Authentication and identity privacy in the wireless domain

Barnickel, Johannes; Meyer, Ulrike

doi:32665

Authentication and identity privacy in the wireless domain = Authentifizierung und Privatsphäre in drahtlosen Netzen

Barnickel, Johannes (Author)

2013

Verantwortlichkeitsangabevorgelegt von Johannes Barnickel

ImpressumAachen : Publikationsserver der RWTH Aachen University 2013

UmfangIX, 205 S. : Ill., graph. Darst.

Aachen, Techn. Hochsch., Diss., 2013

Genehmigende Fakultät
Fak01

Hauptberichter/Gutachter
Meyer, Ulrike (Thesis advisor)

Tag der mündlichen Prüfung/Habilitation
2013-06-04

Online
URN: urn:nbn:de:hbz:82-opus-47292
URL: https://publications.rwth-aachen.de/record/229396/files/4729.pdf

Einrichtungen

Inhaltliche Beschreibung (Schlagwörter)
Privatsphäre (Genormte SW) ; Datensicherung (Genormte SW) ; Datenschutz (Genormte SW) ; Drahtloses lokales Netz (Genormte SW) ; Bluetooth-Standard (Genormte SW) ; Drahtloses Sensorsystem (Genormte SW) ; Informatik (frei) ; WLAN (frei) ; Roaming (frei) ; Micropayment (frei) ; physiologische Messungen (frei) ; privacy (frei) ; IT security (frei) ; Bluetooth (frei) ; wireless sensor network (frei)

Thematische Einordnung (Klassifikation)
DDC: 004
ccs: C.2.5 * K.4.4 * C.2.3 * K.4.1 * K.4.4

Kurzfassung
Immer mehr Menschen nutzen täglich drahtlose Systeme mit ihren persönlichen Geräten, und das sowohl unterwegs als auch zu Hause. Beispiele für solche Geräte sind Notebooks, Tablet-PCs und Smartphones. Da so immer mehr persönliche Daten entstehen, entstehen auch immer größere Risiken für die Benutzer. Ein Bewusstsein für die Risiken entsteht aber nur langsam. Das Ziel dieser Dissertation ist es den aktuellem Stand im Bereich des Schutzes der Sicherheit und der Privatsphäre von drahtlosen Diensten zu erweitern und zu zeigen, dass selbst auf einfacher Hardware und in bisher wenig beachteten Anwendungsszenarien ein Schutz dieser Ziele durch neue Lösungen möglich ist. Die Arbeit beschreibt eigenständige und umfassende Lösungen für Problembereiche von Privatsphärenschutz und Authentifizierung in drei verschiedenen Anwendungsszenarien. Alle diese Lösungen übertreffen die relevanten Ziele bisheriger Arbeiten. Die Lösungen werden auf theoretischer und praktischer Ebene evaluiert: Ihre Sicherheitseigenschaften werden geklärt, und ihre praktische Anwendbarkeit wird rechnerisch und durch Implementierungen auf realer Hardware gezeigt. Das erste Szenario ist Roaming in drahtlosen Netzwerken: Ein Kunde eines Heimnetzes kann drahtlose Zugangspunkte fremder Anbieter nutzen ohne seine persönlichen Daten dem Fremdnetz anzuvertrauen. Der Heimnetzbetreiber erhält keine Daten über das Nutzungsverhalten seines Kunden in Fremdnetzen. Die Lösung enthält auch eine Bezahlfunktion. Angriffe auf die Funkverbindung werden verhindert. Bereits mit dem Fremdnetz verbundene Benutzer können ihre Geräte nutzen, um weiteren Kunden Zugriff auf das Fremdnetz zu ermöglichen, wenn eine direkte Verbindung zum Fremdnetz nicht möglich wäre. Es werden Lösungen mit und ohne Beteiligung des Heimnetzes am Verbindungsaufbau gezeigt. Im zweiten Szenario geht es um die Kontrolle von Gesundheitsdaten durch tragbare Sensoren, die mit einem Smartphone verbunden sind. Wir ermöglichen eine sichere und Privatsphäre wahrende Aufzeichnung und Verwaltung der Messwerte, einschließlich des Austauschs gezielt vom Patienten gewählter Datensätze zu von ihm vertrauten Personen. Der Patient behält immer die Kontrolle über seine Daten. Das dritte Szenario beschreibt eine Lösung für die Zeitsynchronisation drahtloser Sensornetze in feindlichen Umgebungen. Dies ist die erste Lösung in diesem Szenario, welche die Privatsphäre berücksichtigt: Ein Angreifer kann die Teilnehmer am Synchronisationsdurchlauf nicht wahrnehmen, und auch keine Manipulation daran vornehmen. Als Exkurs über die Arbeiten im Rahmen der Privatsphäre hinaus wird die Durchführung eines Angriffs auf Bluetooth beschrieben, der nach unserem Wissen der erste real durchgeführte Angriff auf Bluetooth seit Erscheinen der Version 2.1, 3.0 und 4.0 ist. Der Angriff bedroht Geräte mit numerischen Tasten, z.B. schnurlose Tastaturen für Tablet-PCs und Smartphones, wenn die gleiche PIN mehrmals verwenden wird, oder wenn eine feste PIN verwendet wird. Wir beschreiben den Angriff und hoffen so die Wahrnehmung der Verwundbarkeit von Bluetooth zu erhöhen.

Authentication and privacy in wireless systems is becoming an increasingly important field: More and more people are using more and more wireless system on personal devices that process vast amounts of personal data, at home and abroad, and on a daily basis. Laptops, smartphones, and tablet PCs are examples for devices in a world of ubiquitous wireless services. With the growing amount of personal data at risk, awareness for this issue is picking up with some users. The goal of this thesis is to extend the state-of-the-art in the field of security and privacy for wireless services and to show that achieving security and privacy is possible even on hardware with a minimum of computational capabilities, and in scenarios where it has not been considered at all so far to foster new research directions. We will present self-contained and thorough solutions for authentication and privacy challenges in three different scenarios. All these solutions fulfill security and privacy goals not achieved by prior works. All solutions are analyzed on a theoretical and a practical level, i.e., the theoretical background of the solution shows its feasibility and that it achieves the security and privacy goals desired. Furthermore, all solutions are implemented on inexpensive commercially available hardware and benchmarked for performance. Where possible, our new solutions were compared to existing solutions. All the proposed solutions are meant to be useful in the real world, i.e., we consider performance and user experience. We first propose a protocol suite for wireless roaming. It allows clients of certain home operators to access wireless networks of other local operators without disclosing their personal data to the local operators, and it prevents the home operators from obtaining any information on the services used beyond the amount paid. The roaming solution includes electronic payment and does not require prepaid credit. Attacks on the wireless connection are prevented. When connected, users may also allow their devices act as access points for others user and earn money therewith. We present solutions with and without the participation of the home operator in each connection. We next propose a protocol suite for electronic health monitoring. It allows secure and privacy preserving handling of real-time measured data on bodily functions, e.g., the heart rate. The data never leaves the control of the user unless explicitly authorized. Finally, we present a solution for time synchronization in wireless sensor networks, which is the first to guarantee the privacy of the nodes taking part in the synchronization. The individual nodes are unobservable and cannot be influenced by an attacker through modifications on the wireless channel. Beyond the work on privacy, as an excursus, we present the implementation of an attack on the authentication in Bluetooth, which, to the best of our knowledge and belief, is the first implemented attack on the Bluetooth versions 2.1, 3.0, or 4.0. The attack targets devices with numerical keyboards, e.g., wireless keyboards for tablet computers, when the same PIN is used twice. Potential victims are also devices with fixed PINs.

Fulltext:
PDF