MARCOS ANTONIO SIMPLICIO JUNIOR MESSAGE AUTHENTICATION ALGORITHMS FOR WIRELESS SENSOR NETWORKS ALGORITMOS DE AUTENTICAÇÃO DE MENSAGENS PARA REDES DE SENSORES Tese apresentada à Escola Politécnica da Universidade de São Paulo para obtenção do TítulodeDoutoremEngenhariaElétrica. SãoPaulo 2010 MARCOS ANTONIO SIMPLICIO JUNIOR MESSAGE AUTHENTICATION ALGORITHMS FOR WIRELESS SENSOR NETWORKS ALGORITMOS DE AUTENTICAÇÃO DE MENSAGENS PARA REDES DE SENSORES Tese apresentada à Escola Politécnica da Universidade de São Paulo para obtenção do TítulodeDoutoremEngenhariaElétrica. ÁreadeConcentração: SistemasDigitais Orientador: PauloSérgioLicciardiM.Barreto SãoPaulo 2010 AGRADECIMENTOS Primeiramente,agradeçoaduasmulheresmuitoimportantesnaminhavida: minha mãe,MariaSuelyM.Simplício,eàminhaquase-esposa,DéboraArantes(Simplício). A vocês o meu muito obrigado por continuarem me aturando e apoiando em todos os momentos, mesmo que muitas vezes tenham se perguntado quando é que eu iria terminardevezafaculdade (cid:44) Além disto, agradeço imensamente ao meu orientador e amigo Paulo S. L. M. Barreto, sempre disponível para longas conversas sobre segurança e criptografia (ou simplesmente sobre Jornada nas Estrelas, tipos de cerveja, ou qualquer outro assunto que viesse à mente), as quais costumavam terminar com um “E então, já podemos marcaradefesa?”. Muitoobrigadopeloapoio,pelaamizade,epeloexemplo. Também não posso deixar de agradecer ao FDTE (Fundação Para o Desenvolvi- mentoTecnológicodaEngenharia)eàEricssonpeloauxíliofinanceiro,àProf. Tereza Carvalho, amiga e coordenadora de diversos projetos no LARC dos quais participei, e àtodaaequipedoLARCedaEricsson(emespecialaoMatsNäslund)pelasinspiradas ebemhumoradasdiscussões. Meussincerosagradecimentosatodosvocês. (cid:126).(cid:126).(cid:126).(cid:126).(cid:126).(cid:126).(cid:126).(cid:126).(cid:126) First, I need to express my gratitude to two women with a very important role in my life: my mother, Maria Suely M. Simplício, and my almost-wife, Débora Arantes (Simplício). Thankyouforsupportingandbearingwithmeinallmoments,evenwhen askingthemselveswhen(orif)Iwouldfinallyfinishmystudies (cid:44) Moreover, I am also immensely grateful to my advisor and friend Paulo S. L. M. Barreto, always available for a long chat about security and cryptography – or simply about Star Trek, types of beer, or any other subject crossing the mind – which would usually end with the phrase “so, let’s choose the date for your defense?”. Thank you verymuchforthesupport,friendshipandexample. Finally, I would like to express my gratitude to the FDTE (Fundação Para o De- senvolvimento Tecnológico da Engenharia – Foundation for the Technological Devel- opment of the Engineering) and Ericsson for sponsoring my research, to Prof. Tereza Carvalho,friendandcoordinatorintheprojectsIhaveparticipatedatLARC,andtoall LARC and Ericsson members (especially Mats Näslund) for the inspired and pleasant conversations. Iamsincerelygratefultoallofyou. RESUMO Proversegurançaàsinformaçõestrafegadasnosmaisdiversostiposderedeséalgo essencial. Entretanto, redes altamente dependentes de dispositivos com recursos limi- tados (como sensores, tokens e smart cards) apresentam um desafio importante: a re- duzida disponibilidade de memória e energia destes dispositivos, bem como sua baixa capacidadedeprocessamento,dificultamautilizaçãodediversosalgoritmoscriptográ- ficos considerados seguros atualmente. Este é o caso não apenas de cifras simétricas, que proveem confidencialidade aos dados, mas também de MACs (Message Authenti- cation Code, ou “Código de Autenticação de Mensagem”), que garantem sua integri- dadeeautenticidade. Defato,algumaspropostasrecentesdecifrasdeblocodedicadas aplataformaslimitadas(e.g.,oCurupira-2)proveemsegurançaedesempenhoemum nívelmaisadequadoaestetipodecenáriodoquesoluçõestradicionais. Seguindouma linha semelhante, o presente trabalho concentra-se no projeto e análise MACs leves e seguros voltados a cenários com recursos limitados, com foco especial em redes de sensoressemfio(RSSF). Marvin é o nome do algoritmo de MAC proposto neste trabalho. Marvin adota a estrutura Alred, que reutiliza porções de código de uma cifra de bloco subjacente e, assim, introduz um reduzido impacto em termos de ocupação de memória. Este algoritmo apresenta uma estrutura bastante flexível e é altamente paralelizável, per- mitindo diversas otimizações em função dos recursos disponíveis na plataforma alvo. Como vantagem adicional, Marvin pode ser usado tanto em cenários que necessitam apenas da autenticação de mensagens quanto em esquemas de AEAD (Authenticated- Encryption with Associated Data, ou “Encriptação Autenticada com Dados Associ- ados”), que aliam encriptação e autenticação. O esquema de AEAD proposto neste trabalho, denominado LetterSoup, explora as características da estrutura do Mar- vin e adota uma cifra de bloco operando no modo LFSRC (Linear Feedback Shift Register Counter, ou “Contador-Registrador de Deslocamento Linear com Retro- alimentação”). Além da especificação de ambos os algoritmos, este documento ap- resenta uma análise detalhada da segurança e desempenho dos mesmos em alguns cenáriosrepresentativos. Palavras-chave: Criptografia. Redes de Sensores Sem Fio. Redes com recursos limitados. Códigos de Autenticação de Mensagens (MACs). Encriptação Autenticada comDadosAssociados(AEAD). ABSTRACT Security is an important concern in any modern network. However, networks that are highlydependent onconstrained devices(such assensors, tokensand smartcards) impose a difficult challenge: their reduced availability of memory, processing power and (specially) energy hinders the deployment of many modern cryptographic algo- rithms known to be secure. This inconvenience affects not only the deployment of symmetric ciphers, which provide data confidentiality, but also Message Authentica- tion Codes (MACs), used to attest the messages’ integrity and authenticity. Due to the existenceofdedicatedblockcipherswhoseperformanceandsecurityareadequatefor use in resource-constrained scenarios (e.g., the Curupira-2), the focus of this docu- ment is on the design and analysis of message authentication algorithms. Our goal is to develop a secure and lightweight solution for deployment on resource constrained scenarios,withespecialfocusonWirelessSensorNetworks(WSNs). Marvin is the name of the MAC algorithm proposed in this document. Marvin adopts the Alred structure, allowing it to reuse parts of an underlying block cipher machinery; as a result, Marvin’s implementation builds on the cipher’s efficiency and introduces little impact in terms of memory occupation. Moreover, this algorithm presents a flexible and highly parallelizable structure, allowing many implementation optimizations depending on the resources available on the target platform. Marvin can be used not only as an authentication-only function, but also in an Authenticated- Encryption with Associated Data (AEAD) scheme, combining authentication and en- cryption. Inthisdocument,wedefineanewAEADproposalcalledLetterSoup,which is based on the LFSRC (Linear Feedback Shift Register Counter) mode of operation and builds on Marvin. Together with the specification of both algorithms, we pro- videadetailedsecurityanalysisandevaluatetheirperformanceinsomerepresentative scenarios. Keywords: Cryptography. Wireless Sensor Networks. Constrained Platforms. Message Authentication Codes (MACs). Authenticated-Encryption with Associated Data(AEAD).

