Bachelor-Arbeit

Entwicklung und Evaluation von CAKE für ad hoc Netze in

Anforderungen und Zielstellung

In ad hoc Netzen bestehen andere Anforderungen an die Datenübertragung als bei drahtgebundenen Netzen. Die Netzknoten besitzen meist weniger Rechenleistung. Darüber hinaus ist die Übertragungsbandbreite sehr beschränkt. Durch die dynamische Veränderung der Gruppenzugehörigkeiten werden verschiedene Verfahren zum Management der Gruppenschlüssel eingesetzt.

Im Allgemeinen ist es von großer Bedeutung, eine durchgängige, sichere Verschlüsselung der Kommunikation zu gewährleisten. Das bedeutet, dass der komplette Nachrichtenaustausch der Teilnehmer untereinander durchgehend Verschlüsselt sein muss. Folglich ist ein Kryptosystem notwendig, dass folgenden Anforderungen gerecht wird.

Forward Secrecy: Sofern ein Teilnehmer die Gruppe verlässt, muss sichergestellt sein, dass der austretende Teilnehmer keine weiteren Nachrichten entschlüsseln kann.
Secrecy: Teilnehmer, die in eine Gruppe aufgenommen werden, sollen nicht in der Lage sein, die im Vorfeld ausgetauschten Informationen entschlüsseln zu können.
Schlüsselunabhängigkeit: Es muss sichergestellt sein, dass die Kenntnis über einen Schlüssel keine Schlussfolgerung über weitere Schlüssel geben darf.

Auf Basis dieser Anforderungen wurde ein leichtgewichtiges, hybrides Gruppenschlüssel Management Konzept modelliert, dass eine verschlüsselte Kommunikation aller Gruppenteilnehmer untereinander ermöglicht. Dieses Verfahren garantiert eine sichere und ressourcenschonende Verteilung des Gruppenschlüssels bei notwendigen Situationen wie z. B. Beitritt eines Knotens.

Ziel dieser Arbeit ist es, das entworfene Gruppenschlüssel Managementkonzept CAKE auf einer embedded Testumgebung zu implementieren.

Funktionsweise von CAKE

CAKE ist ein Verfahren zur Verwaltung und Verteilung von Gruppenschlüsseln via Multicast in MANETs, dass Funktionalitäten aus dem GKMP, LKH und dem SL vereint. Für das Verwalten der Schlüssel existiert eine zentral Instanz, die für das Generieren und Verteilen von Schlüsseln verantwortlich ist. Das Konzept verfügt über zwei definierte Schlüssel:

Traffic Encryption Key (TEK): Gruppenschlüssel zum Verschlüsseln von Nutzdaten. Eine Nachricht wird mit dem TEK, der auf jedem Gerät enthalten ist symmetrisch verschlüsselt. Die verschlüsselten Nutzdaten werden daraufhin per Multicast/Broadcast an die Empfänger verteilt.

Key Encryption Key (KEK): Dieser Schlüssel wird für die Verschlüsselung des TEKs verwendet. Die Verschlüsselung des TEK wird angewendet, wenn aufgrund von Topologie-Veränderungen ein neuer TEK verteilt werden muss.

Initial generiert die zentrale Instanz beide oben genannten Schlüssel. Identisch zum SL-Verfahren kommt das Chinese Remainder Theorem (CRT) bei der Übermittlung der Schlüssel zu tragen. Die zentrale Instanz nutzt den KEK zur Verschlüsselung des zuvor generierten TEK und verteilt diesen via Multicast an die Gruppenteilnehmer. Ist der Beitritt eines Teilnehmers in die Gruppe vorgesehen, muss zuerst der KEK von der zentralen Instanz übermittelt werden. Anschließend wird ein Re-Keying Prozess für die Gruppe angestoßen. Sofern ein Teilnehmer die Gruppe verlässt, wird ebenfalls der Re-Keying-Prozess angestoßen. Anders als bei dem Hinzufügen eines Gruppenteilnehmers wird lediglich ein Teil der Gruppe mit neuen Schlüsseln ausgestattet.

In erster Linie soll das Schlüsselmanagement Konzept CAKE umgesetzt werden. Eine Literaturrecherche in Hinblick bestehender Konzepte ist ebenfalls Bestandteil dieser Arbeit. Für die Bearbeitung sind Kenntnisse im Bereich der Verschlüsselungsverfahren von Vorteil, ist aber nicht zwingend notwendig. Abgerundet wird die Arbeit durch die Beurteilung der Erkenntnisse und die damit verbundenen Verbesserungsvorschläge bzw. Erweiterungsmöglichkeiten.

Detaillierte Aufgabenstellung

Beschreibung und Motivation der Thematik sowie Erläuterung des Wissenschaftsgebietes und Fragestellung.
Konzept zur Implementierung von CAKE und anderen Gruppenschlüsselmanagement-Verfahren. Dieser Teil der Aufgabenstellung beinhaltet zum einen die Entwicklung der zentralen Instanz und der notwendigen Funktionalitäten (Generieren und Verteilen der genannten Schlüssel gemäß dem CAKE Verfahren).Zum anderen umfasst dieser Schritt das Implementieren der Client-Funktionalität der Gruppenteilnehmer. Die Implementierung erfolgt auf einer bestehenden Testumgebung am Lehrstuhl für Kommunikationssysteme und Systemprogrammierung der Ludwig-Maximmilian-Universität in München.
Beschreibung der gewählten Software-Architektur. Das umfasst u. A. den Programmfluss sowie die gewählten Datenstrukturen.
Zusammenfassung der Ergebnisse sowie Diskussion möglicher zukünftiger Erweiterungen.

Organisatorisches

Die Darstellungen, Untersuchungen und Implementierungen sind in deren Umfang in Abhängigkeit von der zeitlichen Begrenzung der Arbeit selbst so festzulegen, dass bei Abschluss ein abgerundetes Ergebnis vorliegt.

Die textliche Abfassung kann entweder in deutsch oder in englisch verfasst werden. Zusätzlich zur digitalen Fassung der Arbeit und dem Quellcode der Implementierung sind sofern möglich die referenzierten Quellen bereit zu stellen. Während der Bearbeitung sind Konsultationen mit den Betreuern unerlässlich. Die Abschlussverteidigung erfolgt nach Vereinbarung.

Die Implementierung des Konzeptes erfolgt am Lehrstuhl für Kommunikationssysteme und Systemprogrammierung. Der zuständige Betreuer vor Ort ist Tobias Guggemos. Die dort vorhandene Testumgebung verwendet RIOT als zugrundeliegendes eingebettetes Betriebssystem, weshalb die Implementierung hierfür erwünscht ist.

Bei Mailverkehr sollen grundsätzlich alle Betreuer informiert werden (Nutzung von CC).

Alle ein bis zwei Wochen finden nach Absprache Besprechungen zum Fortschritt bzw. weiteren Vorgehen statt.

Aufgabensteller:
Prof. Dr. D. Kranzlmüller

Dauer der Bachelor-Arbeit: 3 Monate

Anzahl Bearbeiter: 1-2