Wired Equivalent Privacy - WEP

Größe: px

Ab Seite anzeigen:

Download "Wired Equivalent Privacy - WEP"

Detlef Beyer
vor 8 Jahren
Abrufe

1 Wired Equivalent Privacy - WEP Dr. Axel Wachtler Dresden,

2 Einleitung Einleitung Protokoll Verschlüsselung Ausblick Was ist WEP? Arten von Wireless Netzen 2

3 Einleitung Was ist WEP? optionale Sicherheitsergänzung für WLAN s nach IEEE Implementierung im MAC, Verschlüsselung der Daten auf der Luftschnittstelle Ziele bei der Definition des WEP-Standards: äquivalente Sicherheit eines Kabelnetzes einfache Nachrüstung bestehender Systeme (Softwareimplementierung) Ressourceneffizienz (Mobilsysteme, Akku, Speicher, Rechenleistung) 3

Definition des WEP-Standards: äquivalente Sicherheit eines Kabelnetzes einfache Nachrüstung

4 Einleitung Ad-Hoc Netzwerke Arten von Wireless Netzen Stationen haben Verbindung untereinander keine zentrale Zugangskontrolle STA Ad Hoc Netzwerk GW STA ETH STA geringerer Durchsatz (Collissions) Infrastruktur Netzwerke Stationen Verbinden sich mit AP zentrale Zugangskontrolle STA STA: Independent Basic Service Set (IBSS) Infrastructure Netzwerk ETH AP AP steuert den Zugriff der Stationen zum Medium (weniger Collissions, RTS/CTS) STA STA Netzzugang auf Basis der MAC-Adressen STA STA: Basic Service Set (BSS) STA: Extended Service Set (ESS) AP 4

Zugangskontrolle STA STA: Independent Basic Service Set (IBSS) Infrastructure Netzwerk ETH AP AP steuert den Zugriff der Stationen zum

5 Das Protokoll Einleitung Protokoll Verschlüsselung Ausblick Verbindungsaufbau Authentifizierung 5

6 Verbindungsaufbau Zustand 1: Netzparam. werden gesendet (Beacon, Probe-Req./Resp.) Zustand 2: STA sendet Auth.-Req. (Varianten Open-System- oder Shared-Key-Authentication 1 Authenticate 2 STA Zustände nicht authentifiziert nicht angemeldet authentifiziert nicht angemeldet Deauthenticate Zustand 3: STA sendet (Re)Assoc-Req., nur bei Ergebnis successful ist Datenübertragung möglich. Associate Reassociate 3 authentifiziert angemeldet Disassociate Deauthenticate 6

nicht angemeldet authentifiziert nicht angemeldet Deauthenticate Zustand 3: STA sendet (Re)Assoc-Req.

7 Authentifizierung nur die STA muß sich beim AP authentifizieren (Problem Fake-AP) zwei Arten zur Authentifizierung: Open-System-Authentification: formale Authentizierung, AP authentifiziert anhand seiner MAC-Adresstabelle Shared-Key-Authentification: AP sendet Challenge-Text im Klartext, STA antwortet mit encryptetem Challenge-Text, beide Rahmen sind On-Air beobachtbar und der Angreifer kann daraus den Key ermitteln (z.b. Wörterbuchangriff, AP gibt Auskunft, ob Key korrekt oder falsch geraten wurde). 7

Shared-Key-Authentification: AP sendet Challenge-Text im Klartext, STA antwortet mit encryptetem Challenge-Text, beide Rahmen

8 Verschlüsselung Einleitung Protokoll Verschlüsselung Ausblick Datenverschlüsselung RC4-Verfahren WEP-Key und Init-Vektor Integritätsprüfung 8

9 Verschlüsselung Datenverschlüsselung Init Vektor generator WEP Key IV Zufallszahlen generator (RC4) Prüfsummen generator individueller Schlüssel Datenpaket ICV (CRC32) XOR Sender IV C Datenpaket ICV WEP Rahmen Empfänger XOR individueller Schlüssel Datenpaket ICV (CRC32) WEP Key Zufallszahlen generator (RC4) ICV[Error, OK] Prüfsummen checker 9

XOR Sender IV C Datenpaket ICV WEP Rahmen Empfänger XOR individueller Schlüssel

10 Verschlüsselung RC4-Verfahren Stromchiffirierung entwickelt von Ron Rivest, 1987, bis 1994 geheim, einfach in SW zu implementieren ausgehend von einem Schlüssel beliebiger Länge wird eine Bytefolge erzeugt, die als individueller Schlüssel (One Time Pad) bezeichnet wird. Ciphertext entsteht aus Exor-Verknüpfung von individuellem Schlüssel und Klartext die Größe des internen Schlüsselraumes bei RC4 beträgt = ! Problem bei RC4: es existieren kryptografisch schwache Schlüssel, bei denen Klar- und Ciphertext stärker korreliert sind. Bei WEP wird der RC4-Algorithmus mit jedem Datenpaket neu gestartet. 10

Ciphertext entsteht aus Exor-Verknüpfung von individuellem Schlüssel und Klartext die Größe des internen Schlüsselraumes bei RC4 beträgt 2 1700 = 256 2 256!

11 Verschlüsselung Init-Vektor Problem: Nach der Initialisierung mit dem WEP-Key würde der RC4-Generator immer die gleiche Bytefolge als individueller Schlüssel emitieren. Identische Klartexte ergeben somit identische Geheimtexte (Klartextangriff, IP-Protokoll enthält viel Klarext). Lösung: Hinzufügen einer Zufallskomponente (Initvektor) zum WEP-Key WEP verwendet einen 24-Bit Initialvektor, damit sind Startwerte bei gleichem WEP-Key möglich, davon sind 9000 krypt. schwach. Theoretischer Verbrauch des IV-Raumes: Pakete mit 1500 Byte, eine Station, ca. 5 Mbyte/s: 84 min, praktisch treten IV-Kollisionen bereits nach 5000 Paketen auf Warum nur 3 Byte IV? Design zugunsten der Maximimierung des Durchsatz. (Minimierung des Protokoll-Overheads) 11

Lösung: Hinzufügen einer Zufallskomponente (Initvektor) zum WEP-Key WEP verwendet einen 24-Bit Initialvektor, damit sind 16 777 216 Startwerte bei gleichem WEP-Key möglich, davon sind 9000

12 Verschlüsselung Integritätsprüfung Ziel Prüfung der Authentizität einer Nachricht (Signatur) und Erkennung von modifizierten Rahmen (Replay-Angriff) Integrity Check Value (ICV) wird mit CRC32-Algorithmus berechnet (4 Byte Prüfsumme) CRC32 ist ein Algorithmus zur Erkennung von Übertragungsfehlern und kein kryptographischer Hash wie MD5 oder HMAC-SHA1. CRC32 ist ein lineares Verfahren, daher kann der ICV auch im Ciphertext ohne Kenntniss des Schlüssels korrigiert werden. 12

Prüfsumme) CRC32 ist ein Algorithmus zur Erkennung von Übertragungsfehlern und kein kryptographischer Hash wie MD5

13 Ausblick Einleitung Protokoll Verschlüsselung Ausblick Schwachstellen von und WEP Aktuelle Lösungsmöglichkeiten Wifi Protected Access - WPA 13

14 Ausblick Schwachstellen von WEP bei Shared-Key-Authentification ist Klartext und encrypteter Text beobachtbar kleiner Werteraum des IV und grosser Anteil an bekannten Daten bei TCP-IP krypt. schwache Schlüssel werden nur z.t. bei der IV-Generierung ausgefiltert. statische Schlüssel, viele Benutzer verwenden den gleichen Key über Wochen und Monate fehlende Definition zur Wahl des IV im Standard: Implementationsschwächen, z.b. Nullinitialisierung, Zähler mit 16 Bit Wraparound, kein Ausfiltern von schwachen IV s CRC32 ist ungeeignet für Integritätsschutz der Pakete - somit kein Schutz vor Replay-Attacken 14

statische Schlüssel, viele Benutzer verwenden den gleichen Key über Wochen und Monate fehlende Definition zur Wahl des IV im Standard:

15 Ausblick Aktuelle Lösungsmöglichkeiten keine Shared-Key-Authentification, SSID löschen Standardeinstellungen der Hersteller ändern (SSID, Passwort) 104 Bit-Keys anstelle 40 Bit-Keys verwenden WEP-Keys öfter wechseln WLAN-Segmente zusätzlich sichern End-zu-Endverschlüsselung (ssh, ssl, VPN) Firewalls wo möglich, dynamischer Schlüsseltausch nach 802.1X (Radius) 15

Bit-Keys verwenden WEP-Keys öfter wechseln WLAN-Segmente zusätzlich sichern

16 Ausblick Wifi Protected Access - WPA neuer Standard i behebt die Schwächen von WEP Unterstützung von 802.1X Key Exchange (Radius, Benutzerauthentifizierung) dynamischer Sessionkey für Unicast and Multicast Traffic Message Integrity Code (MIC) ersetzt CRC32-ICV Replay-Detection beim Empfänger, mitgeführte Sendefolgenummer Auswahl aus zwei Verschlüsslungsverfahren: RC4 (TKIP) und AES (AES-CCMP) 16

1X Key Exchange (Radius, Benutzerauthentifizierung) dynamischer Sessionkey für Unicast and Multicast

17 Zusammenfassung für ein sicheres WLAN ist erheblicher Aufwand nötig Standardeinstellungen von Herstellern ändern End-zu-End-Verschlüsselung einsetzen WEP ist unsicher, es macht jedoch Eindringlingen das Leben schwerer. mit WPA werden die Schwächen von WEP behoben 17

End-zu-End-Verschlüsselung einsetzen WEP ist unsicher, es macht

18 Literatur [1] Axel Sikora. Wireless LAN - Protokolle und Anwendungen. Addison-Wesley München, Boston, [2] Cyrus Peikary and Seth Fogie. Maximum Wireless Security. Sams Publishing, [3] R. Wobst. Abenteuer Kryptologie: Methoden, Risiken und Nutzen der Datenverschlüsselung. Addison-Wesley-Longman Bonn, [4] The InteropNet Labs (ilabs). What is wrong with WEP? Sec/What is wrong with WEP-lv03.pdf,

Abenteuer Kryptologie: Methoden, Risiken und Nutzen der Datenverschlüsselung. Addison-Wesley-Longman Bonn, 1998.

Ähnliche Dokumente

Wireless LAN (WLAN) Sicherheit

Wireless LAN (WLAN) Sicherheit Prof. Dr. Rolf Oppliger Folie 1 Übersicht 1. Einführung 2. WEP 3. WPA 4. WPA2 5. Sicherheitsempfehlungen 6. Situation an der UZH (inkl. IFI) 7. Schlussfolgerungen und Ausblick