Eine aktuelle Abwehrmassnahme ist das Frequenzsprungverfahren, mit dem jedes Datenpaket mit Tausenden Bit auf einem zufälligen Funkkanal übertragen wird. Aber nur bei sehr grossen Datenpaketen haben Hacker eventuell eine Chance. Nunmehr gelang MIT-Forschern die Entwicklung eines sehr interessanten Senders, der jedes einzelne Bit eines Datenpakets in Mikrosekundenabstand sendet. Das ist selbst für ausgebuffte Hacker zu schnell.
Frequenzagile BAW-Resonatoren
Der Sender benutzt frequenzagile Komponenten, genannt BAW-Resonatoren (Bulk Acoustic Wave) und schaltet extrem schnell zwischen zahlreichen HF-Kanälen, wobei bei jedem Sprung ein Bit gesendet wird. Die Forscher integrierten zudem einen Kanalgenerator, der jede Mikrosekunde für jedes Bit per Zufall einen Kanal auswählt. Ausserdem entwickelten die Experten ein Funkprotokoll, das sich von den heutigen unterscheidet und das extrem schnelle Frequenzsprungverfahren unterstützt.
Selektive Störung ist eine raffinierte Attacke auf Funkkomponenten
«Mit den derzeit vorhandenen Senderarchitekturen könnte man auf keinen Fall Bits derart schnell und mit geringer Leistung im Frequenzsprungverfahren übertragen», sagt die Postdoc Rabia Tugce Yazicigil vom Department of Electrical Engineering and Computer Science. Der neue Transmitter wurde während des IEEE Radio Frequency Integrated Circuits Symposium im Juni 2018 in Philadelphia, PA, USA, vorgestellt. «Durch die gemeinsame Entwicklung von Protokoll und HF-Architektur bieten wir die physikalische Ebene für jede Art von Kommunikation», so Yazicigil.
Eine besonders raffinierte Attacke auf Funkkomponenten ist die selektive Störung. Der Hacker fängt Datenpakete von einem Sender ab und korrumpiert sie, während alle anderen nahen Schaltungen unangetastet bleiben. Derartige Attacken lassen sich nur schwer identifizieren, da der Grund hierfür oft in einer schlechten Link gesucht wird. Ausserdem lassen sich derartige Attacken mit den derzeitigen Frequenzsprungsendern auf Paketebene nur schwerlich abwehren.
BLE-Sender benötigt für die Übertragung etwa 612 μs
Beim Frequenzsprungverfahren sendet ein Sender Daten auf verschiedenen Kanälen, basierend auf einer vorbestimmten Sequenz, die der Empfänger weiss. Das Frequenzspringen mit Paketen sendet pro Zeiteinheit ein Datenpaket auf einem 1-MHz-Kanal von 80 verfügbaren Kanälen. Ein BLE-Sender benötigt für diese Übertragung etwa 612 μs. Aber Hacker können den Kanal bereits während der ersten Mikrosekunde feststellen und dann das Paket stören.
Beim Design ihres extrem schnellen Frequenzsprungverfahrens ersetzten die Forscher zuerst einmal den Kristalloszillator mit einem BAW-Resonator. Aber dieser Resonator funktioniert nur mit 4 bis 5 MHz der Frequenzkanäle. Das ist viel zu wenig im Vergleich zum 80-MHz-Bereich im 2,4-GHz-Band für die Funkkommunikation. Aber die Forscher integrierten Komponenten, die eine Eingangsfrequenz in mehrere Frequenzen aufteilen. Ein zusätzlicher Mixer kombiniert die aufgeteilten Frequenzen mit den BAW-HF-Frequenzen und erzeugt damit zahlreiche neue Frequenzen, die in etwa 80 Kanäle umfassen.
Empfänger vergleicht die Energien auf zwei Kanälen
Der nächste Schritt betrifft die Zufälligkeit der Datenübertragung. Wenn ein Sender mit herkömmlichen Modulationsverfahren auf einem Kanal Daten sendet, dann zeigt dieser Kanal einen Offset – eine kleine Frequenzabweichung. Bei BLE-Modulationen ist dieser Offset immer fixe 250 kHz für ein «1»-Bit und –250 kHz für ein «0»-Bit. Ein Empfänger stellt einen dieser Offsets fest und decodiert die korrespondierenden Bit. Das bedeutet, sobald Hacker die Trägerfrequenz ausfindig machen können, haben sie auch Zugriff auf diese Informationen. Wenn man zum Beispiel den 250 kHz Offset auf Kanal 14 erkennt, dann weiß man, dass das eine ankommende «1» ist. Dann kann das Manipulieren mit dem Paketrest beginnen.
Um das zu verhindern, entwickelten die Forscher ein System, das in jeder Mikrosekunde vom 80-Kanalspektrum ein Paar separater Kanäle bestimmt. Basierend auf einem mit dem Sender geteilten geheimen Schlüssel macht der Empfänger einige Berechnungen, damit ein Kanal ein 1-Bit trägt und der andere ein 0-Bit.
Aber der Kanal, der das gewünschte Bit trägt, wird immer mehr Energie aufweisen. Der Empfänger vergleicht dann die Energien in diesen beiden Kanälen, stellt den mit höherer Energie fest und decodiert für das Bit, dass auf dem Kanal gesendet wurde. Zum Beispiel: Mit dem geteilten Schlüssel berechnet der Empfänger, dass für einen Sprung eine «1» auf Kanal 14 und eine «0» auf Kanal 31 gesendet wird. Aber der Sender will nur, dass der Empfänger eine «1» decodiert.
Wechselnde Arbeitslasten
Der Sender wird eine «1» auf Kanal 14 senden und nichts auf Kanal 31. Der Empfänger «erkennt» Kanal 14 mit der höheren Energie und weiss, dass es ein 1-Bit-Kanal ist. Der Empfänger decodiert eine «1». In der folgenden Mikrosekunde wählt der Sender für das nächste Bit zufällig zwei weitere Kanäle und wiederholt den Prozess. Im Rahmen einer weiteren Innovation integrierten die Forscher zwei Senderpfade in eine zeitverschachtelte Architektur. Dadurch kann der inaktive Sender den nächsten ausgewählten Kanal erhalten, während der aktive Sender Daten auf dem aktuellen Kanal überträgt. Dann wechselt die Arbeitslast. Das sichert die Frequenzsprungfrequenz von 1μs und erreicht die 1 MBit/s-Datenrate von ähnlichen BLE-Sendern.
Infoservice
MIT, Massachusetts Institute of Technology
77 Massachusetts Avenue, Cambridge
MA 02139-4307, USA
