ADVANCED REMOTE ATTESTATION PROTOCOLSFOREMBEDDEDSYSTEMS Vom Fachbereich Informatik der Technischen Universität Darmstadt genehmigte Dissertation zur Erlangung des akademischen Grades Doktor-Ingenieur (Dr.-Ing.) von M. Sc. Florian Kohnhäuser geboren in Groß-Gerau, Deutschland Referenten: Prof. Dr.-Techn. Stefan Katzenbeisser Universität Passau Prof. Dr.-Ing. Matthias Hollick Technische Universität Darmstadt Tag der Einreichung: 06.06.2019 Tag der mündl. Prüfung: 18.07.2019 D 17 Darmstadt, 2019 Dieses Dokument wird bereitgestellt von tuprints, E-Publishing-Service der TU Darmstadt. http://tuprints.ulb.tu-darmstadt.de [email protected] Bitte zitieren Sie dieses Dokument als: URN: urn:nbn:de:tuda-tuprints-89987 URL: https://tuprints.ulb.tu-darmstadt.de/id/eprint/8998 Die Veröffentlichung steht unter folgender Creative Commons Lizenz: Attribution – NonCommercial – NoDerivatives 4.0 International (CC BY-NC-ND 4.0) http://creativecommons.org/licenses/by-nc-nd/4.0/ ERKLÄRUNG Hiermit versichere ich, die vorliegende Arbeit ohne Hilfe Dritter nur mit den angegebenen Quellen und Hilfsmitteln angefertigt zu haben. Alle Stellen, die aus Quellen entnommen wurden, sind als solche kenntlich gemacht. Diese Arbeit hat in gleicher oder ähnlicher Form noch keiner Prüfungsbehörde vorgelegen. Darmstadt, 06. Juni 2019 Florian Kohnhäuser AKADEMISCHERWERDEGANG Seit 02/2015 Technische Universität Darmstadt Wissenschaftlicher Mitarbeiter Promotionsstudium 10/2012 - 11/2014 Technische Universität Darmstadt Studium der IT-Sicherheit Abschluss: Master of Science 10/2009 - 09/2012 Karlsruher Institut für Technologie Studium der Informatik Abschluss: Bachelor of Science iii ABSTRACT Small integrated computers, so-called embedded systems, have become a ubiqui- tous and indispensable part of our lives. Every day, we interact with a multitude of embedded systems. They are, for instance, integrated in home appliances, cars, planes, medical devices, or industrial systems. In many of these applica- tions, embedded systems process privacy-sensitive data or perform safety-critical operations. Therefore, it is of high importance to ensure their secure and safe operation. However, recent attacks and security evaluations have shown that embedded systems frequently lack security and can often be compromised and misused with little effort. A promising technique to face the increasing amount of attacks on embedded systems is remote attestation. It enables a third party to verify the integrity of a remote device. Using remote attestation, attacks can be effectively detected, which allows to quickly respond to them and thus minimize potential damage. Today, almost all servers, desktop PCs, and notebooks have the required hardware and software to perform remote attestation. By contrast, a secure and efficient attestation of embedded systems is considerably harder to achieve, as embedded systems have to encounter several additional challenges. In this thesis, we tackle three main challenges in the attestation of embedded systems. First, we address the issue that low-end embedded devices typically lack the required hardware to perform a secure remote attestation. We present an attestation protocol that requires only minimal secure hardware, which makes our protocol applicable to many existing low-end embedded devices while providing high security guarantees. We demonstrate the practicality of our protocol in two applications, namely, verifying code updates in mesh networks and ensuring the safety and security of embedded systems in road vehicles. Second, we target the efficient attestation of multiple embedded devices that are connected in challenging network conditions. Previous attestation protocols are inefficient or even inapplicable when devices are mobile or lack continuous connectivity. We propose an attestation protocol that particularly targets the efficient attestation of many devices in highly dynamic and disruptive networks. Third, we consider a more powerful adversary who is able to physically tamper with the hardware of embedded systems. Existing attestation protocols that address physical attacks suffer from limited scalability and robustness. We present two protocols that are capable of verifying the software integrity as well as the hardware integrity of embedded devices in an efficient and robust way. Whereas the first protocol is optimized towards scalability, the second protocol aims at robustness and is additionally suited to be applied in autonomous networks. In summary, this thesis contributes to enhancing the security, efficiency, ro- bustness, and applicability of remote attestation for embedded systems. v KURZFASSUNG Kleine integrierte Computer, sogenannte eingebettete Systeme, sind zu einem all- gegenwärtigen und unverzichtbaren Bestandteil unseres Lebens geworden. Jeden Tag interagieren wir mit einer Vielzahl von eingebetteten Systemen, die z.B. in Haushaltsgeräten, Autos, Flugzeugen, medizinischen Geräten oder industriellen Systemen integriert sind. In vielen dieser Anwendungen verarbeiten eingebettete Systeme datenschutzrelevante Informationen oder steuern sicherheitskritische Prozesse, sodass es wichtig ist, die IT-Sicherheit dieser eingebetteten Systeme zu gewährleisten. Jüngste Angriffe und Sicherheitsanalysen haben jedoch gezeigt, dass viele eingebettete Systeme ein niedriges IT-Sicherheitsniveau aufweisen und oft mit geringem Aufwand kompromittiert und zweckentfremdet werden können. Eine vielversprechende Technik, um der zunehmenden Bedrohung durch An- griffe auf eingebettete Systeme zu begegnen, sind Attestierungsverfahren (engl. Remote Attestation). Diese ermöglichen es einer dritten Partei, die Integrität eines entfernten Gerätes zu überprüfen. Mittels Attestierung können Angriffe effektiv erkannt werden, wodurch schnell auf Angriffe reagiert und potenzielle Schäden minimiert werden können. Die Attestierung von eingebetteten Systemen bringt jedoch eine Reihe von Herausforderungen mit sich, die in existierenden Arbeiten bisher nicht oder nur unzureichend behandelt wurden. In dieser Arbeit stellen wir uns drei zentralen Herausforderungen. Zunächst befassen wir uns mit dem Aspekt, dass kostengünstige eingebettete Systeme in der Regel nicht über die erforderliche Hardware verfügen, um eine sichere Attestierung durchzuführen. Wir stellen ein Attestierungsprotokoll vor, das hohe Sicherheitsgarantien bietet und dabei nur ein Minimum an sicherer Hardware benötigt. Durch die niedrigen Hardwareanforderungen ist unser Protokoll auf vielen kostengünstigen eingebetteten Systemen einsetzbar. Wir demonstrieren die Praktikabilität unseres Protokolls in zwei Anwendungen, der Verifikation von Software Updates in Sensornetzen und der Gewährleistung funktionaler Sicherheit von Steuergeräten in Fahrzeugen. Als Nächstes betrachten wir die effiziente Attestierung mehrerer eingebetteter Systeme in großen Netzwerken. Bisherige Attestierungsprotokolle sind ineffizient oder nicht anwendbar, wenn keine dauerhafte Konnektivität zwischen allen Geräten im Netzwerk besteht oder Geräte ihre Position ändern. Wir präsentieren ein Attestierungsprotokoll, das eine effiziente Attestierung vieler Geräte ermöglicht, die in hochdynami- schen und unterbrochenen Netzwerken miteinander verbunden sind. Als Letztes befassen wir uns mit dem Schutz vor invasiven physikalischen Angriffen auf die Hardware eingebetteter Systeme. Bestehende Attestierungsprotokolle, die physi- sche Angriffe erkennen, besitzen lediglich eine eingeschränkte Skalierbarkeit und Robustheit. Wir stellen zwei Protokolle vor, die in der Lage sind, die Software- und Hardware-Integrität eingebetteter Geräte auf effiziente und robuste Weise zu vi überprüfen. Während unser erstes Protokoll besonders effizient und skalierbar ist, bietet unser zweites Protokoll eine hohe Robustheit und eignet sich damit insbesondere für den Einsatz in autonomen Netzwerken. Zusammenfassend verbessert diese Arbeit die Sicherheit, Effizienz, Robustheit und Anwendbarkeit von Attestierungsverfahren für eingebettete Systeme. vii LISTOFPUBLICATIONS peer-reviewed publications used in this thesis [83] Florian Kohnhäuser, Niklas Büscher, and Stefan Katzenbeisser. ”SALAD: Secure and Lightweight Attestation of Highly Dynamic and Disruptive Networks.” In: ACM ASIA Conference on Computer and Com- munications Security (ASIACCS). 2018. [84] Florian Kohnhäuser, Niklas Büscher, and Stefan Katzenbeisser. ”A Prac- tical Attestation Protocol for Autonomous Embedded Systems.” In: IEEE European Symposium on Security and Privacy (EuroS&P). 2019. [85] Florian Kohnhäuser and Stefan Katzenbeisser. ”Secure Code Updates for Mesh Networked Commodity Low-End Embedded Devices.” In: European Symposium on Research in Computer Security (ESORICS). 2016. [86] Florian Kohnhäuser, Dominik Püllen, and Stefan Katzenbeisser. ”Ensur- ing the Safe and Secure Operation of Electronic Control Units in Road Vehicles.” In: IEEE Security and Privacy Workshops (SPW). 2019. [88] Florian Kohnhäuser, Niklas Büscher, Sebastian Gabmeyer, and Stefan Katzenbeisser. ”SCAPI: A Scalable Attestation Protocol to Detect Soft- ware and Physical Attacks.” In: ACM Conference on Security and Privacy in Wireless and Mobile Networks (WISEC). 2017. [127] Steffen Schulz, André Schaller, Florian Kohnhäuser, and Stefan Katzen- beisser. ”Boot Attestation: Secure Remote Reporting with Off-The-Shelf IoT Sensors.” In: European Symposium on Research in Computer Security (ESORICS). 2017. further peer-reviewed publications [47] Arved Eßer, Florian Kohnhäuser, Nadine Ostern, Kevin Engleson, and Stephan Rinderknecht.