Liikkuvan tietoliikenteen tietoturvallisuus · 2 o Misbehavior resilient multi-path data transmission in mobile ad-hoc networks 4. Attacks and countermeasures o Diversify sensor nodes

Liikkuvan tietoliikenteen tietoturvallisuus

Seminaariraportti

Tampereen teknillinen yliopisto

Tietoliikennetekniikan laitos

Seminaari, Tietoliikenteen turvallisuus (TLT-3700)

Kevätlukukausi 2006 ja 2007

Jukka Koskinen (toim.)

versio 1 1.12.2007

Copyright (c) 2007

Jukka Koskinen, Cristian Seres, Timo Hirvonen,

Antti Kortemaa, Joni Käki, Seppo Heikkinen

Tämän teoksen käyttöoikeutta koskee lisenssi

Creative Commons ’Nimi mainittava-Sama lisenssi’ 1.0 Finland

ii

Sisältö 1 Johdanto .............................................................................................................1

1.1 Seminaari ........................................................................................................................ 1 1.1.1 Aiheita seminaarin 1. kierrokselle .................................................................................. 1 1.1.2 Alustavia aiheita 2. kierrokselle...................................................................................... 2

1.2 Raportin sisältö ja kirjoittajat........................................................................................... 4

2 Hyökkääjien ja turvallisuustavoitteiden mallintaminen langattomissa

sensoriverkoissa ........................................................................................................5 2.1 Langattomien sensoriverkkojen ominaispiirteitä .............................................................. 5 2.2 Hyökkääjän mallintaminen.............................................................................................. 5

2.2.1 Hyökkääjän sijainti......................................................................................................... 6 2.2.2 Hyökkääjän keinot ja tavoitteet ...................................................................................... 6 2.2.3 Verkon mallintaminen.................................................................................................... 6

2.3 Turvatavoitteen mallintaminen ........................................................................................ 7 2.3.1 Simulaatiolla aikaansaatu malli ...................................................................................... 7 2.3.2 Turvallisen reitityksen määritelmä.................................................................................. 8

2.4 Protokollan analysointi formaalilla mallilla ..................................................................... 8 2.4.1 Protokollan mallinnus..................................................................................................... 8 2.4.2 Hyökkäyksen mallinnus ................................................................................................. 9

2.5 Yhteenveto...................................................................................................................... 9 2.6 Lähteet ...........................................................................................................................10

3 Hyökkäykset, hyökkääjän tunnistaminen ja vastatoimenpiteet....................11 3.1 Aihepiirin rajaus.............................................................................................................11 3.2 Sensoriverkon tietoturvatavoitteet ..................................................................................11 3.3 Langattomien sensoriverkkojen uhkat.............................................................................11 3.4 Perinteiset tietoturvaprotokollat......................................................................................12

3.4.1 SPINS ...........................................................................................................................12 3.4.2 TinySec.........................................................................................................................13

3.5 Mallien yhteenveto.........................................................................................................14 3.6 Hyökkäyksiin mukautuvat tietoturvaprotokollat .............................................................14 3.7 Hyökkääjän jäljitys – traceback......................................................................................14 3.8 Hyökkääjän jäljitys – watchdog......................................................................................15 3.9 Yhteenveto.....................................................................................................................15 3.10 Lähteet ...........................................................................................................................16

4 Optimaalisten MAC-kerroksen hyökkäysten vaikutus verkkokerrokseen

langattomassa ad hoc -verkossa.............................................................................17 4.1 Sensori- ja ad hoc -verkkojen turvaongelmia ..................................................................17 4.2 Optimaalisten MAC-kerroksen hyökkäyksten vaikutus verkkokerrokseen ......................17

4.2.1 Johdanto ja aiemmat tutkimukset...................................................................................18 4.2.2 MAC-kerroksen väärinkäytökset ...................................................................................18 4.2.3 Uhkamalli .....................................................................................................................18 4.2.4 Pahimman tapauksen hyökkäyksen johtaminen käyttäen minimaalisen ristientropian periaatetta ..............................................................................................................................19 4.2.5 MAC-kerroksen hyökkäyksen vaikutukset verkkokerrokseen........................................19 4.2.6 Numeeriset tulokset.......................................................................................................20 4.2.7 Artikkelin johtopäätökset ..............................................................................................21

4.3 Lähteet ...........................................................................................................................21

iii

5 Datan turvallinen aggregointi sensoriverkoissa .............................................22 5.1 Johdanto.........................................................................................................................22 5.2 Datan aggregointiin kohdistuvat uhat .............................................................................22 5.3 Ratkaisut datan turvalliseen aggregointiin ......................................................................23 5.4 Yhteenveto.....................................................................................................................24 5.5 Lähteet ...........................................................................................................................24

6 Ajoneuvojen välisten ad hoc -verkkojen turvaaminen ..................................26 6.1 VANET-järjestelmä .......................................................................................................26

6.1.1 Sovellusalueita ..............................................................................................................26 6.2 Vaatimukset turvaviestien välitysjärjestelmälle ..............................................................26 6.3 Uhka-analyysi ................................................................................................................27

6.3.1 Hyökkäysten neljä ulottuvuutta .....................................................................................27 6.3.2 Perushyökkäykset..........................................................................................................27 6.3.3 Perushyökkäysten hyökkäysten ulottuvuudet.................................................................27 6.3.4 Edistyneet hyökkäykset .................................................................................................28 6.3.5 Edistyneiden hyökkäysten ulottuvuudet.........................................................................29

6.4 VANETin turvaaminen ..................................................................................................30 6.4.1 Pareittaiset ja ryhmittäiset avaimet sekä PKI .................................................................30 6.4.2 Avaimet ja niiden hallinta..............................................................................................30

6.5 Yhteenveto.....................................................................................................................32 6.6 Lähteet ...........................................................................................................................32 6.7 Liite 1. Lyhenneluettelo..................................................................................................33

7 Turvallinen ajan synkronointi sensoriverkoissa ............................................34 7.1 Johdanto.........................................................................................................................34

1.1.1 Ajan synkronoinnin käsitteitä .................................................................................34 7.2 Ajansynkronointiprotokollia sensoriverkoissa ................................................................34

7.2.1 Lähettäjä-vastaanottaja -synkronointi ............................................................................35 7.2.2 Vastaanottaja-vastaanottaja -synkronointi......................................................................35 7.2.3 Tulviva ajansynkronointiprotokolla (FTSP)...................................................................36

7.3 Hyökkäykset ..................................................................................................................36 7.3.1 Hyökkäykset lähettäjä-vastaanottaja -protokollaa vastaan..............................................37 7.3.2 Hyökkäykset RBS-protokollaa vastaan..........................................................................37 7.3.3 Hyökkäykset FTSP-protokollaa vastaan ........................................................................38

7.4 Ehdotetut ratkaisut .........................................................................................................38 7.4.1 Secure Pairwise Synchronization (SPS).........................................................................38 7.4.2 RBS-protokollan kehittäminen ......................................................................................38 7.4.3 FTSP-protokollan kehittäminen.....................................................................................39

7.5 Yhteenveto.....................................................................................................................40 7.6 Lähteet ...........................................................................................................................40

8 Yksityisyyden saavuttaminen mesh-verkoissa ...............................................41 8.1 Mesh-verkon rakenne .....................................................................................................41 8.2 Verkko- ja turvallisuusoletukset .....................................................................................42 8.3 Hyökkäysmallit ja yksityisyystavoite..............................................................................42 8.4 Tavallinen sipulireititys ..................................................................................................43 8.5 Redundantti sipulireititys................................................................................................44 8.6 Yksityinen sipulireititys..................................................................................................44 8.7 Sisäisten hyökkääjien tunnistaminen ..............................................................................46 8.8 Yhteenveto.....................................................................................................................47 8.9 Lähteet ...........................................................................................................................47

iv

9 Bluetoothin turvallisuudesta ...........................................................................48 9.1 Bluetoothin perusteet......................................................................................................48

9.1.1 Bluetooth-verkko ..........................................................................................................48 9.1.2 Toimintatilat..................................................................................................................48 9.1.3 Yhteydenmuodostaminen ..............................................................................................49

9.2 Turvallisuusuhkia...........................................................................................................50 9.2.1 Paljastumisuhkia ...........................................................................................................50 9.2.2 Eheysuhkia....................................................................................................................51 9.2.3 Palvelunestouhkia .........................................................................................................52 9.2.4 Muita turvallisuusuhkia.................................................................................................52

9.3 Yhteenveto.....................................................................................................................53 9.4 Lähteet ...........................................................................................................................53

10 Luottamuksen muodostaminen langattomassa ympäristössä .......................55 10.1 Mitä on luottamus?.........................................................................................................55 10.2 Mihin luottamusta tarvitaan? ..........................................................................................56 10.3 Sokea luottamus .............................................................................................................57 10.4 Luotettu kolmas osapuoli ...............................................................................................58 10.5 Suora luottamus .............................................................................................................59 10.6 Maineeseen perustuva luottamus ....................................................................................60 10.7 Yhteenveto.....................................................................................................................61

11 Sähköinen identiteetti ja HIP..........................................................................62 11.1 Identiteetti ja sen ilmentymät..........................................................................................62 11.2 Identiteetin ja lokaattorin erottaminen ............................................................................63 11.3 Identiteetti reitityksessä ..................................................................................................66 11.4 Yhteenveto.....................................................................................................................67 11.5 Lähteet ...........................................................................................................................67

1

1 Johdanto

Tämä dokumentti on editoitu kooste seminaarikirjoitelmista, jotka syntyivät keväällä 2007 Tampe-reen teknillisen yliopiston (TTY) kurssilla. Mukana on myös kaksi kirjoitelmaa vuotta aikaisem-masta seminaarista, jolla oli sama teema. Tässä luvussa esitellään hieman seminaaria sinänsä, tarjol-la olleita aiheita sekä dokumentin sisältöä.

1.1 Seminaari

Tietoturvallisuuden opetusohjelmaan TTY:llä kuuluu kaksi seminaaria joka lukuvuoden aikana. Niille valitaan aina jokin rajattu aihe, joka syksyllä alkavassa seminaarissa liittyy tietojenkäsittelyyn ja keväällä tietoliikenteeseen. Tietojenliikenteen tietoturvan seminaarissa kohteena oli kahdella en-simmäisellä kerralla eli vuosina 2004 ja 2005 ensin tunkeutumisen havaitseminen ja sitten palve-lunestohyökkäyksen havaitseminen ja torjuminen. Keväällä 2006 tarkoitus oli nousta syövereistä ilmoille, ja aiheeksi luonnosteltiin yksinkertaisesti langaton tietoliikenne ja tietoturvallisuus. Suorit-tajia oli silloin lopulta vain yksi eikä annettua aihevarastoa kulutettu lainkaan. Nyt käsillä olevaan kevään 2007 seminaariin aineistoa päivitettiin, ja aihe määriteltiin hieman tiukemmin: Liikkuvan

tietoliikenteen tietoturvallisuus.

Yleisesti tutkintovaatimuksena on kaksi omaa seminaarityötä ja -esitelmää sekä aktiivinen, oppiva osallistuminen seminaari-istuntoihin. Vaikka osallistujia oli vain neljä, seminaari-istunnoista muo-dostui aktiivisia ja opettavaisia tilaisuuksia ja niihin osallistui muutamia kurssin ulkopuolisiakin.

Yhtenä tavoitteena näissä seminaareissa on saada esitelmien avulla mahdollisimman tasapainoinen ja kattava näkemys aihealueeseen, minkä kokoiseksi se sitten muodostuukin osallistujien määrän kautta. Opiskelijoilla on kuitenkin tilaisuus valita aiheita oman kiinnostuksensa mukaan, eikä katta-vuutta muutenkaan ole helppo saavuttaa melko lyhyiden ja erikoistuneiden aiheiden pohjalta. Sen vuoksi seuraavassa esitellään seminaaritöille tarjolla olleita aiheita. Alleviivaukset osoittavat hyper-linkkejä artikkeleihin tai verkkosivustoihin. Linkit löytyvät myös kurssin verkkosivulta http://www.cs.tut.fi/kurssit/TLT-3700/2006/aiheita.html.

1.1.1 Aiheita seminaarin 1. kierrokselle Ensimmäisen tutkielman pääaiheena oli referoida jotakin työpajassa Workshop on Security of ad

hoc and Sensor Networks (30.10.2006) esitettyä tutkimusta. Tarkoitus oli valita aihe siten, että jo-kaiselta alueelta tulee yksi tutkielma, jossa esitellään myös alue yleisesti. Alla oleva on tiivistelmä sisällysluettelosta, josta on linkki artikkeleihin. Artikkeleihin pääsee TTY:n verkosta.

1. Trust, access control and privacy o Inverting sensor networks and actuating the environment for spatio-temporal access

control

o Achieving privacy in mesh networks

o Robust cooperative trust establishment for MANETs

2. Secure routing o SIGF: a family of configurable, secure routing protocols for wireless sensor net-

works

o Modelling adversaries and security objectives for routing protocols in wireless sen-

sor networks

o A resilient packet-forwarding scheme against maliciously packet-dropping nodes in

sensor networks

3. Secure data aggregation and transmission o Attack-resilient hierarchical data aggregation in sensor networks

o RANBAR: RANSAC-based resilient aggregation in sensor networks

2

o Misbehavior resilient multi-path data transmission in mobile ad-hoc networks 4. Attacks and countermeasures

o Diversify sensor nodes to improve resilience against node compromise

o Autonomous and distributed node recovery in wireless sensor networks

o Attacker traceback with cross-layer monitoring in wireless multi-hop networks

o Impact of optimal MAC layer attacks on the network layer

5. Broadcast authentication and key management o Seven cardinal properties of sensor network broadcast authentication

o Location-aware key predistribution scheme for wide area wireless sensor networks

o How public key cryptography influences wireless sensor node lifetime

Ad-hoc- ja sensoriverkot ovat teemana myös lehden Journal of Computer Security vuoden 2007 numerossa, josta löytyy vielä yksi aihepiiri ensimmäiselle kierrokselle:

6. VANET-tietoturvallisuus o Securing Vehicular Ad Hoc Networks

Lisää VANET-aiheesta löytyy Sevecom-tutkimushankkeesta ja sen julkaisusivulta.

Tarpeen vaatiessa voitiin 1. kierrokselle ottaa mukaan myös

7. fyysinen näkökulma, esim. Artikkelista (2006): o Tampering with Motes: Real-World Physical Attacks on Wireless Sensor Networks

Edelleen tarpeen mukaan, eli mikäli ensimmäisellä kerralla ei vielä olisi ollut esitelmiä (tai mikäli tämän lukija haluaa taustatietoja), voidaan seminaarin johdantona käyttää esim. seuraavia:

• On the Feasibility and Meaning of Security in Sensor Networks, 2006.

• An Application-Driven Perspective on Wireless Sensor Network Security, 2006.

1.1.2 Alustavia aiheita 2. kierrokselle Normaaliin tapaan toisella kierroksella opiskelijan tehtäväkenttä oli laajempi, vaikka aihe olisikin ollut suppeampi: Tuoretta tietoa piti löytää itse useista lähteistä melko kattavasti ja se piti osata yh-distää sujuvasti. Seuraavassa on aiheluonnoksia, joista seminaarin alkupuolen kuluessa täsmennet-tiin kullekin sopiva aihe. Kolmeen ensimmäiseen oli tarjolla lähtökohtia "täydentävän materiaalin" kohdassa 1, ja kohdasta 3 puolestaan oli mahdollista löytää ajantasaistustehtävä jollekin yleiskatsa-ukselle. Myös jotain käsittelemättä jäänyttä 1. kierroksen aihetta oli mahdollisuus laajentaa, tai jo käsiteltyyn (mutta ei omaan) saattoi ottaa toisen näkökulman (esim. langattoman ja langallisen hyb-ridi sensoriverkko, hakusanana tälle aiheelle sopii LIGER).

1. paikannus 2. IDS 3. ajan synkronointi 4. satelliitit ja muut pitkän kantaman langattomat viestimet (radio & TV) 5. PAN-systeemit 6. yhteisöverkot 7. protokollat GSM:n ja WLAN:n yhdistämiseen (lähteenä esim. Henry Haverisen väitöskirja

TTY:llä 2004)

Yksi mahdollinen työkenttä ja työtapa oli "päivittää" sopiva osa vuodelta 2002 peräisin olevasta NIST-ohjeesta Wireless Network Security (NIST-SP 800-48), jonka aiheena ovat 802.11, Bluetooth ja 'Handheld Devices'.

3

Täydentävää materiaalia

Täydennykseksi tarjottiin kevyesti editoitu kopio vuoden 2006 seminaarin lähtökohdiksi annetuista viitteistä, joihin kukaan ei silloin tarttunut. Tässä luetteloa on entisestään tiivistetty.

1. Lehden IEEE Journal on Selected Areas in Communications teemanumeron Security In Wi-

reless Ad Hoc Networks (Feb 2006, Vol 24, Nr 2) artikkelit löytyvät tietokannasta ieeexplo-re.ieee.org ja yleiskuvan antaa pääkirjoitus sekä artikkelien jaottelu ja nimet (vrt. paperiversion sisällysluettelo):

• Secure Localization and Application: o Secure Positioning in Wireless Networks o HiRLoc: High-Resolution Robust Localization for Wireless Sensor Networks o Location-Based Compromise-Tolerant Security Mechanisms for Wireless Sensor

Networks • Intrusion Detection:

o SCAN: Self-Organized Network-Layer Security in Mobile Ad Hoc Networks o A Framework for Misuse Detection in Ad Hoc Networks -- Parts I & II

• Trust Management and Reputation: o Information Theoretic Framework of Trust Modeling and Evaluation for Ad Hoc

Networks o On Trust Models and Trust Evaluation Metrics for Ad Hoc Networks

• Secure Communications: o Security and Cooperation in Clustered Mobile Ad Hoc Networks with Centralized

Supervision o Secure Data Communication in Mobile Ad Hoc Networks o Securing Reliable Server Pooling in MANET Against Byzantine Adversaries

• Attacks and Defenses: o Wormhole Attacks in Wireless Networks o RFID Security and Privacy: A Research Survey (Tämä ei käynyt aiheeksi, koska sitä

käsiteltiin syksyn 2005 seminaarissa) o Secure and Resilient Clock Synchronization in Wireless Sensor Networks

2. Langattomien ad hoc -verkkojen arkkitehtuurien turvapiirteiden esittelyä varten oli poimittu tietokannasta www.sciencedirect.com seuraavat, joista ensimmäinen on vuodelta 2006, muut vuodelta 2005.

o INSENS: Intrusion-tolerant routing for wireless sensor networks o Layered security design for mobile ad hoc networks o MuSeQoR: Multi-path failure-tolerant security-aware QoS routing in Ad hoc wire-

less networks o An efficient secure distributed anonymous routing protocol for mobile and wireless

ad hoc networks o Adaptive gossip protocols: Managing security and redundancy in dense ad hoc net-

works o Secure and efficient key management in mobile ad hoc networks o Facilitating secure ad hoc service discovery in public environments

3. Lähdemateriaalina, joskin osin "päivitettävänä", oli mahdollista käyttää myös seuraavia kirjoja, jotka löytyvät osoitteesta engnetbase.com. Tähän luetteloon on poimittu joitakin seminaarin ai-heeseen liittyviä lukuja.

• Handbook of Sensor Networks: Compact Wireless and Wired Sensing Systems, 2004

4

o Ch. 31: Protection in Wireless Sensor Networks o Ch. 32: A Taxonomy for Denial- of- Service Attacks in Wireless Sensor Networks

• The Handbook of Ad hoc Wireless Networks, 2003 o Ch. 30: Security in Wireless Ad Hoc Networks o Ch. 32: Security Issues in Ad Hoc Networks

• Mobile Internet: Enabling Technologies and Services, 2004 o Ch. 8: Secure Mobility in Wireless IP Networks o Ch. 9: Security Issues in Wireless IP Networks

• Wireless Internet Handbook: Technologies, Standards, and Applications, 2003 o Ch. 3: Wireless Internet Security

1.2 Raportin sisältö ja kirjoittajat

Raportti koostuu johdantoluvun lisäksi 10 seminaarikirjoitelmasta viideltä kirjoittajalta. Raportin lukujen kirjoittajat ovat

Joni Käki luvut 2 ja 3

Timo Hirvonen luvut 4 ja 5

Cristian Seres luvut 6 ja 7

Antti Kortemaa luvut 8 ja 9

Seppo Heikkinen luvut 10 ja 11

Viimeiset kaksi lukua ovat kevään 2006 seminaarista. Vaikka ne eivät perustukaan edellä käsitel-tyyn aiheistoon, laajasti tulkiten ne soveltuvat langattoman ja liikkuvankin tietoliikenteen kokonai-suuteen.

Toimittaja on muokannut tekstejä lähinnä vain kielen ja asettelun osalta. Raportin esitiedoiksi so-veltuu TTY:n Tietoturvallisuuden jatkokurssi, jonka verkkoaineisto löytyy osoitteesta http://sec.cs.tut.fi/maso. Siellä on käytettävissä aakkosellinen hakemisto, joka nopeuttaa asioiden löytämistä.

5

2 Hyökkääjien ja turvallisuustavoitteiden mal-lintaminen langattomissa sensoriverkoissa

Kirjallisuudessa on käsitelty laajasti langattomien sensoriverkkojen reititysprotokollia. Reititys on perustava ominaisuus sensoriverkoissa. Reititysprotokollien turvallisuusnäkökohdat ovat silti suu-relti jääneet käsittelemättä. Aikaisemmin reititysprotokollien turvallisuutta on lähdetty mallinta-maan listaamalla erilaisia hyökkäyksiä kyseistä protokollaa vastaan ja suunnittelemalla näiden vas-tatoimenpiteitä. Tämä malli kuitenkin takaa protokollan turvallisuutta vain määriteltyjä hyökkäyksiä vastaan. Lisäksi hyökkäys-vastatoimenpidejaon perusteella on vaikeaa vertailla eri protokollia tai määritellä onko yksittäinen protokolla oikeasti turvallinen. Turvallisuuden määritelmä on täten epä-selvä.

Tämä seminaariesitys käsittelee formaaleja malleja, joilla pyritään yleisesti analysoimaan eri reiti-tysprotokollien turvallisuutta. Malli pohjautuu simuloimalla saatuihin tuloksiin. Mallia voidaan ajaa esimerkiksi MatLab-ohjelmalla. Tässä seminaariesityksessä mallinnetaan myös hyökkääjää perin-teisestä kaikkivoipaa hyökkääjää kuvaavasta Dolev-Yaon hyökkääjämallista poiketen sensoriverk-koihin paremmin soveltuvalla tavalla. Myös turvallisuustavoite poikkeaa langattomien sensoriverk-kojen erilaisten ominaispiirteiden takia.

2.1 Langattomien sensoriverkkojen ominaispiirteitä

Langattomilla sensoriverkoilla on ominaispiirteitä, jotka poikkeavat muista langattomista verkoista ja nämä luovat erilaisia tarpeita myös reititysprotokollalle. Verkon suunnitteluun vaikuttaa mm., että yleisimmissä langattomien sensoriverkkojen sovelluksissa verkon on toimittava itsenäisesti. Suuri osa prosessoinnista on kerätyn tiedon välittämistä. Suuri osa verkoista on suunniteltu tiettyyn tehtävään. Verkon tarvitsee usein pystyä kalibroitumaan, eli määrittämään lailliset rajat kerätylle tiedolle.

Verkot koostuvat yleensä suuresta määrästä solmuja sekä yhdestä tai useammasta tukiasemasta. Reititysprotokollan tavoitteena on luoda kaikki solmut kattava puumainen verkko tukiasemalta kai-kille solmuille, kun taas esimerkiksi ad-hoc -verkoissa tavoite on yksittäisten solmujen väliset linkit. Langattomien sensoriverkkojen ominaispiirteitä on myös solmujen rajattu lähetys- ja vastaanottote-ho. Myös radiotien avoimuus aiheuttaa omia vaatimuksiaan. Verkon solmujen resurssit ovat myös vähäiset, joten sensoriverkkoja vastaan voidaan toteuttaa hyökkäyksiä yksittäisten solmujen resurs-sien, yleensä virransyötön loppuun kuluttamiseksi. Resurssien kuluttaminen vaikuttaa verkon elin-ikään.

Elinikä määräytyy siitä, milloin verkon kattavuus putoaa ennalta asetetun rajan alle. Esimerkiksi jos kattavuusraja on 95% ja kunkin solmun lähetystehon kantaman sisällä on yhteensä neljä solmua, niin teoreettinen yläraja eliniälle on 9.8 kertaa yksittäisen solmun elinikä. Muuttujana elinajan funk-tiossa on siis tavoiteltu kattavuus, jonka arvo riippuu verkon käyttötarkoituksesta. Esimerkiksi val-vontaverkon elinikätavoite saattaa olla 100%, koska on mahdollista, että verkon käyttötavoitteet eivät enää täyty, jos yksikin alue on ilman kattavuutta. Toisaalta lämpötiloja valvova verkko saattaa selvitä vähemmällä, jos tavoitteena on vain saada mahdollisimman paljon informaatiota mahdolli-simman monesta mittauspisteestä. [2]

2.2 Hyökkääjän mallintaminen

Hyökkääjämalli määrittelee hyökkääjän toiminnan. Yleensä hyökkääjän toimintaa mallintamaan käytetään Dolev-Yaon mallia, jossa hyökkääjällä on rajoittamaton hallinta järjestelmän viestiyhte-yksiin. Langattomissa sensoriverkoissa hyökkääjä on kuitenkin itsekin langaton solmu, joten hyök-kääjää mallinnettaessa on parempi määritellä hyökkäyksen rajaksi vihamielisen solmun lähetyste-hon rajaama alue. Hyökkääjää mallinnettaessa on tärkeä ottaa myös huomioon radiotien yleislähe-tyksen ominaispiirre, jossa kaikki solmut kuulevat kaiken liikenteen oman kantamansa alueella.

6

2.2.1 Hyökkääjän sijainti Hyökkääjä voi sijaita laillisiin solmuihin suhteutettuna kahdella tavalla. Ensimmäinen mahdollisuus on välittää viestejä kahden tai useamman eri solmun välissä. Toinen vaihtoehto on, että vihamieli-sen solmun lähetystehon alueella on kaksi tai useampi solmu, jotka myös kuulevat toisensa.

2.2.2 Hyökkääjän keinot ja tavoitteet Vihamielinen solmu voi olla esimerkiksi korruptoitu laillinen solmu, joka on kaapattu toimimaan hyökkääjän eduksi, tai laajemmat resurssit omaava kannettavan tietokoneen tasoinen laite. Hyök-kääjällä voi lisäksi olla useita vihamielisiä solmuja käytössään ja lisäksi nämä voivat keskustella keskenään omaa viestikanavaa käyttäen.

Hyökkääjän tavoitteena voi olla lyhentää verkon elinikää, heikentää pakettien läpimenoa, lisätä hal-linnan osuutta kokonaiskapasiteetista tai lisätä verkon viivettä. Osa näistä korreloi keskenään.

Hyökkääjän keinoiksi on rajattu tämän seminaarityön puitteissa yksinkertaiset viestien manipulaati-ot, kuten tekaistun viestin lähettäminen, viestin poistaminen, olemassa olevan viestin muokkaami-nen ja viestien järjestyksen muuttaminen. Oletuksena on, että hyökkääjä ei pysty murtamaan sala-uksia.

Vihamielisen solmun toimiessa välittäjänä viestien manipulaatio on yksinkertaista, mutta mikäli solmut pystyvät kommunikoimaan keskenään, joutuu hyökkääjä käyttämään vaativampia jumiutus-tekniikoita estämään viestinkulun laillisten solmujen välillä.

Seuraavassa kolme esimerkkiä vihamielisten ja laillisten solmujen mahdollisesta sijoittumisesta:

Kuva 1. Vihamielinen

solmu välittää paketteja kahden

verkon välillä

Kuva 2. Kaksi viha-

mielistä solmua häiritsee laillis-

ten solmujen liikennettä

Kuva 3. Yksittäinen

vihamielinen solmu häiritsee

kahta toisensa kuulevaa lail-

lista solmua

2.2.3 Verkon mallintaminen Verkkoa mallinnettaessa tämän seminaarityön käsittelemä formaali malli olettaa, että jokaisella lait-teella on yksi antenni. Mikäli hyökkääjän laitteessa on useampia, ne käsitellään jokainen erillisenä laitteena. Kaikki verkon solmut oletetaan paikallaan pysyviksi, joten reititys ei muutu solmujen siir-tymisen takia. Verkossa oletetaan lisäksi olevan vain yksi tukiasema.

Solmujen väliset yhteydet kuvataan yhteysmatriisissa (reachability matrix). Kaikki lailliset solmut on nimetty uniikisti ja nämä uniikit tunnisteet pystytään autentikoimaan jollain tavalla, esimerkiksi symmetrisillä avaimilla. Vihamielisillä soluilla ei ole edellä mainittuja uniikkeja tunnisteita.

Verkkoa mallinnettaessa tärkeä muuttuja , joka otetaan huomioon on hinta, jolla kuvataan solmujen väliseen liikennöintiin kuluvaa energiaa. Verkon konfiguraatio koostuu mallissa siis solmuista, uniikeista tunnisteista, yhteysmatriisista ja hinnasta.

7

2.3 Turvatavoitteen mallintaminen

Erilaiset käyttötarkoitukset aikaansaavat omanlaisiaan vaatimuksia reititysprotokollalle. Esimerkik-si kaukovalvontaverkko saattaa pyrkiä solmujen välisen viiveen minimoimiseen, kun taas havain-nointiverkko pyrkii maksimoimaan verkon eliniän. Osa vaatimuksista on ristiriidassa toistensa kanssa. Esimerkiksi lyhyimmän reitin hakeva protokolla ei pysty takaamaan maksimaalista elinikää, koska lyhyimmän reitin varrella olevat solmut tulevat kuormitetuksi enemmän kuin reunat.

Erilaisten tarpeiden takia täytyy määritellä tavoitefunktio tapauskohtaisesti. Tätä varten malliin on kehitetty turvatavoitefunktio F, jonka avulla pystytään määrittelemään tapauskohtaisesti, täyttääkö verkko vaatimukset.

Esimerkiksi elinikää voidaan mallintaa seuraavalla kaavalla

Muokkaamalla funktiota hieman voidaan verkon viivettä mitata samalla turvatavoitefunktiolla:

Ylemmässä kaavassa ε = kokonaisenergiankulutus solmulta vi solmulle v0 eli tukiasemalle. Alem-massa kaavassa M = polun pituus solmusta vi.

Kaavassa conf tarkoittaa verkon konfiguraatiota, joka koostuu verkon kaikkien laillisten solmujen v0 ... vn joukosta (V), nimeämis-funktiosta, jolla solmuille annetaan uniikit tunnisteet (L), yhteys-matriisista (E) joka kuvaa kaikkien laillisten solmujen väliset yhteydet sekä hintafuktiosta (C), jolla tapauksesta riippuen voidaan kuvata hintaa, jolla solmuun saadaan yhteys. Hinta voi olla esimerkik-si solmun jäljellä oleva energia tai hop-countia kuvattaessa vakio 1.

Laillisten solmujen reititystiedot, eli verkon topologiamatriisi TCONF= 1, kun laillinen solmu lähettää jokaisen viestinsä lailliselle solmulle, joka kuuluu joukkoon V.

2.3.1 Simulaatiolla aikaansaatu malli Tässä käsitelty formaali malli on aikaansaatu simuloimalla verkkoa ja sen eri toimijoita. Simulaati-ossa toimijat on määritelty formaalisti ja simulaatio on toteutettu interaktiivisten probabilististen Turingin koneiden avulla.

Siirtotietä (C), laillisia solmuja (M) ja vihamielisiä solmuja (A) kuvaa jokaista Turingin kone. Näi-den sisäänmenot ja ulostulot on kytketty toisiinsa ja koneet siis kommunikoivat kyseisten nauhojen kautta.

Jokainen Turingin kone alustetaan halutulla syötetiedolla, joka koostuu esimerkiksi verkon mallin-tamisessa esitellysta konfiguraatiosta. Mallin ulostulona on laillisten solmujen reititystiedot (Out).

Simulaatiolla aikaansaadaan ideaalinen ja reaalimaailmaan perustuvat malli. Molemmat mallit sisäl-tävät tiedon hyökkääjästä, mutta eroavat toisistaan siinä, että reaalimaailman mallissa hyökkääjän ainoana rajoituksena on aika, eli hyökkääjä ei voi palata menneisyyteen. Ideaalisen mallin hyökkää-jä taas ei voi tehdä viestien muokkausta tai lisäämistä johtuen ideaalin mallin rakenteesta. Toisin sanoen kaikki hyökkäykset, jotka muokkaavat tai lisäävät viestejä, epäonnistuvat ideaalissa mallis-sa. Ideaalin mallin hyökkääjä pystyy kuitenkin pudottamaan minkä tahansa viestin ja pystyy suorit-tamaan jumittamista. Edellä mainitut hyökkäykset ovat mahdottomia tai ainakin erittäin kalliita välttää.

Tavoitteena on todistaa, että mille tahansa reaalimaailman mallin mukaiselle hyökkääjälle pystytään mallintamaan ideaalin maailman hyökkääjä.

8

Kuva 4. Simulaatiossa käytetyt Turingin koneet

2.3.2 Turvallisen reitityksen määritelmä Mallin mukaan turvallinen protokolla on tilastollisesti turvallinen funktion (F) mukaisesti, jos mitä tahansa konfiguraatiota ja reaalimaailman hyökkääjää (A) vastaa ideaalisessa mallissa hyökkääjä (A’). Edellisen lisäksi ideaalisen ja tosielämää kuvaavan mallin ulostulojen (Out) ja (Out’) täytyy olla tilastollisesti yhdenmukaiset.

2.4 Protokollan analysointi formaalilla mallilla

Esitellyllä formaalisella mallilla analysoitiin yleisesti käytetyn TinyOS toteuttama yksinkertainen reititysprotokolla. Protokolla on alunperin suunniteltu toimimaan siten, että jokainen solmu saa uniikin tunnisteen. Tukiasema aloittaa reititystietojen päivityksen floodaamalla beacon-pakettia kaikille lähistöllä oleville solmuille. Saadessaan ensikertaa kyseisen kierroksen beacon-paketin solmu merkitsee paketin lähettäjän omaksi vanhemmakseen ja merkitsee beacon-paketin sarjanume-ron muistiin myöhemmin uudestaan tulevien kopioiden huomiotta jättämiseksi. Tämän jälkeen sol-mu korvaa lähettäjän tunnisteen omallaan ja lähettää pakettia eteenpäin. Lopulta näin saadaan luo-tua puumainen verkko tukiasemalta laidoille.

Protokollan laajennetussa versiossa tukiasema käyttää julkisen avaimen salausta beacon-paketin autentikointiin. Solmut tietävät tukiaseman julkisen avaimen ja pystyvät näin autentikoimaan lähe-tetyt beaconit.

2.4.1 Protokollan mallinnus Protokolla mallinnetaan siten, että tukiasema (B) luo beaconin, joka koostuu tukiaseman tunnistees-ta (id), satunnaisluvusta (rnd) ja allekirjoituksesta (sigb). Tukiasema lähettää beaconin yleislähetyk-senä:

Vastaanottava solmu (X) tutkii, onko se aikaisemmin vastaanottanut samalla satunnaisluvulla varus-tetun beacon-paketin, ja mikäli näin on tapahtunut, paketti pudotetaan. Muutoin solmu suorittaa viestille allekirjoituksen tarkistuksen tallennetulla julkisella avaimella. Tämän onnistuttua solmu asettaa lähettäjän omaksi vanhemmakseen, tallettaa viestin muistiinsa ja uudelleenlähettää beaco-nin korvattuaan lähettäjän (X) omalla tunnuksellaan.

9

2.4.2 Hyökkäyksen mallinnus Yksikertainen turvallisuustavoite on taata verkon reititystietojen oikeellisuus, toisin sanoen on toi-vottavaa, että solmun n1 on aina mahdollista tavoittaa solmu nn, mikäli ne kuuluvat samaan jouk-koon. ABEM-protokollan turvallisuustavoite funktio on

Matriisi E’ saadaan yhteysmatriisi E:stä, kun E’i,j = 1, jos E’i,j = ∞, muutoin E’i,j = 0. Hyökkäyksen mallinnuksessa käytetään yhden beaconin lähetysväliä ja laskentaprosessia. Alussa tukiasema floodaa beacon-viestin liikenteeseen:

Tässä hyökkäyksessä laillinen ja vihamielinen solmu molemmat kuulevat tukiaseman beacon-lähetyksen.

Kuva 5. Yksinkertainen hyökkäys

Laillinen solmu X toimii protokollan mukaan. Se tutkii allekirjoituksen, hyväksyy beaconin ja aset-taa B:n vanhemmakseen ja lähettää beaconin eteenpäin.

Vihamielinen solu taas korvaa beaconin lähettäjän X:llä itsellään ja lähettää beaconin eteenpäin.

Laillinen solmu Y ottaa vastaan msg2’ ja asettaa X:n vanhemmakseen.

Tämä aiheuttaa verkkoon ristiriidan.

2.5 Yhteenveto

Tässä seminaarityössä käsiteltiin formaaleihin menetelmiin perustuvaa mallia langattomien sensori-verkkojen reititysprotokollien turvallisuuden todentamiseen. Aikaisemmin langattomille sensori-verkoille ei ole lähdemateriaalin mukaan ollut formaaleihin menetelmiin perustuvia malleja, joilla protokollia olisi voitu analysoida vaan protokollien analysointi perustui mahdollisten hyökkäysten ennalta listaamiseen ja vastakeinojen kehittelyyn. Tämä kuitenkin aiheutti ongelmia koska tällä ta-valla analysoitujen protokollien turvallisuus perustui vain tutkittujen ongelmien paikkaamiseen.

10

Protokollien vertailu oli myöskin vaikeaa ellei mahdotonta, koska eri protokollat oli suunniteltu kestämää eri hyökkäyksiä.

Mallien käytöstä annettiin esimerkki TinyOS reititysprotokollan analysoinnissa ja lisäksi onnis-tuneesti mallinnettiin hyökkäys protokollaa kohtaan.

Oleellisimpia eroja muihin aikaisemmin julkaistuihin formaaleihin menetelmiin perustuviin mallei-hin on hyökkääjän mallintaminen langattomille sensoriverkoille tyypillisellä tavalla. Poiketen ylei-sestä tavasta myös hyökkääjää rajoittavat verkon solmuille tyypilliset ominaispiirteet, kuten että hyökkääjä voi häiritä liikennettä vain oman radion kantamansa alueella.

Toinen tärkeä aikaansaannos oli reaalimaailmaa ja ideaalitapausta kuvaavien simuloitujen dynaa-misten mallien ulostulon määrittäminen – sen sijaan että tutkittaisiin pelkästään reitityksen tilatieto-ja. Tämän tarkoituksena olisi, että tällä mallilla pystyttäisiin analysoimaan mikä tahansa langatto-mien sensoriverkkojen reititysprotokolla ja näin saataisiin kattavaa ja vertailukelpoista informaatio-ta protokollien eroista.

2.6 Lähteet

[1] Acs, Buttyan, Vadja., Modeling Adversaries and Security Objectives for Routing Protocols in Wireless Sensor Networks., Laboratory of Cryptography and Systems Security (CrySys)., Department of Telecommunications, Budapest University of Technology and Economics, Hungary., 2006, Saatavissa 24.4.2007: http://portal.acm.org/ft_gateway.cfm?id=1180352&type=pdf&coll=GUIDE&dl=GUIDE&CFID=17366370&CFTOKEN=83949537

[2] Zhang, Hou., On Deriving the Upper Bound of alpha-lifetime for Large Sensor Networks., Dept. of Computer Science., University of Illinois at Urbana-Champaign, 2004, Saatavissa 24.5.2007: http://www.sigmobile.org/mobihoc/2004/presentations/p121-zhang.pdf

11

3 Hyökkäykset, hyökkääjän tunnistaminen ja vastatoimenpiteet

Tässä seminaarityössä tutkitaan erilaisia langattomien sensoriverkkojen tietoturvaratkaisuja. Käsi-teltävinä ovat kaksi tietoturvakehysjärjestelmää, SPINS ja TinySec, jotka on suunniteltu paranta-maan langattomien sensoriverkkojen yleistä tietoturvaa. Lisäksi tutkitaan kahta hyökkääjän tunnis-tamiseen perustuvaa, vastakeinoja tarjoavaa järjestelmää, jotka pyrkivät aktiivisesti selviytymään hyökkäyksistä. Lopuksi pyritään tekemään johtopäätös esiteltyjen protokollien ominaisuuksista ja ehdottaa miten protokollaa voisi vielä parantaa.

3.1 Aihepiirin rajaus

Langattomat sensoriverkot joutuvat jo niiden käyttötarkoitusten takia alttiiksi erilaisille uhkille. Sensoriverkkoja käytetään usein vihamielisessä ympäristössä, jossa hyökkääjällä on hyvä pääsy solmujen kimppuun. Tämän seminaarityön aihepiiri rajaa sensorisolmujen fyysisen turvallisuuden takaamisen alueen ulkopuolelle. (Fyysistä turvallisuutta on käsitelty aiemmalla seminaarikurssilla mm. FIPS-140 -standardia käsittelevässä työssä.) Hyökkääjän mallintamisessa käytetään perintei-sestä Dolev-Yaon kaikkivoipaa hyökkääjää kuvaavasta mallista poiketen sensoriverkoille paremmin soveltuvaa rajoitettua hyökkääjämallia, jossa hyökkääjä pystyy vaikuttamaan tietoliikenteeseen vain lähettimensä kantaman alueelle. [1]

3.2 Sensoriverkon tietoturvatavoitteet

Langattomat sensoriverkot eivät tietoturvatavoitteiltaan eroa suuresti muista verkoista. Tietoturva-tavoitteita ovat mm. seuraavat:

1. tiedon luottamuksellisuus, vain lailliset toimijat ovat sallittuja saamaan verkossa liikkuvaa tietoa haltuunsa.

2. tiedon autenttisuus, verkossa liikkuvan tiedon on oltava laillisilta toimijoilta kerättyä.

3. tiedon eheys, verkossa liikkuva tieto ei saa muuttua laittomien toimijoiden toimesta.

4. tiedon tuoreus, verkossa lähetettävän tiedon on oltava senhetkistä, hyökkääjällä ei saa olla mahdollisuutta sotkea verkon toimintaa uudelleenlähettämällä jo aikaisemmin liikennöityä, laillista dataa.

5. Verkon selviytymiskyky ja kestävyys, verkon toiminta on turvattava mahdollisimman pit-kään.

3.3 Langattomien sensoriverkkojen uhkat

Langattomia sensoriverkkoja vastaan voidaan karkeasti jaoteltuna kahdenlaisia hyökkäyksiä

1. Passiivinen tiedonkeräys, hyökkääjä on osana sensoriverkkoa ja kerää ulkopuoliselle taholle sensoriverkon dataa.

2. Aktiivinen verkon tilan muuttaminen.

Näistä ensimmäinen on hyökkääjän kannalta melko yksinkertaista toteuttaa: vihamielinen laite kuuntelee oman radiokantamansa sisäpuolella tapahtuvaa radioliikennettä. Suojautumien myös on melko yksinkertaista liikennöidyn tiedon salauksella. Jälkimmäinen ryhmä sisältä taas laajemman määrän erilaisia hyökkäyksiä, joita langatonta sensoriverkkoa vastaan voidaan suunnata.

Aktiivisia hyökkäyksiä on esimerkiksi laillisen solmun kaappaaminen. Näin onnistutaan mahdolli-sesti hankkimaan salausavaimet ja purkamaan käytettyjä salauksia. Hyökkääjä voi lisäksi myös lait-taa verkkoon omia vihamielisiä solmuja, joiden tavoitteena on sotkea verkon toimintaa. Vihamieli-nen solmu voi esimerkiksi häiritä liikennettä, esimerkiksi ohjaamalla liikennettä väärään osoittee-seen, jättämällä liikennettä lähettämättä kokonaan tai ylikuormittamalla tiettyjä verkonosia ja pyrki-

12

en näin resurssien loppuunkulutukseen.Viimeisetä on esimerkkinä yksittäisen solmun tai verkon osan jumiuttaminen käyttökelvottomaan tilaan palvelunestohyökkäyksellä (DoS) ja hajautetulla palvelunestohyökkäyksellä (DDoS).

3.4 Perinteiset tietoturvaprotokollat

Seuraavaksi vertaamme kahta tietoturvaprotokollaa, joiden tavoitteena on pyrkiä estämään osa yl-lämainituista hyökkäyksistä ja täten siis täyttää edellä mainittuja tietoturvatavoitteita.

3.4.1 SPINS SPINS (Security Protocol for Sensor Networks) [2], koostuu kahdesta eri linkkitasolla toimivasta protokollasta, SNEP ja µTESLA. Näistä SNEP takaa luottamuksellisuuden, kahden osapuolen väli-sen autenttisuuden ja tuoreuden. µTESLA lisää järjestelmään autentikoidun yleisjakelusiirtotien (broadcast).

Osapuolten autenttisuuden varmistaminen tapahtuu sertifikaattien vaihdolla ja tarkistuksella. Serti-fikaatti koostuu laitteen julkisen avaimen ja laitteen muiden tietojen yhdistelmästä. Osapuolten au-tenttisuuden varmistamiseen SNEP käyttää yhdistelmää julkisen avaimen ja symmetrisen avaimen salauksista. Ensiksi osapuolet vaihtavat sertifikaatteja ja sessioavaimia RSA:ta käyttäen. Julkisen avaimen salauksen avulla pystytään toteamaan, kuuluvatko laitteiden julkiset avaimet samaan ko-konaisuuteen. Tämä takaa, että laitteet voivat luottaa, että mikä tahansa tieto, joka salataan julkisella avaimella, on luettavissa vain saman kokonaisuuden salaisen avaimen omistajan toimesta. Viesti siis suojataan aitouskoodilla (MAC – Message Authentication Code).

Osapuolen välisen viestinnän luottamuksellisuuden takaamisessa käytettävässä symmetrisessä sala-uksessa käytetään DES-CBC salausfunktiota, jonka avaimet osapuolet generoivat autentikoinnin jälkeen.

Tämän lisäksi SNEP takaa semanttisen turvallisuuden, joka tarkoittaa, että vaikka hyökkääjä näkisi useita saman selkokielisen viestin instanssia, ei hän pysty niistä hankkimaan tietoa viestistä tai avaimesta. Tämän saadaan aikaan siten, että salauksessa käytetään satunnaista alustusvektoria IV (initialization vector).

Tuoreuden takaamisen SPINS-protokolla hoitaa tallettamalla laskuritietoa MAC:iin. Näin tiedetään, että mikäli solmu osaa avata autentikoidun viestin ja laskuri on aikaisemmin ollut pienempi, on viesti järjestyksellisesti kohdallaan.

Lisätavoitteena SPINS-protokollassa on, että tiedonsiirtoon tulisi mahdollisimman vähän ylimää-räistä kuormaa.

µTESLA lisää kehykseen autentikoidun yleisjakelulähetyksen. Yleensä tämän toiminnan autenti-kointi ei ole järkevää, koska protokollia ei ole suunniteltu sensoriverkkoja silmälläpitäen. Myös täs-sä käytetään symmetristä autentikointia, mutta asymmetrisyys saadaan viivästyttämällä avainten esittelyä. Näin saadaan aikaan tehokas yleislähetyksen autentikointi. Tukiaseman ja solmujen on kuitenkin oltava tietyn rajan sisällä kellosynkronisoituja. Avainten generointiin käytetään yksisuun-taista hash-funktiota perätysten ja näin saada yksisuuntainen hash-ketju. Lähettäjä keksii salaisuu-den s ja käyttää sitä hash-funktion syötteenä. Funktion tuloksena saadaan ketjullinen avaimia:

Tällä tavoin mikä tahansa Sx voidaan tarkistaa kun tunnetaan S0. Lähettäjä jakaa ajan tasaisiin inter-valleihin ja julkaisee arvot käänteisessä järjestyksessä. Tukiaseman ja kohdesolmun on oltava tämän

13

intervallin tarkkuudella ajallisesti tahdistettuna.

Tukiaseman lähettäessä paketin se salaa datan senhetkisellä avaimella. Vastaanottaessaan paketin solmu tarkastaa, että MAC-avain ei ollut vielä julkistettu ja pystyy näin päättelemään, että tieto on autentikoitua ja ajankohtaista. Paketti koostuu viestistä (Mj), viestin aitouskoodista (MAC) joka on tuoreella avaimella (K’i) luotu, sekä avaimesta jonka lähettäjä pystyy tällä hetkellä julkaisemaan (Ki-d):

Vastaanottopäässä paketti otetaan paketti vastaan, mikäli MAC on edelleen salainen, vastaanottaja puskuroi paketin ja jää odottamaan, että avain julkaistaan.

3.4.2 TinySec TinySec on langattomien sensoriverkon laitteissa yleisesti käytössä olevan TinyOS järjestelmän laa-jennus. [2] [3] TinySec toimii linkkitasolla. Näin pystytään havainnoimaan vihamielinen toiminta kuten viestien muokkaus tai ylimääräisten lisääminen ensitilassa. TinySec tarjoaa normaalit turval-lisuusominaisuudet, viestien autentikoinnin ja eheyden käyttäen kryptografisia funktiota. Luotta-muksellisuuden salauksen avulla ja semanttisen turvallisuuden käyttämällä alustusvektoria. TinySec tarjoaa kaksi tietoturvavaihtoehtoa, TinySec-AE on autentikoitu ja salattu järjestelmä ja TinySec-Auth autentikoitu. TinySecin yhtenä tavoitteena on olla mahdollisimman läpinäkyvä ja täten mini-moida tarvittu ylimääräinen siirrettävä data.

TinySec-AE -protokollan paketti pitenee normaalista paketista vain 4 tavua, 2 tavua lähettäjälle (Src) ja 2 tavua laskurille (Ctr). Alustusvektoriksi CBC-MAC salaukselle käytetään kaikkia 8 bittiä paketin alusta. Ruudulliset kentät ovat suojattuja MAC:illa, Tummennettu data kenttä on salattu.

TinySec-Auth -protokollan paketti on vain autentikoitu MAC:illa, IV:tä ei tarvita koska salausta ei ole käytössä.

TinySec-protokollan normaali paketti takaa vain paketin eheyden kaksibittisen tarkistussumman (CRC) avulla.

Viestien autenttisuuden takaamiseen TinySec käyttää CBC-ketjutusta. Tämän ja muiden lohkosala-usten (block cipher) etuna vuosalauksiin (stream cipher) verrattuna on, että tiedonsiirtoon ei kulu ylen määrin kaistaa. Kaistanleveyden säästö johtuu siitä, että toisin kuin virtasalauksissa, joissa jou-dutaan pidentämään alustusvektorin (IV) pituutta, jotta sama avain ei toistuisi, lohkosalaukset pe-rustuvat pseudosatunnaiseen permutaatioon suhteellisen lyhyille 8-16 bitin jonoille. Tällöin siirret-tävien pakettien koko ei kasva liiallisesti. Toisena etuna lohkosalauksen käyttöön on, että MAC-laskenta käyttää lohkosalausta ja näin solmun ei tarvitse toteuttaa kuin yksi implementaatio, jota molemmat voivat käyttää. TinySecin vakiovalinta lohkosalaukseksi on Skipjack.

Huomattavaa on että TinySec ei tarjoa toistohyökkäykseltä suojaa. Toistohyökkäyksen torjumisen

14

mahdollistamiseksi paketin laskurin tarvitsisi olla bittimäärältään riittävän suuri, jotta juokseva nu-mero ei helposti menisi ympäri. Lisäksi solmujen tarvitsisi pitää taulua viimeisimmästä arvosta jo-kaista solmua kohden, jonka kanssa ne liikennöivät. Sensoriverkon solmussa saattaa olla esimerkik-si vain sata tavua mustia varattuna naapuritaululle. Jos jokainen laskuri vaatisi esimerkiksi neljä ta-vua, ei yli 25 solmun verkko pystyisi takaamaan luotettavaa toistonestoa. Protokolla olettaakin, että ylemmän tason protokolla ottaa kantaa datansa sisällöllä toistohyökkäyksen estämiseen.

3.5 Mallien yhteenveto

Edellä mainituissa kahdessa tietoturvakehyksessä on tietoturvaa lähdetty suunnittelemaan tarveha-kuisesti pyrkien täyttämään mahdollisimman paljon turvatavoitteita. Ne täyttävät suunnittelutavoit-teen varmasti hyvin, mutta eivät sisällä vastatoimenpiteitä hyökkääjän toiminnan rajoittamiseksi. Käytännössä hyökkääjä pystyy jatkamaan hyökkäystään vaikka useita päiviä, mahdollisesti itse hyökkäyksessä onnistumatta, mutta esimerkiksi onnistuen kuihduttamaan verkon resursseja pois.

3.6 Hyökkäyksiin mukautuvat tietoturvaprotokollat

Edellämainittujen mallien lisäksi tässä seminaarityössä käsitellään kahta tunkeutumisen havaitse-misprotokollaa. Nämä protokollat on suunniteltu siten, että ne analysoivat jatkuvasti verkon tilaa ja mikäli havaitsevat jotain erikoista luovat tapahtumasta kuvauksen ja selvittävät, ovatko muut ver-kon solmut nähneet saman häiriön. Yleisimpiä häiriötilanteita verkossa ovat erilaiset palvelunesto-hyökkäykset. Perinteinen vastakeino niitä vastaan on liikenteen suodatus ja liikennöintinopeuden rajoittaminen. Nämä eivät kuitenkaan ole kovin tehokkaita sellaisenaan sensoriverkkomaailmassa, koska perinteiset vastakeinot pystytään toteuttamaan vain hyökkäyksen kohteen lähipiirissä. Tämä aiheuttaa sen, että verkon välisolmut joutuvat kuitenkin hyökkäyksen aiheuttaman kuorman alaisik-si. Toinen ongelma on pystyä määrittelemään oikea liikennenopeuden rajoitusmäärä, koska liialli-sella määrällä on voidaan aiheuttaa lisää ongelmia koska verkko hidastuu liiallisen rajoituksen mu-kana.

3.7 Hyökkääjän jäljitys – traceback

Ensimmäinen käsiteltävä protokolla keskittyy hyökkääjän sijainnin selvittämiseen neljäportaisella järjestelmällä. Epänormaalin tilan havainnointi (anomaly detection), epänormaalin tilan kuvaus (characterization), epänormaalin tilan vertaaminen (matching) ja vastatoimet (countermeasures). [4]

Ensimmäisessä vaiheessa verkon lailliset solmut kuuntelevat verkossa ylikuuluvaa liikennöintiä ja mikäli huomaavat jotain epäilyttävää, kukin laskee tälle liikenteelle tarkistussumman, jota tullaan vertailemaan muiden solmujen havaintoihin. Järjestelmälle on siis määritelty normaali olotila ja riit-tävä poikkeuma tästä saa aikaan vertailun. Solmun havaitessa detection-vaiheessa epäilyttävää lii-kennettä, se siirtyy seuraavaan, characterization-vaiheeseen, jossa pyritään kuvailemaan potentiaa-linen hyökkäys. Solmu lähettää tämän kuvauksen muutamalle naapurisolmulleen ja muutamalle kauemmalle solmulle verrattavaksi.

Vertailutilassa kukin solmu vertaa, onko ehdotettua epänormaalia tilaa kuvaavaa liikennettä näky-nyt sen lähipiirissä. Näiden tietojen avulla pystytään suuntaamaan vastatoimenpiteet oikeaan suun-taan. Analyysistä saadaan myös tietoa hyökkäyksen voimasta ja pystytään valitsemaan paremmin tilannetta vastaava liikenteen rajoitus. Hyökkäyksen voimakkuus on suoraan verrannollinen epä-normaalin tilan havainnoineiden solmujen lukumäärään.

Protokolla simuloi tosielämän tilannetta ”Small world” -mallilla. Tässä mallissa on todettu, että po-lun pituus langattomassa sensoriverkossa lyhenee huomattavasti jos lisätään muutama satunnaisesti sijoitettu solmu.

Lisätarkennusta analyysiin saadaan kun protokolla keskustelee muiden protokollatasojen kanssa ja kerää niiltä tietoa. Oleellisia tietoja ovat mm. hyökkääjän aiemmat MAC-osoitteet, kohdeosoitteet.

15

Näillä pyritään minimoimaan väärät hälytykset.

Simulaatiotilanteessa on esitetty, että traceback-protokollan vastatoimenpiteillä päästään DoS- ja DDoS-hyökkäyksen laajuudesta riippuen 96% – 100% hyökkääjän paikallistamistulokseen. Näin vastatoimenpiteet pystytään toteuttamaan mahdollisimman lähellä vihamielistä solmua ja haittavai-kutukset verkon toiminnalle jäävät minimiin. Traceback-viestien lähetys itsessään aiheuttaa lisä-kuormaa verkkoon. Protokolla on kuitenkin pyritty suunnittelemaan siten että, että liikenteen määrä ei luo liiallista kuormaa verkkoon. Käytännön testit ovat osoittaneet että 3025 solmun verkoissa lii-kenteen määrä tracebackin takia kasvaa noin 24%.

3.8 Hyökkääjän jäljitys – watchdog

Toinen vastaava protokolla [5] kutsuu hajautettua verkon tilan valvontaa watchdog-solmuiksi. Watchdog-termi tulee verkossa ylikuuluvan liikennöinnin seuraamisesta. Solmut vahtivat, että nii-den naapureille välitettäviksi tulleet viestit oikeasti välitetään eteenpäin. Protokollassa oletetaan, että yhteenkään solmuun verkossa ei voida täysin luottaa, joten päätöksien tarvitsee olla todella ha-jautettuja. Tämän takia päätöksissä on käytettävä enemmistön vaativaa äänestystä. Jos päätökset tehtäisiin vain yhden tai harvan joukon tietojen perusteella, hyökkääjällä olisi helpompi työ hämätä solmuja luulemaan, että hyökkääjän solmu pelaisi reilusti.

Suurin eroavaisuus edelliseen protokollaan on, että watchdog-protokolla on ns. määrittelypohjainen protokolla. Ennen kuin valvontaa voidaan tehdä, tarvitsee protokollalle määrittää säännöt, joiden mukaan se valvonnan tekee. Yksinkertaisimmillaan sääntö voi olla, että watchdog-solmu vahtii, kuinka monta pakettia naapurisolmut ovat pudottaneet.

Jokainen A:n B:lle lähettämä paketti tallennetaan toviksi puskuriin ja valvotaan, että B lähettää ne eteenpäin. Jos näin ei tapahdu, lisätään laskuria. Jos w yksikön aikana solmu on pudottanut enem-män kuin t prosenttia paketeista, tehdään hälytys.

Vastatoimenpiteet tapahtuvat, mikäli watchdog-solmuista tietty prosentti, yleensä yli puolet havain-noi tietylle solmulle epäilyttävää liikennettä. Tällöin solmu oletetaan hyökkääjän hallitsemaksi ja se tiputetaan pois pelistä. Lisäksi tukiasemalle ilmoitetaan solmun vihamielisyys.

Vastatoimenpiteinä protokollassa on suora vaste, jossa epäilty solmu suljetaan ulos kaikesta toimin-nasta ja salausavaimet uusitaan. Epäsuorassa vasteessa taas tukiasemalle ilmoitetaan tapahtumasta ja epäillyn linkkien kelpoisuusarvoa lasketaan, jotta niitä ei käytettäisi jatkossa.

3.9 Yhteenveto

Tässä seminaarityössä esiteltiin kaksi langattomien sensoriverkkojen perinteistä tietoturvaprotokol-laa sekä kaksi hyökkääjän havaitsemiseen ja löytämiseen tarkoitettua protokollaan. Perinteisemmät protokollat perustuivat erilaisten kryptografisten funktioiden käyttöön, näillä keinoin pystytään es-tämään suuri osa verkkoon kohdistuvista uhkista. Ne takaavat luottamuksellisuuden ja eheyden ja auttavat minimoimaan hyökkääjän haltuunsa saamien solmujen vaikutuksia. Lisäksi ne ottavat hy-vin huomioon langattomien sensoriverkkojen erityispiirteet, kuten vähäiset resurssit. Käytössä on laskennallisesti kevyitä funktioita ja lisäksi pyritään olemaan lisäämättä tiedonsiirtokuormaa.

Verkon tilan muutoksia valvovissa aktiivisissa protokollissa oli myös kahta lähestymistapaa. Trace-back-protokollassa solmut hoitivat hyökkäyksen torjunnan kokonaan keskenään kun taas watchdog-protokollassa myös tukiasemalle ilmoitettiin epärehellisesti toimivasta solmusta. Periaatteessa watchdog-protokolla on tässä mielessä parempi, koska linkkitasolla epärehellisesti käyttäytyvä sol-mu saattaa käyttäytyä epärehellisesti myös ylemmille protokolla tasoilla. Täten tukiaseman on hyvä olla tietoinen solmun epärehellisyydestä, vaikka se ei kyseisellä hetkellä aktiivisesti liikennettä häi-ritsisikään.

Verkon tilaa valvovista protokollista on tässä seminaarin esitelty lisäksi ad hoc -toteutettujen ajo-neuvoverkkojen suojausta (luku 6). Tällä protokollalla ei kuitenkaan ole suuria yhtäläisyyksiä tässä työssä esiteltyjen kahden protokollan kanssa.

16

Ensimmäisenä esiteltyjen protokollien suurimmaksi ongelmaksi muodostuukin, että oikeastaan mi-kään kryptografinen funktio ei pysty suojaamaan protokollaa palvelunestohyökkäykseltä. Kaksi jäl-kimmäistä protokollaa ottavat taas hyvinkin samanlaisen lähtökohdan tämän tietoturvauhkan torju-miseen. Molemmat perustuvat langattomien sensoriverkkojen yleislähetysluonteiseen liikennöintiin, jossa kaikki radiokantaman alueella olevat kuulevat liikenteen ja täten pystyvä valvomaan verkon tapahtumia. Lisäksi molemmat perustuvat sensoriverkoille tyypilliseen hajautettuun laskentaan. Molemmat protokollat onnistuvat simuloiduissa tilanteissa torjumaan normaalin ja hajautetun pal-velunestohyökkäyksen hyvinkin tehokkaasti.

Tämän seminaarityön kirjoittamisen puitteissa ei tullut vastaan protokollaa, joka yhdistäisi näiden kahden erityyppisten protokollien ominaisuudet. Tällaiselle protokollan laajennukselle olisi varmas-ti tarvetta esimerkiksi laajennuksena TinySeciin. Protokollien yhdistämisellä saisi selkeitä etuja, koska näin saataisiin mukautuva protokolla, joka tarjoaa lisäksi kryptografisia suojakeinoja. Tässä seminaarityössä esitellyt protokollat ovat linkkitason protokollia. Vaikka alhaisella tasolla toimimi-nen auttaa hyökkäysten havaitsemista aikaisemmin ja helpottaa niiltä suojautumista, kaikkea ei kui-tenkaan ehkä kannata ratkaista linkkitason protokollalla. Myös ylempien tasojen protokollien tulisi tarjota tietoturvallisia ratkaisuja. Optimaalisessa tapauksessa ylemmän tason protokolla keskustelee alemman tason protokollan kanssa esimerkiksi tilanteessa, kun ylemmällä tasolla havaitaan normis-ta poikkeavaa datan sisältöä joltain solmulta. Tällöin voitaisiin alemmalle tasolle viestiä kyseisen solmun mahdollisesta viallisuudesta ja/tai vihamielisyydestä.

Tässä esitellyistä protokollista ainakin TinySec on kohtuullisen yleisessä käytössä sensoriverkoissa, johtuen pääosin TinyOSia käyttävien sensorialustojen yleisyydestä. Lisäksi IEEE on julkaissut 802.15.4-protokollan luonnoksen, joka sisältää hyvin samanlaisia piirteitä kuin TinySec, mutta kor-vaa lohkosalauksen vuosalauksella ja suosittaa laitteistopohjaisia kiihdyttimiä kryptoprimitiiveille. Protokollaan 802.15.4 on myös lisätty valinnainen toistohyökkäyksen suoja.

Huomattavaa on, että tässä seminaarityössä käsitelltyt protokollat tarjoavat hyvin vähän suojaa, mi-käli hyökkääjä onnistuu kopioimaan laillisen solmun tai murtamaan laillisen solmujen välisen sala-uksen. Tällaista hyökkäystä vastaan on vaikeaa suojautua linkkitasolla, vaan ylempien kerrosten on tehtävä päätelmänsä solmun lähettämän datan perusteella.

3.10 Lähteet

[1] Ács, Buttyan, Vadja., Modeling Adversaries and Security Objectives for Routing Protocols in Wireless Sensor Networks., Laboratory of Cryptography and Systems Security (CrySys)., Department of Telecommunications, Budapest University of Technology and Economics, Hungary., 2006, Saatavissa 24.4.2007: http://portal.acm.org/ft_gateway.cfm?id=1180352

[2] Saraogi,. Security in Wireless Sensor Networks., University of Tennessee., Department of Computer Science., Saatavissa 9.6.2007: http://www.cs.utk.edu/~saraogi/594paper.pdf

[3] Karlof, Sastry, Wagner,. TinySec A Link Layer Security Architecture for Wireless Sensor Networks., SenSys ’04., November 3-5 2004., Baltimore Maryland., USA. Saatavissa 9.6.2007: http://www.cs.berkeley.edu/~nks/papers/tinysec-sensys04.pdf

[4] Kim, Helmy., Attacker Traceback with Cross-layer Monitoring in Wireless Multi-hop Net-works., University of Southern California., Department of Electronical Engineering – Sys-tems, SASN ’06., October 30, 2006., Alexandria, Virginia, USA., Saatavissa 8.6.2007: http://www.ieee-inf-com.org/2006/Posters/1568980862_Attacker%20Traceback%20and %20Countermeasure%20with%20Cross layer%20Monitoring/CrossLayerMonitoring.pdf

[5] Ioannis, Dimitrou, Freiling,. Towards Intrusion Detection in Wireless Sensor Networks, Ath-ens Information Technology,19002 Peania, Athens, Greece, Saatavissa 8.6.2007: http://www.ait.edu.gr/faculty/T_Dimitriou_files/IntrusionEW07.pdf

[6] Schmidt, Krahn, Fischer, Wätjen,. A Security Architecture for Mobile Wireless Sensor Net-works., Technical University of Braunschweig., Institute of Operating Systems and Computer Networks., Saatavissa 8.6.2007: http://www.itm.uni-luebeck.de/users/schmidt/papers/esas2004.pdf

17

4 Optimaalisten MAC-kerroksen hyökkäysten vaikutus verkkokerrokseen langattomassa ad hoc -verkossa

Tässä luvussa käsitellään hyökkäyksiä ja vastatoimenpiteiden erityispiirteitä langattomassa verkos-sa. Lähteenä on käytetty vuoden 2006 ACM-työpajan ”Workshop on Security of ad hoc and Sensor Networks” aihealueen Attack and Countermesures artikkeleita. Työn pääpaino on artikkelin Impact of Optimal MAC Layer Attacks on the Network Layer referoinnissa.

4.1 Sensori- ja ad hoc -verkkojen turvaongelmia

Langattomat verkot asettavat uusia vaatimuksia turvallisuudelle perinteisiin verkkoihin verrattuna. Erilaiset protokollat ja laitteiden liikkuvuus mahdollistavat kokonaan uudenlaisia hyökkäyksiä. Sen-soriverkkojen puolestaan tulisi kyetä toimimaan vihamielisissä ja fyysisesti hankalissa ympäristöis-sä.

Alarafi ja Du käsittelevät artikkelissaan langattoman sensoriverkon solmun (mote) turvaamista. Fyysinen pääsy solmuun on usein mahdollinen, mikä asettaa omat vaatimuksensa tietoturvalle. Fyy-sisen peukaloinnin estävää laitteistoa on olemassa, mutta se ei välttämättä ole käytännöllisen vaih-toehto sensoriverkoissa. Solmuissa voi olla arkaluontoista tietoa, kuten avaimia, ja solmut voivat jakaa näitä tietoja keskenään. Näin ollen yhden solmun vaarantuminen voi vaarantaa muitakin. Yleensä sensoriverkot kestävät muutaman solmun vaarantumisen. Alarafi ja Du esittävät ratkaisuksi solmujen koodin ja datan hämäännyttämistä. Tämä tulisi tehdä joka solmulle eri tavalla. [1]

Sensoriverkon saatavuuteen liittyvä ongelma on viallisten tai huonosti käyttäytyvien solmujen käsit-teleminen. Perinteinen ratkaisu on ollut eristää solmu verkosta. Mikäli solmun korvaaminen tai yl-läpito on vaikeaa tai lähes mahdotonta, olisi suotavaa, että solmu voisi jatkaa toimintaansa. Esimer-kiksi merenpohjassa, aavikolla tai avaruudessa sijaitsevat sensorit asettavat tällaisia vaatimuksia. Stasser ja Vogt esittävät artikkelissaan formaalin spesifikaation algoritmille, jonka avulla solmu voidaan turvallisesti palauttaa osaksi verkkoa. [4]

Palvelunestohyökkäykset ovat langattomissa verkoissa suurempi ongelma kuin perinteisissä ver-koissa solmujen rajallisen kapasiteetin (kaistanleveys, muisti) vuoksi. Hyökkäyksen jäljittäminen on tehokas keino palvelunestohyökkäyksiä vastaan. Perinteisiä menetelmiä ei voida kuitenkaan hyö-dyntää poikkeuksellisten ratkaisujen kuten dynaamisen verkkotopologian vuoksi. Kim ja Helmy esittelevät viitekehyksen hyökkäyksen jäljittämiseen langattomissa verkoissa. Artikkelissa osoite-taan, että simuloinnissa viitekehyksen avulla pystyttiin jäljittämään keskimäärin 100% DoS-hyökkäyksistä ja keskimäärin 96% DDoS-hyökkäyksistä. Lisäksi menetelmä vaatii vain vähän lii-kennettä, laskentatehoa ja muistia. Erityistä huomiota on kiinnitetty (linkki- ja verkko)kerrosten vä-liseen tiedonvaihtoon tarkkuuden parantamiseksi. Artikkelissa ehdotetaan myös hyökkääjän jälji-tykseen perustuvia vastatoimenpiteitä, joilla voidaan tehostaa hyökkäysliikenteen pudottamista ja toisaalta pienentää negatiivista vaikutusta sallittuun liikenteeseen. [2]

4.2 Optimaalisten MAC-kerroksen hyökkäysten

vaikutus verkkokerrokseen

Radosavac ym. käsittelevät artikkelissaan optimaalisten MAC-kerroksen hyökkäysten vaikutusta verkkokerrokseen. Huonosti käyttäytyvä solmu voi langattomassa ad hoc -verkossa johtaa yllättä-viin muutoksiin topologiassa, mikä taas aiheuttaa kuorman ja kapasiteetin vaihtelua. Artikkelissa määritellään optimaalinen hyökkäysstrategia ristientropian avulla. Näitä tuloksia sovelletaan IEEE 802.11 DCF MAC -protokollaan ja tutkitaan vaikutusta verkkokerrokseen. Radosavac ym. myös arvioivat reititysprotokollien kestävyyttä optimaalisia MAC-kerroksen hyökkäyksiä vastaan ja pe-

18

rustelevat tarpeen MAC-kerroksen IDS:lle. [3]

4.2.1 Johdanto ja aiemmat tutkimukset Langattomat verkot ovat merkittävä keino tiedon saatavuuden turvaamiseksi, mikä houkuttaa hyök-kääjiä. MAC-kerroksen hyökkäyksillä on vaikutusta myös muihin kerroksiin. Artikkelin tavoitteena on mallintaa väärinkäytöksiä tunnistamalla hyökkääjän tavoitteet, edut ja käytettävissä olevat kei-not. Myös hyökkäyksen ”sivistyneisyys” on määriteltävä sen perusteella, kuinka paljon hyökkääjä tietää, mitä parametreja hän pystyy kontrolloimaan, ja kuinka älykkäästi hyökkääjä osaa mukauttaa toimintaansa tunnistamisen välttämiseksi. Radosavac ym. olettavat hyökkääjän älykkääksi, eli hä-nellä on kaikki tiedot verkon rakenteesta ja käytettävästä IDS:stä. Artikkelissa todistetaan ristien-tropian avulla, että kaikki optimaaliset hyökkäykset ovat eksponentiaalista tyyppiä. Optimaalisen hyökkäyksen vaikutusten määrittämiseksi kirjoittajat mittaavat hyökkääjän osuutta kanavasta ja tunnistamiseen kuluvaa viivettä olettaen, että nopein tunnistuspohjainen IDS on käytössä. [3]

Koska verkon eri kerrokset kommunikoivat keskenään, MAC-kerroksen väärinkäytökset voivat vaikuttaa merkittävästi myös reititykseen. Artikkelissa osoitetaan, että hyökkäyksen vaikutuksen eteneminen ylemmälle kerrokselle voi johtaa esimerkiksi siihen, että IDS syyttää laillista solmua väärinkäytöksistä. Lisäksi langattomien ad hoc -verkkojen hajautuksellinen luonne ja käytettävien protokollien satunnaisuus tekevät hyökkääjän tunnistamisen ja jäljittämisen entistä vaikeammaksi. Artikkelin panos kirjallisuuteen on pahimman tapauksen MAC-kerroksen hyökkäyksen yleistys ris-tientropian avulla, hyökkäyksen protokollapinossa etenemisen analysointi ja osoittamalla optimaali-sen MAC-kerroksen IDS:n tehokkuus verkkokerroksen vaikutusten minimoimisessa. [3]

Artikkelin mukaan useimmat olemassa olevat IDS-toteutukset keskittyvät toimimaan tietyllä ker-roksella, useimmiten verkkokerroksella. Yhdellä kerroksella tapahtuvien hyökkäysten vaikutuksia toisen kerroksen toimintaan ei ole tutkittu kovin laajalti. Kerrosten välisen toiminnan olennaisuus langattomissa verkoissa on todettu, mutta sen hyötyjä ei ole käytetty hyökkäysten torjunnassa. Kir-joittajien tietämyksen mukaan nykykirjallisuudessa ei ole tutkittu optimaalisten MAC-kerroksen hyökkäysten vaikutusta ylempiin kerroksiin. [3]

4.2.2 MAC-kerroksen väärinkäytökset IEEE 802.11:n MAC-protokollan DCF:ssä (Distributed Coordination Function) kanavapääsyn koordinointi on toteuttu CSMA/CA-periaatteella. Collision avoidance on toteutettu niin, että solmu, joka haluaa lähettää, valitsee satunnaisen backoff-arvon tasaisesti joukosta {0,1,…,W-1}, jossa W on contention window:n koko. Backoff-laskuri pienenee joka aikavälillä, kun kanava havaitaan va-paaksi. Jos kanava on varattu, laskuri pysäytetään. Kun laskuri on nolla, solmu voi varata kanavan siirron edellyttämäksi ajaksi. Kaikki solmut, jotka kuulevat varauksen, pidättyvät lähettämästä va-rattuna aikana. Jos lähetys epäonnistuu, ikkunan koko W kaksinkertaistuu. Kun lähetys onnistuu, ikkunan koko palautuu miniarvoon W. [3]

IEEE 802.11 DCF suosii solmua, joka valitsee pienimmän backoff-arvon. Hyökkääjä ei välttämättä pelaa reilusti ja saattaa valita pieniä backoff-arvoja saavuttaen suuremman osan kaistasta. Lisäksi lailliset solmut joutuvat valitsemaan backoff-arvonsa suuremmalta väliltä lähetyksen epäonnistues-sa, minkä seurauksena pääsy kanavalle huononee entisestään. Artikkelin aihe on rajattu käsittele-mään vain hyökkäyksiä, jotka on toteutettu manipuloimalla backoff-arvoa. [3]

Solmut, jotka pidättäytyvät lähettämästä, kuulevat kyllä kanavan sisällön, mukaan lukien backoff-arvot. On kuitenkin vaikea erottaa hyökkääjää laillisesta solmusta, joka vain sattuu valitsemaan pie-niä backoff-arvoja. Myös yhtäaikaisista lähetyksistä aiheutuvat häiriöt vaikeuttavat hyökkääjän tun-nistamista. Artikkelissa oletetaan, että tällaisia häiriöitä ei ole. [3]

4.2.3 Uhkamalli Artikkelissa oletetaan hyökkääjän olevan adaptiivinen ja tietoinen ympäristöstään. Kaikilla solmuil-la oletetaan olevan koko ajan lähetettävää. Kun liikennettä on vähän, hyökkääjä käyttäytyy mie-luummin laillisesti kuin huonosti. Ruuhkaisessa ympäristössä hyökkääjä toimii adaptiivisen itsek-

19

käästi. Hyökkääjän tavoitteena on maksimoida kanavapääsy tietyllä todennäköisyydellä minimoi-den hyökkäyksen tunnistuksen todennäköisyys. [3]

Hyökkääjä generoi backoff-arvot käyttäen epätasaista todennäköisyysjakaumafunktiota (probability distribution function, pdf), jota hän pystyy täysin hallitsemaan. Hyökkääjä voi myös muokata backoff-arvoja. Lisäksi hän tietää kaiken mitä tunnistusagenttikin. Hyökkäyksen tavoitteena on maksimoida kanavan käyttö minimoiden hyökkäyksen tunnistamisen riski. Hyökkäyksen tehok-kuutta arvioidaan väärinkäytöskertoimella ε, joka kuuluu välille [0,1], jossa ε = 0 edustaa laillista käytöstä ja ε = 1 palvelunestohyökkäystä. Koska hyökkäys on älykäs, missään vaiheessa ei käytetä strategiaa, jossa ε = 1. [3]

4.2.4 Pahimman tapauksen hyökkäyksen johtaminen käyttäen minimaalisen ristientropian periaatetta

Minimaalinen ristientropia on ainoa oikea menetelmä induktiiviselle päättelylle, kun uutta infor-maatiota annetaan odotettujen arvojen muodossa. Täsmällisemmin sanottuna, kun uusi tieto on ra-joituksia odotetuille arvoille, on ainoastaan yksi jakauma, joka noudattaa annettuja rajoitteita säilyt-täen aksioomien yhtäpitävyyden. Artikkelissa hyödynnetään minimaalista ristientropiaa, koska IDS ja järjestelmä asettavat hyökkääjälle tiettyjä rajoitteita. Kirjoittajat olettavat, että hyökkääjä voi olla missä tahansa rajoitteiden sallimassa tilassa ja tekee lopullisen päätöksen väärinkäytösstrategiastaan maksimoiden poikkeaman alkuperäisestä todennäköisyys-jakaumafunktiosta. Ristientropian mini-voivan pdf:n johtaminen sivuutetaan tässä referaatissa. Minimoimalla ristientropian hyökkääjä mak-simoi pahimman tapauksen hyökkäyksen tunnistamisviiveen. [3]

4.2.5 MAC-kerroksen hyökkäyksen vaikutukset verkkokerrok-seen

Hyökkäyksellä voi olla musertavia vaikutuksia, mikäli MAC-kerroksen IDS ei ole käytössä. Toi-saalta nopeimmilla tunnistusmenetelmillä seuraukset voidaan helposti ehkäistä eristämällä hyökkä-yksen lähde. MAC-kerroksen hyökkäysten etenemisen ehkäisemiseksi verkkokerrokselle vaaditaan yhteistyötä. [3]

Artikkelissa analysoidaan kuvan 1 skenaario, jossa itsekäs solmu yrittää maksimoida kanavan käy-tön käyttämällä aiemmin kuvattua optimaalista strategiaa. Kun backoff-laskuri nollautuu ja itsekäs solmu saa lähetysluvan, solmun 2 on hiljennyttävä. Jos Source1 yrittää nyt liikennöidä kohteeseen Destination1, solmun 1 contention window:n koko kasvaa eksponentiaalisesti, koska solmu 2 ei voi vastata CTS (Clear To Send) –viestillä solmun 1 RTS (Ready To Send) -viestiin. Samalla Source1 lähettää liikennettään solmulle 1, jolloin sen kuorma kasvaa. Toisaalta itsekkään solmun kanavan käyttö kasvaa sen backoff-arvon pienentyessä. [3]

Kuva 6. Itsekkään solmun lähetys on hiljentänyt solmun 2. Solmu 1 pudottaa paketteja [3]

20

Artikkelissa johdetaan lauseke ajalle, jossa solmun 1 puskurin odotetaan vuotavan yli. Jos on käy-tössä maineperustainen IDS, se voi tulkita solmun 1 käyttäytyvän huonosti, koska se pudottaa pal-jon paketteja. Kirjoittajat analysoivat myös kuvan 2 mukaisen skenaarion, jossa hyökkääjä aiheuttaa reititysmuutoksen oman kantamansa ulkopuolella hyökkäämällä korkeakapasiteettista solmua vas-taan. Tulokset on esitetty kahdelle reititysprotokollalle: Dynamic Source Routing Protocol (DSR) ja Ad hoc On Demand Distance Vector (AODV). [3]

Kuva 7. MAC-kerroksen hyökkäys rikkoo alkuperäisen reitin, reitittäen liikenteen uudel-leen solmun 3 kautta [3]

Optimaalisella hyökkäyksellä, joka ei siis pyri palvelunestoon, voi olla DoSin kaltaisia vaikutuksia johtuen DCF backoff -algoritmin eksponentiaalisuudesta. Esimerkkinä olkoon solmun 1 tilanne ku-van 1 mukaisessa skenaariossa. Tässä referaatissa ei käsitellä solmun 1 puskurin ylivuotoon vaadit-tavan ajan lausekkeen johtamista. Artikkelissa osoitetaan matemaattisesti, että parin sekunnin luok-kaa olevat pienetkin viiveet hyökkäyksen tunnistamisessa aiheuttavat melko paljon liikenteen me-nettämistä. [3]

4.2.6 Numeeriset tulokset Kirjoittajat evaluoivat skenaariot verkkosimulaattori Opnetilla. Backoff-arvot jakautuivat tasaisesti, kun kaikilla oli reilu pääsy kanavaan. Selviä eroja backoff-arvojen jakautumisessa näkyi, kun hyök-kääjällä oli käytössään 45% kanavan käyttöajasta. Kun väärinkäyttökerroin on korkea, lailliset sol-mut eivät saa ollenkaan pääsyä kanavaan, koska itsekäs solmu pystyy aina lähettämään, sillä sen backoff-arvo on lähellä nollaa. [3]

Optimaalisen IDS:n suorituskyvyn arvioimiseksi on oletettu perättäisen todennäköisyystestin (Se-quential Probability Ratio Test, SPRT) optimaalisuus. On todistettu, että SPRT on nopein tapa tun-nistaa optimaaliset MAC-kerroksen hyökkäykset. Kirjoittajat toteuttavat tällaisen tunnistusmene-telmän Matlabilla testatakseen optimaalisen hyökkäyksen tehokkuutta tunnistusviiveellä mitattuna. Tunnistamisen todennäköisyydeksi on kiinnitetty 0,99 ja väärän hälytyksen todennäköisyydeksi 0,01. Tulokset osoittavat, että maltillisia hyökkäyksiä on vaikea tunnistaa, koska hyökkääjä ei mer-kittävästi poikkea protokollasta. Toisaalta aggressiiviset hyökkäykset voidaan tunnistaa hyvin pie-nellä viiveellä. Tunnistus on sitä tehokkaampaa, mitä enemmän verkossa on laillisia solmuja. Esi-merkiksi absoluuttisen hyödyn ollessa 0,6, IDS tarvitsee viiden laillisen solmun verkossa 10 kertaa vähemmän näytteitä väärinkäytöksen tunnistamiseksi kuin yhden laillisen solmun verkossa. [3]

Artikkelissa vertaillaan reititysprotokollien DSR ja AODV selviytymistä optimaalisesta MAC-kerroksen hyökkäyksestä kuvien 1 ja 2 mukaisissa skenaarioissa. AODV osoittautui molemmissa selvästi paremmaksi paikallisen korjausmekanisminsa vuoksi – jopa niin hyväksi, ettei MAC-kerroksen IDS:lle ole merkittävää vaikutusta sen suorituskykyyn. Koska maltilliset hyökkäykset

21

ovat vaikeampia havaita, ne ehtivät myös vaikuttaa pidempään. DSR:n tapauksessa ne ehtivät vai-kuttaa myös reititykseen. Itsekkään solmun eristämisen jälkeenkin voi kulua ruuhkan purkautumi-seen 5–10 sekuntia. Aggressiiviset hyökkäykset puolestaan havaitaan käytännössä välittömästi, ei-vätkä ne ehdi vaikuttaa verkkokerroksen toimintaan. Näin ollen lailliset solmut eivät menetä ollen-kaan paketteja. [3]

MAC-kerroksen hyökkäyksen vaikutus on siis kaksiosainen. Lailliset solmut joutuvat pudottamaan osan paketeista, koska itsekäs solmu blokkaa niiden naapurit. Tästä seuraa läpimenevän liikenteen merkittävä lasku, koska yksi tai useampi alkuperäisen reitin solmuista ei ole saatavilla. Pakettien putoamisesta puolestaan seuraa, että verkkokerroksen IDS syyttää laillisia solmuja väärinkäytöksis-tä, mikäli IDS ei ole käytössä MAC-kerroksella. [3]

4.2.7 Artikkelin johtopäätökset Jotkin reititysprotokollat sietävät paremmin MAC-kerroksen hyökkäyksiä. Jos nopein MAC-kerroksen IDS on käytössä, hyökkäys ei juuri etene verkkokerrokselle. Ainoastaan maltilliset MAC-kerroksen hyökkäykset vaikuttavat tiettyyn rajaan asti reititysprotokolliin. Tämän vuoksi kerrosten tulisi tehdä yhteistyötä hyökkäyksen torjunnassa. Myös fyysisestä kerrosta voidaan hyödyntää esi-merkiksi säätelemällä niiden laillisten solmujen lähetystehoa, jotka ovat havainneet hyökkäyksen ja yrittävät tiedottaa siitä. Kirjoittajat aikovat analysoida MAC-hyökkäysten vaikutuksia suurempaan joukkoon reititysprotokollia ja tunnistaa vahvimpien ominaisuuksia. [3]

Hyökkäyksen havaitsemisen tehostamiseksi tulisi hyödyntää useamman osapuolen havaintoja. Ar-tikkelissa oletettiin luottamus havaitsijoihin, mitä normaaleista langattomista ympäristöistä ei voida olettaa. Tarvitaan siis yhteistyöhön perustuva protokolla, jossa havainnot lähetään fuusiokeskuk-seen, joka yhdistää havainnot ja päättelee, onko hyökkäys käynnissä. [3]

4.3 Lähteet

[1] Alarifi, A., Du, W. 2006. Diversify sensor nodes to improve resilience against node compro-mise. Proc. of the Fourth ACM Workshop on Security of Ad Hoc and Sensor Networks, Oc-tober 30-30, 2006. pp. 101-112.

[2] Kim, Y., Helmy, A. 2006. Attacker traceback with cross-layer monitoring in wireless multi-hop networks. Proc. of the Fourth ACM Workshop on Security of Ad Hoc and Sensor Net-works, October 30-30, 2006. pp. 113-122.

[3] Radosavac, S., Baras, J., Moustakides, G. 2006. Impact of optimal MAC layer attacks on the network layer. Proc. of the Fourth ACM Workshop on Security of Ad Hoc and Sensor Net-works, October 30-30, 2006. pp. 135-146.

[4] Strasser, M., Vogt, H. 2006. Autonomous and distributed node recovery in wireless sensor networks. Proc. of the Fourth ACM Workshop on Security of Ad Hoc and Sensor Networks, October 30-30, 2006. pp. 123-134.

22

5 Datan turvallinen aggregointi sensoriverkoissa

Sensoriverkoille tyypillisiä ominaisuuksia, joihin täytyy kiinnittää turvallisuuden yhteydessä erityis-tä huomiota, ovat vihamieliset ympäristöt, rajalliset resurssit, verkonsisäinen prosessointi ja sovel-luskohtaiset arkkitehtuurit. Datan aggregointi on esimerkki verkonsisäisestä prosessoinnista, jolla pyritään vähentämään verkkoliikennettä, joka kuluttaa suurimman osan rajallisesta energiasta. Täs-sä luvussa käsitellään erilaisia ratkaisuja datan aggregoinnin turvaamiseksi. [4]

5.1 Johdanto

Langattomilla sensoriverkoilla (WSN, Wireless Sensor Networks) on merkittäviä etuja ja runsaasti potentiaalisia sovellusalueita. Sensoriverkkoja voidaan käyttää esimerkiksi kohteen seurantaan tais-telukentällä, mittaamaan lämpötilaa ja painetta, tunnistamaan metsäpaloja ja keräämään telemetriaa ajoneuvoista. Sovellusalueet kuten sotilasteknologia asettavat tiedon eheydelle erityisiä vaatimuk-sia. Toisaalta sensoreiden rajallinen energia, laskentateho ja kaistanleveys asettavat valittaville me-netelmille omat rajoituksensa. [4]

Turvallisuusarkkitehtuurin kannalta sensoriverkot voidaan jakaa kahteen kategoriaan: solupohjaiset ja ad hoc -verkot. Vaikka datan aggregointi on mahdollista molemmissa, aggregoinnin turvallisuu-desta langattomissa ad hoc -sensoriverkoissa ei ole julkaisuja. Tässä luvussa keskitytäänkin aggre-goinnin turvallisuuteen solupohjaisissa verkoissa. Jokaisessa uhkamallissa on myös oletettu ympä-ristö turvattomaksi. [4]

Solupohjaisissa WSN:ssä noodit on organisoitu yhden tai useamman tukiaseman (base station) ym-pärille. Tukiasemilla on enemmän laskentatehoa, kaistanleveyttä ja energiaa käytössään. Ne kerää-vät tietoa verkosta ja toimivat linkkinä ulkomaailmaan. Tässä luvussa on voimassa yleinen oletus tukiasemien murtamattomuudesta. Toinen merkittävä etu turvallisuuden toteuttamiseksi on tu-kiaseman laskentaresurssit, jotka mahdollistavat asymmetrisiä turvaprotokollia, joissa laskentain-tensiiviset osat suoritetaan tukiasemassa. [4]

Datan aggregoinnilla tarkoitetaan mittaustulosten yhdistämistä. Yleensä se tapahtuu puumaisessa rakenteessa, jossa juurena on tukiasema ja sensorit lehtinä. Tukiasema aloittaa transaktion broadcas-tilla, joka etenee lehtisolmuja kohti. Sensorit suorittavat mittauksensa ja lähettävät tulokset takaisin tukiasemalle, joka suorittaa aggregointilaskelmat. [7]

Datan aggregointi voidaan myös suorittaa verkon sisällä (in-network aggregation). Tällöin esimer-kiksi keskiarvoa laskettaessa solmu laskee naapureilta saamastaan datasta keskiarvon ja toimittaa sen eteenpäin. [3] Tällöin yhden solmun vaarantuminen kuitenkin aiheuttaa suuremman riskin.

5.2 Datan aggregointiin kohdistuvat uhat

Wagner käsittelee artikkelissaan tukiasemalla tapahtuvaa aggregointia. Ensimmäinen uhkatyyppi on pahantahtoinen data kaapatulta tai peukaloidulta solmulta. Toinen uhka on väärennetyn ärsykkeen syöttö, kuten valon, lämmön tai paineen syöttäminen sensorille. Molemmat uhat ovat todellisia, sillä sensoreiden peukaloinnin estäminen on kallista. Artikkelissaan Wagner osoittaa, että keskiarvo, summa, minimi ja maksimi ovat turvattomia menetelmiä aggregointiin. Useat järjestelmät käyttävät näitä funktiota, koska ne on helppo laskea eikä järjestelmiä ole suunniteltu tällaisten uhkien varalle. [7]

Hu ja Evans määrittelevät yhdeksi uhaksi toistohyökkäyksen (replay attack), jossa hyökkääjä pystyy vaikuttamaan tuloksiin toistamalla sensoreiden lähettämiä viestejä. Huonosti toteutettuna kryptogra-fia ei ratkaise tätä ongelmaa. Hu ja Evans huomauttavat, että verkon sisällä tapahtuvan aggregoin-nin yhteydessä voi olla vaikea havaita, onko jokin arvo pudonnut pois tuloksista. [3] Przydatek ym. mainitsevat yhdeksi uhkaksi on palvelunestohyökkäyksen (DoS) [5]. Tässä luvussa keskitytään kui-

23

tenkin pelkästään eheyteen kohdistuviin uhkiin, sillä monien sensoriverkkojen sovellusten kannalta on siedettävämpää huomata, ettei sensoriverkko ole toimintakunnossa, kuin tehdä ratkaisuja ehyiksi luultujen väärennettyjen tietojen pohjalta. Saatavuusongelmien lisäksi luottamuksellisuuskysymyk-set on sivuutettu, sillä niiden ratkaisemiseksi löytyy omat menetelmänsä.

5.3 Ratkaisut datan turvalliseen aggregointiin

Eräs keino aggregoinnin turvaamiseksi on valita sopiva funktio aggregoinnin suorittamiseksi. Tämä lähestymistapa on valittu artikkeleissa [1] ja [7]. Wagnerin mukaan lukumääräfunktio voidaan saada tarpeeksi turvalliseksi, jos hyväksytään, että tietty määrä solmuja voi olla vaarantuneita ja lähettää väärää dataa. Keskiarvon sijasta tulisi käyttää mediaania. Tukiasema voi yrittää rajata virheellistä dataa valitsemalla kiinteät ala- ja ylärajat, joiden välissä laillisen datan tiedetään olevan. Artikkelis-sa [7] kuitenkin todetaan, että parempi menetelmä on leikata alhaalta ja ylhäältä tietty prosentti tu-loksia pois. Tämä antaa kuitenkin parempia tuloksia kuin mediaani vasta, kun solmujen lukumäärä on suuri (> 100). Toisaalta trimmausta voidaan hyödyntää myös esim. maksimin laskennassa. Wag-ner esittää myös käytännön neuvoja langattomien sensoriverkkojen sovellusten kehittäjille: ole tie-toinen, että väärää dataan voidaan syöttää; tee riskianalyysi; pyri käyttämään kestävää (resilient) aggregointia; valitse trimmattu keskiarvo tai mediaani keskiarvon sijaan. Trimmaus toimii parhai-ten, kun datassa on paljon redundanssia. Toisaalta sitä ei voida käyttää esim. palohälytysjärjestel-missä, jotka hälyttävät heti, kun ensimmäinen sensori aistii savua. Tällöin hyökkäyksen riski täytyy hyväksyä. [7] Buttyán ym. esittävät artikkelissaan RANBAR-algoritmin, jonka he väittävät olevan parempi aggregointiin kuin mediaani tai trimmattu keskiarvo [1]. Lisäksi RANBAR sietää korke-amman määrän vaarantuneita solmuja [1]. Suunniteltaessa virheellisten arvojen rajaamista pois on muistettava, että sensoriverkoissa virheellisten arvojen tunnistaminen on tuloksen eheyden kannalta olennaista paitsi hyökkäyksen myös laitevian vaikutuksen ehkäisemiseksi. Viallinen sensori voi vääristää arvoja yhtä lailla kuin hyökkääjäkin. Toisaalta lähekkäinkin sijoitettujen sensoreiden ar-voille on suotava tietynlainen toleranssi.

Perinteinen menetelmä eheyden turvaamiseksi on käyttää avaimellista tiivistettä (Message Authen-tication Code, MAC). Tähän keinoon turvautuvat Hu ja Evans [3] ja Roy ym. [6]. Hu ja Evans las-kevat viesteistä MAC:n joka kerta eri avaimella. Jos hyökkääjällä ei ole pääsyä avaimiin, hän ei pysty laskemaan oikeaa MAC:ia. Myöskään viestin toistaminen ei onnistu, koska avain vaihtuu joka lähetyksen yhteydessä. Kun huijausyritys havaitaan, siitä annetaan varoitus tukiasemalle, jolloin hyökkäävä solmu voidaan tunnistaa ja sen mittaukset hylätä. Hyökkääjä, joka on saanut sensorin avainmateriaalin käyttöönsä pystyy väärentämään solmuilta tulevia viestejä, muttei tekeytymään tukiasemaksi. Hyökkäyksen vakavuuteen vaikuttaa myös solmun sijainti verkkotopologiassa. Leh-tisolmu ei Hun ja Evansin mukaan pysty aiheuttamaan merkittävää vahinkoa yhden arvon väären-tämisellä (toisin kuin Wagner esittää artikkelissa [7]). Toisaalta lähempänä juurta oleva solmu pys-tyy vaikuttamaan suurempaan osan tuloksista. [3]

Wu ym. [8] esittelevät topologiset rajoitteet turvallisen aggerointipuun rakentamiselle (SAT, Secure Aggregation Tree). SAT rakennetaan kolmessa vaiheessa. Ensin tukiasema lähettää kutsun yhden hypyn päässä oleville naapureilleen. Kutsussa on laskuri (hop-count), joka kertoo solmun etäisyy-den juuresta, joka tukiaseman lähettämissä viesteissä on luonnollisesti nolla. Kutsu sisältää myös kaikkien niiden solmujen ID:t, jotka kutsutaan lapsiksi. Toiseksi, kun solmu, joka ei vielä kuulu puuhun, saa kutsun, se liittyy puuhun, merkitsee kutsun lähettäjän isäsolmukseen ja lähettää paikal-lisena broadcastina tiedon liittymisestään. Tulevat kutsut, joiden etäisyys solmusta on nykyistä pie-nempi, tallennetaan siltä varalta, että isäsolmu vaarantuu, ja täytyy muodostaa uusi SAT. Kolman-neksi, kutsuttu solmu kasvattaa hop-countia yhdellä ja lähettää paikallisen broadcastin niille sol-muille, joita ei ole vielä kutsuttu mukaan. Vaiheita kaksi ja kolme toistetaan, kunnes kaikki solmut, jotka eivät ole eristyksissä, ovat liittyneet puuhun. [8]

Jos aggregointiarvoja epäillään, solmut äänestävät siitä, käyttäytyykö solmu oikein vai huijaako se. Jos huijaava solmu tunnistetaan, rakennetaan SAT uudelleen ilman väärin käyttäytyvää solmua. Kaikki huijausepäilyihin ja äänestyksen liittyvät viestit hyödyntävät kryptografiaa. Esimerkiksi hui-jariksi lavastaminen on pyritty estämään autenti- autentikointia käyttämällä. Myös äänestys on

24

toteutettava turvallisesti. Kryptografisia operaatioita käytetään vain huijausepäilyn yhteydessä, joten protokolla on erittäin kevyt. Myöskään mitään keskitettyjä operaatioita tukiasemalla ei tarvita, joten protokolla skaalautuu hyvin (ehkäpä ad hoc -verkkoihinkin?) SAT:ssa lapsisolmut tarkkailevat, hui-jaako isäsolmu. SAT muodostaa samalla myös reititysnäkökulman, joten erillistä reititysprotokollaa ei tarvita. [8]

Przydatek ym. [5] ehdottavat lähestymistapaa nimeltä aggregate-commit-prove. Aggregaattorit myös todistavat, että ovat suorittaneet tehtävänsä oikein. Tähän käytetään kryptografista sitoutumis-ta. Tukiasemalla on hallussaan salainen pääavain, jonka avulla se voi laskea jokaiselle solmulle ID:n perusteella salaisen avaimen. Lähestymistapa edistää sekä tehokkuutta että turvallisuutta: ag-gregoinnin ansiosta kaikkea raakadataa ei tarvitse lähettää kotipalvelimelle. Riittää ainoastaan lähet-tää aggregoitu data ja (pieni) todiste oikeellisuudesta. Prosessi on seuraavanlainen: ensin aggregaat-tori vahvistaa sensorilta saadun datan autenttisuuden käyttäen heille yhteistä salaista avainta. Ag-gregaattori sitoutuu dataan laskemalla siitä tiivisteen. Data ja siitä laskettu tiiviste toimitetaan koti-palvelimelle, joka tarkastaa datan oikeellisuuden. [5]

Çam ym. esittävät artikkelissaan [2] ratkaisun nimeltään ESPDA (Energy-Efficient Secure Pattern based Data Aggregation). Siinä datasta lasketaan ensin malli, jonka sensorit lähettävät aggregoijalle. Jos mallit ovat samat, myös data on sama, joten riittää pyytää data toiselta sensorilta. Mallien avulla saavutetaan myös turvallisuutta, koska malli voidaan laskea kryptatusta datasta. Aggregoijan ei siis tarvitse pystyä avaamaan dataa. Näin vältetään avainten paljastumisia. Vasta tukiaseman tarvitsee avata data, joka on salattu sensorin ja tukiaseman yhteisellä avaimella. [2] Hyvän mallin vaatimuk-sissa on yhtäläisyyksiä roskapostin torjuntamenetelmiin, joissa viestistä lasketaan sumea tiiviste (fuzzy hash). Viestit, joiden sisältö on melkein samanlainen, tuottavat saman tiivisteen.

5.4 Yhteenveto

Aggregoinnin vaatimukset painottuvat eheyteen. Sen saavuttamiseksi on tiedettävä ja päätettävä, millaisilta uhkilta halutaan suojautua. Perinteisesti ratkaisut eheyden turvaamiseksi eivät välttämättä sovellu sensoriverkkoihin rajallisesta laskentatehosta ja akkukestosta johtuen. Toisaalta tarpeellinen eheyden taso tiettyjä uhkia vastaan voidaan saavuttaa ilman raskasta kryptografiaa valitsemalla to-pologia ja aggregointialgoritmit sopivalla tavalla. Yksikään käsitellyistä artikkeleista ei siis tarjoaa yleispätevää ratkaisua datan turvalliseen tai edes eheään aggregointiin. Jokainen tässä luvussa esi-tetty menetelmä olettaa lisäksi turvallisen tukiaseman olemassaolon. Ehkäpä lähitulevaisuudessa ilmestyy myös aggregoinnin turvallisuutta ad hoc -sensoriverkoissa käsitteleviä julkaisuja.

5.5 Lähteet

[1] Buttyán, L., Schaffer, P., Vajda, I. 2006. RANBAR: RANSAC-based resilient aggregation in sensor networks. Proc. of the Fourth ACM Workshop on Security of Ad Hoc and Sensor Networks, 2006. pp. 83-90.

[2] Çam, H., Ozdemir, S., Nair, P., Muthuavinashiappan, D. 2003. Proc. of IEEE, Sensors, Vol-ume 2. pp. 732-736.

[3] Hu, L., Evans, D. 2003. Secure aggregation for wireless networks. Proc. of the 2003 Sympo-sium on Applications and the Internet Workshops (SAINT’03 Workshops). p. 384.

[4] Ilyas, M., Mahgoub, I. Handbook of Sensor Networks: Compact Wireless and Wired Sensing Systems. 2005. CRC Press. Chapter 31.

[5] Przydatek, B., Song, D., Perrig, A. 2003. SIA: Secure information aggregation in sensor net-works. In ACM SenSys 2003, Novemver 2003.

[6] Roy, S., Setia, S., Jajodia, S. 2006. Attack-resilient hierarchical data aggregation in sensor networks. Proc. of the Fourth ACM Workshop on Security of Ad Hoc and Sensor Networks, 2006. pp. 71-82.

[7] Wagner, D. 2004. Resilient aggregation in sensor networks. Proc. of the 2nd ACM

25

Workshop on Security of Ad Hoc and Sensor Networks, 2004. pp. 78-87.

[8] Wu, K., Dreef, D., Sun, B., Xiao, Y. 2006. Secure data aggregation without persistent crypto-graphic operations in wireless sensor networks. Ad Hoc Networks, Volume 5, Number 1, 2007. pp. 100-111.

26

6 Ajoneuvojen välisten ad hoc -verkkojen turvaaminen

Ajoneuvoihin on tullut viime vuosikymmeninä valtavasti tietotekniikkaa. Autot ovat kuin pyörillä liikkuvia tietokoneita ja niissä on nykyisin runsaasti laskentakapasiteettia. Yksi syy tietotekniikan lisääntymiseen autoissa on liikenneturvallisuuden parantaminen. Ilman tietokoneita autoissa ei olisi lukkiutumattomia jarruja ja ajovakauden hallintajärjestelmää.

Liikenneturvallisuus on taustalla myös ajoneuvoverkoissa (vehicular networks). Tähän päivään asti autot eivät ole olleet tietoisia ympäristöstään kuin ehkä etäisyystunnistimien ja muutaman muun anturin avulla. Tähän tulee muutos ajoneuvoverkkojen myötä. Kun ajoneuvot alkavat muodostaa keskenään verkkoja ja varoittaa ruuhkista, kolareista ja muista tilanteista toisiaan, tulisi tiedonväli-tysjärjestelmän turvallisuuteenkin kiinnittää erityistä huomiota.

Maxim Rayan ja Jean-Pierre Hubaux'n artikkelissa Securing vehicular ad hoc networks [1] esitetään uhka-analyysi ajoneuvoverkkoihin liittyen sekä pohditaan tietoturva-arkkitehtuuriin liittyviä ratkai-suja, kuten kryptojärjestelmän valintaan, anonymiteettiin ja tunnistautumiseen liittyviä näkökulmia.

Tässä seminaarityössä referoidaan edellämainittua artikkelia.

6.1 VANET-järjestelmä

Tiedonsiirtokanavaksi on muodostumassa IEEE 802.11 -standardin mukautettu versio 802.11p. Keskustelevia osapuolia ovat tukiasemat ja ajoneuvot. Ajoneuvot voidaan jakaa julkisiin (hälytys-ajoneuvot, julkinen liikenne) ja yksityisiin. Vastaavasti tukiasemat voidaan jakaa viranomaisten käytössä oleviin ja yksityisten palveluntarjoajien käytössä oleviin.

VANET-verkon erityispiirre on ajoneuvojen suuri keskinäinen nopeus ja siitä aiheutuva erittäin ly-hyt naapureiden välinen kommunikointiaika. Koska ajoneuvoja on maailmassa satoja miljoonia, artikkelin kirjoittajat ennustavat VANETista tulevan maailman suurin tosielämän liikkuva ad hoc -verkko. Koska ajoneuvojen välinen liikenne on luonteeltaan paikallista, verkko skaalautuu hyvin.

VANET-tutkimus on vasta alkumetreillä ja sen turvallisuuteen liittyviä artikkeleita ei ole kovin mo-nia.

6.1.1 Sovellusalueita Artikkelissa [1] on jaettu sovellusalueet selkeästi kahtia: liikenneturvallisuuteen liittyvät vastaan kaikki muut. Liikenneturvallisuuteen liittyviä sovelluksia ovat esimerkiksi kaistan päättymiseen ja tietöihin liittyvät varoitukset, ajoneuvojen törmäyksen estäminen tai hälytysajoneuvon lähestymi-nen. Muihin palveluihin kuuluvat tietullit, läheisten palveluiden mainostaminen, Internet-pääsy yn-nä muut. Sovellusalueita tulee varmasti jatkuvasti lisää.

Artikkeli keskittyy liikenneturvallisuuteen liittyvien VANET-sovellusten tietoturvanäkökulmiin, mutta kirjoittajat muistuttavat myös tietulleihin ja vastaaviin liittyvän turvallisuusnäkökulmia.

6.2 Vaatimukset turvaviestien välitysjärjestelmälle

Artikkelissa esitetään seuraavat vaatimukset:

1. todentaminen – viestin lähettäjä täytyy pystyä todentamaan. Vain lailliset viestin lähettäjät sallitaan

2. yksityisyys – kuljettajien identiteettisuojaa ei saa rikkoa ilman tarvittavia valtuutuksia

3. kiistämättömyys – kolarin aiheuttaneen kuljettajan henkilöllisyys pitää pystyä todistamaan

4. saatavuus – järjestelmän tulee toimia, vaikka yksi tiedonsiirtokanavista on tukossa

27

5. tiedon todenperäisyyden varmistaminen – viestien todenperäisyyttä voidaan arvioida ver-taamalla useiden lähettäjien viestejä keskenään. Tällä pyritään suojautumaan todennettua käyttäjää vastaan, joka lähettää väärennettyjä viestejä.

6. tosiaikaisuus – suurilla ajonopeuksilla vaaditaan tiukkoja tosiaikavaatimuksia.

Osa vaatimuksista voi aiheuttaa ristiriitoja keskenään, esimerkiksi yksityisyys ja kiistämättömyys.

6.3 Uhka-analyysi

6.3.1 Hyökkäysten neljä ulottuvuutta Kirjoittajat ovat erotelleet hyökkäyksistä neljä ulottuvuutta seuraavasti:

1. Jäsenyys: sisäpuolinen (autentikoitu verkon jäsen) vastaan ulkopuolinen hyökkääjä

2. Motivaatio: hyötyä hakeva vastaan ilkivallantekijä

3. Menetelmä: aktiivinen (pystyy luomaan paketteja/signaalia) vastaan passiivinen

4. Vaikutusalue: paikallinen vastaan laajentunut.

Artikkelissa käytetään toista merkintätapaa, mutta tässä ulottuvuudet esitetään taulukon avulla visu-alisoituna:

”Hyökkäyksen neljä ulottuvuutta”

Motivaatio → Ilkivalta Hyötyä hakeva Jäsenyys ↓

Ulkopuolinen Aktiivinen

Sisäpuolinen

Ulkopuolinen Passiivinen

Sisäpuolinen

↑ Menetelmä Paikallinen Laajentunut Paikallinen Laajentunut ←Vaikutusalue

6.3.2 Perushyökkäykset Perushyökkäys 1 – väärän tiedon syöttäminen. Tällä voidaan pyrkiä esimerkiksi huijaamaan väärillä ruuhkaviesteillä autot pois, jotta omalla kulkuneuvolla pääsisi ajamaan vapaalla kaistalla.

Perushyökkäys 2 – antureiden huijaaminen. Hyökkääjä väärentää oman sijaintinsa, nopeutensa, suuntansa tai muun tiedon välttääkseen vastuun rikostilanteessa. Identiteetin kloonauskin kuuluisi tähän joukkoon.

Perushyökkäys 3 – toisten ajoneuvojen identiteetin paljastaminen ja seuraaminen. Laajasti toimiva tarkkailija havainnoisi liikennettä ja keräisi identiteettitietoja omien tarkoitustensa ajamiseen. Tar-vittavilla lisävälineillä kuten kameroilla ja autoihin asennettavilla jäljityslaitteilla toiminta olisi vielä tehokkaampaa. Tämän hyökkäyksen ulottuvuudet puuttuivat artikkelista.

Perushyökkäys 4 – palvelunestohyökkäys. Tarkoituksena on VANET-verkon toiminnan estäminen tai onnettomuuden aiheuttaminen.

6.3.3 Perushyökkäysten hyökkäysten ulottuvuudet Perushyökkäystä 3 lukuun ottamatta ulottuvuudet löytyivät artikkelista. Tässä ulottuvuudet on ke-rätty samaan taulukkoon 2 ja merkintänä on käytetty aiempien alakohtien otsikossa esiintyvä pe-rushyökkäyksen numeroa sekä kuvaavaa sanallista selitettä.

28

1. ”Perushyökkäykset hyökkäyksen ulottuvuuksilla kuvattuna” Motivaatio → Ilkivalta Hyötyä hakeva Jäsenyys ↓

4: palv.esto Ulkopuolinen Aktiivinen

4: palv.esto 1: väärä tieto 2: anturihuij.

1: väärä tieto Sisäpuolinen

3: seuraaminen Ulkopuolinen Passiivinen

Sisäpuolinen

↑Menetelmä Paikallinen Laajentunut Paikallinen Laajentunut ←Vaikutusalue

6.3.4 Edistyneet hyökkäykset Rayan ja Hubaux'n mukaan tämä ja seuraavat edistyneet hyökkäystyypit ovat heidän artikkelissaan ensimmäisen kerran esillä.

Edistynyt hyökkäys 1 – piilotettu ajoneuvo. Kyseessä on käytännön esimerkki tilanteesta, jossa ajo-neuvo huijaa sijaintinsa. Verkossa oletetaan olevan käytössä protokolla, jonka ominaisuutena lähet-täjä lopettaa yleislähetysviestin lähettämisen, jos se havaitsee yhden naapureistaan olevan parem-massa paikassa viestin välittämiseksi. Piilotettu ajoneuvo esittää olevansa paremmassa paikassa, jolloin viesti jää välittämättä. Ks. kuva 1.

Kuva 8. ”Näkymättömän auton hyökkäys” (lähteestä [1])

Edistynyt hyökkäys 2 – tunneli. Koska GPS-signaali katoaa tunneleissa, voi hyökkääjä hyödyntää paikantamistiedon katoamista syöttämällä virheellistä tietoa tunnelista poistumisen jälkeen. Tunne-lin voi hyökkääjä myös tehdä keinotekoisesti häiritsemällä GPS-signaalia.

Edistynyt hyökkäys 3 – madonreikä. Hyökkääjä muodostaa tunneloinnin kahden noodin välille eli välittää VANET-liikennettä sellaiseen paikkaan, minne se ei normaalisti kuuluisi. Viestit sisältävät

29

oikean allekirjoituksen, mutta esiintyvät väärässä paikassa.

Edistynyt hyökkäys 4 – puskaradio (engl. bush telegraph). Tämä on hyökkäys, jossa hyökkääjä hal-litsee useita yksiköitä, jotka eivät ole kaikki suorassa yhteydessä toisiinsa. Kuten perinteisessä pus-karadiossa, viesti muuntuu vähitellen matkan varrella eli kukin hyökkääjän VANET-yksikkö muun-taa viestiä vain sen verran, että muutokset jäävät toleranssien sisään ja naapurinoodit hyväksyvät ne. Oletettavasti kirjoittajat tarkoittavat tässä liikenneinformaation vähittäistä muuntamista eivätkä Tai-ten muodostetut virheet kuitenkin kumuloituvat ja aiheuttavat lopuksi virheellisen tiedon.

6.3.5 Edistyneiden hyökkäysten ulottuvuudet Edistyneitä hyökkäyksiä ei ollut artikkelissa arvioitu hyökkäysten ulottuvuuksien avulla. Taulukko 2 on tämän kirjoittajan näkemys siitä, miten ne tulisi sijoittaa. Taulukossa oleva numero viittaa ai-emmin käytettyyn edistyneen hyökkäyksen numeroon. Sen perässä on vielä lyhyt sanallinen selite.

2. ”Edistyneet hyökkäykset hyökkäyksen ulottuvuuksilla kuvattuna” Motivaatio → Ilkivalta Hyötyä hakeva Jäsenyys ↓

3: madonreikä Ulkopuolinen Aktiivinen

1: piiloauto 2: tunneli 4: puskaradio

4: puskaradio

2: tunneli 4: puskaradio

4: puskaradio

Sisäpuolinen

Ulkopuolinen Passiivinen

Sisäpuolinen

↑Menetelmä Paikallinen Laajentunut Paikallinen Laajentunut ←Vaikutusalue

Perusteluja valinnoille: Piilotettu auto saa aikaan esimerkkitapauksessa onnettomuuden, joten ky-seessä on ilkivalta. Hyökkääjän täytyy olla osa verkkoa voidakseen lähettää autentikoituja paketteja, joten hän on sisäpuolinen ja aktiivinen.

Tunnelihyökkäyksen vaikutus rajoittuu alueelle, jossa hyökkääjä saa GPS-signaalin estettyä ja syö-tettyä väärää informaatiota, siksi paikallinen vaikutus. Hyökkääjän on aktiivisesti lähetettävä väärää autentikoitua sijaintitietoa, siksi aktiivinen sisäpuolinen. Ilmeisesti mahdollisuuksia on sekä ilkival-taan (siirretään auto vastaantulijoiden kaistalle, josta seuraa väärä törmäyshälytys ja kaaos) että hyötyä hakevaan toimintaan (harhautetaan auton navigointi ohjaamaan auto väärään suuntaan). Sik-si molemmat vaihtoehdot on valittu.

Madonreiän vaikutus rajoittuu alueelle, jonne signaalia siirretään. Koska hyökkääjän täytyy toistaa paketteja, tarvitsee hän laitteen, joka uudelleenlähettää niitä eli kyseessä on aktiivinen hyökkäys. Mitään rationaalista syytä pakettien siirtämiseksi madonreiän tavoin maantieteellisesti väärään paikkaan on vaikea keksiä, joten oletettavasti kyseeseen tulee häiriökäyttäytyminen, jolla halutaan sekoittaa järjestelmän toimintaa, siksi ilkivalta. Hyökkääjällä ei ole hallussaan avaimia, joten hän on ulkopuolinen.

Puskaradion todetaan lähteessä olevan kehitelmä väärän tiedon syöttämisestä, siitä aktiivinen, sisä-puolinen hyötyä hakeva. Hyötyä hakevan lisäksi on valittu ilkivalta, koska hyökkääjä tarvitsee enemmän resursseja (useita ajoneuvoja muuntamaan tietoa), mikä sopii paremmin ilkivallantekijän profiiliin.

Hyökkäysten ulottuvuuksien yhdistelmistä jäivät käyttämättä esimerkiksi seuraavat: passiivinen il-kivalta, sisäpuolinen passiivinen sekä ulkopuoli- ulkopuolinen aktiivinen hyötyä hakeva. Mitä

30

passiivinen ilkivalta voisi olla? Mieleen tulee tukiasemien signaalin vaimentaminen tai radiosignaa-lia absorboivan materiaalin käyttö. Tällaisiin hyökkäyksiin voisi varautua lähinnä valvonnalla.

6.4 VANETin turvaaminen

Raya ja Hubaux esittävät tietoturvaratkaisujen joukon, jolla aiemmin esitetyt kuusi vaatimusta to-teutuisivat. Ratkaisu perustuu julkisten avainten infrastruktuuriin. Kirjoittajat perustelevat varsin pitkästi, miksi PKI-pohjainen todentamisjärjestelmä on heidän mielestään paras ratkaisu verrattuna pareittaisiin ja ryhmittäisiin symmetrisiin avaimiin.

Kirjoittajat toteavat, että turvaviesteissä tarvitaan tunnistautumista, mutta ei salausta, sillä niiden sisältö ei ole salainen. Digitaalisten allekirjoitusten ja PKI-pohjaisen järjestelmän avulla ongelma pystytään ratkaisemaan. Jo vastuukysymysten takia PGP-tyyppinen itseorganisoitunut luottamus-verkosto ei tule kyseeseen, vaan täytyy käyttää viranomaisten myöntämiä sertifikaatteja. [1]

6.4.1 Pareittaiset ja ryhmittäiset avaimet sekä PKI Pareittaisten avainten tapauksessa noodit, jotka haluavat keskustella keskenään, muodostavat yhtei-sen istuntoavaimen, minkä jälkeen liikennöinti tapahtuu symmetrisellä salauksella. Kirjoittajat tyr-määvät pareittaiset avaimet muun muassa siksi, että symmetristen avainten avulla ei voida toteuttaa kiistämättömyyttä. [1]

Ryhmittäisiä avaimia käsitellään perusteellisesti artikkelissa ja verrataan niitä PKI-järjestelmään. Ryhmittäisistä avaimista todetaan artikkelissa, että ei-puuhun perustuvat ryhmäavaimet (non-tree based group keys) eivät mahdollista kiistämättömyyttä eivätkä ne siksi sovellu turvallisuuskriittisiin sovelluksiin. PKI-järjestelmää puolustellaan vielä niiden yksinkertaisuudella verrattuna ryhmittäi-siin avaimiin. Ei-puuhun perustuvilla ryhmäavaimilla tarkoitetaan tässä vastakohtaa avainpuuhun (key tree, [2]) perustuville ratkaisuille.

Kirjoittajat ovat myös vertailleet näiden kolmen vaihtoehdon aiheuttamaa ylimääräistä kuormaa ja toteavat pareittaisten avainten skaalautuvan erittäin huonosti ja aiheuttavan jo kuuden ajoneuvon kanssa eniten kuormaa. Ryhmäkohtaiset avaimet puolestaan säästäisivät kuormaa n. 54 prosenttia verrattuna 224-bittisten elliptisten käyrien julkisen avaimen järjestelmään. Silti kirjoittajat pitävät julkisen avaimen järjestelmää parhaana.

6.4.2 Avaimet ja niiden hallinta Ajoneuvoilla olisi kaksi erityyppistä kryptografista tietoa: sähköinen rekisterikilpi (ELP) sekä ano-nyymit avainparit.

Hubaux, Capkun ja Luo ovat jo aiemmin esittäneet sähköisen rekisterikilven periaatteen, jota heidän artikkelissaan hyödynnetään. Sähköinen rekisterikilpi on viranomaisen myöntämä sähköinen tunnis-te, käytännössä CA:n allekirjoittama avainpari. Viranomaiset voivat tunnistaa auton sähköisen re-kisterikilven avulla. Toisin kuin suomalaisessa käytännössä, kirjoittajat olettavat niin sähköisten kuin perinteistenkin rekisterikilpien vaihtuvan aina kun auton omistaja vaihtuu tai auton rekisteröin-tipaikka vaihtuu.

Anonyymien avainparien tarkoitus on yksityisyyden suojaaminen. Sen sijaan että ajoneuvot käyttäi-sivät koko ajan samaa avainparia, joka voidaan kytkeä ajoneuvon identiteettiin suoraviivaisesti ku-ten sähköinen rekisterikilpi, käytetään sertifikaattiviranomaisten myöntämiä avainpareja, jotka eivät sisällä yksilöivää tietoa. Viranomaisten yhteistyöllä kuitenkin anonyymitkin avainparit voidaan yh-distää ajoneuvoon eli yksityisyyden suoja on ehdollista. Näin saadaan aikaan kompromissi kiistä-mättömyyden ja yksityisyyden välille. Tekniseksi toteutukseksi mainitaan ”secret sharing” ja viita-taan klassiseen A. Shamirin artikkeliin How to share a secret.

Anonyymit avainparit ladataan autoon säännöllisesti esimerkiksi katsastuksen yhteydessä ja niillä on melko lyhyt voimassaoloaika.

Avainten sertifiointi: CA:na voivat toimia joko hallinnolliset viranomaiset (kuten Suomessa Ajo-

31

neuvohallintokeskus) tai ajoneuvojen valmistajat. Kummallekin esitetään omat haittansa: viran-omaisten tapauksessa varmenneketjusta voi muodostua pitkä, mikä lisäisi VANET-viesteihin yli-määräistä kuormaa; ajoneuvovalmistajien tapauksessa viranomaiset joutuisivat luottamaan autoteh-taisiin varmenneasioissa.

Jos PuKi on ajoneuvon julkinen avain nro i, niin vähimmäissisältö sen sertifikaatille on tämä:

CertV [ PuKi ] = PuKi | [ PuKi | IDCA ]CA

Tässä [.]CA tarkoittaa allekirjoitusta CA:n yksityisellä avaimella, ja IDCA on CA:n yksilöivä tun-niste.

Sertifikaatin eliniäksi suositellaan artikkelissa muutamaa päivää. Lyhyttä elinikää puolustaa se, että hyökkääjän haltuunsaama avain tulee nopeammin käyttökelvottomaksi automaattisesti – toisaalta lyhyen eliniän vuoksi avainten määrää täytyy kasvattaa, jotta ne eivät loppuisi kesken silloin, jos ajetaan lyhyessä ajassa pitkä matka.

Tässä kohden mieleen tuli kysymys, toimisiko anonymiteetti lataamalla ajoneuvoon riittävä määrä kertakäyttöisiä määräajan voimassaolevia avaimia, joilla puolestaan ajoneuvo allekirjoittaisi tarpeen mukaan lyhytaikaisia anonyymiavaimia? Todennäköisesti tämä lisäisi liikaa verkkoliikenteen mää-rää.

Avainten peruuttaminen: kirjoittajat myöntävät, että avainten peruuttaminen on yksi PKI-järjestelmän haasteista VANET-ympäristössä.

CRL:n sopivuutta VANET:iin epäillään artikkelissa sillä perusteella, että CRListä tulisi hyvin pitkiä ajoneuvojen valtavan määrän ja suuren liikkuvuuden takia. Kirjoittajat viittaavatkin mielestään pa-rempaan ratkaisuun, jonka he ovat esittäneet aiemmassa artikkelissaan (Jungels, Rayar, Aad & Hu-baux: Certificate revocation in vehicular ad hoc networks).

Lyhyesti kuvattuna kirjoittajien esittämä avainten peruuttaminen tapahtuu seuraavasti: Ajoneuvois-sa on peukaloinnilta suojattu laite (TPD) ja CA peruuttaa kaikki tietyn ajoneuvon avaimet lähettä-mällä protokollalla nimeltä RTPD kohdeauton julkisella avaimella salatun itsetuhoviestin TPD:lle, joka viestin saadessaan tuhoaa avaimet ja lähettää kuittausviestin CA:lle. Kaikki liikennöinti tapah-tuu RTPD:ssä tukiasemien kautta ja CA:n tulee tietää ajoneuvon sijainti lähettääkseen viestin oikei-den tukiasemien välityksellä. Tarvittaessa viesti lähetetään useiden tukiasemien kautta ja jos kuit-tausta ei määräajassa tule, voidaan käyttää vaihtoehtoista lähetysmenetelmää kuten radioaaltoja.

Toinen peruutusprotokolla on RCCRL (Revocation protocol using compressed certificate revocati-on lists), jota CA käyttää halutessaan peruuttaa vain osan avaimista tai jos RTPD-protokollalla ei onnistuta saamaan viestiä perille. RCCRL osaa varoittaa lähellä olevia ajoneuvoja peruutetusta ser-tifikaatista.

Kolmas protokolla on DRP (Distributed revocation protocol), joka toimii ad hoc -tilassa. Ajoneuvot välittävät sillä keskenään syytöksiä häiriökäyttäytyjistä ja raportoivat niistä tukiasemalle, kun yhte-ys tukiasemaan saadaan muodostettua.

Jäljitettävyydestä kirjoittajat huomauttavat, että kaikkien yksilöintitietojen kuten MAC- ja IP-osoitteen tulee vaihtua ja anonyymien avainten tulee vaihtua sopivalla taajuudella, jotta sinnikäs tarkkailija ei pystyisi yhdistämään avaimia omistajaan. Artikkelissa lasketaan avainten optimaalinen vaihtotaajuus, joka minimoi säilytettävien avainten määrän.

Laskelma perustuu melko moniin oletuksiin: hyökkääjällä on käytössään kaksi tukiasemaa, joiden etäisyys on datt, tarkkailtava kohde V ajaa vakionopeudella vt edeten matkan dt ja pysyy lisäksi samalla kaistalla. Lisäksi V:n lähettimen kantosäde on dt.

Hyökkääjän päämääränä on korreloida kaksi avainta käyttäen tietoina tarkkailtavan kohteen läh-tösijaintia ja nopeutta.

Ajoneuvon anonymiteetti on alttiina hyökkäykselle etäisyyden dv + 2dr, joten ajoneuvon ei kannata vaihtaa avainta tätä lyhyemmällä matkalla – muussa tapauksessa hyökkääjä pystyisi todennäköisesti

32

yhdistämään avaimen ajoneuvoon. Alarajaksi avaimen vaihtamistiheydelle määräytyy näin

min(Tkey) = (dv + 2dr) / vt.

Kuva 9. ”Jäljitystilanne (lähteestä [1])”

Oletuksella datt > dv + 2dr/V voi välttää joutumasta paljastetuksi, kunhan se ei käytä samaa avainta etäisyydellä datt tai pidemmällä matkalla. Tämä rajaa avaintenvaihtamistiheyden ylärajaksi

max(Tkey) = datt / vt

Koska V ei tiedä etäisyyttä datt, suosittelevat kirjoittajat avaintenvaihtotiheydeksi hieman alarajaa suurempaa arvoa, joka siis riippuu ajoneuvon nopeudesta.

Edellämainittujen kaavojen perusteella esimerkki: vt = 25 m/s, dv = 32 s · 25 m/s = 800 m, datt = 2400 m, dr = 250 m. Tällöin min(Tkey) = (dv + 2dr) / vt = (800 m + 2 · 250 m) / 25 m/s = 52 s. Vastaavasti max(Tkey) = datt / vt = 2400 m / 25 m/s = 96 s. Avaintenvaihtoväliksi voitaisiin valita 55 sekuntia.

Aiheesta heräsi muutamia ajatuksia:

Entä jos datt ≤ dv + 2dr? Tällöin hyökkääjä saanee avaimen haltuunsa. Miten tilanne muuttuisi, jos hyökkääjä käyttäisikin liikkuvia tukiasemia, joka kulkisivat liikennevirran mukana? Mitä hyökkääjä lopulta hyötyy saamastaan tiedosta, koska avaimet vaihtuvat tiheästi? Tämän kirjoittajan mielestä artikkelissa esitetty jäljitystilanne on melko teoreettinen, sillä hyökkääjä pystyisi helposti yhdistä-mään muitakin tiedonlähteitä, esimerkiksi käyttämällä tutkaa, joka mittaa ajoneuvon todellisen no-peuden – tällöin avaimen yhdistäminen autoon olisi vielä helpompaa.

6.5 Yhteenveto

Jean-Pierre Hubaux ja Maxim Raya ovat käsitelleet artikkelissaan Securing vehicular ad hoc net-

works VANET-verkkojen tietoturvaa varsin laajasti. Yhtäältä artikkelissa esitellään VANET-verkkoihin kohdistuvia uhkia ja luokitellaan ne hyökkäyksen neljän ulottuvuuden perusteella. Toi-saalta artikkelissa verrataan elliptisiin käyriin perustuvaa julkisen avaimen järjestelmää pareittaisiin ja ryhmittäisiin avaimiin ja päädytään suosittelemaan julkisen avaimen menetelmää, vaikka se aihe-uttaakin enemmän ylimääräistä kuormaa. Kun edellä mainittujen lisäksi artikkelissa vielä pohditaan julkisen avaimen järjestelmään liittyviä käytännön yksityiskohtia, syntyy jo varsin laaja kuva aihe-alueesta.

6.6 Lähteet

� Raya M., Hubaux J.-P., Securing vehicular ad hoc networks. Journal of Computer Security 15 (2007) pp. 39-68

� Rafaeli S., Hutchison, A., A survey of key management for secure group communication, ACM Computing Serveys volume 35 issue 3, 2003, pp. 309-329

33

6.7 Liite 1. Lyhenneluettelo

Lyhenne tai

termi

Alkukielellä Selitys

DGPS Differential global positioning system Differentiaali-GPS, jolla päästään desimetrien tai senttimetrien paikannustarkkuuteen

DRP Distributed revocation protocol Rayan ja Hubaux'n esittämä protokolla, jolla huonos-tikäyttäytyvän ajoneuvon naapurit voivat ilmiantaa sen CA:lle

DSRC Dedicated short range communications Yhdysvalloissa käytösä oleva 75 MHz taajuudella toimiva kanava ajoneuvoverkkoja varten

ECC Elliptic curve cryptography Elliptisten käyrien kryptografia

ECN Electronic chassis number Vaihtoehto sähköiselle rekisterikilvelle, ajoneuvo-kohtainen yksilöivä tunniste, joka asetetaan autoteh-taalla

EDR Event data recorder Ajoneuvossa oleva laite, joka tallentaa keskeiset ta-pahtumat mm. kolaritilanteiden selittämiseen, autojen musta laatikko

ELP Electronic license plates Sähköiset rekisterikilvet

GPS Global positioning system GPS-paikannusjärjestelmä

PKCS Public key cryptosystem Julkisen avaimen kryptojärjestelmä

PKI Public key infrastructure Julkisen avaimen infrastruktuuri

RCCRL Revocation protocol using compressed cer-tificate revocation list

Rayan ja Hubaux'n esittämä protokolla TPD:n sisäl-tämän avainosajoukon peruuttamiseksi tai kaikkien avainten peruuttamiseksi, kun autoa ei RTPD:llä ta-voiteta

RTPD Revocation protocol of the tamper-proof device

Rayan ja Hubaux'n esittämä protokolla TPD:n sisäl-tämien avainten peruuttamiseksi

TPD Tamper-proof device Peukaloinnilta suojattu laite, käytetään mm. yksityis-ten avainten suojaamiseen

TPM Trusted platform model Vaihtoehto TPD:lle, suojaa ohjelmalliselta hyökkä-ykseltä, mutta ei kehittyneeltä laitteistotason tunkeu-tumiselta

VANET Vehicular ad-hoc networks Ajoneuvojen väliset ad-hoc -verkot

34

7 Turvallinen ajan synkronointi sensoriverkoissa

Tässä luvussa esitellään sensoriverkoissa tapahtuvan ajan synkronoinnin uhkia sekä kerrotaan eri-laisista protokollista, joita on kehitetty ajan synkronoimiseksi turvallisesti sensoriverkoissa. Aihe vaikuttaa olevan hyvin aktiivisen tutkimustyön kohteena, sillä samoja ongelmia oli käsitelty useissa artikkeleissa. Kaikkia lähdeartikkeleissa esitettyjä protokollia ja ideoita ei ole tässä pyritty perin-pohjaisesti esittämään, vaan tavoitteena on antaa yleiskuva aihepiirin ongelmista ja muutama ratkai-suehdotus.

7.1 Johdanto

Ajan synkronointi on monissa sensoriverkkojen sovelluksissa kriittinen osa. Tarkasti synkronoitua aikaa hyödynnetään esimerkiksi radiolähettimen jaksottaisessa käytössä virran säästämiseksi ja koh-teen nopeuden määrittämisessä, kun useilta sensoreilta on saatu sarja sijaintitietoja. [1]

Sensoriverkoissa esiintyvä epädeterminismi, kuten fyysisen kanavan pääsyaika (access time) ja käyttöjärjestelmien aiheuttamat viiveet tekevät ajan synkronoinnista sensoriverkoissa haasteellista. Kaikki synkronointimenetelmät pohjautuvat tietynlaiseen viestien vaihtoon solmujen välillä.[6]

Artikkelin [1] kirjoittajien mukaan olemassaolevia sensoriverkkojen ajansynkronointiprotokollia ei ole suunniteltu toimimaan vihamielisissä ympäristöissä ja he esittävätkin kaksi uutta protokollaa: Secure Pairwise Synchronization (SPS) ja Secure Group Synchronization (SGS), joiden sietokyvyn sisä- ja ulkopuolisia hyökkääjiä vastaan he pyrkivät todistamaan artikkelissaan.

Kuitenkin artikkelissa [2] huomautetaan, että artikkelin [1] SGS-protokolla vain havaitsee hyökkä-yksen ja estää ajan virheellisen synkronoinnin, mutta ei lievennä hyökkäyksen vaikutuksia.

1.1.1 Ajan synkronoinnin käsitteitä Tämä alakohta on peräisin lähteestä [1]. Ajan synkronointiin liittyy kolme keskeistä käsitettä: offset (engl. kellonpoikkeama), skew ja ryömintä (engl. drift). Käännös driftille on lähteestä [7] ja kellon-poikkeamaille lähteestä [8], skew’lle ei löytynyt vakiintunutta käännöstä ajan synkronointiin liitty-en. Kahden kellon CA ja CB välinen kellonpoikkeama δ ajanhetkellä t:

δ = CA(t) – CB(t)

Skew η voi aiheutua kvartsikiteiden erilaisesta värähtelytaajuudesta ja sen vuoksi kellojen CA ja CB ajat erkanevat toisistaan:

η = ∂/∂t CA(t) – ∂/∂t CB(t)

Ryömintä λ aiheutuu esimerkiksi lämpötilan ja ikääntymisen vaikutuksista kvartsikiteeseen.

λ = ∂2/∂t2 CA(t) – ∂2/∂t2 CB(t)

Lisäksi synkronoinnissa keskeinen suure on päästä-päähän -viive d, joka on viive kahden solmun välisessä kommunikoinnissa.

7.2 Ajansynkronointiprotokollia sensoriverkoissa

Tämä kappale perustuu lähteeseen [1]. Ajan synkronointia sensoriverkoissa on tutkittu runsaasti. Yksi tapa luokitella ajansynkronointiprotokollat on jako lähettäjä-vastaanottaja –protokolliin ja vastaanottaja-vastaaanottaja –protokolliin. Ensinmainittu toimii siten, että yksi solmu synkronoi kellonsa referenssisolmun kanssa kaksisuuntaisella tiedonvaihdolla. Jälkimmäinen perustuu refe-renssisolmun lähettämien signaalien vastaanottoaikojen erojen mittaamiseen. Esimerkki vastaanot-taja-vastaanottaja -protokollasta on Reference-Broadcast Synchronization (RBS)-protokolla, joka on esitelty artikkelissa [3]. Näiden kahden lisäksi lähteessä [2] kuvataan tulvivan ajansynkronointi-

35

protokollan (flooding time synchronization protocol, FTSP) toiminta. Tulvivia ajansynkronointipro-tokollia voidaan pitää kolmantena päätyyppinä.

7.2.1 Lähettäjä-vastaanottaja -synkronointi Perustuu lähteeseen [1]. Parittainen lähettäjä-vastaanottaja -synkronointi tapahtuu kolmessa vai-heessa:

� A(T1) → (T2)B : A, B, sync

� B(T3) → (T4)A : B, A, T2, T3, ack

� A laskee solmujen välisen kellonpoikkeaman

Kuva 10. Lähettäjä-vastaanottaja (lähteestä [4])

Ajat T1 ja T3 ovat lähetysaikoja, ajat T2 ja T4 vastaanottoaikoja, kaikki kyseessäolevan solmun si-säisen kellon mittaamia aikoja. T2 = T1 + δ + d eli kellojen ero muodostuu kellonpoikkeamasta ja päästä-päähän –viiveestä. Vastaavasti T4 = T3 – δ + d. A pystyy laskemaan näistä kaavoista päästä-päähän –viiveen sekä kellonpoikkeaman.

d = [(T2 – T1) + (T4 – T3)] / 2

δ = [(T2 – T1) – (T4 – T3)] / 2

Kaavat ovat lopulta helposti selitettävissä käytännössäkin: Erotus T2 – T1 sisältää sekä viiveen että kellonpoikkeaman. Vastaavasti T4 – T3 sisältää viiveen, mutta kellonpoikkeaman vastakkaismerk-kisenä, koska nyt vähennetään vastaanottajan omasta kellonajasta lähettäjän kellonaika, päin vastoin kuin T2 – T1:ssä. Täten summattaessa erotukset T2 – T1 ja T4 – T3 kellonpoikkeama kumoutuu ja jäljelle jää vain 2d. Kellonpoikkeaman laskeminen hahmottuu todennäköisesti paremmin vaihtamal-la T4:n ja T3:n paikkaa kaavassa, jolloin saadaan

δ = [(T2 – T1) + (T3 – T4)] / 2

Nyt on selvää, että T2 – T1 ja T3 – T4 sisältävät päästä-päähän -viiveen erimerkkisinä eli ne ku-moutuvat summattaessa ja jäljelle jää kellonpoikkeama kaksinkertaisena, sillä paikallisia aikoja ver-rattaessa ensin vähennetään lähettäjän ajasta vastaanottajan aika ja sitten toisin päin.

Lähettävä-vastaanottaja -periaatteella toimii ainakin TPSN-protokolla (Time-sync Protocol for Sen-sor Networks), josta kerrotaan esimerkiksi lähteessä [2]. Lähteen mukaan TPSN:ssä muodostetaan aluksi spanning tree juurisolmusta alkaen ja puun muodostamisen jälkeen solmut synkronoivat ai-kansa isäsolmun kanssa.

7.2.2 Vastaanottaja-vastaanottaja -synkronointi Tässä esitellään lyhyesti RBS-protokollan toiminta lähteeseen [3] pohjautuen. Protokolla hyödyntää yleislähetysviestejä ja sen ominaisuutta, että yleislähetysviestit saapuvat kaikille vastaanottajille viiveellä, jonka vaihtelu on hyvin pieni. Protokollan perusominaisuus on, että vastaanottajat synk-ronoivat ajan keskenään, eivätkä yleislähetysviestiä lähettävän solmun kanssa.

Kellonpoikkeaman säätö tapahtuu lähteen [3] mukaan yksinkertaisimmillaan seuraavasti:

36

� Lähettäjä lähettää yleislähetyksenä referenssipaketin kahdelle vastaanottajalle i ja j. Refe-renssiviesti ei sisällä kellonaikaa eikä sen lähetysajalla ole merkitystä.

� Kumpikin vastaanottaja rekisteröi oman kellonsa mukaisen ajan, jolloin referenssipaketti saapuu.

� Vastaanottajat vaihtavat keskenään tiedon havainnoistaan.

Kuva 11. Vastaanottaja-vastaanottaja (lähteestä [4])

Näillä tiedoilla saadaan keskinäinen kellonpoikkeama korjattua. Skew’n korjaaminen on monimut-kaisempi toiminto, siinä hyödynnetään pienimmän neliön lineaarista regressiota (least-squares li-near regression). Tähän liittyvä teoria sivuutetaan kuitenkin tässä yhteydessä, kuten protokollan ke-hittyneempi versio, jossa saavutetaan suurempi tarkkuus lähettämällä useita broadcast-viestejä.

7.2.3 Tulviva ajansynkronointiprotokolla (FTSP) Tämä alakohta perustuu lähteeseen [2] täydennettynä lähteen [5] tiedoilla. FTPS:ssä juurisolmu lä-hettää yleislähetyksenä oman kellonaikansa ja muut solmut, jotka vastaanottavat yleislähetyksen, asettavat omat kellonsa kyseiseen aikaan. Viesti on muotoa

A → * : rootID, seqNum, sendingTime

Missä rootID on juurisolmun yksilöivä tunniste, seqNum on laskuri, jota juurisolmu kasvattaa aina uuden ajansynkronointikierroksen alkaessa ja sendingTime on lähettäjän aika lähetyshetkellä.

Vastaanottaja laskee kellonpoikkeaman oman aikansa ja sendingTimen avulla. Skew saadaan line-aarisen regression avulla.

Multi-hop-synkronointi voidaan toteuttaa seuraavasti: kun solmu saa juurisolmulta viestin, se päi-vittää oman aikansa ja yleislähettää sen omille naapureilleen. Kaikki solmut toimivat samoin. Yli-määräisten viestin käyttö regressiossa vältetään siten, että jokainen solmu muistaa korkeimman seqNum:in ja viimeksi vastaanotetun viestin rootID:n. Synkronointiviestiä käytetään regressiossa vain jos seqNum on suurempi kuin suurin siihen asti saatu seqNum ja jos rootID on pienempi tai yhtä suuri kuin viimeksi vastaanotettu rootID.

FTSP on vikasietoinen tilanteessa, jossa juurisolmu hajoaa. Jos tavallinen solmu ei saa synkronoin-tiviestiä tietyn ajan sisällä, se julistaa itsensä uudeksi juurisolmuksi. Useamman solmun toimiminen samanaikaisesti juurisolmuna estetään siten, että jos juurisolmu vastaanottaa synkronointiviestin alemmalla rootID:llä kuin omansa, se luopuu juuren roolistaan.

7.3 Hyökkäykset

Yksinkertaisimmillaan hyökkääjä voi tuhota solmuja ja haitata siten ajan synkronointia, mutta huo-mattavasti vakavampi hyökkäys saadaan aikaan syöttämällä väärää dataa. Jos kyseessä on esimer-kiksi kohteen nopeuden mittaaminen, sopivalla hyökkäyksellä aikasynkronointia vastaan voidaan saada jopa kohteen suunta muutettua vastakkaiseksi. [6]

37

Seuraavissa alakohdissa on yhdistetty pääosin lähteiden [1] ja [2] perusteluita yleisimpien ajansyn-kronointiprotokollien heikkouksista. Lähde [1] keskittyy lähettäjä-vastaanottaja -protokolliin, lähde [2] käsittelee myös vastaanottaja-vastaanottaja -tyyppistä RBS-protokollaa sekä tulvivaa FTSP-protokollaa.

7.3.1 Hyökkäykset lähettäjä-vastaanottaja -protokollaa vastaan Lähteessä [1] esitetyssä mallissa oletetaan solmujen kykenevän symmetriseen salaukseen ja oman liikenteensä suojaamiseen. Hyökkääjä puolestaan kykenee mallissa hallitsemaan tiedonsiirtokana-vaa: salakuuntelemaan, muokkaamaan, uudelleenlähettämään ja estämään viestejä.

Hyökkääjät jaetaan ulkoisiin ja sisäisiin. Sisäinen hyökkääjä on saanut solmun ja sen avaimet hal-tuunsa, ulkoinen hyökkääjä puolestaan ei pysty tunnistautumaan laillisena solmuna. Hyökkäys on-nistuu, jos solmut saadaan hyväksymään väärä kellonpoikkeama-arvo δ.

Lähde [1] mainitsee kolme tapaa kellonpoikkeaman muokkaamiseksi: arvojen T1 ja T2 muuttami-nen, tekeytyminen lähettäjä- tai vastaanottajasolmuksi ja viestinvälityksen viivästyttäminen, jolloin arvo T2 tai T4 kasvaa. Kaksi ensimmäistä voidaan estää suojaamalla viestin eheys ja käyttämällä tunnistautumista. Kolmas hyökkäystyyppi, jota artikkelissa kutsutaan pulssiviivehyökkäykseksi, on hankalampi havaita. Hyökkääjä M estää viestin A → B ja lähettää sen viivästettynä.

Kuva 12. Aikaviivehyökkäys (lähteestä [1])

Aikaviivehyökkäyksessä hyökkääjä tulee muuttaneeksi kellonpoikkeaman lisäksi myös päästä-päähän -viivettä seuraavasti (∆ on sync-vaiheessa aiheutettu pulssiviive):

δ = [(T2-T1) – (T4-T3) + ∆] / 2

d = [(T2-T1) + (T4-T3) + ∆] / 2

Lähteessä [2] on toisenlaiset lähtöoletukset: hyökkääjä ei kykene estämään liikennettä, mutta sen sijaan oletetaan hyökkääjän kaapanneen osan solmuista siten, että hyökkääjällä on pääsy osaan avaimista ja tämän ansiosta hyökkääjä pystyy lähettämään väärennettyä dataa muille solmuille. Solmujen ei siis oleteta olevan peukaloinninsietoisia. Lisäksi lähteessä käsitellään hieman erilaista lähettäjä-vastaanottaja -protokollan käyttötilannetta, jossa solmuista on muodostettu spanning-tree ja solmu lähettää synkronointipyynnön isäsolmulleen, joka vastaa kuittausviestillä. Kirjoittajat to-teavat, että kaapatun solmun vaikutus riippuu siitä, miten lähellä juurisolmua se on – virhe leviää puussa lapsisolmuihin. Jos hyökkääjä on saanut haltuunsa kaksi solmua, joista toinen on toisen jäl-keläinen, kellonpoikkeamavirhe summautuu.

7.3.2 Hyökkäykset RBS-protokollaa vastaan Artikkelissa [6] käydään läpi RBS-protokollan haavoittuvuutta viivehyökkäyksiä (tällä tarkoitetta-neen samaa kuin [1]:n pulssiviivehyökkäyksellä). Merkinnät ovat hieman eri kuin artikkelissa 1: synkronoinnin aloittaa referenssisolmu R lähettämällä beacon-viestin b yleislähetyksenä. Esimer-kissä on kaksi solmua A ja B, jotka saavat beacon-viestin samalla ajanhetkellä t (käytännössä toki on pieni aikaero, mutta se voidaan olettaa nollaksi). A:n paikallinen kello beaconin vastaanottohet-kellä on ta, B:llä vastaavasti tb. Perustilanne näkyy kuvassa 4 (a) ja kaksi erilaista aikaviivehyökkä-ystä saman kuvan osissa (b) ja (c). Tapauksessa b hyökkääjällä on käytössään kaksi salaisessa yh-teistoiminnassa olevaa (engl. colluding) solmua, joiden avulla hän pystyy lähettämään beacon-viestin eri aikoihin solmuille A ja B. Tapauksessa c hyökkääjä hyödyntää suunnattua antennia kaa-patussa referenssisolmussa R. Hyökkääjä saa lähetettyä kaksi eri beacon-viestiä siten, että vain toi-nen solmuista kuulee sen kerrallaan.

38

Kuva 13. Aikaviivehyökkäykset RBS:ää vastaan (lähteestä [6])

Toiselta suunnalta RBS:n heikkoja kohtia lähestytään artikkelissa [2], jossa korostetaan, että kes-kiarvoon ja pienimmän neliön lineaarinen regressioon perustuvilla estimaateilla on pieni breakdown point, joka tarkoittaa käytännössä sitä, että pieni määrä virheellistä dataa voi viedä estimaatin mieli-valtaisen kauas todellisesta arvosta. Pienimmän neliön lineaarisessa regressiossa breakdown point on 1/n eli RBS:n tapauksessa breakdown point lähestyy nollaa solmujen määrän lisääntyessä.

7.3.3 Hyökkäykset FTSP-protokollaa vastaan Kuten ehkä FTSP:n kuvauksesta voi arvatakin, yksi hyökkäys FTSP-protokollaa vastaan on julis-tautua uudeksi juurisolmuksi rootID:llä 0, jolloin aikaisempi juurisolmu luopuu toimestaan ja hyök-kääjä voi lähettää väärennetyn aikatiedon. Tämä onnistuu helposti, koska uudeksi juureksi julistau-tuminen kuuluu protokollan toimintaan. [2]

7.4 Ehdotetut ratkaisut

7.4.1 Secure Pairwise Synchronization (SPS) Artikkelin [1] kirjoittajat esittelevät Secure Pairwise Synchronization -protokollan, jonka avulla pulssiviivehyökkäys pystytään tunnistamaan. Kyseessä on lähettäjä-vastaanottaja -protokollan kehi-tetty versio ja tässä oletetaan solmujen olevan suorassa yhteydessä toisiinsa – artikkelissa tosin esi-tetään myös monimutkaisempia multi-hop-verkkoihin sopivia protokollia.

1. A(T1) → (T2)B : A, B, NA, sync

2. B(T3) → (T4)A : B, A, NA, T2, T3, ack, MACK(AB)[B, A, NA, T2, T3, ack]

3. A laskee viiveen d = [(T2 – T1) + (T4 – T3)] / 2. Jos d ≤ d*, δ = [(T2 – T1) – (T4 –T3)] / 2, muussa tapauksessa keskeytetään synkronointi.

NA on nonce-arvo, jolla estetään reply-hyökkäykset. Avaimellisella tiivisteellä MACK(AB) estetään ulkopuolista hyökkääjää muokkaamasta synkronointiin liittyviä parametreja. Arvo d* on maksimi-viive, joka voidaan kirjoittajien mukaan täsmällisesti estimoida ja joka on huomattavasti lyhyempi kuin paketin lähetysaika. Kirjoittajien kokeiden perusteella viive noudattaa gaussin käyrää, minkä seurauksena 99,97 prosentin todennäköisyydellä päästä-päähän -viive on välillä [davg–3σ, davg+3σ]. Tästä kirjoittajat päätyvät muutaman lisäselvityksen jälkeen kaavaan d* = davg+3σn. Kirjoittajat osoittavat, että päästä-päähän viive ei riipu sensoreiden välisestä etäisyydestä, koska ra-diokanavan siirtonopeus on vain luokkaa 250 kbps ja siitä johtuen pakettien siirtämiseen kuluva ai-ka on huomattavasti suurempi tekijä kuin solmujen välisestä etäisyyserosta aiheutuva viive. Lisäksi solmujen kellotaajuuskin on niin hidas, etteivät ne pysty mittaamaan etäisyydestä aiheutuvaa viivet-tä. Täten maksimiviive voidaan esiasettaa solmuihin. Käytännön kokeissa Mica2-rikoilla (engl. mo-te) todettiin, että SPS takaa kahden solmun ajan pysyvän 40 µs sisällä toisistaan myös pulssihyök-käystilanteissa.

7.4.2 RBS-protokollan kehittäminen Artikkelissa [6] esitellään kaksikin hyökkäyksille vastustuskykyistä protokollaa, jotka pyrkivät rat-

39

kaisemaan ongelman: ”Kun annettuna on joukko kellonpoikkeama-arvoja, miten tunnistaa niiden joukosta ryhmän ulkopuolella olevat (outliers) ja saavuttaa hyökkäyksen kestävä estimaatti”. Reiti-tykseen liittyistä oletuksista ei ole mainintaa artikkelissa. Kirjoittajat esittävät kaksi ratkaisumallia, joista ensimmäinen hyödyntää generalized extreme studentized deviate (GESD) -algoritmia useiden ryhmän ulkopuolisten arvojen havaitsemiseen ja toinen (arkikkelissa nimellä threshold-based ap-proach), joka käyttää aikatransformaatiotekniikkaa (time transformation technique) ulkopuolisten arvojen suodattamiseksi pois. Tarkemmat tiedot löytyvät kyseisestä artikkelista. Artikkelissa kerro-taan myös simuloinneista, joita on tehty kyseisille protokollille ja verrattu niiden toimintaa RBS-protokollaan. Simuloinnissa käytettiin 1…100 ms pulssiviivehyökkäyksiä 10…20 solmun verk-koon, jossa oli 1…5 vihamielistä solmua. Ajan synkronointiväli oli 5000 sekuntia. Tuloksissa ha-vaittiin muun muassa, että GESD havaitsee 100-prosenttisella todennäköisyydellä yli 100 ms puls-siviivehyökkäykset, mutta 1 ja 10 ms pulssiviivehyökkäyksillä olivat huomattavasti heikommat. Vastaavasti aikatransformaatiotekniikkaan perustuva toinen protokolla suoriutui 1 ja 10 ms pulssi-viivehyökkäyksiä vastaan huomattavasti paremmin kuin GESD: 10 ms hyökkäykset se havaitsi lä-hes sataprosenttisesti. Lisäksi havaitsemistarkkuus ei juuri heikentynyt vihamielisten solmujen li-sääntyessä, kunhan niiden määrä pysyi alle puolessa.

Toisen esitettyn ongelman, pienimmän neliön breakdown pointin ratkaisemiseksi artikkelin [2] kir-joittajat ehdottavat pienimmän neliön sijasta käytettäväksi pienimmän mediaanin neliöitä (LMS), joka on selitetty tarkemmin saman artikkelin [2] liitteessä. LMS:llä breakdown point on 50 prosent-tia eli se ei riipu solmujen lukumäärästä. LMS:n ongelma lienee sen vaatima prosessoriteho – kir-joittajat toteavat, että on mahdollista, ettei algoritmiä pystytä sovittamaan sensoriverkkojen solmuil-le.

7.4.3 FTSP-protokollan kehittäminen Jotta hyökkääjän kaappaama solmu ei pääsisi juurisolmuksi, esittävät artikkelin [2] kirjoittajat seu-raavaa ratkaisua: sen sijaan että yksittäisen solmun annettaisiin toimia synkronoinnin lähteenä ole-vana juurisolmuna, solmujen alijoukko toimisi kiertävällä periaatteella juurisolmuna. Lisäksi toisen solmun identiteetin kaappaus estettäisiin käyttämällä jaettua yksityistä avainta jokaista juurisolmu-kandidaattia kohti. Siis jos solmuja on N kpl ja juurisolmujen alijoukkoon kuuluu M << N solmua, tarvittaisiin N · M yksityistä avainta. Jos verkossa on C kaapattua solmua, on perustilanteessa to-dennäköisyys p = C / N sille, että hyökkääjän solmusta tulee juurisolmu (tässä jätetään huomioimat-ta FTSP-protokollan juureksijulistautumistoiminto, todellisuudessa hyökkääjä pystyy varmuudella saamaan juurisolmun aseman). Jos taas käytetään kirjoittajien esittämää juurisolmun valintaa ali-joukosta M, saadaan todennäköisyydeksi

Esimerkiksi, jos solmuja (N) on 15 kpl, juurisolmukandidaatteja (M) 3 kpl, ja vihamielisiä solmuja (C) 4 kpl, niin p ≈ 32%.

Multi-hop-verkkojen tapauksessa kirjoittajat esittävät lisäksi ratkaisua, jossa redundanssia kasvate-taan siten, että solmu kerää tietyn määrän S naapurisolmuilta saatuja synkronointiviestejä sen sijaan, että vain yksi saman seqNumin sisältävä viesti säilytettäisiin. Kirjoittajat laskevat, että nykyisessä FTSP-toteutuksessa arvolla S=5 vaadittaisiin 256 tavua tilaa, mitä kirjoittajat eivät pidä sensori-verkkojen solmuille liian suurena muistivaatimuksena. Tällöin solmu voisi käyttää arvojen mediaa-nia sen sijaan, että valitaan ensimmäiseksi saapunut arvo, kuten nykyinen FTSP-toteutus tekee.

Artikkelin [2] kirjoittajat esittävät vielä muitakin ratkaisuja, joista mainittakoon idea, jonka mukaan solmu A, joka havaitsee naapurin B arvon poikkeavan muiden naapurien lähettämästä arvosta enemmän kuin tietyn raja-arvon verran, solmu A kieltäytyisi lähettämästä arvoa eteenpäin (a policy of containment). Puumaisessa rakenteessa tästä aiheutuisi ongelma, koska solmuilla pitäisi olla vaihtoehtoinen aikalähde siinä tapauksessa, että isäsolmu pidättäytyy lähettämästä aikaa.

40

Tulvimistyyppisessä protokollassa tämä ei kuitenkaan ole ongelma, koska solmut saavat ajan useilta naapureilta.

7.5 Yhteenveto

Kaikissa kolmessa sensoriverkoissa käytetyn ajansynkronointiprotokollan perustyypissä – lähettäjä-vastaanottaja, vastaanottaja-vastaaanottaja ja tulviva – on huomattavia puutteita turvallisuudessa. Ongelmakenttää voidaan lähestyä monesta näkökulmasta riippuen muun muassa siitä, onko hyök-kääjä sisä- vai ulkopuolinen ja niinpä myös ratkaisut eroavat toisistaan. Osa ongelmista ratkeaa melko yksinkertaisesti eheyden ja tunnistautumisen takaavilla kryptoprimitiiveillä, vaikkakin senso-riverkon solmujen rajoitettu laskentateho aiheuttaa omat rajansa. Viivehyökkäyksiä vastaan sen si-jaan ei voi suojautua perinteisillä kryptografisilla primitiiveillä. Viivehyökkäyksiä käsittelevissä artikkeleissa käytetään hyväksi tilastomatematiikkaa viivehyökkäysten tunnistamiseksi. Jotkin esite-tyistä protokollista ainostaan tunnistavat virheelliset arvot ja kieltäytyvät synkronoimasta kellojaan, jotkin protokollat sietävät tietyn määrän kaapattuja solmuja. Artikkelien perusteella ei yksikään eh-dotetuista protokollista erottunut selkeästi muita parempana.

7.6 Lähteet

� Saurabh Ganeriwal, Srdjan Capkun, Mani B. Srivastava. Secure Time Synchronization in Sensor Networks. ACM Transactions on Information and Systems Security, Vol. V, No. N, March 2006.

� Michael Manzo, Tanya Roosta, Shankar Sastry. Time Synchronization Attachs in Sensor Networks. Proceedings of the 3rd ACM workshop on Security of ad hoc and sensor networks. 2005, pp. 107-116.

� Jeremy Elos, Lewis Girod, Deboras Estrin. Fine-Grained Network Time Synchronization us-ing Reference Broadcasts. Proceedings of the 5th symposium on Operating systems design and implementation, SPECIAL ISSUE: Physical interface table of contents. 2002, pp. 147-163

� Emerson Farrugia, Robert Simon. An efficient and secure protocol for sensor network time synchronization. Journal of Systems and Software, Volume 79 , Issue 2. February 2006, pp. 147-162.

� Maroti M., Kusy B., Simon G., Ledeczi A. The Flooding Time Synchronization Protocol, ACM Second International Conference on Embedded Networked Sensor Systems (SenSys 04). November 3, 2004, pp. 39-49

� Hui Song, Senchun Zhu, Guohong Cao. Attack-resilient time synchronization for wireles sen-sor networks. Ad Hoc Networks, vol. 5, no. 1, 2007, pp. 112–125.

� NTP-palvelu. Mittaustekniikan keskus. Saatavissa online http://www.mikes.fi/page.aspx?contentID=321, viitattu 17.5.2007.

� GPS-sanasto. Geostar Oy. Saatavissa online http://www.geostar.fi/teema/gpssanasto.php3, viitattu 17.5.2007.

41

8 Yksityisyyden saavuttaminen mesh-verkoissa

Toisin kuin langalliseen verkkoon, langattomaan verkkoon liittyminen harvoin vaatii loppukäyttä-jältä suuria ponnisteluja tai merkittävää panostusta: fyysistä yhteyttä muuhun verkkoon ei tarvita, vaan pelkät radioaallot riittävät. Langattomassa verkossa naapurisolmut voivat jäädä vieraammiksi, jolloin nousee epäilys, voiko muihin verkon toimijoihin luottaa – ja minkä perusteella luottamusta voi rakentaa [3]. Toisaalta langattoman verkon aiemmat solmut voivat olla epäluuloisia uutta sol-mua kohtaan, jolloin uuden solmun pääsyä voidaan rajoittaa pelkän verkon salausavaimen tuntemi-sen lisäksi huomioimalla tämän sijainti ja liittymisyrityksen ajankohta [1]. Langattomassa verkossa reititykseen saatetaan joutua käyttämään muita verkon solmuja [2, 3], joilla ei välttämättä ole aina puhtaita tarkoitusperiä. Solmuille onkin pyrittävä tarjoamaan myös anonymiteetti, jottei kuka tahan-sa voi selvittää, mikä solmuista on kulloinkin yhteydessä Internetiin [2].

Mesh-verkossa kaikki verkon solmut ovat langattomasti yhteydessä joko suoraan tai toistensa kautta yhteen yhdyskäytäväreitittimeen, joka tarjoaa yhteyden Internetiin [2]. Erityinen ongelma tällaises-sa rakenteessa on kulloinkin aktiivisen solmun identiteetin pitäminen salassa niin verkon solmuiksi tekeytyneiltä sisäisiltä kuin liikennettä muuten salakuuntelevilta ulkoisilta hyökkääjiltä. Erityisesti verkonlaajuinen hyökkääjä saattaa voida keräämiään tietoja yhdistelemällä paljastaa aktiivisen sol-mun [2], joten on löydettävä sellainen tapa viestiä aktiivisen solmun ja reitittimen välillä, joka pitää yhteyden osapuolet anonyymeina. Sipulireitityksessä viestit salataan kerroksittain paketeiksi, jonka kunkin kerroksen saa avattua vain tietty solmu omalla avaimellaan. Kukin solmu saa näin tietää vain itsestään edellisen ja seuraavan solmun, muun tiedon reititysreitistä pysyessä siltä salassa. Muodostamalla mesh-verkkoon renkaita, jotka alkavat ja päättyvät yhdyskäytäväreitittimeen vai-keutetaan ennestään aktiivisen solmun paljastumista [2]. Yhdyskäytäväreititin hallinnoi verkon kaikkea toimintaa ja pyrkii havaitsemaan tunkeutujat. Luottamus reitittimeen onkin keskeinen ele-mentti yksityisyyden saavuttamisessa mesh-verkoissa.

8.1 Mesh-verkon rakenne

Mesh-verkon avulla voidaan tuottaa kustannuksiltaan halpa, mutta hyvin nopea langaton Internet-yhteys loppukäyttäjille, jotka asuvat maaseudulla tai muulla harvaan asutulla alueella [2]. Valmis, kapasiteetiltaan mahdollisesti rajallinen, langallinen verkko ei ole tarpeen, vaan yhteys Internetiin voidaan tuottaa esimerkiksi satelliittilinkin kautta. Luonnollisesti yhteys voidaan tuoda alueelle myös langallisena, jolloin vain viimeinen yhteysväli toteutetaan langattomana.

Mesh-verkon arkkitehtuurin keskuksena on yhdyskäytäväreititin (Gateway router), joka on suoraan yhteydessä Internetiin. Tämän lisäksi mesh-verkossa on yksittäisistä kotitalouksista muodostuvia solmuja, jotka ovat langattomasti yhteydessä reitittimeen – joko suoraan tai yhden tai useamman muun verkon solmun kautta. Solmut voivat siis kommunikoida myös keskenään. Tietyn solmun ot-taessa yhteyden Internetiin muut solmut toimivat viestinvälittäjinä kohti reititintä. Kaikki liikenne siis kulkee reitittimen kautta, joka voi todellisessa tilanteessa olla esimerkiksi matkapuhelinverkon tukiasema [2].

Etuna verrattuna tavalliseen itsestään organisoituvaan langattomaan verkkoon mesh-verkko tarjoaa keskitetyn hallintansa ansiosta paremmat mahdollisuudet optimoida reititystä ja resurssienjakoa [2]. Wun ja Lin mukaan [2] tämä vähentää turvallisuus- ja yksityisyysongelmien haastavuutta. Verkon solmu ei voi oma-aloitteisesti avata yhteyttä, vaan se lähettää yhdyskäytäväreitittimelle yhteys-pyynnön, jonka perusteella reititin myöntää yhteyden avaamiseen ja lähettää tiedon käytettävästä reititysreitistä mesh-verkon läpi.

Tietoliikenteessä perinteinen ratkaisu yksityisyyden saavuttamiseen on salauksen ja redundanssin

42

eli ylimääräisen liikenteen käyttö. Mesh-verkossa salausta ei voida käyttää suoraan, sillä se ei suo-jaa tehokkaasti verkonlaajuista hyökkäystä vastaan. Vaikka hyökkääjä ei ymmärtäisi viestejä, lan-gattomassa verkossa on helppo selvittää, kuka viestii kenen kanssa. Redundanssin avulla voidaan ehkä suojata tieto vastaanottavasta solmusta käyttäen broadcast-lähetystä, mutta yhteys on kak-sisuuntainen, jolloin lähettävä solmu on helppo paljastaa. Taustakohinan lisääminen etenkään lan-gattomaan verkkoon ei ole kustannustehokasta. Mesh-verkoissa ei voida siis käyttää sellaisenaan perinteisiä lähestymistapoja yksityisyyden saavuttamiseksi. [2]

8.2 Verkko- ja turvallisuusoletukset

Käytettävästä mesh-verkosta tehdään joitakin oletuksia liittyen itse verkkoon, mutta myös turvalli-suuteen. Langaton kanava on symmetrinen [2] eli samaa kanavaa voidaan käyttää kumpaankin suuntaan kahden solmun välillä. Virheidenhallinta tapahtuu alemmilla verkkokerroksilla (linkkiker-ros) [2], joten voidaan olettaa, ettei itse langaton yhteys aiheuta virheellisiä paketteja. Lisäksi yh-dyskäytäväreitittimen oletetaan tuntevan verkon rakenne (topologia) [2].

Turvallisuustasolla tärkein oletus on yhdyskäytäväreitittimen pitäminen vaikeasti murrettavana ja siten luotettavana. Kullakin verkon solmulla ja myös reitittimellä on oma henkilökohtainen julkinen avain ja sitä vastaava yksityinen avain. Jokainen solmu tietää reitittimen julkisen avaimen. Luotet-tavana osapuolena reititin on lisäksi sertifioinut kunkin solmun julkisen avaimen eli vahvistanut sen kuuluvan kyseiselle solmulle. Reititin on siis tässä suhteessa luotettu kolmas osapuoli. Näiden kaik-kien julkisten avainten avulla reititin voi sopia kunkin kanssa symmetrisen avaimen, joka on vain osapuolien tiedossa. Yhtälailla kukin solmu voi sopia symmetrisestä avaimesta kunkin naapurisol-munsa kanssa. Kahden solmun välinen viestintä voi siten olla aina luottamuksellista. Kahden sol-mun välisellä yhteysvälillä lähetettyjen pakettien otsikkokenttään sijoitetut lähettäjän ja vastaanotta-jan tunnisteet ovat selkotekstinä. [2]

8.3 Hyökkäysmallit ja yksityisyystavoite

Mesh-verkossa voi olla kahdenlaisia hyökkääjiä: sisäisiä ja ulkoisia. Sisäinen hyökkääjä on verk-koon sisältyvä solmu, joka tuntee kauttansa kulkevasta reititysreitistä edellisen ja seuraavan solmun. Lisäksi se on tietoinen pakettien tyypeistä eli siitä, onko kyse data- vai verkonhallintapaketista. Si-säinen hyökkääjä pystyy tietämään tietyn yhteyden alku- ja loppupään, mikäli ei ole käytetty proto-kollaa, joka takaa anonymiteetin. [2]

Ulkopuolinen hyökkääjä ei ole osa mesh-verkkoa. Hyökkääjä sen sijaan tarkkailee jotakin verkon solmuista tai itse yhdyskäytäväreititintä salakuuntelemalla kohteeseensa kautta kulkevaa verkkolii-kennettä. Kuten edellä jo mainittiin, tietyn yhteysvälin lähettäjä- ja vastaanottajatiedot ovat puhtaa-na tekstinä, joten ne ovat myös ulkoisen hyökkääjän nähtävillä. Sen sijaan ulkoinen hyökkääjä ei ole tietoinen pakettien tyypeistä. Reititintä kuunteleva hyökkääjä pystyy selvittämään pyydetyn In-ternet-osoitteen. [2]

Wu ja Li [2] tekevät pahantahtoisen tahon toiminnasta tiettyjä oletuksia: Pieni joukko sisäisiä hyök-kääjiä voi tehdä yhteistyötä verkonlaajuisen ulkoisen hyökkääjän kanssa, jolloin hyökkääjä voi saa-da tietoa useiden solmujen toiminnasta sekä verrata ja yhdistää saamiaan tietoja toisiinsa. Lisäksi hyökkääjä saattaa hyvinkin aggressiivisesti pyrkiä rikkomaan mesh-verkon solmujen anonymiteetin esimerkiksi tuottamalla väärää liikennettä tietylle reititysreitille tai muokkaamalla muiden lähettä-miä viestejä. Lisäksi ulkoinen hyökkääjä voi häiritä yksi kerrallaan verkon solmuja saadakseen sel-ville, mikä niistä on yhteydessä Internetiin.

Langattomassa verkossa tietyn solmun toiminnan tarkkailu on varsin helppoa, sillä liikenne itses-sään on ilmateitse välitettynä kaikkien saatavilla. Lisäksi solmun ja reitittimen välille saattaa jäädä paketteja reititettäessä solmuja, joiden luotettavuudesta ei ole takeita. Reitittimen läpikulkevan lii-

43

kenteen kaavamaisuus saattaa myös paljastaa Internetiin yhteydessä olevan solmun.

Mesh-verkossa tärkein yksityisyystavoite onkin piilottaa hyökkääjiltä tieto siitä, mikä verkon sol-muista on aktiivisesti yhteydessä Internetiin[2] eli aktiiviselle solmulle on turvattava anonymiteetti. Tätä kuitenkin rajoittaa se, että mesh-verkossa on tietty rajallinen määrä solmuja, jolloin hyökkääjä tietää aina aktiivisen solmun olevan tässä joukossa. Se ei kuitenkaan tiedä tarkalleen, mikä solmuis-ta on kulloinkin aktiivinen. Kasvattamalla mahdollisten solmujen joukkoa parannetaan anonymitee-tin tasoa, sillä hyökkääjän kannalta vaihtoehtoja on enemmän. Tilanne on kuitenkin kaksijakoinen, sillä useamman solmun osallistuessa aktiivisen solmun identiteetin kätkemiseen tuotetaan verkkoon enemmän liikennettä, mikä kuluttaa verkon rajallista kokonaiskapasiteettia [2].

8.4 Tavallinen sipulireititys

Tavallista sipulireititystä (Onion routing) käytetään langallisissa verkoissa anonyymiin viestintään. Anonymiteetti saavutetaan tekemällä yhteyden osapuolista yhdistämättömät [2], jolloin hyökkääjä ei pysty päättelemään, kuka viestii kenen kanssa. Sipulireititysverkko koostuu sipulireitittimistä (Onion router, OR), joilla on julkinen/yksityinen-avainpari sekä joista kukin tuntee verkon topolo-gian ja muiden sipulireitittimien julkiset avaimet [2].

Halutessaan lähettää viestin, loppukäyttäjä ottaa yhteyden luottamaansa sipulireitittimeen, jota täl-löin kutsutaan sipulivälityspalvelimeksi (Onion proxy, OP). Välityspalvelin määrittää sopivan reitin ja rakentaa ”sipulin” käyttäen reitille osuvien sipulireitittimien julkisia avaimia. Sisimpänä sipulissa on varsinainen viesti, joka kääritään salaamalla se reitin mukaisessa järjestyksessä käytettävien rei-tittimien julkisilla avaimilla. Kullakin kierroksella mukaan liitetään myös välityspalvelimen valit-sema symmetrinen istuntoavain, jota tullaan käyttämään, kunhan sipuli on kulkenut koko sille tar-koitetun reitin läpi. Kukin reitille osuva reititin purkaa salauksen omalla salaisella avaimellaan ja poimii esiin saamansa tiedon istuntoavaimesta ja seuraavasta reitittimestä reitillä. Tätä jatketaan, kunnes reitin viimeinen sipulireititin saa varsinaisen viestin esiin ja välittää sen vastaanottajalle. [2]

Reitin muodostuttua voidaan istuntoavaimia käyttää viestien salaamiseen kumpaankin suuntaan. Paluureitillä alkuperäistä lähettäjää kohti kukin reititin vuorollaan salaa saamansa viestin symmetri-sellä istuntoavaimellaan. Sipulivälityspalvelin kykenee purkamaan kaikki salaukset, sillä se on alun perin valinnut käytettävät istuntoavaimet. Toiseen suuntaan käytetään istuntoavaimia samaan tapaan kuin reittiä muodostettaessa käytettiin reitittimien julkisia avaimia. [2]

Wun ja Lin mukaan [2] anonymiteettia lisää se, että ainoastaan välityspalvelin tuntee reitin alku- ja loppupisteen, sillä matkalla osuvat sipulireitittimet tietävät vain edellisen ja seuraavan reitittimen. Hyökkääjän onkin vaikea yhdistää kahdella eri yhteysvälillä kulkevaa pakettia toisiinsa, etenkin kun verkossa kulkee sanomia suuria määriä. Pitämällä sipuleja aina samankokoisina lisäämällä niihin täytettä, kun niistä luetaan ja poistetaan tietoa, voidaan edelleen vaikeuttaa pakettien yhdistämistä toisiinsa.

Langattomassa verkossa yhdyskäytäväreititin voisi periaatteessa toimia sipulivälityspalvelimena, sillä se tuntee kaikkien verkon solmujen julkiset avaimet. Valitettavasti sipulireititystä ei voida sel-laisenaan käyttää mesh-verkossa. Ensinnäkään sipulireititys ei piilota yhteyden päätepisteitä. Se saavuttaa anonymiteetin tekemällä päätepisteistä yhdistämättömät. Mesh-verkossa toinen päätepiste on aina yhdyskäytäväreititin, joten toisen osapuolen selvittäminen murtaa täysin anonymiteetin. Ak-tiivinen solmu onkin siksi pystyttävä kätkemään anonymiteetin saavuttamiseksi. Lisäksi langatto-muuden vuoksi salakuuntelu on helpompaa ja kerättyjä tietoja analysoimalla voidaan onnistua sel-vittämään aktiivisen solmun identiteetti. Verkonlaajuista hyökkäystä vastaan auttaa myös mesh-verkon tyypillisesti verrattain pieni koko.

44

8.5 Redundantti sipulireititys

Redundantti sipulireititys (Redundant Onion routing), joka pyrkii vastaamaan tavalliseen sipulireiti-tykseen liittyviin ongelmiin mesh-verkossa, käyttämällä syöttiä (decoy) [2]. Reitityksen perusidea on pitkälti vastaava kuin edellä. Kun mesh-verkon solmu haluaa avata yhteyden, se lähettää yhdys-käytäväreitittimelle yhteyspyynnön. Reititin valitsee reitin ja yhteysvälikohtaiset istuntoavaimet se-kä välittää tiedon ”sipulina” takaisin yhteydenavaajalle salaamalla sen valitun reitin varrelle olevien solmujen kanssa jakamillaan avaimilla. Saatuaan vastauksen yhteyden avaajasta tulee aktiivinen solmu. Käytetyt avaimet ovat symmetrisiä julkisten avainten sijaan, jotta laskentakuormaa saadaan pienennettyä [2]. Tämä poistaa myös tarpeen pakettien allekirjoittamiselle, sillä symmetrisellä avaimella on helppo selvittää, onko paketin todella luonut yhdyskäytäväreititin [2].

Reitin muodostuttua pakettien välitys tapahtuu pitkälti samoin kuin tavallisessakin sipulireititykses-sä. Aktiivisesta solmusta reitittimelle viestejä välitettäessä kukin solmu salaa omalla istuntoa-vaimellaan saamansa viestin ja välittää sen seuraavalle solmulle. Lopulta viesti saavuttaa yhdyskäy-täväreitittimen, joka purkaa salauksen tuntemillaan istuntoavaimilla, sillä se on ne itse valinnut. Toiseen suuntaan mentäessä kukin solmu vuorollaan purkaa omalla istuntoavaimellaan saamansa paketin salauksen ja välittää puretun paketin seuraavalle solmulle kohti aktiivista solmua. [2]

Yhteyden avaaja ja siten myöhemmin aktiivinen solmu pysyy anonyymina, sillä kukin solmu tietää vain reititysreitillä itsestään seuraavan ja edellisen solmun. Se ei kuitenkaan tiedä, onko sen naapu-risolmu reitin päätepiste vai ei. Jos kuitenkin istunto kestää tarpeeksi kauan, ulkopuolisen, ei vält-tämättä edes verkonlaajuisen, hyökkääjän on mahdollista päätellä reitin päätepiste seuraamalla link-kikerroksen pakettien otsikoita [2]. Tämän estämiseksi Wu ja Li [2] ehdottavat syöttiä (decoy): sen sijaan, että yhdyskäytäväreititin välittäisi paketin pelkästään aktiiviseen solmuun asti, se rakentaa-kin reitin, joka menee muutaman yhteysvälin verran aktiivisen solmun ohi. Aktiivinen solmu voi poimia todellisen sisällön ja välittää hämäyspaketin edelleen. Toiseen suuntaan, aktiivisesta solmus-ta reititintä kohti, käytetään hyväksi syötin kohti reititintä lähettämiä paketteja. Jokainen reitin var-rella oleva solmu salaa saamansa viestin sellaisenaan ja välittää sen edelleen. Aktiivinen solmu sen sijaan korvaa sisällön oikealla viestillään ja välittää salatun paketin edelleen. Ulkopuolinen hyök-kääjä voi edelleen tarkkailla liikennettä, mutta se tietää ainoastaan aktiivisen solmun olevan käyte-tyn reitin solmujen joukossa.

Redundantti sipulireititys ei ole kuitenkaan kovin vahva verkonlaajuista hyökkäystä vastaan. Ulko-puolinen tarkkailija voi havaita yhden verkon solmuista lähettävän ilman erityistä syytä jonkin pa-ketin, oletettavasti yhteydenavaamispyynnön. Hetken kuluttua hyökkääjä huomaa verkkoon muo-dostuneen yksityisen reitin, jonka osana alkuperäinen lähettäjä on. Sisäinen hyökkääjä saattaa saada joissakin yhteysprotokollissa selville yhteydenavaamispyynnön lähettäjän, sillä jotkin protokollat pitävät pyynnön mukana tiedon sen lähettäjän tunnisteesta [2]. Vaikka lähettäjän tunniste pidettäi-siin salassa jollakin anonyymilla reititysprotokollalla, yhteyspyynnön lähettäjä saattaa yhä paljastua verkon topologian takia: mikäli sisäinen hyökkääjä on lähellä verkon reunaa ja se saa paketin väli-tettäväkseen aivan reunalla olevasta solmusta, se voi suurella todennäköisyydellä olettaa reunasol-mun haluavan avata yhteyden yhdyskäytäväreitittimeen [2].

8.6 Yksityinen sipulireititys

Ratkaisuksi edellä esiteltyihin sipulireitityksen anonymiteettiongelmiin tarjotaan yksityistä sipuli-rengasta (Private Onion ring), jossa redundantin sipulireitityksen ideaa viedään eteenpäin tekemällä yhdyskäytäväreitittimestä itsestään syötti [2]. Kaikki reitit siis alkavat ja päättyvät reitittimeen, jol-loin muodostuu ikään kuin reititysrenkaita, mikä selittää tekniikalle annettua nimeä.

Ennen renkaan muodostamista yhdyskäytäväreitittimen ja kunkin verkon solmun välille on määri-telty symmetriset salausavaimet. Tällöin reititin voi lähettää renkaanalustusviestin (ring initiation

message), joka koostuu joukosta sipuleiksi käärit- tyjä viestejä [2]. Kunkin sipulin jokainen

45

kerros sisältää tiedon käytettävästä istuntoavaimesta, muodostettavan renkaan tunnisteen sekä tie-don renkaan seuraavasta solmusta, jonne salauksen avannut solmu lopun alustusviestistäkin välittää. Sipuleja on useita, sillä kunkin niistä sisimmäinen varsinainen viesti on tarkoitettu tietylle solmulle ohjeeksi tulevaa reititysreittiä varten. Toisin sanoen ensimmäinen sipuli on salattu vain renkaan en-simmäisen solmun symmetrisellä avaimella, viimeinen sipuli kaikkien renkaan solmujen symmetri-sillä avaimilla siten, että sen vastaanottaja on yhdyskäytäväreititin itse.

Sipulirenkaaseen mukaan otettavien solmujen määrä vaikuttaa luonnollisesti suoraan anonymiteetin tasoon, kuten edelläkin. Muodostetut renkaat voisivat olla pysyviä, mutta myöhemmin esitetyt syyt vaativat dynaamisuutta. Lisäksi luonnollisesti rengas, jossa on rikkoutunut solmu, tulee voida korja-ta. On kuitenkin yhdyskäytäväreitittimen ratkaistavissa tasapainoillen anonymiteetti- ja verkonlaa-tuvaatimusten välillä, minkä kokoisia renkaita se päättää muodostaa.

Sipulirenkaan muodostuttua siihen sisältyvät solmut voivat alkaa käyttää sitä saadakseen yhteyden Internetiin. Aloitteentekijä on kuitenkin aina yhdyskäytäväreititin, joka jaksottaisesti lähettää kaik-kiin tuntemiinsa renkaisiin pyyntölähettejä (request carrier) [2]. Jos tietyllä solmulla ei ole mitään tarvetta lähettää mitään, se salaa saamansa lähetin reitittimen kanssa jakamallaan symmetrisellä avaimella ja välittää salatun paketin renkaan seuraavalle solmulle. Istunnon avaamista toivova sol-mu puolestaan korvaa saamansa paketin sisällön yhteyspyynnöllä ja välittää sen salattuna edelleen. Lopulta lähetti palaa takaisin reitittimelle, joka purkaa salaukset ja päättää, myöntyykö se yhteys-pyyntöön. Renkaan rakenteen vuoksi jäljempänä olevan solmun pyyntö peittää aina aiemman sol-mun pyynnön.

Mikäli yhdyskäytäväreititin suostuu yhteyspyyntöön, se rakentaa samaan tapaan kuin aiemmissa sipuliprotokollissa sipuleja, joiden sisimmäksi se sijoittaa aktiiviselle solmulle tarkoitetun viestin ja salaa sen kaikilla renkaassa ennen aktiivista solmua olevien solmujen symmetrisillä istuntoavaimil-la. Kukin mesh-verkon solmu purkaa salauksen osaltaan ja välittää paketin edelleen. Aktiivisen solmun saadessa paketin, se poimii viestin ja korvaa sen kuittauksella ja mahdollisesti viestillä, jon-ka se haluaa välittää reitittimelle. Aktiivinen solmu käyttää symmetristä istuntoavaintaan salatak-seen viestinsä ja välittää paketin edelleen renkaassa. Kukin lopuista solmuista purkaa salauksen saamastaan paketista. Lopulta viesti saavuttaa yhdyskäytäväreitittimen, joka saa aktiivisen solmun viestin auki käyttämällä loppurenkaan solmujen symmetrisiä avaimia käänteisessä järjestyksessä. Toisinaan on mahdollista, ettei reitittimellä ole asiaa aktiiviselle solmulle, mutta solmulla on reitit-timelle. Tätä varten reititin lähettää ajoittain tyhjiä paketteja (dummy packet), joihin aktiivinen sol-mu voi viestinsä sijoittaa. [2]

Aktiivisen solmun anonymiteetti mesh-verkossa saavutetaan verkonlaajuista hyökkääjää vasten, sillä sipulirenkaassa jokainen solmu toimii ulkoisen tarkkailijan näkökulmasta täsmälleen samalla tavalla. Ulkoinen hyökkääjä ei pysty päättelemään verkon solmun aktiivisuutta vertaamalla sol-muun tulevaa ja sieltä lähtevää liikennettä. Solmuissa syntyvien viiveiden tutkiminenkaan ei ole merkittävä paljastumisen syy, sillä jokainen solmu joutuu kuitenkin salaamaan tai purkamaan saa-mansa paketin, mikä vie huomattavasti enemmän aikaa kuin sipulin sisällön lukeminen ja kirjoitta-minen aktiivisessa solmussa. Lisäksi kaikkien julkisten avainten paljastuessa hyökkääjälle voisi mahdollistaa aktiivisen solmun paljastumisen liikenneanalyysin avulla. Tämän vuoksi kaikkiin pa-keteihin olisi syytä lisätä satunnaisdataa. Anonymiteettia voidaan vielä ennestään kohentaa käyttä-mällä myös alemman, linkkikerroksen salausta [2]. Redundantin sipulirenkaan tavoin anonymiteetin tasoon voidaan vaikuttaa muuttamalla sipulirenkaiden kokoa. Kasvattamalla renkaiden kokoa vai-keutetaan ennestään aktiivisen solmun paljastumisen riskiä. Hintana tästä on tosin se, että etenkin muutenkin vilkkaan verkon tapauksessa suuret renkaat lisäävät verkon solmujen kuormaa, mikä laskee yhteyksien palvelunlaatua (quality of service, QoS) [2].

Kuten aiemmin jo mainittiin, sipulirenkaat ovat dynaamisia. Niitä ei kuitenkaan saa varomattomasti tuhota ja luoda uusia, sillä verkonlaajuinen hyökkääjä voi muuten saada mahdollisuuden paljastaa aktiivinen solmu analysoimalla liikennettä. Mikäli eri renkaista haetaan Internetistä samaa

46

epätavallista osoitetta tai liikenne tapahtuu aina samaan aikaan, hyökkääjä saattaa voida selvittää aktiivisen solmun tutkimalla eri renkaiden välisiä samoja solmuja. Reitittimestä kohti Internetiä kulkeva liikenne voi olla paljaana hyökkääjälle, mutta tämän suojaaminen ei ole nyt huomion koh-teena, sillä tavoitteena on kätkeä vain aktiivisen solmun identiteetti. Aggressiivinen verkonlaajuinen hyökkääjä saattaa myös yrittää tukkia mesh-verkon solmuja yksi kerrallaan yrittäessään selvittää, mikä solmuista on aktiivinen. Yhdyskäytäväreititin pystyy kuitenkin havaitsemaan solmujen epä-normaalin toiminnan ja aktiivisen solmun paljastumisen ehkäisemiseksi reititin jatkaa toimintaansa kuin mitään ei olisi tapahtunut syöttäen tarvittaessa hyökkäyksen kohteeksi joutuneeseen renkaa-seen hämäyspaketteja, jottei tietoliikenteeseen tulisi hyökkääjälle näkyviä muutoksia [2].

Saavuttaessaan anonymiteetin sipulirengas aiheuttaa kuitenkin muihin protokolliin nähden verk-koon ylimääräistä kuormaa. Wu ja Li [2] eivät kuitenkaan pidä tilannetta huolestuttavana useasta syystä. Sipulirengas ei häviä solmujen määrältään samankokoiselle päästä-päähän-yhteydelle, sillä renkaassa yhteen paketin kiertoon sisältyy sekä reitittimeltä tuleva että sinne menevä paketti. Lisäk-si yhdyskäytäväreititin voi tehokkaasti optimoida liikenteen ajoitusta taaten langattoman kaistan mahdollisimman tehokkaan käytön. Ainoa merkittävä mahdollinen verkon suorituskykyongelma on renkaan solmujen yhteyspyyntöjen törmäykset ja muutenkin viive pyyntölähetin saamiseen. Wun ja Lin [2] mukaan törmäykset ovat epätodennäköisiä, sillä on harvinaista, että kaksi solmua haluaisi avata yhteyden saman pyyntölähetin kierroksen aikana. Viivettä pyyntölähetin saamiseen voidaan luonnollisesti pienentää lähettämällä lähettejä useammin.

8.7 Sisäisten hyökkääjien tunnistaminen

Ulkopuolisen hyökkääjän lisäksi langattomassa verkossa, kuten mesh-verkossa, voi olla myös sisäi-siä hyökkääjiä, jotka voivat yrittää muokata aitoa liikennettä tai lisätä sipulirenkaaseen omaa liiken-nettään. Wu ja Li [2] nostavat yhdyskäytäväreitittimen keskeiseen rooliin tunkeutujan havaitsemi-sessa johtuen renkaan erityisesti rakenteesta, jossa jokainen paketti lähtee ja lopulta saapuu reititti-melle. Tämä helpottaa sekä tunkeutujan havaitsemista että tunnistamista.

Jokainen viallinen paketti tarkoittaa tunkeutujaa, sillä alussa oletettiin, että alempi linkkikerros huo-lehtii virheidenhallinnasta. Yhdyskäytäväreititin havaitsee tunkeutujan reitittimen lähettämän liiken-teen perusteella, jos kuittausviestit eivät saavu ajallaan [2]. Käytännössä tämä tarkoittaa, että joko aktiivinen solmu ei koskaan saanut alkuperäistä viestiä tai sitten kuittausviesti tuhoutui matkalla. Renkaasta tulevassa liikenteessä tunkeutuja havaitaan puolestaan, jos reitittimelle saapuva paketti ei näyttäisi tulevan miltään renkaan solmuista tai saapuvan sipulin rakenne salauksineen ei vastaa ren-kaan rakennetta [2].

Tunkeutujan, esimerkiksi pakettien muuntelijan, havaittuaan, yhdyskäytäväreitittimen on tunnistet-tava tunkeutuja, jotta tämä saadaan suljettua pois käytettävistä renkaista. Ratkaisuksi Wu ja Li [2] ehdottavat, että jokainen verkon solmu säilyttää tiivistearvoja tietystä määrästä edellisiä välittämi-ään paketteja. Yhdyskäytäväreititin voisi tarvittaessa pyytää solmuja kertomaan tiivistearvonsa, mi-kä puolestaan auttaisi tunkeutujan paikantamisessa. Esimerkiksi kolmesta peräkkäisestä solmusta 1, 2 ja 3 keskimmäinen on tunkeutuja, joka on välittänyt solmulle 3 muokatun paketin. Solmut 1 ja 3 kertovat rehellisesti yhdyskäytäväreitittimelle tiivistearvonsa. Solmu 2 eli tunkeutuja voi joko ker-toa alkuperäisen solmulta 1 saamansa mukaisen paketin mukaisen tiivistearvon tai muokatun sol-mulle 3 lähettämänsä mukaisen tiivistearvon. Kummassakin tapauksessa reititin havaitsee ristiriidan solmujen tietojen välillä. Mikäli solmu 2 antaa alkuperäisen paketin mukaisen tiivisteen, reitittimen näkökulmasta solmujen 2 ja 3 välillä on ristiriita. Muokatun paketin mukaisen tiivisteen tapauksessa ristiriita on solmujen 1 ja 2 välillä. Kummassakin tapauksessa epäillyksi tunkeutujaksi jää kaksi vaihtoehtoa. Yhdyskäytäväreititin voi tällöin hajottaa alkuperäisen renkaan ja rakentaa uusia renkai-ta siten, että epäilyksenalaiset solmut jäävät eri renkaisiin. Mikäli tietty solmu ilmenee epäilyttävänä kyllin monta kertaa eri renkaissa, se voidaan tuomita tunkeutujaksi [2]. Väärien positiivisten tulos-ten määrä riippuu aggressiivisuudesta tehdä edellä mainittu johtopäätös.

47

8.8 Yhteenveto

Langattomassa mesh-verkossa, jossa verkon solmujen liikenne kohti yhdyskäytäväreititintä kulkee toistensa kautta, on tärkeää huolehtia yksityisyyden suojaamisesta. Tavoitteena on turvata viestijöi-den anonymiteetti eli piilottaa hyökkääjiltä tieto siitä, mikä solmuista on aktiivinen ja yhteydessä Internetiin. Tavallinen ja redundantti sipulireititys eivät tähän täysin riitä, vaan etenkin verkonlaa-juisella hyökkääjällä on vahvat mahdollisuudet paljastaa aktiivinen solmu.

Sipulirengas suojaa muita sipuliprotokollia paremmin aktiivisen solmun identiteettiä. Renkaan topo-logia ja verkon solmujen kannalta passiivinen yhteydenavaamismekanismi estää tehokkaasti ulko-puolista hyökkääjää paljastamasta aktiivista solmua. Välitetyissä paketeissa käytetty sipulirakenne piilottaa tarkat reititystiedot sisäisiltä hyökkääjiltä. Hintana käytetyssä protokollassa on kuitenkin tarpeettoman verkkoliikenteen syntyminen ja suuremmat laskentatehovaatimukset. Verkon suori-tuskyky pysyy kuitenkin yleisesti hyvällä tasolla johtuen etenkin rengasmaisesta rakenteesta.

8.9 Lähteet

[1] Chen, S., Zhang, Y., Trappe, W. 2006. Inverting sensor networks and actuating the envi-ronment for spatio-temporal access control. In Proceedings of the Fourth ACM Workshop on Security of Ad Hoc and Sensor Networks, 2006. SASN '06. ACM Press, New York, NY, USA. pp. 1-12. ISBN 1-59593-554-1.

[2] Wu, X. Li, N. 2006. Achieving privacy in mesh networks. In Proceedings of the Fourth ACM Workshop on Security of Ad Hoc and Sensor, 2006. SASN '06. ACM Press, New York, NY, USA. pp. 13-22. ISBN 1-59593-554-1.

[3] Zouridaki, C., Mark, B. L., Hejmo, M., Thomas, R. K. 2006. Robust cooperative trust estab-lishment for MANETs. In Proceedings of the Fourth ACM Workshop on Security of Ad Hoc and Sensor, 2006. SASN '06. ACM Press, New York, NY, USA. pp. 23-34. ISBN 1-59593-554-1.

48

9 Bluetoothin turvallisuudesta

Bluetooth on monissa kannettavissa päätelaitteissa, kuten matkapuhelimissa, nykyään yleisesti käy-tettävä lyhyen kantaman langaton viestintätekniikka. Vuonna 2002, jolloin Bluetooth-standardi oli vielä nuori ja päätelaitteet harvassa, yhdysvaltalainen liittovaltion National Institute of Standards and Technology -instituutti julkaisi raportin langattomien verkkojen turvallisuudesta [8]. Moni asia on muuttunut viimeisen viiden vuoden aikana, joten Bluetoothin turvallisuuden nykytilaan on syytä tutustua tarkemmin ja etenkin mahdolliset tietoturvauhat ottaa tarkasteluun. Samalla on tarpeen kä-sitellä standardin teknisiä perusteita, sillä monet uhat liittyvät suoraan niihin.

9.1 Bluetoothin perusteet

Bluetooth on avoin standardi lyhyen kantaman langattomaan viestintään. Tekniikan etuina on ylei-sesti pidetty matalia laitekustannuksia ja -tarpeita sekä pientä virrankulutusta [8, s. 4-2]. Lisäksi viestinnän tapahtuessa radioaalloilla vältytään johdoilta signaalin pystyessä lävistämään seiniäkin. Merkittävä etu on myös Bluetoothin kyky kuljettaa sekä puhetta että dataa. Itse asiassa Bluetooth suunniteltiin alun perin nimenomaan korvaamaan kaapelit langattomassa viestinnässä [8, s. 4-3].

Bluetoothin tietoturvauhkien ymmärtämiseksi on tarpeen tuntea perusteet Bluetoothin tarjoamista mahdollisuuksista ja asettamista rajoitteista. Verkon rakenteen lisäksi tutustuminen toimintatiloihin ja yhteydenmuodostamiseen auttaa kokonaiskuvan muodostamisessa.

9.1.1 Bluetooth-verkko Topologialtaan Bluetooth-verkko on väliaikainen ja satunnainen [8, s. 4-1]. Mahdollisia käyttökoh-teita ovat esimerkiksi niin kiinteiden kuin kannettavien laitteiden välille muodostetut lyhytaikaiset yhteydet esimerkiksi tietoa synkronoitaessa laitteiden välille tai liitettäessä matkapuhelimeen lan-gattomasti lisälaite [1]. Tyypillinen rakenne Bluetooth-verkossa on kuitenkin niin sanottu piconet, joka koostuu korkeintaan kahdeksasta laitteesta, joista yksi toimii kyseisen aliverkon isäntänä (mas-

ter) [8, s. 4-1]. Muut laitteet ovat orjia (slave). Bluetooth-standardin mukaan tietty laite voi toimia yhden aliverkon orjana ja toisen isäntänä yhtä aikaa [8, s. 4-2], joten verkkoon voi syntyä hyvinkin pitkiä langattomia yhteysketjuja. Tärkeää on kuitenkin huomata, että yksi laite voi olla yhteydessä korkeintaan seitsemään muuhun laitteeseen kerrallaan.

Viestintään Bluetooth käyttää taajuuskaistaa, joka asettuu 2,4 gigahertsin (Ghz) paikkeille [6]. Ky-seistä taajuutta ei ole varattu pelkästään Bluetoothille, vaan muutkin tekniikat voivat tarvita osaa samasta taajuuskaistasta. Tämän vuoksi käytössä on taajuushyppely (frequency-hopping spread-

spectrum, FHSS), jossa toisiinsa yhteydessä olevat laitteet vaihtavat käyttämään taajuutta noin 1600 kertaa sekunnissa [8, s. 4-3]. Tämä toimii myös osana viestinnän tietoturvaa, sillä salakuuntelijan on vaikea pysyä taajuushyppyjen perässä. Valitettavasti taajuusvaihtelu ei ole aidosti satunnaista (pseudo-random), joten osaava hyökkääjä pystyy selvittämään taajuushyppelyssä käytetyn kaavan [5].

9.1.2 Toimintatilat Läpi standardin yhteisenä piirteenä monille Bluetoothin turvallisuus- ja muille ominaisuuksille näyttää olevan kolmitasoisuus. Tyypillisesti tarjolla on kaksi ääripäätä sekä yksi välitila niiden vä-liltä, joskin ominaisuudesta riippuen tilanne voi olla toinenkin. Jostain syistä luokittelun tasojen jär-jestys vaihtelee: toisinaan taso 1 on tietoturvavaatimuksiltaan tiukin, toisinaan puolestaan taso 3.

Varsinaisten Bluetooth-laitteiden luokitus ei sinällään määrittele toimintatiloja, mutta laitteet on te-honkulutuksensa mukaan jaettu kolmeen luokkaan [8, s. 4-5]. Suurempi teho merkitsee luonnolli-sesti suurempaa signaalin kantamaa, mutta samalla laite kuluttaa enemmän virtaa, mikä voi olla suuri haaste etenkin akkukäyttöisten laitteiden kanssa. Sopiva laite onkin valittava

49

käyttötarkoituksensa mukaan.

Yhdistettävyyden kannalta Bluetooth-standardi mahdollistaa kolme turvallisuustasoa: äänetön, yksi-tyinen ja julkinen. Äänettömässä tilassa laite ei hyväksy mitään yhteyksiä, vaan se vain tarkkailee liikennettä. Yksityinen laite on niin sanotussa näkymättömässä tilassa (non-discoverable), jolloin se vastaa vain laitteille, jotka tuntevat sen tarkan osoitteen. Julkinen laite on näkyvissä kaikille (disco-

verable), jolloin kuka tahansa voi havaita sen ja avata yhteyden. [4, s. 45]

Standardi sisältää myös kolme eri turvallisuustilaa (security mode), joista alhaisin tila 1 ei sisällä mitään turvallisuutta eli laite ei ota käyttöön mitään turvallisuusmekanismeja [4, s. 46]. Tilassa 2 turvallisuus toteutetaan palveluiden tasolla yhteyskanavan muodostamisen jälkeen [8, s. 4-7]. Val-tuuttaminen (authorization) on keskeisessä osassa päätettäessä esimerkiksi tietoturvapolitiikan poh-jalta, onko tietyllä laitteella pääsyoikeus tiettyyn palveluun. Ylimmässä tilassa 3 turvallisuusmeka-nismit toteutetaan ennen yhteyskanavan avaamista yhteyttä muodostettaessa linkkitasolla välittä-mättä, onko turvallisuudesta huolehdittu sovellusten tasolla [8, s. 4-8].

Turvallisuustilojen lisäksi Bluetooth määrittelee laitteille kaksi luottamustasoa ja palveluille kolme eri tasoa. Laite voi olla luotettu tai ei-luotettu. Luotetuilla laitteilla on kiinteä suhde ja täysi pääsy palveluihin, kun ei-luotetuilta tämä suhde puuttuu ja pääsy on rajattua. Korkeimmalla palvelutasolla 1 (service level) laitteilta vaaditaan sekä tunnistus (authentication) että valtuutus (authorization). Ainoastaan luotetut laitteet saavat automaattisen valtuutuksen, muilta vaaditaan manuaalinen hy-väksyntä. Keskimmäisellä palvelutasolla laitteen tarvitsee vain tunnistautua. Alimmalla tasolla ei rajoituksia aseteta – ja kuka tahansa saa käyttää palvelua. [8, s. 4-13]

Salauksellekin on tarjolla kolme tilaa (encryption mode), joista alimmalla ei salata mitään liikennet-tä. Keskimmäisellä tasolla ei salata yhteistä broadcast-liikennettä, mutta kahden laitteen välinen lii-kenne salataan niiden välisellä linkkiavaimella, johon tutustutaan tarkemmin yhteydenmuodostami-sen yhteydessä. Korkeimmalla tasolla kaikki liikenne salataan. [8, s. 4-12]

9.1.3 Yhteydenmuodostaminen Muodostettaessa Bluetooth-yhteyttä kahden laitteen välille, molempien laitteiden on ensin löydettä-vä toisensa, mikä edellyttää normaalitilanteessa kummankin laittamista turvallisuustasoltaan ylei-seksi eli näkyviksi (discoverable). Tällöin laitteet tuntevat toistensa osoitteet. Tämän jälkeen turval-lisuus perustuu siihen, että yhteys muodostetaan sarjana tapahtumia, joista yksikään ei tarjoa sala-kuuntelijan kannalta olennaista tietoa [4, s. 46].

Kokonaisuutena yhteydenmuodostamisprosessia kutsutaan laitteiden parittamiseksi. Karkeasti otta-en se koostuu kahdesta vaiheesta: ensin laitteet luovat tahoillaan oman avaimensa ja tämän jälkeen ne tunnistautuvat (authentication). Aluksi kumpaankin laitteeseen on syötettävä sama PIN-tunnus (personal identification number) [4, s. 45]. PIN voi olla kiinteä tai vapaasti valittava sekä pituudel-taan yhdestä kuuteentoista tavuun [8, s. 4-8]. Kumpikin laite luo tämän jälkeen tahoillaan link-kiavaimen (link key), jota tarvitaan myöhemmin tunnistautumiseen [8, s. 4-9]. Linkkiavaimesta voi-daan edelleen muodostaa salausavain, jota voidaan myöhemmin käyttää viestinnän salaamiseen [5].

Linkkiavaimesta on tarjolla erilaisia versioita. Se voi olla väliaikainen isäntäavain (master key), jota käytetään piconetin isännän halutessa lähettää tietoa useille orjille [5]. Linkkiavain voi olla myös varsin pysyvä (semi-permanent) yksikkö- (unit key) tai yhdistelmäavain (combination key). Ensim-mäinen näistä on toisen yhdistettävistä laitteista oma avain, jota molemmat laitteista käyttävät yh-teisen salausavaimen luomiseen [5]. Yksikköavaimen käyttöä ei kuitenkaan suositella, sillä yleensä sitä on käytetty tilanteissa, joissa toinen laitteista ei ole kyennyt tallentamaan ylimääräisiä avaimia [4, s. 48]. Tällöinhän samaa yksikköavainta joudutaan käyttämään joka kerta. Yhdistelmäavain muodostetaan käyttämällä salausavaimen muodostamiseen kummankin laitteen omia yksikkö-

50

avaimia.

Kaikkien yllä kuvattujen avaimien käyttö edellyttää, että laitteiden välillä on ollut jo liikennettä, jotta välitettävät avaimet on kyetty salaamaan yhteyden ajaksi salausavaimella. Mikäli kyse on en-simmäisestä yhteydestä, laitteiden on luotava väliaikainen linkkiavain, jota kutsutaan alus-tusavaimeksi (initialization key). Sen luomiseen käytetään syötettyä PIN-tunnusta, yhteydenavaa-mista pyytäneen laitteen Bluetooth-osoitetta ja laitteiden salaamattomana keskenään jakamaa satun-naislukua [5]. Muodostettua avainta voidaan käyttää varsinaisen linkkiavaimen välittämiseen, min-kä jälkeen alustusavain hylätään [5]. Alustusavaimen muodostaminen tapahtuu poikkeavasti tilan-teissa, joissa PIN-tunnus on täydet 16 tavua pitkä, sillä tällöin alustusavain muodostetaan käyttä-mättä Bluetooth-osoitetta [4, s. 48]. Toinen poikkeus on, ettei koskaan käytetä kiinteällä PIN-tunnuksen varustetun laitteen osoitetta, vaan tällöin käytetään aina apuna toisen osapuolen osoitetta [4, s. 48].

Olipa kyse ensimmäisestä yhteydestä tai ei, tunnistautuminen perustuu haaste-vaste-menetelmään, jossa yhteydenavaaja pyrkii osoittamaan, että sillä on sama linkkiavain kuin toisella osapuolella. Vastapuoli luo satunnaisluvun, jonka se välittää salaamattomana yhteyttä pyytäneelle, joka muodos-taa vasteen käyttäen saamaansa satunnaislukua, omaa Bluetooth-osoitettaan ja linkkiavainta sekä palauttaa arvon takaisin vastapuolelle. Vastapuoli varmistaa, saako se omalla linkkiavaimellaan sa-man tuloksen. Mikäli tulos on sama, tunnistautuminen on suoritettu. Muuten laitteet odottavat eks-ponentiaalisesti kasvavan ajan ennen uutta yritystä. [8, s. 4-10 – 4-11]

9.2 Turvallisuusuhkia

Vuonna 2002 julkaistu NIST:n (National Institute of Standards and Technology) raportti langatto-mien verkkojen turvallisuudesta käsitteli muiden tekniikoiden ohella myös Bluetoothin turvallisuut-ta [8]. Bluetooth-standardi oli kuitenkin tuolloin vain kolme vuotta vanha [4, s. 52] eikä tekniikkaa tukevia päätelaitteitakaan ollut vielä kovin paljon. Raportin listaamat haavoittuvuudet ovatkin tä-män vuoksi enemmän oletuksia mahdollisista uhista sen sijaan, että niille olisi löydetty minkäänlai-sia todellisia toteutuksia. Yhdysvaltain liittovaltion virastoille suunnattuna raportti sisältää tarkistus-listan, joka pelkän teknisen puolen lisäksi nostaa esiin hallinnollisen ja operatiivisen näkökulman haavoittuvuuksiin [8, s. 4-21]. Mukana on ohjeistusta lähtien turvallisuusauditoinnista aina tietotur-vapolitiikan muodostamiseen. Tavoitteena on nyt saada kokonaisnäkemys nykyisistä Bluetooth-tekniikkaa uhkaavista haavoittuvuuksista, jolloin vuosia sitten oletettujen ongelmien tutkimisen si-jaan on kehittävämpää tutustua tutkimuksissa ja kirjallisuudessa viime vuosina mainittuihin todelli-siin uhkiin. Tämän vuoksi jatkossa lähinnä verrataan, osattiinko NIST:n raportissa aikanaan joten-kin huomioida nykyään todellisiksi nousseet uhat. Luonnollisestikaan kaikkia tunnistettuja uhkia ei tässä voida käsitellä, mutta merkittävimmät nostetaan esiin.

Turvallisuusuhkien jaottelussa on hyödynnetty Keijo M. J. Haatajan tammikuussa 2007 julkaise-massaan lisensiaattityössään Evaluation of the Current State of Bluetooth Security [4] esittelemää jaottelua. Haataja erottelee toisistaan paljastumisuhat, eheysuhat ja palvelunestouhat sekä uhat, jot-ka eivät selvästi sovi yhteen kategoriaan [4, s. 52]. Paljastumisuhilla viitataan tiedon vuotamista sa-lakuuntelijalle, jolla ei ole siihen oikeutta. Eheysuhissa vaarana on tiedon tietoinen, pahantahtoinen muokkaaminen. Palvelunestossa on nyt kyse palveluun oikeutetun käyttäjän täydestä tai osittaisesta pääsynestosta kyseiseen palveluun. Jaottelu noudattaa siis tietoturvallisuuden alalta tuttua luotta-muksellisuuden, eheyden ja saatavuuden erottelua – näkökulma on vain toinen.

9.2.1 Paljastumisuhkia BlueSnarf-hyökkäys perustuu joidenkin matkapuhelimien heikkoon Bluetooth-standardin toteutta-miseen [4, s. 53]. Hyökkääjä saattaa tällöin saada yhteyden laitteeseen käyttäjän huomaamatta ja saada nähtäväkseen laitteeseen tallennettua tietoa [9]. Tarkemmin ottaen taustalla on heikkous tie-donsiirtoon käytettävässä protokollassa [4, s. 53], jonka tiedon lataamiseksi päätelaitteesta tarkoitet-

51

tuja komentoja ei ole oikein toteutettu vanhoissa laitteissa [1]. BlueSnarf on kuitenkin yksi niistä hyökkäyksistä, joiden olemassaolon tunnustaa myös standardin kehityksestä vastaava Bluetooth SIG [3]. Monissa lähteissä parhaaksi suojautumiskeinoksi nostetaan laitteen pitäminen muulla kuin julkisella turvallisuustasolla. NIST huomioi tämäntyyppiset hyökkäykset vuonna 2002 lähinnä ke-hottamalla pitämään Bluetooth kokonaan poispäältä, kun sitä ei tarvittu [8, s. 4-23].

Toinen Bluetooth SIG:n vahvistama paljastumisuhkaan johtava hyökkäys on Bluejacking [3]. Kyse on oikeastaan varsin perinteisestä social engineering -tekniikkaan perustuvasta tavasta saada käyttä-jä itse hyväksymään pahantahtoinen Bluetooth-yhteydenavaamispyyntö. Laitteita paritettaessa ne kertovat toisilleen nimensä, mutta hyökkääjä voi lisätä nimen tilalle viestin, jolla käyttäjä yritetään huijata hyväksymään yhteys [7]. Bluejacking ei sinällään vielä johda arkaluontoisten tietojen paljas-tumiseen, mutta sen kautta hyökkääjä saa pääsyn käyttäjän laitteeseen ja sen sisältöön. Luonnolli-sesti paras puolustus on kieltäytyä kaikista odottamattomista yhteydenavaamispyynnöistä ja lisäksi pitää laite näkymättömänä (non-discoverable) [3]. NIST suosittelee käyttäjien valistamista ja tiu-kasti valvottavien tietoturvapolitiikkojen käyttöä [8, s. 4-17].

Kuten aiemmin jo todettiin, ensimmäisen linkkiavaimen eli alustusavaimen muodostamiseen tarvi-taan vain yhteydenavaamista pyytävän laitteen Bluetooth-osoite, PIN-tunnus ja salaamattomana ja-ettu satunnaisluku haaste-vaste-menetelmää varten. Hyökkääjän on helppo nähdä satunnaisluku ja osoitteenkin selvittäminen ei ole suuri haaste, sillä se välitetään usein selväkielisenä [1]. PIN-tunnus on ainoa jäljelle jäävä salaisuus, joten hyökkääjän tuntiessa muiden muuttujien arvot voi tämä yrit-tää raakaa voimaa käyttäen yrittää löytää oikean PIN-tunnuksen arvon. NIST suosittelee mahdolli-simman pitkien PIN-tunnusten käyttöä [8, s. 4-13], mutta usein käytetään kuitenkin lyhyitä arvoja, jolloin hyökkääjällä on varsin vähän arvoja kokeiltavanaan. PIN-tunnuksen paljastuttua hyökkääjä voi tekeytyä oikeaksi käyttäjäksi käyttämällä tämän Bluetooth-osoitetta. Tässä vaiheessa oikea lai-tepari on todennäköisesti siirtynyt jo vahvemman linkkiavaimen käyttöön, mutta tekeytymällä toi-seksi laitteista hyökkääjä voi pyrkiä käynnistämään uudelleen paritusprosessin. Tämä onnistuu esi-merkiksi toiseksi tekeytyneeltä hyökkääjältä väittämällä kadottaneensa linkkiavaimen [4, s. 54]. Uuden yhteydenmuodostuksen yhteydessä hyökkääjä voi sitten pyrkiä ottamaan tavalla tai toisella oikean laiteparin toisen osapuolen aseman. PIN-tunnuksen paljastuminen alustusavainta käytettäes-sä on selvästi Bluetooth-tekniikan suurimpia heikkouksia, johon NIST:kin kehottaa varautumaan tekemällä alkuperäisen parituksen ympäristössä, jossa vihamielisiä tahoja ei ole [8, s. 4-24]. Erityi-sen tarkkana on oltava yksinkertaisissa laitteissa käytettävien kiinteiden PIN-tunnusten kanssa, sillä kerran paljastuessaan peli on niiden osalta menetetty [8, s. 4-18].

Pelkän päätelaitteen tietosisällön sijaan hyökkääjä voi olla kiinnostunut käyttäjän liikkeistä tai pää-telaitteen sijainnista. Tällaiseen tavoitteeseen pyrkivästä hyökkäyksestä käytetään yleisesti nimeä Wardriving [7]. Hyökkäys perustuu siihen, että jokaisessa lähetetyssä paketissa on lähettäjän ja vas-taanottajan osoite [10]. Jo kolmella salakuuntelulaitteella voidaan varsin tarkasti paikantaa käytetty päätelaite [2]. Vaikka hyökkäys ei sinällään paljasta mitään päätelaitteen sisällöstä, liikkeiden seu-raamista voidaan pitää yksityisyyttä loukkaavana. Esimerkiksi supermarket voisi seurata käyttäjien liikkeitä ja tehdä näiden liikkeiden pohjalta analyysin tuotteiden kiinnostavuudesta. Oikeastaan ai-noa tapa suojautua hyökkäykseltä on pitää Bluetooth pois päältä, kun sitä ei tarvita. NIST suositte-lee samaa yleiselläkin tasolla [8, s. 4-23].

9.2.2 Eheysuhkia Peilaushyökkäyksessä (reflection attack) hyökkääjä tekeytyy kohdepäätelaitteeksi ja välittää lähet-täjältä saamansa viestin sellaisenaan [4, s. 56]. Tekeytyminen voi olla yksi- tai kaksisuuntaista riip-puen siitä, pyrkiikö hyökkääjä tekeytymään molempien vai vain toisen oikean päätelaitteen suun-taan. Käytännössä ainoa tarvittava tieto on huijattavien päätelaitteiden osoitteet, sillä sen avulla Bluetooth-paketit voidaan ohjata haluttuun kohteeseen. Luonnollisesti hyökkäyksen onnistuminen edellyttää, etteivät hyökkäyksen kohteena olevat päätelaitteet kuule toisiaan [4, s. 56]. Peilaushyök-käys ei sisällä minkäänlaista salauksen purkamista, joten se on mahdollinen vain yhteyden turvalli-

52

suustilan ollessa matalin eli suojaamaton. NIST:n raportti huomioi tämän kaltaisen man-in-the-

middle-hyökkäyksen [8, s. 4-16] ja kehottaa suojautumaan huolehtimalla, ettei laitteiden ympäris-tössä ole luvattomia laitteita [8, s. 4-23]. Kuitenkin tässä ja aiemmin esitellyssä paikannushyökkä-yksessä tehdään oletus, että hyökkääjä pelaa samoilla säännöillä kuin muutkin. Näin ei ole kuiten-kaan pakko olla, vaan esimerkiksi korvaamalla Bluetooth-salakuuntelulaitteensa antennin suurem-malla hyökkääjä voi tehokkaasti rikkoa standardin asettamat kantamarajoitukset [2].

Takaoven käyttäminen hyökkäämiseen on tietoturvallisuuden alalla hyvin tunnettu tapa murtautua sisään järjestelmään. Bluetoothin kohdalla tämä tapahtuu tavalla tai toisella hankkimalla hyökkää-jän päätelaitteelle luotettavuustaso luotettu kohdepäätelaitteeseen, jolloin kohdepäätelaite ei myö-hemmin kysele lupaa yhteyden avaamiseen [4, s. 57]. Tärkeää on huolehtia, ettei hyökkääjän pääte-laite näy myöskään hyökkäyksen kohteena olevan laitteen paritettujen laitteiden listalla herättämäs-sä epäilyksiä [7]. Mikään lähde ei kerro tarkkaa tapaa tämän toteuttamiseen, mutta luultavammin kyse on joissakin laitteissa esiintyvästä ohjelmistoviasta, sillä se voidaan korjata päivityksellä [4, s. 57]. Päätelaitteen hankkiminen käytettynä [9] tai voittaminen hämärissä olosuhteissa voi myös joh-taa haavoittuvuuden toteutumiseen. NIST ei suoraan huomioi takaovia, mutta antaa monia ohjeita, joita noudattamalla vaara pienenee: esimerkiksi päivityksistä huolehtiminen [8, s. 4-25] ja laitteiden yleinen suojeleminen peukaloinnilta [8, s. 4-23].

9.2.3 Palvelunestouhkia Palvelunestohyökkäykset ovat varsin tavallinen tietoturvarikkomus ja NIST:n raportti tunnistaa ne yhtenä saatavuuden vastaisena uhkana Bluetooth-verkoissa [8, s. 4-17]. Käytetyt lähteet luokittele-vat palvelunestouhan tarkemmin jakaen sen karkeasti kahteen luokkaan: itse laitteen tukahduttami-nen ja verkon tukkiminen. Bluetooth-päätelaitteet toimivat usein akkuvirralla, joten niiden kannalta mahdollisimman pieni tehonkäyttö olisi suotavaa. Hyökkääjä voi kuitenkin pyrkiä tekemään laitteen käyttökelvottomaksi kuluttamalla sen akun loppuun [4, s. 60] ja tämän jälkeen esimerkiksi tekeyty-mällä laitteeksi. Turhaa, akkua kuluttavaa liikennettä hyökkääjä saa aikaan esimerkiksi kuittaamalla jatkuvasti saamiensa viestien vastaanoton epäonnistuneeksi saaden aikaan uudelleenlähetyssilmu-kan. Eräs toinen tapa tukkia päätelaite on täyttää sen epäonnistuneiden yhteydenavausten lista käyt-tämällä jokaisella kerralla eri Bluetooth-osoitetta. Listan koolle ei ole määritetty ylärajaa, joten muistin loppuessa hyökkäyksen kohteena oleva päätelaite todennäköisesti kaatuu [10].

Bluetooth-verkonkin voi tukkia monin tavoin. Standardin määrittämä taajuuskaista ei ole varattu pelkästään Bluetoothille, joten tämän tunnetun kaistan täyttäminen muulla liikenteellä on tehokas tapa jumiuttaa koko verkko [8, s. 4-17]. Toinen tapa on pyytää itselleen mahdollisimman korkea siirtonopeus tai pieni latenssi, jolloin hyökkääjän liikenne menee kaiken muun edelle [4, s. 60]. Eräs menetelmä on haaste-vaste-menetelmän häiritseminen päätelaitteiden tunnistautuessa yhteyttä avat-taessa. Mikäli vasteen lähettäjän osoite tunnetaan, voi hyökkääjä tekeytyä täksi ja lähettää haastee-seen täysin satunnaisen vastauksen ennen oikeaa vastaajaa, jolloin haastaja tulkitsee yhteydenavaa-misen epäonnistuneeksi – ja kaikki on aloitettava uudelleen alusta [10]. Valitettavasti mikään lähde ei tarjoa näille hyökkäyksille selkeitä vastatoimia.

9.2.4 Muita turvallisuusuhkia Bluetooth-verkkoa vastaan on kehitetty jo käsiteltyjen uhkien lisäksi muitakin hyökkäyksiä, joista osa on vaikea sijoittaa selkeästi mihinkään yllä kuvattuun kategoriaan. Esimerkiksi päätelaitteeseen voidaan ujuttaa jollakin aiemmin kuvatulla tavalla mato tai virus, joka tapauksesta riippuen saattaa vaikuttaa niin luottamuksellisuuteen, eheyteen kuin saatavuuteenkin [4, s. 62]. Mikäli hyökkäyksen kohteena olevassa päätelaitteessa on kiinteä tai hyvin lyhyt PIN-tunnus, voi hyökkääjä pyrkiä aktii-visesti arvaamaan sitä. Vaihtamalla joka yrityksen jälkeen Bluetooth-osoitettaan hyökkääjä välttää odotusajan eksponentiaalisen kasvun epäonnistuneiden yritysten välillä [4, s. 61]. Mikään lähde ei tunne tälle hyökkäykselle suojautumiskeinoja.

53

Kolmas Bluetooth SIG -yhteenliittymän tunnustama tietoturvauhka on Bluebugging [3]. Kyse on nimensä mukaisesti ohjelmistovirheestä, jonka johdosta hyökkääjä voi muodostaa kohdepäätelait-teeseen sarjaporttityyppisen yhteyden [7, s. 26]. Tällöin haavoittuneeseen laitteeseen voidaan lähet-tää vapaasti yhteyskomentoja, joilla käyttäjän huomaamatta voidaan käyttää monia päätelaitteen toimintoja [9]. Esimerkiksi viruksen lataaminen olisi helppoa. Ongelma korjautuu onneksi helposti ohjelmistopäivityksellä [4, s. 63]. Bluebugging eroaa Bluesnarfing-hyökkäyksestä siinä, että jäl-kimmäisessä pystytään vain lataamaan päätelaitteesta sisältöä – edellisessä uhat ovat laajemmat [7].

Käyttäjä on usein tietoturvallisuuden heikoin lenkki. NIST kehottaa liittovaltion virastoja panosta-maan myös käyttäjien kouluttamiseen [8, s. 4-23]. Samoin kuin salasanojen kohdalla käyttäjät ovat taipuvaisia valitsemaan helposti muistettavia PIN-tunnuksia [8, s. 4-13], vaikka PIN-tunnus on alus-tusavainta muodostettaessa heikoin kohta. Monilla ihmisillä on lisäksi verrattain vähän tietoa ja ko-kemusta Bluetooth-päätelaitteiden asetusten säätämisestä, jolloin tahattomiakin tietoturvariskejä voi syntyä. Onneksi Bluetooth on yleensä oletuksena pois päältä. Valitettavasti päälle kytkettäessä ole-tusasetukset ovat usein huonot: turvallisuustasona julkinen ja alhaisin turvallisuustila ilman mitään turvamekanismeja [4, s. 70]. Tämä osaltaan selittää käyttäjien valistuksen tarvetta.

9.3 Yhteenveto

Langaton Bluetooth-tekniikka tarjoaa teoriassa monipuoliset mahdollisuudet säätää päätelaitteiden asetukset vastaamaan tietoturvapolitiikkaa. Erilaiset toimintatilat auttavat luomaan turva-asetuksista halutunlaisen yhdistelmän. Valitettavasti Bluetooth-standardiin sisältyy myös haavoittuvuuksia, jot-ka voivat johtaa tietoturvallisuuden murtumiseen. Etenkin ensimmäistä kertaa yhteyttä muodostet-taessa eli kahta laitetta paritettaessa on merkittävä uhka, että hyökkääjä onnistuu paljastamaan tun-nistautumisessa apuna käytetyn PIN-tunnuksen.

NIST:n raportin Bluetooth-osuuden ajantasaistaminen osoittaa raportin osanneen huomioida jo vuonna 2002 monia samoja uhkia kuin uudemmatkin lähteet. Yhdistelemällä useiden uusien lähtei-den havaintoja saadaankin koottua kattava kokonaiskuva Bluetoothin turvallisuuden nykytilasta. Tietoturvauhkien jaottelu eri kategorioihin mahdollisten seurausten mukaan selkeyttää osaltaan ko-konaisuutta tukeutuen perinteiseen luottamuksellisuuden, eheyden ja saatavuuden erotteluun. Pal-jastumisuhat saattavat johtaa tiedon vuotamiseen salakuuntelijalle. Eheysuhat saattavat johtaa tie-don tietoiseen, pahantahtoiseen muokkaamiseen. Mikäli palveluun oikeutetun käyttäjän pääsy pyri-tään estämään kokonaan tai osittain, puhutaan palvelunestouhista. Lisäksi on uhkia, jotka eivät sel-keästi kuulu mihinkään kategorioista.

9.4 Lähteet

[1] Bialoglowy, M. (2005) Bluetooth Security Review, part 1. [Viitattu 3.5.2007]. Saatavilla: <URL: http://www.securityfocus.com/infocus/1830 >.

[2] Bialoglowy, M. (2005) Bluetooth Security Review, part 2. [Viitattu 3.5.2007]. Saatavilla: <URL: http://www.securityfocus.com/infocus/1836 >.

[3] Bluetooth SIG. (2007) Wireless Security. [Viitattu 3.5.2007]. Saatavilla: <URL: http://www.bluetooth.com/Bluetooth/Learn/Security >.

[4] Haataja, K. M. J. (2007) Evaluation of the current state of Bluetooth security. Licentiate Thesis. Department of Computer Science, Faculty of Business and Information Technology, University of Kuopio. Saatavilla: <URL: http://www.cs.uku.fi/tutkimus/aly/Evaluation_of_the_Current_State_of_Bluetooth_Security.pdf>.

[5] Hager, C. T., Midkiff, S. F. (2003) An analysis of Bluetooth security vulnerabilities. In Wi-reless Communications and Networking, 2003. WCNC 2003. IEEE. Volume 3, 1825-1831.

54

ISBN 0-7803-7700-1.

[6] Hager, C. T., Midkiff, S. F. (2003) Demonstrating vulnerabilities in Bluetooth security. In Global Telecommunications Conference, 2003. GLOBECOM '03. IEEE. Volume: 3, 1420-1424. ISBN 0-7803-7974-8.

[7] Janssens, S. (2005) Bluetooth Security. Preliminary Study. Vrije Universiteit Brussel. Saa-tavilla: <URL: http://ftp.vub.ac.be/~sijansse/2e%20lic/BT/Voorstudie/PreliminaryStudy.pdf>.

[8] Karygiannis, T., Owens, L. (2002) Wireless Network Security. 802.11, Bluetooth and Handheld Devices. Special Publication 800-48. Recommendations of the National Institute of Standards and Technology. Computer Security Division, Information Technology Labo-ratory, National Institute of Standards and Technology, Gaithersburg, MD, USA. Saatavilla: <URL: http://csrc.nist.gov/publications/nistpubs/800-48/NIST_SP_800-48.pdf>.

[9] Rivertz, H. J. (2005) Bluetooth Security. Norsk Regnesentral. Saatavilla: <URL: http://publications.nr.no/Security%20discussion%20of%20the%20Bluetooth.pdf>.

[10] Singelée, D., Preneel, B. (2004) Security Overview of Bluetooth. COSIC Internal Report. Saatavilla: <URL: http://www.cosic.esat.kuleuven.be/publications/article-565.pdf>.

55

10 Luottamuksen muodostaminen langattomassa ympäristössä

10.1 Mitä on luottamus?

Tietoturvallisuuden piirissä luottamukselle on annettu useita määritelmiä ja tulkintoja. Esimerkiksi RFC 2828:n mukaan järjestelmän luottamus perustuu oletukselle, että järjestelmä tekee sen, minkä väittää tekevänsä eikä suorita toimintoja, joita ei ole haluttu [1]. Toisaalta Grandison sanoo, että se on lujaa uskoa entiteetin kykyyn toimia luotettavasti, turvallisesti ja toimintavarmasti määritellyssä ympäristössä [2]. Jälkimmäisessä määrittelyssä on oleellista huomata, että se puhuu luottamuksesta tietyssä ympäristössä eli luottamus on sidottu kulloiseenkin asiayhteyteen ja muutokset tässä kon-tekstissa voivat vaatia luottamukseen perustuvien päätösten uudelleenarviointia. Esimerkiksi verk-kovierailussa käyttäjä saattaa luottaa vieraillun verkon kotiverkolle tuottamiin laskutustietoihin, mutta toisaalta salata operaattorilta oman hyötyliikenteensä käyttämällä VPN-pohjaista etätyö-ratkaisua. Lisäksi on hyvä huomata, että määrittelyissä käytetään sanoja kuten oletus ja usko, mikä viittaa tietyn tason epävarmuuteen ja subjektiivisuuteen. Tämä epävarmuus täytyy ottaa huomioon arvioitaessa, millaisia riskejä erilaiset luottamussuhteet muodostavat ja ovatko nämä riskit ottami-sen arvoisia.

Luottamuksen voidaan nähdä perustuvan seuraaville periaatteille [3]:

� Sokea luottamus

� Luottamus maineeseen

� Kontrolliin ja rangaistukseen perustuva luottamus

� Politiikan toimeenpanoon (policy enforcement) perustuva luottamus

Sokea luottamus perustuu yleensä henkilökohtaiseen arviointiin, eikä sen perustana välttämättä ole mitään ennakkotietoa. Maine taas puolestaan on usein riittävä peruste luottamukselle. Esimerkiksi tunnettu tuotemerkki voi luoda luottamusta tuotteen turvallisuudesta. Maine voi tietenkin olla myös negatiivista ja näin ollen luoda epäluottamusta. Kontrolli ja rangaistus ovat yhteiskunnan perusme-kanismeja, joilla varmistetaan että henkilöt voivat luottaa toisten henkilöiden tekemiin toimintoihin. Esimerkiksi allekirjoitetun sopimuksen rikkominen aiheuttaa sanktioita yhteiskunnan toimesta. Po-litiikan valvonnassa itse järjestelmä taas puolestaan vastaa siitä että laittomat toiminnot eivät edes ole mahdollisia, mikä mahdollistaa luottamuksen ko. toimintoihin sikäli kun luottamus järjestel-mään on olemassa. Yleensä tämä tarkoittaa jollain tavalla suljettuja turvajärjestelmiä, kuten esimer-kiksi matkapuhelimen SIM-kortti. Yllä olevaan listaan voitaisiin myös lisätä kompensaatioon perus-tuva luottamus. Esimerkiksi siis rahallinen korvaus voi olla omiaan luomaan luottamusta tiettyjen toimintojen suorittamiseen.

Edellä mainittuja asioita voidaan tarkastella myös entiteettien suhteiden kautta ja erityisesti suhtees-sa siihen, kuinka entiteetit muodostavat keskinäisen luottamuksensa teknisessä mielessä. Luotta-mussuhde voi olla suora tai opportunistinen, jossa on voimakkaasti mukana tietyn tason "sokeus". Toisaalta luottamussuhteita voidaan rakentaa myös kolmannen osapuolen kautta, johon kommuni-koivilla osapuolilla on kahdenvälinen suhde perustuen esimerkiksi maineeseen tai yhteiskunnan kontrolliin. Näitä luottamussuhteita voidaan myös mallintaa erilaisilla luottamusmalleilla, joiden avulla voidaan tarkastella eri entiteettien välistä luottamusta ja niihin liittyviä oletuksia ja uhkaku-via. Lisäksi luottamusmalleja voidaan tarkastella kahdesta eri näkökulmasta: entiteetin tai järjestel-män kannalta. Entiteetin kannalta tarkastelu rajoittuu sen omaan näkemykseen kumppaneistaan, mi-hin voi sisältyä erilaisia laskennallisia malleja. Tätä voidaan kutsua myös kvantitatiiviseksi näke-mykseksi. Tarkastelu voidaan myös tehdä korkealla tasolla eli "lintuperspektiivistä". Tässä kvalita-tiivisessa tavassa tarkastellaan järjestelmää kokonaisuutena ja pyritään globaaliin näkemykseen toimijoiden suhteista [4].

Osapuolten väliseen luottamukseen liittyvät myös oleellisesti autentikointi ja auktorisointi. Periaat-teessahan luottamus kohdistetaan johonkin tunnet- tuun vastapuoleen eli vastapuolella on jokin

56

nimi tai tunniste. Autentikointi todentaa, että osapuoli todellakin on se joksi itseään väittää. On kui-tenkin syytä huomata, että tämä voi vaarantaa yksityisyyden, ts. autentikoituva osapuoli ei välttä-mättä haluaisi kaikissa tilanteissa paljastaa identiteettiään. Nämä vaatimukset voivat tuntua ristirii-taisilta, mutta itse asiassa luottamusta ei välttämättä tarvitse perustaa tiedettyyn identiteettiin, vaan se voidaan kohdistaa tiettyihin toimiin. Toisin sanoen, osapuoli on auktorisoitu tekemään jonkin toiminnon, jolloin luotetaan osapuolen toimien olevan politiikan mukaisia. Yleensä tämä käytän-nössä tarkoittaa sitä, että jokin luotettu kolmas osapuoli on arvioinut luottamuksen kohteena olevan tahon toimivan toiminteen suhteen käytössä olevan politiikan mukaisesti ja myöntänyt toimintee-seen oikeuttavan valtuutuksen. On kuitenkin hyvä muistaa, että useat järjestelmät luottavat pelkäs-tään autentikointiin arvioidessaan käyttäjien oikeuksia. Esimerkiksi GSM-järjestelmässä käyttäjän autentikointi implisiittisesti auktorisoi käyttäjälle GSM-verkon palvelut.

Usein tietoliikennejärjestelmissä luottamuksen ilmentymä on osapuolten välille muodostunut turva-assosiaatio, joka määrittelee mm. käytössä olevat salausavaimet. Tällöin oleellinen vaihe luotta-muksen muodostamisessa on ollut osapuolten välillä suoritettu avainten vaihto, johon voi sisältyä myös osapuolten autentikaatio. Sikäli kun avainten vaihto on suoritettu turvallisesti ja protokollassa ei ole muita heikkouksia, osapuolet voivat jatkossa luottaa siihen, että kyseisillä avaimilla suoritetut operaatiot ovat saman osapuolen suorittamia. Lopullinen luottamus vastapuoleen muodostuu kui-tenkin sen perusteella, onko avaimenvaihtoon liittynyt muuta luotettua tietoa, kuten vaikkapa kol-mannen osapuolen vakuutuksia.

Langattomissa ympäristöissä luottamuksen muodostamisella on omat erityispiirteensä, vaikka hyvin pitkälle onkin kyse samoista prosesseista, joita käytetään myös langallisten verkkojen parissa. Pe-rinteiset uhkamallit soveltuvat molempiin tapauksiin, sillä useimmiten oletuksena on, että kommu-nikointimedia on hyökkääjäosapuolen kontrollissa, jolloin viestien salakuuntelu ja muuttaminen ovat mahdollisia. Langattomuus tuo kuitenkin mukanaan liikkuvuuden, jonka takia verkkoonliitty-mispiste voi vaihdella maantieteellisesti laajasti, eikä kaikissa tapauksissa ole mahdollista saada saman tason liitettävyyttä (connectivity). Tällöin ei esimerkiksi ole mahdollista saada yhteyttä tur-vallisuusinfrastruktuureihin tai muihin kotiverkkoihin, joita perinteisesti on käytetty luottamuksen muodostamisessa toisilleen vieraiden osapuolten kesken. Osapuolet voivat muodostaa keskenään adhoc-verkkoja, jotka voivat olla täysin erillisiä verkkoja ja elää omaa elämäänsä muista verkoista riippumatta. Jos kaikki osallistuvat osapuolet ovat toisilleen ennestään tuntemattomia, luottamuksen muodostaminen voi olla haasteellista.

10.2 Mihin luottamusta tarvitaan?

On tietysti helppo sanoa, että turvallinen liikennöinti vaatii luottamusta osapuolten välillä, mutta tämä ei oikeasti vielä kerro yhtään mitään. Itse asiassa se on omiaan lisäämään sekaannusta, jos kaikille osapuolille ei ole täysin selvää. mitä sillä tarkoitetaan. Usein järjestelmien suunnittelussa käytetään termejä kuten luottamus ja turvallinen ilman, että mietitään, mitä niillä lopultakin tarkoi-tetaan.

Yksinkertaisin kohde lienee kuitenkin osapuolten välisen liikenteen turvaaminen. Osapuolilla siis täytyy olla luottamus siihen, että toinen osapuoli todellakin on se, jonka kanssa he haluavat liiken-nöidä. Lisäksi lisätavoitteena voi olla, että muut osapuolet eivät pääse osallisiksi liikenteeseen mil-lään tavoin. Tämä siis tarkoittaa myös viestinnän luottamuksellisuutta, joka usein ilmenee liikenteen salaamisena.

Osapuolten välinen luottamus voi myös liittyä resurssien hallintaan. Resurssin omistaja haluaa var-mistaa resurssin oikeanlaisen käytön, ts. sitä käyttävät vain oikeutetut tahot. Oleellisesti tähän liitty-vät pääsyoikeudet ja väärinkäytösten estäminen, johon tärkeänä osana kuuluu palveluneston välttä-minen tai ainakin sen uhan vähentäminen. Tyypillisesti omistaja myös haluaa jonkinlaisen kompen-saation resurssin käytöstä, mikä yleensä tarkoittaa rahallista korvausta.

Rahan tullessa peliin on tietenkin olennaista, että kuka lopultakin maksaa ja se että, onko osapuolil-la luottamus siihen, että joku todellakin on valmis maksamaan resurssin käytöstä ja näin olleen kor-vaamaan resurssin käytöstä aiheutuneet kulut. Luottamusta voidaan siis tarvita laskutuksen

57

kohdistamista varten. Tähän liittyvät myös erilaiset ansaintalogiikat ja liiketoimintamallit, joista seuraa minkä tason luottamus osapuolten välille muodostuu. Kertakorvaus voi oikeuttaa vain jonkin tietyn toiminnon suorittamiseen tai se voi olla prepaid-tyyppinen, jolloin luottamus on olemassa niin kauan kuin "tilillä" on katetta. Tässä tapauksessa varsinainen käyttäjä tosin joutuu ottamaan suuremman luottamusaskeleen, sillä hänellä on vain usko siihen, että hän jatkossa saa rahamäärää vastaavan määrän palvelua, ts. hän kantaa suuremman riskin. Esimerkiksi matkapuhelinlaskutukses-sa Suomessa on kuitenkin tyypillisintä jälkikäteen maksatus, ts. luotetaan siihen että asiakas maksaa jälkikäteen aiheuttamansa kulut. Vaikka tätä voitaisiinkin pitää rajattomana luottamuksena, niin käytännössä kuitenkin ylettömän suuret kulut ovat omiaan laukaisemaan operaattorien riskinhallin-nan herätteet. Viime kädessä tämä luottamus perustuu yhteiskunnan mekanismeihin ja kontrolliin eli lainsäädännölliseen pelotteeseen, ts. operaattori voi hakea saataviaan viimeistään ulosottomenet-telyn kautta. Kaikkia saatavia ei välttämättä saada tälläkään menettelyllä, vaan operaattori joutuu kantamaan tietyn riskin hyväksyessään ihmisiä asiakkaikseen. Näissä prepaid- ja postpaid-tapauksissa on selkeästi havaittavissa luottamuksen ja riskin välinen yhteys. Luottamusta tarvitaan siis riskin ottoon.

10.3 Sokea luottamus

Sokeassa luottamuksessa luottavalla osapuolella ei ole mitään ennakkotietoa toisesta osapuolesta eli kanssakäymiseen sisältyy potentiaalisesti suuri riski. Tätä voidaan myös kutsua opportunistiseksi lähestymistavaksi, jossa alussa otettu luottamushyppy (leap of faith) kuvaa uskomusta vastapuolen hyväntahtoisuuteen ja aktiivisten hyökkääjien poissaoloon transaktion alussa. Tyypillisesti tässä lä-hestymistavassa voidaan kuitenkin jatkossa olla vakuuttuneita siitä, että osapuoli pysyy samana. Lisäksi järjestelmät eivät välttämättä tarvitse mitään erillistä infrastruktuuria, joka yleensä moni-mutkaistaa järjestelmiä. Koska toisen osapuolen varsinaisesti identiteetistä ei välttämättä ole mitään tietoa, tämä on hyvin haavoittuvainen välimieshyökkäyksille. Erityisesti langattomissa ympäristöis-sä aktiivinen hyökkääjä pääsee helposti osapuolten väliin. Tämä lähestymistapa ei siis tarjoa täydel-listä suojaa, mutta se voi hyvinkin olla riittävä useisiin tapauksiin. Akateemisesti ajateltuna langat-tomuuden tietoturva saatetaan nähdä "all or nothing"-tilanteena, mutta käytännön kannalta voi olla hyödyllisempää pyrkiä pieniin, käytännöllisiin parannusaskeliin. Opportunistinen luottamus mah-dollistaa tietyn perusturvallisuuden jokaisessa tapauksessa, mikä on parempi kuin ei minkäänlaista turvaa. Useinhan tietoturvafunktioiden käyttöönotto saattaa vaatia monimutkaista konfigurointia, joka peruskuluttajalta saattaa helposti jäädä tekemättä. Hyvä esimerkki tästä on langattomat lähi-verkot, joita mainostetaan helppokäyttöisyydellä. Asiakas tietenkin on tyytyväinen, kun verkko läh-tee toimimaan "plug and play" -tyyppisesti, mutta tällöin jää usein huomioimatta järjestelmän tieto-turvattomuus.

Eräs mahdollinen tapa toteuttaa opportunistinen avaimenvaihto on käyttää tunnettua Diffie-Hellman -avaimenvaihtoa, jossa turvallisuus perustuu oletukseen diskreetin logaritmin laskemisen vaikeu-desta[5]. Molemmilla osapuolilla on salainen lukunsa, jonka he lähettävät vastapuolelle julkisen generaattorin avulla potenssiin korotettuna (modulo yhteinen alkuluku). Korottamalla saadun luvun myös oman salaisen lukunsa osoittamaan potenssiin osapuolille muodostuu käsitys yhteisestä salai-suudesta, jota he voivat käyttää kommunikointinsa suojaamiseen.

Diffie-Hellman soveltuu parhaiten rakennuspalikaksi johonkin varsinaiseen tietoliikenne-protokollaan, kuten esimerkiksi HIP (Host Identity Protocol). HIP:iä käytetään osapuolten autenti-kointiin ja yksinkertaiseen avaimenvaihtoon [6]. HIP:n suurin ajatus on kuitenkin identiteetin ja lo-kaattorin erottaminen toisistaan, ts. se pyrkii muuttamaan IP-osoitteen nykyisin käytössä olevan dualistisen roolin. HIP:ssä käyttäjällä on oma erillinen identiteetti (host identity), joka muodostuu kryptografisesta tunnisteesta eli käytännössä julkisesta avaimesta. Kommunikaatio tapahtuu näitten identiteettien välillä, mikä mahdollistaa protokollapinossa alla olevien lokaattorien eli IP-osoitteiden vaihtamisen liikkuvuuden tarpeiden mukaisesti. Tämä on oleellinen vaatimus liikkuvuu-den ja langattomuuden kasvattaessa suosiotaan. Vaikka osapuolilla ei olisikaan luottamusta toisten-sa tunnisteisiin, protokollan avulla osapuolet voivat olla varmoja, että kommunikoiva osapuoli ei vaihdu istunnon aikana. Oleellista on siis kryptografisen tunnisteen käyttö, johon liittyvä matema-

58

tiikka tarjoaa luottamuksen käyttäjän identiteetin väärentämättömyyteen. Tietenkin on myös mah-dollista liittää protokollaan muita infrastruktuureja, joilla voidaan kasvattaa luottamusta käytettyihin tunnisteisiin. Muita vastaavia järjestelmiä ovat mm. CGA:t (Cryptographically Generated Address), joissa lisätään vastaanottajan luottamusta lähettäjän IP-osoitteen oikeellisuuteen muodostamalla IP-osoite lähettäjän julkista avainta käyttäen [7]. HIP:iin tutustutaan tarkemmin seuraavassa luvussa.

Opportunistisuus voi myös perustua muihin kuin puhtaasti matemaattisiin lainalaisuuksiin. Eräs vaihtoehto on perustaa luottamus verkkotopologioihin, ts. luotetaan siihen että useaa eri kautta lähe-tetyt viestit kokonaisuutena riittävät varmistamaan toisen osapuolen oikeellisuuden tai riittää että tietty määrä oikeita viestejä pääsee lävitse. Oletus on että mahdollinen hyökkääjä ei pysty seuraa-maan kaikkia polkuvaihtoehtoja ja näin ollen ei myöskään voi salakuunnella kaikkia viestejä. Eräs tällainen sovellus on käytössä Mobile IP:ssä, jossa ongelmana on paikkatiedon päivittämisen var-mentaminen liikkuvuuden seurauksena. Kommunikoinnin vastapuoli, ns. correspondent node, saa-tuaan tiedon toisen osapuolen liikkumisesta uuteen IP-osoitteeseen haluaa varmistua, että ko. osa-puoli tosiaankin on kyseisessä osoitteessa vastaamassa liikenteeseen. Ongelmiahan voisi syntyä sii-tä, että hyökkääjä pyrkii siirtämään laillisen liikenteen itselleen tai sitten myös alun perin laillinen käyttäjä voi pyrkiä ohjaamaan aloittamansa kommunikoinnin jotain kolmatta osapuolta vastaan pyrkimyksenään saada aikaan palvelunestohyökkäys. Mobile IP:n takaisinreitittyvyyden testi (re-turn routability test) käyttää hyväkseen sekä suorinta yhteyttä mobiiliin käyttäjään että hänen koti-verkkonsa kautta kulkevaa yhteyttä [8]. Näistä erillisistä viesteistä voidaan muodostaa avain, jolla mobiili käyttäjä voi todistaa olevansa väittämässään osoitteessa. Menetelmä siis olettaa että mahdol-linen hyökkääjä ei ole onnistunut saamaan reititysinfrastruktuuria haltuunsa, eikä näin ollen pysty saamaan molempia viestejä haltuunsa. Lisäoletuksena vaaditaan myös että kotiverkon ja mobiilin käyttäjän yhteys on suojattu, sillä muutenhan käyttäjän langattomassa lähiympäristössä majaileva hyökkääjä pystyisi salakuuntelemaan molemmat viestit. Oletus turvallisesta yhteydestä on järkevä, sillä on oletettavaa että käyttäjä on alun perin rekisteröitynyt kotiverkossaan.

Opportunistista lähestymistapaa voidaan käyttää myös selkeästi väärin. Esimerkiksi DHCPv6 mah-dollistaa erillisen uudelleenkonfigurointiavaimen, jolla asiakas voi jatkossa autentikoida palvelimen lähettämät konfigurointiviestit [9]. Tämä avain kuitenkin lähetetään selväkielisenä ja on näin ollen myös passiivisten salakuuntelijoiden luettavissa, mikä jatkossa mahdollistaa tekeytymisen lailliseksi DHCP-palvelimeksi.

10.4 Luotettu kolmas osapuoli

Luotetun kolmannen osapuolen tapauksessa kommunikoivat osapuolet eivät suoraan luota tai tunne toisiaan, mutta on olemassa jokin ulkopuolinen taho, johon he molemmat luottavat. Näin ollen tämä kolmas osapuoli pystyy vakuuttamaan osapuolet siitä, että hänen näkökulmastaan ne molemmat ovat luotettavia toimijoita. Käytännössä tässä on siis kyse luottamuksen transitiivisuudesta, ts. jos A luottaa B:hen ja B luottaa C:hen, niin A voi luottaa myös C:hen. Tässä ajattelutavassa voi kuitenkin olla ongelmia, varsinkin jos ei ole täysin selvää minkälaisten politiikkojen voimassa ollessa osa-puolten luottamusarviointi on tehty. Voidaan siis helposti ajautua tilanteisiin, joissa luottamus ei olekaan symmetristä, ts. A voi luottaa C:hen, mutta C ei luotakaan A:han. Luotettu kolmas osapuoli kuitenkin selkiyttää luottamussuhteiden hallintaa, sillä tällöin yksittäisellä entiteetillä ei tarvitse olla suoraa luottamussuhdetta kaikkiin toimijoihin, mikä varsinkin suuressa verkossa voi olla työlästä.

Tyypillinen esimerkki luotetusta kolmannesta osapuolesta löytyy PKI-maailman (Public Key Inf-rastructure) varmenteista. Varmenne on jonkin luotetun tahon lausuma entiteetin identiteetistä. Käy-tännössä PKI-varmenne, kuten X.509-varmenne [10], sitoo yhteen haltijan nimen ja julkisen avai-men, ja luotettu kolmas osapuoli, CA (Certificate Authority), varmentaa tämän lausuman omalla allekirjoituksellaan. Tahot, jotka pystyvät tämän allekirjoituksen todentamaan, voivat olla varmoja että kohde-entiteetin nimen ja avaimen vastaavuus on oikea CA:n näkökulmasta. Eri asia on sitten mitä tämä vakuutus käytännössä tarkoittaa kommunikoivien osapuolien luottamukselle. X.509 ei sinänsä kerro minkä tyyppiseen luottamukseen haltija on oikeutettu, vaikkakin on olemassa laajen-nuksia, jotka määrittelevät haltijalle tiettyjä ominaisuuksia, kuten esimerkiksi SEND:n (SEcure Neighbor Discover) käyttämä reititysoikeus tie- tietyille IP-osoitteille [11]. Puhtaasti

59

ominaisuuspohjaisia varmenteita ovat attribuutti- [12] ja SPKI-varmenteet (Simple PKI) [13], joissa käyttäjän identiteettiin, eli käytännössä avaimeen, liitetään oikeuksia. Näiden avulla vastaanottava osapuoli voi olla varma siitä, että luotettu kolmas osapuoli on katsonut varmenteen haltijan oikeute-tuksi suorittamaan tiettyjä toimintoja. Tietystikään kolmannen osapuolen vakuutuksiin ei tarvitse luottaa sokeasti, vaan käytössä voi olla muita politiikkoja, jotka rajaavat oikeuksia lisää. Olennaista on kumminkin, että varmenteen kautta saadaan tarttumapinta toisen osapuolen käyttämään identi-teettiin, jonka ilmentymänä yleensä on käytetty avain. Näitä tekniikoita voidaan luontevasti käyttää edellä mainittujen opportunististen lähestymistapojen kanssa lisäämään luottamusta osapuolen oi-keellisuuteen.

Myös soluverkot, kuten GSM ja UMTS, käyttävät verkkovierailun yhteydessä hyväkseen luotettua kolmatta osapuolta verkkoonpääsyn arvioinnissa. Periaatteessahan kyseessä on tyypillinen AAA-transaktio (Authentication, Authorisation and Accounting), jossa käyttäjä, pääsyn valvontapiste ja autentikoija vaihtavat tietoa, jolla pyritään luomaan luottamus käyttäjän ja pääsyn valvontapisteen välille. Perusperiaatteena on, että käyttäjä pystyy tunnistautumaan autentikoijalle esimerkiksi jaetun salaisuuden avulla. Tämän seurauksena autentikoija vakuuttaa pääsyn valvontapisteen käyttäjän oi-keellisuudesta, mikä tietenkin edellyttää että autentikoijan ja pääsyn valvontapisteen välillä on etu-käteen muodostettu luottamus, joka voi perustua aiemmin neuvoteltuihin konkreettisiin sopimuk-siin. Tämän johdosta pääsyn valvontapisteellä on esimerkiksi varmuus siitä, että käyttäjän aiheut-tamat kulut korvataan. Soluverkkojen tapauksessa on kuitenkin syytä huomata, että luottamusmalli on osittain puutteellinen käyttäjän näkökulmasta. Tunnettu tietoturvaongelmahan GSM:ssä on että verkko ei autentikoidu käyttäjälle. UMTS:ssä tämä on korjattu, mutta käyttäjä ei myöskään tässä tapauksessa oikeasti tiedä kuinka luotettu vierailtu verkko on, sillä se ainoastaan välittää tiettyjä au-tentikaatiodatan palasia. Tämä data ei millään muotoa identifioi vierailtua verkkoa tai kerro että ko-tioperaattori olisi eksplisiittisesti auktorisoinut sen tai luottaisi siihen.

Luotetun kolmannen osapuolen tapauksessa perustavanlaatuinen kysymys on, että kuinka luotettu tämä on kahden kommunikoivan osapuolen näkökulmasta. PKI-järjestelmissä tämä on näkynyt sii-nä, että kattavien hierarkisten luottamuspuiden muodostaminen voi olla vaivalloista. Esimerkiksi tälläkään hetkellä ei ole olemassa globaalia toimijaa, johon kaikki olisivat valmiita luottamaan tai luomaan luottamuspolun alemman tason CA:itten kautta. VeriSign-yhtiö tietystikin hallitsee selke-ästi PKI-varmenteiden markkinoita ja useimmiten suoraviivaisin ratkaisu web-palvelimen liikenteen suojaamiseksi on ollut juuri VeriSignin SSL-varmenteen hankkiminen, mutta VeriSignin hieman omavaltaiset toimet esimerkiksi globaalin DNS-palvelun (Domain Name Server) toiminnassa ovat olleet omiaan murentamaan luottamusta siihen [14]. Kaupallisena yhtiönä VeriSignilla on tietenkin kaupalliset intressit. Joku voi myös nähdä sen amerikkalaisena yhtiönä, jolla voi olla poliittisia vai-kutuksia.

10.5 Suora luottamus

Suora luottamus lienee yksinkertaisin esittämistämme luottamustyypeistä. Se tarkoittaa käytännössä sitä, että osapuolilla on etukäteen tietämys toisistaan ja heillä on olemassa ennaltamääritelty turva-assosiaatio. Tämän ilmentymä on esimerkiksi yhteinen salaisuus, joka on molempien hallussa. Lan-gattomassa ympäristössä tällainen salasanatyyppinen lähestymistapa ei ole kovin suositeltavaa, kos-ka kyseinen salaisuus on helposti salakuunneltavissa. Tätä voidaan parantaa yksinkertaisesti käyt-tämällä hajautusfunktioita, jotka laskevat salaisuudesta ja jostain muuttuvasta tiedosta tiivisteen. Mahdollinen hyökkääjä ei voi saada tiivisteestä selville varsinaista salaisuutta ja muuttuva tieto muuttaa kullakin kerralla käytetyn tiivisteen, joten kaapatun tiivisteen uudelleenkäyttö ei tuota hyö-tyä. Sinänsä edellä mainittujen soluverkkojen tapauksessa on myös kyseessä suora luottamus, sillä käyttäjän ja kotioperaattorin välillä on yhteinen salaisuus, ts. SIM-kortille ja operaattorin autenti-kointikeskukseen talletettu yhteinen avain.

Suora luottamus voi liittyä myös identiteettiin tai tarkemmin ottaen tunnisteeseen, joka tarjoaa "kahvan" kyseiseen identiteettiin. Esimerkiksi pääsypolitiikka voi määritellä, että vain tietyt tunnis-teet ovat oikeutettuja liittymään verkkoon. Joissakin WLAN-tukiasemissa on mm. mahdollista mää-ritellä MAC-lista (Medium Access Control), joka kertoo mille laitteille sallitaan

60

verkkoonliittyminen. Tämä ei kuitenkaan tuo lopultakaan kovin suurta turvaa, sillä laitteen MAC-osoitteen väärentäminen on kohtuullisen vaivatonta. Ongelmana on siis, kuinka varmistaa oikean tunnisteen hallinta. Eräs tällainen keino on jo aiemmin mainittu kryptografinen tunniste, jonka halti-ja pystyy todistamaan omistusoikeutensa matemaattisten operaatioiden avulla. Osapuolilla voi esi-merkiksi olla toistensa julkisten avainten tiivisteet. Tällöin protokollan tehtävänä on varmistaa että ko. osapuolet tosiaan ovat kyseisten avainten haltijoita. Esimerkiksi HIP pystyy toteuttamaan tä-män.

Kryptografiset tunnisteet ovat myös omiaan luottamuksen delegointiin. Eli jos osapuolten välillä on suora luottamus, toinen osapuoli voidaan valtuuttaa tekemään toimintoja ensimmäisen osapuolen puolesta. Asetelma lähenee hieman luotetun kolmannen osapuolen tapausta ja samoja mekanismeja voidaan käyttää, mutta oleellista on kumminkin, että delegointi tapahtuu vain tiettyjen toimintojen suhteen. Toimintoja ja oikeuksien kuvaamista varten voidaan käyttää luottamuksen hallinnan järjes-telmiä ja niiden määrittelemiä kieliä, joilla voidaan mallintaa luottamussuhteita. Eräs tällainen on esimerkiksi KeyNote [15]. Tosin voidaan myös todeta, että luottamuksen hallinnan järjestelmät ei-vät varsinaisesti hallinnoi luottamusta vaan käyttöoikeuksia.

Vaikka suora luottamus on perinteisesti kohtuullisen yksinkertainen toteuttaa, langattomassa liikku-vassa ympäristössä sen käytännöllisyys on rajallinen. Varsinkin järjestelmien kasvaessa hallinta voi olla vaikeaa, ts. kuinka päivittää ja ylläpitää osapuolten tietoja kuten avaimia. Matkapuhelinoperaat-torit ovat onnistuneet tässä pitkälti liikuteltavan suojatun ympäristön eli SIM-kortin avulla, ja vaik-ka SIM-korttia on ehdotettu käytettäväksi myös muitten verkkojen yhteydessä, se ei ole vielä tätä päivää perinteisissä IP-pohjaisissa verkoissa. Skaalautuvuusongelmat ovat yksi tärkeimmistä syistä, miksi esimerkiksi DHCP:n turvaominaisuuksia ei ole otettu käyttöön, sillä käytännössä ehdotettu menetelmä vaatisi manuaalista konfigurointia [15]. Tämä ei kuitenkaan tarkoita, että suoraan luot-tamukseen perustuvia menetelmiä ei pitäisi käyttää, sillä rajatuissa ympäristöissä, kuten kotiver-koissa, niitten käyttö on yksinkertaisuuden ja vähäisen laitekannan vuoksi jopa suositeltavaa, jos mitään muuta ei ole tarjolla. Tavallisen peruskäyttäjän kannalta tässä voi kuitenkin ilmetä käytettä-vyysongelmia, kuten edellä on jo mainittu.

10.6 Maineeseen perustuva luottamus

Jotkut järjestelmät perustavat luottamusmallinsa osapuolten maineeseen eli heidän aiempaan käyt-täytymiseensä ja toisten suosituksiin. Tätä on tutkittu erityisesti adhoc-verkkojen yhteydessä, sillä tämän tyyppisissä verkoissa osallistujat tyypillisesti ovat toisilleen tuntemattomia eikä niillä ole yh-teyttä muihin verkkoihin ja luotettuihin kolmansiin osapuoliin. Entiteetit joutuvat laskemaan erilai-sia luottamusarvoja muille osallistujille ja ne voivat perustua omiin havaintoihin tai muilta osallistu-jilta saatuihin arvioihin. Näiden arvioiden luotettavuuteen vaikuttaa luonnollisesti se, kuinka luotet-tavana arvioijana kulloistakin arvion antajaa pidetään. Tällainen informaatiotieteellinen malli on esitetty mm. lähteessä [17], joka uskoo sen paljastavan ilkeämieliset osallistujat ja näin mahdollistaa heidän pois sulkemisensa kommunikoinnista.

Perustavanlaatuinen ongelma maineeseen perustuvissa järjestelmissä on kuitenkin, että historialli-nen käyttäytyminen ei välttämättä ole tae tulevasta käyttäytymisestä, sillä esimerkiksi adhoc-verkkojen "vapaa" luonne tekee politiikkojen noudattamisen pakottamisesta vaikeaa eikä mahdolli-nen anonymiteettikään auta asiaa. Hyökkääjän on myös helppo olla aluksi ystävällismielinen ja toimia oikein, jolloin sen maine kasvaa, mutta tilaisuuden tullessa voi suorittaa riittävän suuren "kuprun", joka riittää kattamaan odotuksesta aiheutuneen vaivan. Sinänsä on hyvä muistaa, että lo-pultakin maineeseen perustuva luottamus redusoituu aiemmin esitettyihin luottamustyyppeihin. Ad-hoc-verkon sisällä voi olla toimijoita, jotka voivat toimia luotettuna kolmantena osapuolena tai sit-ten joillakin osapuolilla on tietämys samasta ulkopuolisesta luottamusjuuresta. Kyseessä voi myös olla Bluetooth-verkoista tuttu paritus, jossa osapuolille on määritelty yhteinen salaisuus ja niillä on näin ollen suora luottamus toisiinsa. Adhoc-verkkojen luonteeseen kuitenkin kuuluu tietyntason so-kea luottamus muihin osapuoliin, vaikka sokeutta pyritäänkin hälventämään matemaattisten luotta-musmetriikoiden kautta.

61

Sinänsä maineen käyttäminen luottamuksen osatekijänä ei ole rajoittunut ainoastaan adhoc-verkkoihin. Esimerkiksi PGP (Pretty Good Privacy) käyttää luottamusverkoissaan hyväksi käyttäji-en antamia arvioita toistensa luotettavuudesta[18]. Edellytys on kuitenkin että sen hetkinen luotta-musarvion tekijä on määritellyt arvioiden antajat omasta mielestään luotetuiksi. Tämä luottamus voi olla täydellistä tai marginaalista, ja PGP:n luottamusmallin mukaan täydellisesti luotetun henkilön arviota pidetään täyden luottamuksen arvoisena, mikä käytännössä tarkoittaa että kohteena olleen henkilön julkinen avain todetaan oikeaksi. Jos taas kyseessä on marginaalinen luottamus, ei yhden henkilön antama vakuutus ole vielä riittävä, mutta jos kaksi marginaalisesti luotettua tahoa luottaa johonkin ulkopuoliseen tahoon, tämän avain voidaan todeta oikeaksi. Se ei kuitenkaan tarkoita, että tämän tahon vakuutuksilla muiden avaimista olisi mitään arvoa.

Maineeseen perustuvat järjestelmät ovat paremmin sovellettavissa oikeassa elämässä niitten sosio-ekonomisten vaikuttimien ja vaikutusten takia, ts. yhteiskunnalliset ja kaupalliset lainalaisuudet ovat luottamuksen perustuksena. Tarkastelumme kannalta mielenkiintoisena kohteena voidaan kui-tenkin pitää esimerkiksi operaattorien välisiä verkkovierailusopimuksia. Operaattorithan muodosta-vat verkkovierailusopimuksia pääsääntöisesti muunmaalaisten operaattorien kanssa mahdollistaak-seen kattavan palvelun myös ulkomaille matkustaville asiakkailleen. Operaattori ei kuitenkaan voi tietää, onko hänen asiakkaansa tosiasiassa puhunut juuri sen määrän puheluita kuin vieras operaat-tori kertoo. Verkkovierailusopimusten luottamusmalli kuitenkin pohjautuu siihen, että osapuolilla on maine suojeltavanaan. Ilmitulleet väärinkäytökset voisivat johtaa sopimusten purkamiseen tai peräti erottamiseen operaattorien yhteistyöjärjestöistä, millä olisi selvästi suurempia taloudellisia vaikutuksia. Riski ei ole siis mahdollisesti saatavan hyödyn arvoista.

10.7 Yhteenveto

Tässä luvussa olemme käyneet lävitse erilaisia luottamustyyppejä, joita käytetään niin langattomas-sa kuin langallisessakin tietoliikenteessä. Kullekin voidaan löytää omia käyttötarkoituksiaan, eikä välttämättä ole mielekästä jaotella eri luottamustyyppejä toisia paremmiksi, vaan paras vaikutus saadaan niitä yhdistelemällä. Yhteisesti voidaan kuitenkin todeta, että niihin vaikuttavat niin tekno-logiset kuin psykologiset ja lainsäännöllisetkin tekijät. Kaupallisessa mielessä voidaan tosin sanoa, että luottamus on sitä suurempi mitä varmemmin voidaan löytää maksaja. Yleisesti ottaen loppujen lopuksi kyse on kuitenkin siitä, että kuinka suuri riski ollaan ottamassa, mikä on siitä saatava hyöty ja mitkä ovat riskin realisoitumisesta seuraavat vahingot. Tämä vaikuttaa siihen, millaisia turvalli-suusmekanismeja halutaan kulloinkin ottaa käyttöön ehkäisemään näitä riskejä. Luottamus voi siis vaikuttaa turvallisuusmekanismien valintaan, mutta turvallisuusmekanismit voivat osaltaan myös muuttaa osapuolten välisiä luottamustasoja.

Lähdeluettelo on luvun 11 lopussa.

62

11 Sähköinen identiteetti ja HIP

11.1 Identiteetti ja sen ilmentymät

Identiteetille voidaan löytää monta erilaista määritelmää, varsinkin jos asiaa lähestytään filosofiselta tai sosiologiselta kannalta. Tässä luvussa tarkastelun lähtökohtana on kuitenkin tekninen näkökulma ja erityisesti se, miten identiteetti voi esiintyä tietoverkoissa. Tästä näkökulmasta identiteetin voi-daan sanoa olevan kokoelma erilaisia attribuutteja. Nämä attribuutit voivat olla luonteeltaan voi-makkaasti tai heikosti sidottuja riippuen siitä, kuinka selkeästi ne edesauttavat identiteetin yksilöin-nissä. Esimerkiksi sosiaaliturvatunnusta voidaan pitää hyvinkin voimakkaana attribuuttina. On kui-tenkin myös hyvä muistaa, että tähän oleellisesti liittyy attribuutin konteksti ja semantiikka, muuten sosiaaliturvatunnuskin on vain pelkkä kokoelma merkkejä. Kussakin kontekstissa identiteetillä on kuitenkin hyvin oleellinen merkitys, liittyipä se sitten yhteiskunnallisten velvoitteiden kohdistami-seen tai laskun maksajan löytämiseen.

Sähköisessä maailmassa on ollut hyvin luontevaa sisällyttää identiteetti tunnisteeseen, joka on tark-kaan yksilöinyt käytetyn identiteetin kulloisessakin ympäristössä, ts. tunniste on identiteetin ilmen-tymä. Tällaisia tunnisteita ovat mm. käyttäjätunnus ja eritasoiset osoitteet, kuten esimerkiksi IP-osoite. Vaikka nämä voivatkin yksilöidä selkeästi tietyn entiteetin tietyssä ympäristössä, ei voida kuitenkaan olla täysin varmoja, omistaako entiteetti ko. tunnisteen. Toisin sanoen, identiteetti voi-daan varastaa. Tunnisteeseen voidaan lisätä ylimääräistä todennustietoa, jonka tarkoituksena on varmentaa tunnisteen ja identiteetin yhteys. Esimerkiksi käyttäjätunnukseen sisältyy usein salasana. Tunnetusti salasanoihin liittyy erinäisiä ongelmia, joten on käytännöllisempää, jos itse tunnisteeseen voidaan sisällyttää todentavaa tietoa. Eräs mahdollisuus on käyttää kryptografisia tunnisteita, jolloin tunnisteen omistajuuden todistaminen voidaan helposti sisällyttää protokolliin ja mahdolliset vää-rennysyritykset tulevat julki. Yleisesti käytetty tapa muodostaa tunnisteen julkisesta avaimesta, jol-loin yksityistä avainta ja sillä suoritettuja matemaattisia operaatioita voidaan käyttää todentamaan oikea omistaja. Julkinen avain itsessään voi olla epäkäytännöllinen tunnisteena, joten käytännölli-syyttä voidaan parantaa laskemalla siitä tiiviste, jolloin identiteetillä on selkeä ja määrämittainen ilmentymä. Tiivisteen täytyy kuitenkin olla riittävän pitkä, jotta vältytään laskennallisista yhteen-törmäyksistä johtuen rajallisesta tulosjoukosta. Kokonaisuuden kannalta esitetyn kaltaisilla krypto-grafisilla tunnisteilla on myös se hyvä puoli, että niillä tehtyjä operaatioita ei voi jälkikäteen kiistää.

Julkisen avaimen tyyppinen tunniste on turvallinen, mutta tavallisten käyttäjien kannalta se voi olla liian abstrakti eikä kovin käytettävä. Eräs vaihtoehtoinen tapa on käyttää julkisena tunnisteena jo-tain helpommin muistettavaa ja käyttäjälle merkityksellistä, kuten vaikkapa käyttäjän sähköpos-tiosoitetta. Tällaisen tunnisteen ympärille voidaan rakentaa identiteettipohjainen turvallisuusjärjes-telmä, joka mahdollistaa viestien allekirjoittamisen ja salaamisen. Yleisesti tätä kutsutaan nimellä Identity Based Cryptography (IBC) [19]. Selkeänä erona aiempaan on kuitenkin se, että järjestelmä vaatii luotetun kolmannen osapuolen osallistumista. Kolmas osapuoli generoi tarvittavat yksityiset avaimet, jotka vastaavat kulloisiakin identiteettejä. Esimerkiksi allekirjoittaessaan viestiä osapuoli pyytää salaisen avaimen kolmannelta osapuolelta ja käyttää ko. avainta allekirjoituksen muodosta-miseen. Vastaanottaja voi varmentaa allekirjoituksen suorittamalla matemaattisen operaation, jonka syötteenä käytetään julkista identiteettiä, kuten lähettäjän sähköpostiosoitetta. Vaikka tämä lähes-tymistapa on käyttäjän kannalta intuitiivinen, niin se vaatii täydellistä luottamusta kolmanteen osa-puoleen, eikä kiistämättömyyttä ole mahdollista toteuttaa samalla tasolla kuin perinteisessä julkisen avaimen tapauksessa.

Sinänsä julkisiin avaimiin perustuvilla identiteeteillä ei välttämättä ole niin kovin suurta arvoa, jos niihin ei pystytä lisäämään jotain muita attribuutteja, eikä ole olemassa mitään tahoa, joka vakuut-taisi liitoksen oikeellisuuden. Perinteinen tapa on tietenkin ollut varmenteiden luominen, jolloin jo-kin luotettu kolmas osapuoli, esimerkiksi VeriSign, vakuuttaa julkisen avaimen kytkeytymisen tiet-tyyn nimeen. Nimi ei välttämättä ole yksikäsitteinen, joten henkilöiden osalta voi tapahtua nimikon-flikteja. Sähköisen identiteetin ajatusta onkin viety pidemmälle esimerkiksi Suomessa sähköisen asiointitunnisteen (SATU) kautta [20]. Tässä valtiovalta on ottanut aktiivisen roolin ja myöntänyt

63

jokaiselle kansalaiselle sosiaaliturvatunnuksen ohella SATU-tunnuksen, joka liitetään kansalais-varmenteeseen. Kansalaisvarmenne on valtion vakuutus henkilön oikeellisuudesta ja oikeustoimi-kelpoisuudesta ja sen käytännön järjestelyt ovat Väestörekisterikeskuksen vastuulla.

Kuten edellä on tullut ilmi, sähköisiä identiteettejä ja niiden ilmentymiä voi olla hyvin monia erilai-sia ja niiden suhteet voivat olla hyvinkin moninaiset, ts. samaan "oikeaan" henkilöön voi liittyä mo-nia eri identiteettejä. Lisäksi niihin voi sisältyä suurikin määrä muuta tietoa kyseisestä identiteetistä. Oleellisia ovat myös identiteetin oikeudet erilaisissa palveluissa, joista perustavanlaatuinen esi-merkki on käyttöoikeuspalvelut. Identiteettien moninaisuus ja niiden hallinta voi kuitenkin olla haastavaa yksittäiselle henkilölle. Tunnettuahan on useiden salasanojen ja PIN-numeroiden muis-tamisen vaikeus. Sen takia on kehitetty erilaisia identiteetin hallintajärjestelmiä, joiden tehtävänä on helpottaa käyttäjän identiteetin hallintaa ja niiden käytettävyyttä erilaisissa palveluissa. Varhaisem-man järjestelmät, kuten Microsoftin Passport, keskittyivät vain käyttäjän salasanojen ja kertakirjau-tumisen (Single Sign On) hallintaan, joka tarkoittaa usean eri palvelun käyttöä samoilla tunnuksilla ja salasanoilla. Järjestelmien sulkeutuneisuus oli kuitenkin omiaan sysäämään alkuun avoimien jär-jestelmien rakentamisen. Eräs tällainen on Liberty Alliance, jonka tavoitteena on ollut kehittää avoimia rajapintoja tarjoava ja standardeihin teknologioihin perustuva järjestelmä, joka pystyisi vastaamaan myös tulevaisuuden palvelujen identiteettitarpeisiin [21]. Käytännössä tämä tarkoittaa Web Services -konseptien tukemista, vaikka käyttäjän kannalta vuorovaikutus voi näyttää tapahtu-man selainohjelmiston avulla.

11.2 Identiteetin ja lokaattorin erottaminen

Tietoliikenteessä käyttäjällä ja noodilla on mitä erilaisimpia identiteettejä. IP-verkkojen dominans-sin myötä IP-osoitteesta on muodostunut eräänlainen de facto -identiteetti, joka identifioi käyttäjän Internetissä. Koska alkuperäinen Internet oli hyvin staattinen, tämä toimi hyvin, mutta nykyisin lan-gattomuuden ja mobiliteetin lisääntyessä asiasta on tullut ongelmallinen. Ongelma juontaa juurensa siitä, että IP-osoitteeseen on ladattu erilaisia rooleja eli käyttäjän identifioimisen lisäksi se on kerto-nut käyttäjän ja noodin topologisen paikan verkossa, ts. missä käyttäjä on ollut verkkotopologian kannalta, eikä niinkään maantieteellistä sijaintia. Koska yksittäisiin osoitteisiin perustuvien reititys-taulujen käyttäminen on selkeästi epäkäytännöllistä, käyttäjän liikkuminen eri verkkojen välillä ai-heuttaa IP-osoitteen muuttumisen vastaamaan kulloistakin verkkoa. Tästä seuraa kuitenkin se, että kommunikointi identiteetin kanssa ei voi jatkua katkeamatta, koska identiteetti on muuttunut. Tähän on tietenkin kehitetty ratkaisuja, kuten Mobile IP [22], mahdollistamaan jatkuva kommunikointi verkkojen vaihtamisen aikana. Näillä on kuitenkin tehokkuus- ja turvallisuusongelmia, joita varten joudutaan kehittämään uusia, kokonaisjärjestelmää monimutkaistavia mekanismeja. Tämän vuoksi on haluttu lähteä tutkimaan mahdollisuutta erottaa IP-osoitteen eri roolit, ts. tehdä selkeä ero lokaat-tori- ja identiteettiroolien kesken. Esimerkiksi [23] hahmottelee uudenlaisen arkkitehtuurin, jossa lisätään nimeämiskerroksia eri toiminnan tasoilla, ts. korkeamman ja alemman tason nimet käyttä-vät nimipalveluita keskinäisten yhteyksien selvittämiseen. Palvelut itsessään voivat kutsua siis toi-siaan pelkillä palvelunimillä ja infrastruktuurin tehtävänä on selvittää varsinaisten osallistujien iden-titeetit ja fyysiset osoitteet. Hieman vähemmän radikaalin, vaikkakin samat ideat sisältävän, lähes-tymistavan ottaa jo edellisessäkin luvussa mainittu HIP (Host Identity Protocol). Se sopii paremmin käytettäväksi nykyarkkitehtuurin kanssa, vaikka vaatiikin tiettyjä muutoksia. Seuraavassa paneu-dumme syvemmin HIP:n toiminnallisuuteen.

HIP:ssä ajatuksena on ottaa käyttöön uusi identiteettitaso kuljetus- ja verkkotason väliin, jolloin voidaan tarjota parempaa mobiliteettia ja turvaa osapuolten välille [6]. Tämä mahdollistaa kommu-nikoinnin identiteettien välillä, vaikka alla olevassa verkkotasossa tapahtuisikin jotain muutoksia. Toiminnallisessa mielessä HIP on kuitenkin protokolla avaimenvaihtoon ja osapuolten autentikoin-tiin. HIP:n käsitys osapuolen identiteetistä kiteytyy HIT:iin (Host Identity Tag), johon on koodattu hajautusfunktion avulla tieto käytetystä julkisesta avaimesta eli HI:stä (Host Identifier). HIT on 128-bittinen suure, joka mahdollistaa luontevasti sen käytön IPv6-osoitteiden tilalla ja pitää toden-näköisyyden kahden saman HIT:n olemassaololle pienenä. Lisäksi sillä on itsensävarmentava omi-naisuus, ts. HIT:stä on vaikea laskea HI:tä ja tiedettäessä HI voidaan tarkistaa kulloiseenkin HIT:iin

64

liittyvät operaatiot, kuten allekirjoitukset. Perusideana on siis suorittaa kommunikointi HIT:ien vä-lillä, vaikka varsinaiset datapaketit edelleen liikkuvatkin IP-verkossa. HIT:ien ja IP-osoitteiden vas-taavuutta voidaan esimerkiksi säilyttää DNS-palvelussa [24].

Kuva 14. Kuva 2. HIP-protokollan perusvaihto

HIP sisältää neljä eri vaihetta, joiden aikana osapuolet saavat selville vastapuolen identiteetin, ts. julkisen avaimen, ja muodostavat turva-assosiaation. Näistä neljästä vaiheesta muodostuu ns. Base Exchange (kuva 1) ja käytännössä se tarkoittaa neljää eri viestiä osapuolten välillä. Ensimmäisessä vaiheessa viestinnän aloittaja (Initiator) lähettää I1-viestin, jonka tarkoituksena on ainoastaan il-maista hänen kiinnostuksena HIP-assosiaation luomiseen. Se sisältää lähettäjän oman HIT:n ja voi myös sisältää vastaanottajan HIT:n, mutta se ei ole pakollista, koska voi olla mahdollista, että sitä ei vielä tiedetä ja se selviää vasta vastausviestistä. Seuraavassa vaiheessa vastaaja (Responder) vastaa R1-viestillä, joka sisältää arvoituksen (puzzle), vastaajan Diffie-Hellman parametrit ja julkisen avaimen, tuetut algoritmit ja vastaajan laskeman allekirjoituksen, jolla voidaan varmistaa viestin eheys. Arvoitus on laskennallinen tehtävä, johon vastaaja pyytää aloittajaa vastaamaan. Sen tarkoi-tuksena on tuoda lisäsuojaa palvelunestohyökkäyksiä vastaan eli aloittaja joutuu näyttämään, että hän on kuluttanut laskentakapasiteettiaan arvoituksen laskemiseen. Muussa tapauksessahan viha-mielinen hyökkääjä voisi luoda suuren määrän HIP-assosiaatioita ja näin kuluttaa loppuun vastaajan resurssit. Osaltaan tähän liittyy R1-viestin ennaltalaskenta eli allekirjoitus ulotetaan sellaisen datan yli, joka on voitu laskea valmiiksi etukäteen, jolloin R1-viestin lähettäminen on pelkkä mekaaninen operaatio ilman ylimääräistä laskentaa. Huomionarvoista on, että vastaaja ei tässä vaiheessa talleta mitään tilatietoa viestin lähettäjästä. Käytännössä arvoitusmekanismissa aloittajan täytyy laskea ha-jautusfunktio annetun datan ja satunnaisen luvun ylitse ja pyrkiä satunnaista lukua muuttamalla saamaan aikaan vastaus, jossa tietty määrä vähiten merkitsevistä biteistä on nollia. Laskettuaan vas-tauksen aloittaja lähettää I2-viestin, johon hän sisällyttää vastauksen, omat Diffie-Hellman paramet-rinsa, julkisen avaimensa, joka voi olla salattu, yhteydelle käytettävät turva-algoritmit, HMAC:n ja allekirjoituksen. HMAC:n laskennassa käytetään hyväksi Diffie-Hellman -avaimenvaihtoa ja se tar-

65

joaa eheyden tarkistusta, mutta myös sitoo yhteen Diffie-Hellman -avaimenvaihdon ja identiteetin. Allekirjoitus puolestaan vahvistaa, että lähettäjä omistaa väittämänsä identiteetin. I2-viestin saatu-aan vastaaja tarkistaa arvoituksen vastauksen, mikä vaatii ainoastaan yhden hajautusfunktion las-kennan. Lisäksi täytyy tarkistaa allekirjoituksen oikeellisuus. Tämän jälkeen vastaaja voi päättää kättelyn lähettämällä R2-viestin, joka sisältää HMAC:n ja allekirjoituksen ja sen tarkoitus on suoja-ta aloittajaa uudelleenlähetyshyökkäyksiltä. R1-viestihän oli suurelta osin ennaltalaskettu, joten jo-ku voisi pyrkiä lähettämään niitä uudelleen.

HIP ottaa myös kantaa varsinaisen hyötydatan suojaamiseen, jota varten se määrittelee IPsec ESP:n (Encapsulating Security Payload) käytön [25]. Käytännössä siis Base Exchange suorittaa avainten vaihdon ja avainmateriaalin luomisen, jota voidaan käyttää hyödyksi vastaavan ESP:n turva-assosiaation luonnissa. Kättelyviestien vaihtoon täytyy lisätä elementtejä, jotta osapuolet voivat sig-naloida toisilleen käytössä olevat parametrit. Ensinnäkin, vastaaja lähettää R1:n mukana tiedot käy-tettävissä algoritmeista, joita se suostuu käyttämään yhteydelle. Aloittaja valitsee itselleen sopi-vimman algoritmikombinaation ja lähettää vastauksen I2:n mukana. Lisäksi viestiin laitetaan SPI (Security Parameter Index), jota aloittaja jatkossa käyttää identifioimaan turva-assosiaatiotaan ky-seisen vastaajan kanssa, ts. aloittaja odottaa näkevänsä saamissaan IPsec-suojatuissa paketeissa ky-seisen SPI:n. Seuraavaksi vastaanottajan tehtävänä on muodostaa myös itselleen SPI, joka lähete-tään R2-viestissä. SPI:n käytössä on huomionarvoista se seikka, että se käytännössä määrittelee kul-loisenkin yhteyskontekstin, sillä varsinaisia identiteettejä ei enää IPsec-paketeissa näy, ts. ne ovat perinteisten IPsec ESP -pakettien kaltaisia. HI:t ja HIT.t ovat mukana ainoastaan loogisessa mieles-sä turva-assosiaation kautta. Kuitenkin mahdolliset ylemmän tason tarkistussummat lasketaan aivan kuin IP-osoitteiden paikalla käytettäisiin HIT:jä ja vastapäässä suoritetaan samanlainen korvaus en-nen tarkastussummien tarkastusta. On myös ehdotettu, että tässä pakettien prosessoinnissa käytettäi-siin hyväksi BEET-moodia (Bound End-to-End Tunnel), joka muodostaa loogisen tunnelin kahden päätepisteen välillä[26]. Tunnelin "sisäosoitteet" olisivat HIT:jä ja "ulko-osoitteet" varsinaisia IP-osoitteita. Sisäosoitteita ei kuitenkaan sisällytettäisi varsinaisiin paketteihin, vaan korvaus tehtäisiin päätepisteissä SPI-arvojen perusteella. Huomionarvoista on, että tämä ajattelu ottaa paremmin huo-mioon moniliitännäisyyden ja mobiliteetin vaatimukset, sillä sisäosoitteet pysyvät samoina vaikka ulko-osoitteet vaihtelisivatkin topologisen paikan mukaan.

Identiteetin ja lokaattorin erottamisesta seuraa luonnollisesti se, että niiden yhteiskäyttö on jousta-vampaa ja mahdollistaa useamman erilaisen käyttöskenaarion. Mobiliteetti on ominaisuus, joka saadaan lähes sivutuotteena, mutta mielenkiintoista on myös mahdollisuus käyttää useampia IP-osoitteita. Tämä liittyy noodin mahdolliseen moniliitännäisyyteen (multihoming), ts. noodilla voi olla käytössään useampia verkkoliityntöjä, joiden kautta siihen voidaan ottaa yhteyttä. Tämä voi olla esimerkiksi seurausta robustisuuden tavoittelusta tai yksinkertaisesti useamman erilaisen linkki-tekniikan käytöstä. HIP määrittelee mekanismeja, joilla noodi voi ilmoittaa vastapuolelleen, että on tavoitettavissa jostain toisesta osoitteesta [27]. Tämä voi siis liittyä liikkuvuuden tapaukseen, jossa noodi on liikkunut uuteen verkkotopologiseen paikkaan, tai moniliitännäisyyteen, jolloin noodi ker-too, että on tavoitettavissa "pääosoitteensa" lisäksi myös muissa kerrotuissa osoitteissa. Osoitteen muutoksen yhteydessä on kuitenkin hyvä tarkistaa, että noodi on tosiaankin väittämässään osoit-teessaan. Jos näin ei tehtäisi, olisi mahdollista käynnistää palvelunestohyökkäys jotain viatonta kolmatta osapuolta kohtaan. Tarkistukseen voi riittää esimerkiksi se, että uudesta osoitteesta saa-daan jotain dataa takaisin. Tämän turvallisuutta voidaan myös tehostaa kaiuttamalla satunnaislukuja uuden osoitteen kautta.

HIP:n yhteydessä voidaan tietenkin myös kysyä, kuinka oikeastaan käytettyihin identiteetteihin voidaan luottaa. Jos HIT:n ja IP-osoitteen vastaavuus on esitetty jossakin luotettavassa DNS-palvelussa, luottamus voi muodostua tätä kautta, vaikka varsinainen julkisen avaimen takana oleva identiteetti ei selviäisikään. HIT voidaan esittää tietenkin myös jossain muussa hakemistossa tai olla ennaltatiedetty. Toinen mahdollisuus on käyttää erillisiä varmenteita tai muita vastaavia lausumia, jotka antavat viitteitä julkiseen avaimeen liittyvästä identiteetistä. Tällöin jokin kolmas osapuoli va-kuuttaisi käytetyn identiteetin luotettavuudesta. HIP ei ole tosin vielä tarkkaan määritellyt, kuinka näitä varmenteita viestienvaihdossa käytettäisiin. Lisäksi kokorajoitukset voivat estää esimerkiksi täysimittaisten X.509-varmenteiden käytön signa- signalointiviestien mukana. Kolmas

66

mahdollisuus luottamuksen suhteen on opportunistinen lähestymistapa, joka itse asiassa on luonte-vin tapa tämän hetken HIP-määrittelyissä. Toisin sanoen, osapuolilla ei ole varmuutta toistensa identiteeteistä, mutta protokollan seurauksena he voivat olla varmoja, että osapuoli pysyy samana koko kommunikaation ajan.

11.3 Identiteetti reitityksessä

Kuten aiemmin jo on todettu, HIP tarjoaa paremmat keinot mobiliteetin hallintaan kuin perinteinen IP-pohjainen liikenne, koska liikenne voidaan loogisesti siirtää "identiteettikerrokselle". Noodi voi ilmoittaa itse muuttuneesta osoitteestaan sen hetkiselle kommunikointikumppanilleen, mutta tämä ei toimi tilanteessa, jossa muut haluaisivat ottaa siihen yhteyttä liikkumisen jälkeen. Tämän ongelman ratkaisuun HIP tarjoaa rendezvous-mekanismia, joka käytännössä tarkoittaa erillisen palvelimen käyttöä ja tämän palvelimen tehtävänä on ylläpitää kulloisiakin HIT-IP -liitoksia [28]. Perustapauk-sessahan HIT löytyisi DNS-palvelusta, mutta DNS ei välttämättä päivity yhtä dynaamisesti kuin nopeasti liikkuvan mobiilin osoite. Sen vuoksi onkin järkevää tallettaa HIT:n lisäksi myös rendez-vouz-palvelimen osoite. Tällöin potentiaaliset yhteydenottajat voivat lähettää ensimmäisen I1-viestin tälle palvelimelle, jonka tehtävänä on sitten uudelleenohjata paketti varsinaisen vastaanotta-jan sen hetkiseen osoitteeseen. Tämä tietenkin vaatii sen että kyseinen noodi on etukäteen rekiste-röitynyt rendezvous-palvelimelle ja ilmoittaa aina sille muuttuneen IP-osoitteensa. Koska rendez-vous-palvelin voi joutua muuttamaan IP-pakettia (kuten lähdeosoitetta ingress-suodatuksen takia), täytyy sen myös ilmoittaa HIP-paketissa lähettäjän alkuperäinen osoite, jotta vastaanottaja osaa lä-hettää R1-viestin oikeaan paikkaan. Lisäksi palvelimen tulee lisätä ylimääräinen HMAC-arvo HIP-pakettiin, jotta palvelimen ja rekisteröityneen noodin liikenne ja ilmoitettu lähettäjäosoite voidaan taata eheäksi. Kyseisen arvon laskennassa käytetään hyväksi avainmateriaalia, joka on muodostettu rekisteröinnin yhteydessä.

Edellä esitettyä rendezvous-palvelinta käytetään siis vain vastapuolen löytämisessä, ts. I1-viestin välityksessä, ja muiden viestien on ajateltu kulkevan suoraan osapuolten välillä, vaikkakin on esitet-ty ajatuksia sen käyttämisestä kaksisuuntaiseen välitykseen. Ajatus voidaan kuitenkin viedä pi-demmälle ja miettiä koko signalointiviestinnän siirtämistä identiteettitasolle. Tällaiseen ajatukseen perustuu Hi3 (Host Identity Indirection Infrastructure) [29]. Pohjimmiltaan Hi3 pohjautuu yhdistel-mään HIP:stä ja i3:sta, joka on eräänlainen vankkaa reititystä ja joustavaa mobiliteettiä tukeva pääl-lysverkko (overlay). Tavallaan kyseessä on siis identiteettitason reititysverkko. Perusideana on siis että kohteet nimetään identiteettien perusteella ja data lähetetään näille identiteeteille eikä esimer-kiksi IP-osoitteille. Osallistujat voivat rekisteröidä infrastruktuuriin liipaisuja (triggers), joiden pe-rusteella infrastruktuuri pystyy selvittämään kulloisenkin kohteen oikean olinpaikan. Hi3:ssa nämä liipaisut ovat käytännössä HIT:jä, mutta on myös mahdollista erottaa yksityiset ja julkiset liipaisut, ts. tietty palvelu voidaan identifioida julkisen liipaisun avulla, mutta palvelun tarjoavaan osapuoleen pääsee käsiksi ainoastaan yksityisen liipaisun kautta. Käytännössä tässä siis suojellaan kohdetta mahdollisilta DDoS-hyökkäyksiltä (Distributed Denial of Service), koska lähettäjä tietää ainoastaan julkisen liipaisun, jonka infrastruktuuri sisäisesti ketjuttaa yksityiseen liipaisuun. Järjestelmän toi-minnallisuus edellyttää tietenkin että osapuolet rekisteröivät itsensä infrastruktuuriin, muutenhan se ei tietäisi osapuolen olemassaolosta. Liipaisujen kontrolli-informaatio talletetaan hajautetusti infra-struktuurin noodeihin käyttäen jotain hajautettuja tallennustapaa, kuten DHT:tä (Distributed Hash Tables) [30]. On syytä huomata, että Hi3 on tarkoitettu kontrollitiedon välittämiseen eli varsinaisen hyötydatan oletetaan liikkuvan IPsec-suojattuna suoraan osapuolten välillä. Tässä on kuitenkin mahdollista käyttää myös SPINAT-laitteita (SPI multiplexed NAT), joita osapuolet käyttävät "edus-takoneinaan", ts. ne voidaan esittää vastapuolelle liikenteen päätepisteinä [31]. SPINAT-laitteen perimmäinen tehtävä on liikenteen ohjaus SPI-arvojen perusteella eli se osaa ohjata IPsec-suojatun liikenteen oikealle kohteelle vaikka kohteen IP-osoite muuttuisikin. Osaltaan kohde voi käyttää sitä myös vähentämään itseensä kohdistuvan hajautetun palvelunestohyökkäyksen vaikutuksia.

67

11.4 Yhteenveto

Tässä luvussa on lyhyesti tutustuttu erilaisiin sähköisiin identiteetteihin ja erityisesti siihen mitä ne merkitsevät HIP:n kannalta. Julkisen avaimen tekniikoiden avulla voidaan luoda turvallisia tunnis-teita, jotka soveltuvat identiteettien ilmentymiksi. HIP:n johtava ajatus on käyttää näitä identiteette-jä hyväkseen murtaessaan IP-maailmassa vallalla olevan paradigman IP-osoitteen dualistisesta roo-lista identiteettinä ja topologisena lokaattorina. HIP:n avulla osapuolet voivat turvallisesti autenti-koida toisensa ja vaihtaa avainmateriaalia, joka mahdollistaa turvatun kommunikoinnin. Kahden eri roolin erottaminen tuo myös selkeän hyödyn mobiliteetin kannalta, koska kommunikointi voidaan suorittaa identiteettien välillä, jolloin alla olevien IP-osoitteiden muutos ei aiheuta katkoksia. Ky-seinen jako voidaan tuoda myös selkeämmin esille ottamalla käyttöön Hi3:n kaltaisia infrastruktuu-reja, jotka muodostavat loogisen identiteettitason reitityksen Internetiin. Näin on mahdollista luoda turvallisempi ja liikkuvuutta paremmin tukeva kokonaisarkkitehtuuri.

11.5 Lähteet

[1] Shirey R., Internet Security Glossary, IETF RFC 2828, 2000.

[2] Grandison T., Sloman M., A Survey of Trust in Internet Applications, IEEE Communications Surveys and Tutorials, 2000. http://www.comsoc.org/livepubs/surveys/public/2000/dec/grandison.html (tarkistettu 10.4.2006).

[3] Wilhelm U. G., Staamann S., Buttyan L., On the Problem of Trust in Mobile Agent Systems, IEEE Symp. Network And Distributed System Security, 1998.

[4] Edwards N. (Ed.), WWI Whitepaper on Trust, Ambient Networks Project Report IST–2002-507134-AN/ WP7/W01, 2004.

[5] Diffie W., Hellman M.E., New directions in cryptography, IEEE Transactions on Information Theory 22, 1976.

[6] Moskowitz R., Nikander P., Jokela P. (Ed.), Henderson T., Host Identity Protocol, IETF Internet-Draft draft-ietf-hip-base-05, 2006.

[7] Aura T., Cryptographically Generated Addresses (CGA), IETF RFC 3972, 2005.

[8] Johnson D, Perkins C., Arkko J., Mobility Support in IPv6, IETF RFC 3775, 2004.

[9] Droms R., Stateless Dynamic Host Configuration Protocol (DHCP) Service for IPv6, IETF RFC 3736, 2004.

[10] Housley R., Ford W., Polk W., Solo D., Internet X.509 Public Key Infrastructure Certificate and CRL Profile, IETF RFC 2459, 1999.

[11] Lynn, C., Kent, S., Seo K., X.509 Extensions for IP Addresses and AS Identifiers, IETF RFC 3779, 2004.

[12] Farrell S., Housley R., An Internet Attribute Certificate Profile for Authorization, IETF RFC 3281, 2002.

[13] Ellison C. (Ed.), SPKI Certificate Theory, IETF RFC 2693, 1999.

[14] ICANN, Redirection in the com and net domains, ICANN Security and Stability Advisory Committee (SSAC) Report, 2004.

[15] Blaze M., Feigenbaum J., Ioannidis J., Keromytis A., The KeyNote Trust-Management System Version 2, IETF RFC 2704, 1999.

[16] Droms. R. (Ed.), Arbaugh W. (Ed.), Authentication for DHCP Messages, IETF RFC 3118, 2001.

68

[17] Theodorakopoulos G., Baras J., On Trust Models and Trust Evaluation Metrics for Ad Hoc Networks, IEEE Journal on Selected Areas in Communications Vol. 2 Number 2, 2006.

[18] Zimmerman P., How PGP works, http://www.pgpi.org/doc/pgpintro/ (tarkistettu 10.4.2006).

[19] Boneh D., Franklin M. Identity-Based Encryption from the Weil Pairing, 2003

[20] Väestörekisterikeskus. Mitä on sähköinen henkilöllisyys? http://www.vrk.fi/vrk/home.nsf/Pages/6CEF85151402AD98C2256C5C0028E63F (tarkastettu 06/2006).

[21] Helenius M. (Ed.) ja Paavilainen J. (Ed.).Tietoturvallisuuden erityiskysymyksiä 2004. Tampereen Yliopisto B-2004-8, 2004.

[22] Perkins C. (Ed.). IP Mobility Support for IPv4. IETF RFC 3344, 2002.

[23] Balakrishan H. ym. A Layered Naming Architecture for the Internet. Proceedings of the 2004 conference on Applications, technologies, architectures, and protocols for computer communications, 2004.

[24] Nikander P., Laganier J. Host Identity Protocol (HIP) Domain Name System (DNS) Extensions. IETF Internet-Draft draft-ietf-hip-dns-06, 2006.

[25] Jokela P., Moskowitz R., Nikander P. Using ESP transport format with HIP. IETF Internet-Draft draft-ietf-hip-esp-02, 2006.

[26] Nikander P., Melen J. A Bound End-to-End Tunnel (BEET) mode for ESP. IETF Internet-Draft draft-nikander-esp-beet-mode-05, 2006.

[27] Henderson T. (Ed.). End-Host Mobility and Multihoming with the Host Identity Protocol. IETF Internet-Draft draft-ietf-hip-mm-03, 2006.

[28] Laganier J., Eggart L. Host Identity Protocol (HIP) Rendezvous Extension. IETF Internet-Draft draft-ietf-hip-rvs-04, 2005.

[29] Gurtov A., Korzun D., Nikander P. Hi3: An Efficient and Secure Networking Architecture for Mobile Hosts. HIIT Technical Report 2005-02, 2005.

[30] Stoica I., Morris R., Karger D., Kaashoek M., Balakrishnan H. Chord: A Scalable Peer-to-peer Lookup Service for Internet Application. Proceedings of the 2001 ACM SIGCOMM, 2001.

[31] Ylitalo J., Melen J., Nikander P., Torvinen V. Re-thinking Security in IP based Micro-Mobility. Proceedings of 7th Information Security Conference (ISC04), 2004.

Documents

Liikkuvan tietoliikenteen tietoturvallisuus · 2 o Misbehavior resilient multi-path data transmission in mobile ad-hoc networks 4. Attacks and countermeasures o Diversify sensor nodes