De KU Leuven heeft een manier uitgedokterd om het Galileo-satellietplaatsbepalingssysteem te upgraden met maatregelen tegen spoofing zonder de huidige werking te verstoren. De Leuvense aanpak gaat uit van authenticatiecodes die als extra informatie worden toegevoegd aan de datapakketjes, waardoor het signaal zelf niet verstoord wordt en terugwaarts compatibel is met de huidige infrastructuur en ontvangers. Voor internetverkeer is dit soort message authentication gebruikelijk, maar de eisen voor Galileo zijn heel anders; er is nog slechts beperkte ruimte beschikbaar in de datastroom en bovendien moet het systeem ook werken bij slechte ontvangst.
Het werk richt zich op het publieke signaal van Galileo. Het Europese satellietnavigatiesysteem kent verschillende diensten, waaronder een commercieel signaal en een signaal voor overheden. Die bieden zeer hoge nauwkeurigheid, maar de data is versleuteld. Het publieke signaal, dat een wat lagere nauwkeurigheid biedt, is echter voor onversleuteld en daardoor gevoel voor namaaksignalen.
Toch wil de EU ook dit signaal het liefst beschermen. KU Leuven-hoogleraar Vincent Rijmen – een van de grondleggers van AES – onderzocht samen met promovendus Tomer Ashur of het bestaande Tesla-protocol hiervoor gebruikt kan worden, een aanpak speciaal bedoeld voor authenticatie van broadcast-signalen. Hiervoor kan geen symmetrische cryptografie gebruikt worden, want iedereen met een ontvanger zou de sleutel dan kunnen achterhalen en het systeem nabootsen.
Standaard asymmetrische cryptografie, met een geheime sleutel om de boodschap te coderen en een publieke sleutel voor decodering, vereist echter te veel rekenkracht en zou te veel ruimte in het signaal in beslag nemen. Het Tesla-protocol biedt een alternatief door steeds unieke sleutels te genereren op basis van vorige sleutels en de tijd. Zolang de zender en ontvanger hun klokken min of meer gelijk hebben, kunnen de authenticatieberichten geverifieerd worden. Bovendien kunnen sleutels gereconstrueerd worden uit voorgaande sleutels, waardoor het niet erg is als een signaal slechts gedeeltelijk ontvangen worden.
Device lifecycle management for fleets of IoT devices
Microchip gives insight on device management, what exactly is it, how to implement it and how to roll over the device management during the roll out phase when the products are in the field. Read more. .
De onderzoekers pasten het concept aan naar een situatie met meerdere zenders; volgens het Leuvense concept authenticeert elke satelliet zijn boodschappen op unieke wijze maar wordt de overhead laag gehouden door toch een sleutel te delen. Bovendien moest er een manier bedacht worden om satellieten die tijdelijk niet met een grondstation in verbinding staan – de authenticatiesignalen kunnen niet aan boord gegenereerd worden – geauthenticeerd kunnen worden door andere satellieten.
De methode moet zich nog wel in de praktijk bewijzen. Het is de bedoeling dat deze vanaf volgend jaar beperkt ingevoerd wordt en in 2020 – wanneer Galileo helemaal af is – op alle satellieten beschikbaar is.