Ataques contra Confidencialidade: anonimato em redes VANETs

Em segurança da informação, a confidencialidade tem como objetivo impedir que entidades não autorizadas tenham acesso ao conteúdo original das mensagens trocadas entre as entidades comunicantes, garantindo apenas que a origem e o destino possuam conhecimentos do conteúdo original. Para tal, algoritmos de criptografia são utilizados para embaralhar as mensagens e dificultar a leitura do conteúdo. No contexto das redes VANETs, a preocupação com a confidencialidade está além do acesso não autorizado às mensagens, e inclui também o aspecto da possível violação do anonimato dos usuários (ex.: motoristas).

Em redes VANETs, mensagens trafegadas para uso de propósito geral, tais como as mensagens periódicas para aplicações de segurança no trânsito e predição de percursos, são enviadas à rede de forma autêntica, porém, sem suporte a confidencialidade. Ou seja, uma vez que tais mensagens são utilizadas para propósito geral, permite-se que quaisquer entidades conectadas na rede possam monitorar o canal de comunicação e obter os dados presentes nas mensagens. Ademais, permitir que apenas certas entidades (ex.: veículos específicos) fossem capazes de ter acesso aos dados contidos em mensagens periódicas exigiria mecanismos de negociação de chaves de criptografia, inviável para certos cenários devido à grande dinamicidade de entrada e saída de (novos) veículos na rede. Desta forma, não é viável garantir confidencialidade do conteúdo de tais mensagens contra entidades não autorizadas (ex.: atacantes passivos), o que pode facilitar o monitoramento de rotas de veículos e, consequentemente, a possível violação do anonimato dos motoristas.

A principal motivação do monitoramento das mensagens periódicas e, como consequên- cia, a possível violação do anonimato dos motoristas reside especialmente em fatores co- merciais. Na Web, por exemplo, empresas de diversos seguimentos realizam investimentos maciços para monitorar as atividades e o comportamento dos usuários a fim de maximi- zar a probabilidade de oferecer serviços com maior relevância. Essa motivação também deverá ser considerada em redes veiculares. Outro fator determinante para assegurar o anonimato dos veículos está na integridade física das pessoas envolvidas (ex.: possíveis ações de sequestros), uma vez que usuários maliciosos podem construir um perfil de rotas de um veículo específico a fim de encontrar um padrão de mobilidade.

Nesta perspectiva, em [13] pesquisadores analisaram diferentes formas de distribuição de identidades para veículos a fim de analisar o nível de anonimato e, em contrapartida, o impacto em requisitos de segurança, tais como revogação de certificados digitais de veículos maliciosos e não-repúdio. As três potenciais formas de distribuição de identidades analisadas são descritas a seguir:

1. Todos os veículos registrados no sistema compartilham as mesmas iden- tidades: este é o modelo de distribuição de identidades mais simples para garantir total anonimato, em contrapartida, sob a ótica dos requisitos de segurança, é o mo- delo que traz os maiores problemas. A identidade pode ser representada por chaves simétricas, uma vez que o compartilhamento dessa chave, nesse contexto, é simples. Por outro lado, uma vez detectado um veículo mal-comportado, não será possível identificá-lo unicamente no sistema, o que também impedirá sua exclusão através da revogação de chaves;

2. Grupos de veículos compartilham uma mesma identidade: essa abordagem proporciona anonimato para os grupos, porém, o nível de anonimato dependerá do tamanho do grupo de veículos que compartilham as mesmas identidades. Resultados da análise mostram que a identificação e exclusão de veículos maliciosos podem ser demoradas e comprometer uma quantidade substancial de veículos não maliciosos, a depender do tamanho dos grupos. Ou seja, para um grupo com um número de veículos maior (maior anonimato), a exclusão de um veículo malicioso pertencente a esse grupo poderá comprometer os demais veículos do grupo;

3. Cada veículo armazena um conjunto de identidades (pseudônimos) e ne- nhum veículo compartilha nenhuma identidade: além de permitir o controle individual do anonimato de cada veículo; veículos maliciosos serão revogados sem afetar os demais veículos no sistema. Dentre as três abordagens avaliadas, essa se apresenta como a mais viável de acordo com as métricas avaliadas. Por outro lado, os autores ainda defendem que essa abordagem identifica unicamente um veí- culo do ponto de vista da autoridade certificadora, a qual também poderá violar o anonimato dos usuários. Entretanto, tal argumento é excessivo, uma vez que a responsabilidade da autoridade certificadora é justamente gerenciar e organizar a autenticidade dos veículos, papel similar a outros serviços tradicionais e consolida- dos, tais como sistemas bancários e de telefonia, os quais armazenam dados pessoais como transações financeiras e ligações telefônicas.

Dentro da perspectiva de redes VANETs, é importante enfatizar que uma identidade é representada por um certificado digital. Desta forma, com base na análise realizada por Haas et al [13], verificou-se que o uso de múltiplas identidades para cada veículo é a mais adequada sob a ótica do controle de anonimato dos usuários e, principalmente, observando dentro da perspectiva da revogação de certificados digitais. Como consequência desta abordagem, o uso de diferentes identidades no nível de aplicação também deve refletir em mudanças de identidades (neste caso, endereços) em todos os níveis da camada de rede, tais como endereços IP e físico (MAC), como proposto por Fonseca et al [163]. Entretanto,

o intervalo de tempo mínimo/máximo que uma identidade deve ser utilizada, bem como quando a troca de identidades deve ser realizada ainda são pontos a serem definidos.

A primeira proposta remete ao trabalho de Raya [8], onde o tempo considerado para mudança de identidade ocorre com base na distância entre dois potenciais pontos de violação de anonimato e a troca das identidades ocorre antes do segundo ponto. Neste caso, a troca de identidade ocorre de forma arbitrária para cada veículo, ou seja, cada nó realiza a troca de identidades independentemente que outros nós o façam. No entanto, uma análise apresentada em [164] detalha que tal abordagem facilita o monitoramento de troca de identidades e, consequentemente, a associação de diferentes identidades para o mesmo veículo, um procedimento denominado vinculação ou associação (linkability) [12]. Desta forma, diversos trabalhos foram propostos com o objetivo de dificultar a associa- ção das múltiplas identidades de um veículo. As abordagens propostas partem do conceito denominado conjunto anonimato (Anonimity Set) ou k-anonymity [67,165] e zonas mistas (mix-zones) [166]. O conceito de conjunto anonimato é um modelo em que um elemento e, de um conjunto de elementos E que compartilham as mesmas propriedades, não pode ser identificável por pelo menos k-1 elementos do conjunto, para k = |E|. O conjunto E é denominado conjunto anonimato. Como exemplo, estão ilustrados na Figura 2.8 dois conjuntos anonimatos, o conjunto dos potenciais remetentes, e o conjunto dos potenciais destinatários. Ou seja, através do monitoramento das mensagens trafegadas, não deve ser possível associar uma mensagem específica a um remetente ou um destinatário específico. Dentro do contexto do controle de anonimato em sistemas de geolocalização, o conceito de zonas mistas visa formar conjuntos anonimatos em regiões geográficas, permitindo que entidades dentro daquela região não sejam unicamente identificáveis.

Figura 2.8: Mensagens transmitidas e recebidas não podem ser associadas ao nó transmis- sor pertencente ao conjunto anonimato dos remetentes e/ou ao nó receptor pertencente ao conjunto anonimato dos destinatários (Adaptada de [12]).

Desta forma, existem na literatura abordagens que têm como base o conceito de con- junto anonimato e zonas mistas para troca de identidades. Tais abordagens diferem apenas em como os conjuntos anonimatos são constituídos e o momento de troca de iden- tidades. Como exemplo, as intersecções entre vias ou regiões onde há grande aglomerado de veículos, tais como estacionamentos, podem ser consideradas zonas mistas para troca de identidades [167–169]. Nesse caso, todos os veículos devem alterar suas identidades ao mesmo tempo. Além disso, a troca de identidades dos veículos pertencentes a uma mesma zona mista pode ocorrer após um período de silêncio (silent period), onde veículos interrompem a transmissão de mensagens periódicas, alteram as identidades, e voltam a transmitir [164, 170].