현재 임베디드 시스템에서 제한된 물리적 통신 채널을 통해 통신을 강화하려고합니다.

시나리오

이 시스템은 소형 임베디드 애플리케이션에 대해 다소 일반적이라고 생각합니다.

• 관련 임베디드 시스템은 OS가없는 소형 마이크로 컨트롤러로, 안전한 물리적 환경에 있다고 가정 할 수 있습니다. 연결 채널은 공격자가 물리적으로 액세스 할 수 있으며 원하는대로 메시지를 방해 할 수 있습니다.

• 다른 통신 채널이 가능합니다 : 예 : RS485 또는 RS232. 우리가 구축 할 수있는 주소 지정 및 조잡한 무결성 (예 : 비트 플립의 경우 CRC16)과 같은 것들을 처리하는 조잡한 프로토콜이 있습니다. 느린 TCP라고 생각하십시오.

• 각 통신 파트너는 CA 역할을 할 수 있고 서명 된 고유 한 인증서 (+ 키)가있는 루트 인증서를 알고 있습니다. 인증서는 자체 서명 된 타원 곡선 prime256v1입니다.

• mbedTLS 라이브러리는 이러한 시스템에서 사용할 수 있습니다 (DH, AES, .. 포함).

• 대부분의 경우 인터넷을 사용할 수 없습니다.

• 시스템은 시간을 유지하고 충분한 난수를 생성 할 수 있습니다.

나는 프라이버시, 진정성 및 무결성에 도달하고 싶습니다.

해결 방법

암호화 프로토콜의 규칙은 절대 스스로 구현하지 않는 것입니다. 불행히도이 사용 사례와 일치하는 것을 찾지 못했습니다.

나는 또한 기존 질문을 탐색했지만 내가 찾고 있던 완전한 솔루션을 제공하지 못했습니다.

마지막 으로이 답변 에서 자체 프로토콜을 구현하는 것이 마지막 옵션으로 제공됩니다.

이것이 제가 아래에 설명 된 해결책을 생각 해낸 이유입니다.하지만 그것에 대해 완전히 확신하지는 않습니다. 나는 Diffie-Hellmann Key Exchange를 인증하는 방법 에 대한 이 답변 , 무결성을 확인하는 방법에 대한이 답변 및 이러한 프로토콜을 구현하는 방법에 대한 몇 가지 아이디어를 제공하는이 스레드를 지향했습니다 .

통신 보안 프로토콜

가장 먼저 할 일은 대칭 키 K를 무작위로 생성하는 것입니다. 가장 먼저 전송되는 것은 핸드 셰이크 메시지입니다. 다음 필드가 있습니다.

두 장치 모두 이러한 메시지를 보내고받습니다.

메시지가 수신되면 다음이 수행됩니다.

1. 인증서가 예상 CA에서 서명되었는지 확인합니다 (체인에 있어야 함).
2. msg가 cert 및 해당 키로 올바르게 서명되었는지 확인하십시오.

이러한 검사가 성공하면 전송 및 수신 된 DH g ^K 메시지가 대칭 키를 계산하는 데 사용됩니다.

이 시점부터 애플리케이션은 AES-CBC로 암호화 된 메시지를 보낼 수 있습니다. 메시지가 비교적 자주 손실 될 수 있으므로 IV는 항상 메시지에 있습니다.

다음은 메시지 형식입니다.

메시지를 수락하려면

1. 예상되는 MsgIdNonce (마지막으로받은 것보다 1 개 또는 2 개 이상)-재생 공격 방지, 1 개의 메시지 손실 허용
2. 유효한 CMAC 보유-무결성 공격 방지
3. 최대 수신됩니다. 마지막 메시지 후 T 초-지연 공격 방지

예상과 다른 것이 있으면 Handshake가 다시 전송되고 새로 교환 된 매개 변수로 메시지가 다시 전송됩니다.

질문

내가 올바른 길을 가고 있는가 아니면 완전히 다른 것을 시도해야합니까?

이것이 내 보안 목표를 제공합니까 아니면 여기서 명백한 취약점을 놓치고 있습니까?

작동 할 수 있습니까?

저와 비슷한 문제에 직면 한 다른 임베디드 엔지니어를 도울 수 있기를 바랍니다!