollen (zoals beveiligde routing), waardoor ook die bredere protocollen inherent onveilig zijn.

Conclusie: Chris J. Mitchell concludeert dat de drie onderzochte schema's en hun afgeleiden volledig onbruikbaar zijn voor beveiligde communicatie in WSN's. Hij pleit voor een strengere wetenschappelijke standaard waarbij nieuwe cryptografische protocollen alleen gepubliceerd worden na het leveren van rigoureuze, formele beveiligingsbewijzen.