TU München, Lehrstuhl Sicherheit in der Informatik 1

Transkript

1 Kapitel 4 Drahtlose LANs (Wireless LAN, WLAN) WLAN: IEEE Standard kostengünstige, einfache Netzanbindung mobiler Geräte Einsatzbereiche: u.a. Campus-Netze mit einer drahtlosen Netzinfrastruktur oder auch Ad-hoc-Netze ohne Netzinfrastruktur Gesundheitsbereich, Fabrikhallen, Bankenbereich oder auch Hot Spots: Flughäfen, Bahnhöfe, Protokollarchitektur Endgerät (Terminal) Anwendung TCP IP MAC PHY Zugangspunkt (Access point) MAC PHY Infrastrukturnetz MAC PHY Festes Endgerät (Fixed terminal) Anwendung TCP IP MAC PHY Überwachung des Mediums Modulation der Daten Kodierung/Dekodierung Steuerung Medienzugriff Fragmentierung Nutzdaten Verschlüsselung Einführung Einordnung in IEEE 802-Familie Bluetooth HiperLAN/2 3 Überblick über die IEEE Standards Funkspektrum zwischen 2,4 und 2,48 GHz, 5GHz Kurzbeschreibung der Standards: siehe C. Eckert, IT Sicherheit Charakteristika a 54-MBit/s-WLAN im 5 GHz-Band b 11-MBit/s-WLAN im 2,4-GHz-Band c Wireless Bridging: d "World Mode", Anpassung an regionsspezifische Regulatorien e QoS- und Streaming-Erweiterung für a/g/h f Roaming für a/g/h (Inter Access Point Protocol IAPP) g 54-MBit/s-WLAN im 2,4-GHz-Band h 54-MBit/s-WLAN im 5-GHz-Band mit DFS und TPC i Authentifizierung/Verschlüsselung für a/b/g/h n 600-MBit/s-WLAN im 2,4 o. 5-GHz-Band (noch nicht verabschiedet) 4 TU München, Lehrstuhl Sicherheit in der Informatik 1

2 Vergleich der wichtigsten technischen Daten b+ 2,4 GHz 22 MBit 6-8 MBit 100mW indoor, outdoor b/g proprietär g 2,4 GHz 54 MBit MBit 100mW indoor, outdoor b/b h 5 GHz 54 MBit 28 MBit 200mW Verabschiedung 11/2009 geplant n 2,4 GHz/ 5 GHz 600 MBit* 74 MBit indoor, outdoor b/g Ad hoc-netz AP 4.2 Betriebsmodi / Systemarchitekturen Ad-hoc-Netz: direkte Kommunikation zwischen Endgeräten Infrastruktur-Modus: Teilnehmer Access Point (AP) AP: Verbindung zwischen dem funk- und drahtgebundenen Netz Existierendes Festnetz AP Standard a b Frequenzbereich 2,4 GHz 5 GHz 2,4 GHz Datenrate brutto 1-2 MBit 54 MBit 11 MBit Datenrate netto 32 MBit 4-6 MBit Sendeleistung 100mW 30mW 100mW Reichweite (m) Einsatz (RegTP) indoor indoor, outdoor Kompatibel zu b b+/g Infrastruktur- Modus * Vier Kanäle zu je 150 MBit möglich z.b. auch bei Car2Car Kommunikation! AP: Access Point 5 6 Komponenten: Endgerät: WLAN-Karte, WLAN-Adapter. Router, Access Punkt, Antenne Ad-hoc-Netz Direkte Kommunikation mit begrenzter Reichweite STA 1 IBSS 1 IBSS 2 STA 2 STA 4 STA 5 STA 3 Station (STA): Rechner mit Zugriff auf das drahtlose Medium Independent Basic Service Set (IBSS): Gruppe von Stationen, die dieselbe Funkfrequenz nutzen 7 Infrastrukturnetz LAN 802.x LAN Station (STA) Rechner mit Zugriff auf STA 1 BSS 1 das drahtlose Medium und AP Portal Funkkontakt zum Access Point Distribution System AP Basic Service Set (BSS) Gruppe von Stationen, die dieselbe Funkfrequenz nutzen, Access Point (AP) BSS 2 STA 2 STA3 sowohl in das Funk-LAN als LAN auch das Festnetz integriert Portal: Übergang in ein anderes Festnetz Distribution System: Verbindung verschiedener Zellen, um ein Netz (ESS: Extended Service Set) zu bilden 8 TU München, Lehrstuhl Sicherheit in der Informatik 2

3 4.3 WLAN-Grundlagen im Überblick Konzentration auf einige Aspekte, die für das Verständnis der Sicherheitsproblem wichtig sind Vertiefende Beschreibung: J. Schiller: Mobile Communications. Addison-Wessley, 2. ed., pp , Physikalische Schicht (Bitübertragungsschicht) Nutzung Funkspektrums zwischen 2,4 und 2,48 GHz, 5GHz Störung der Funkwellen durch andere elektromagnetische Quellen ist möglich, Beispiele? Konsequenzen? Datenübertragungsrate: bis 11 MBits/s bei b, 54 MBit/s bei 11g, 600 MBit/s bei 11n Signalreichweite: m, durchdringt auch feste Gegenstände 9 Modulationsverfahren für die Funkschnittstelle: Bandspreizverfahren: (Spread Spectrum) u.a. Frequenzsprung (FHSS), Direct Sequence (DSSS) Spreizung: Robustheit der Übertragung gegen Störung Sicherheit: Spreizverfahren erhöhen Übertragungszuverlässigkeit, liefern aber keinen Beitrag zur Sicherheit! FHSS (Frequency Hopping Spread Spectrum) Pseudozufälliger Wechsel der Trägerfrequenz Datenrate 1 bzw. optional 2 MBit/s (ursprünglicher ) Vorteile: Interferenz auf kurze Perioden begrenzt nutzt nur schmalen Bereich des Spektrums zu einem Zeitpunkt Nachteile: einfacher abzuhören nicht so robust wie DSSS 10 DSSS (Direct Sequence Spread Spectrum) Datenrate 1 bzw. optional 2 MBit/s Spreizung des zu übertragenden Signals über mehrere Frequenzbereiche die Spreizung erfolgt durch die Modulation der Trägerfrequenz mit einer pseudozufälligen Codesequenz (chipping sequence) im Standard: 11 Chips, d.h. Jedes übertragene Bit wird als 11Bit langer Barker-Code im Frequenzband dargestellt. t b 0 1 t c t b : Bitdauer t c : chip Dauer Nutzdaten XOR chipping sequence = resultierendes Signal wesentlich unempfindlicher gegen Funkstörungen als FHSS durch redundante Bits des Chipping Codes Medienzugangsschicht (MAC) Aufgaben: Steuerung/Kontrolle des Medienzugriffs (hier Funkmedium) Roaming, Authentifizierung, : Gleiches MAC-Zugriffsverfahren für die verschiedenen Übertragungsverfahren (FHSS, DSSS, ) auf der Bitübertragungsschicht (Physical Layer) Infrarot FHSS ( nm) 2,4 GHz band Mb/s: 1; 2 Mb/s: 1; Logical Link Control MAC DSSS 2,4 GHz band Mb/s: 1; 2; 5,5; 11 OFDM 2,4 u. 5 GHz band Mb/s : 6; 9; 12; 18; 24; 36; 48; 54 Data Link Layer Physical Layer TU München, Lehrstuhl Sicherheit in der Informatik 3

4 SIFS: PIFS: DIFS: DIFS Medium belegt DIFS PIFS SIFS Wartezeit 1. Sendewillige Station hört das Medium ab (CCA-Signal) 2. Medium für die Dauer eines DIFS frei nach DIFS gesendet Short Inter-Frame Spacing Point Coordination Function Inter-Frame Spacing Distributed Coordination Function Inter-Frame Spacing Medien-Zugriffsverfahren: idr CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) Daten können nach Abwarten von DIFS gesendet werden Empfänger antworten sofort (nach SIFS) CCA- Signal Wettbewerbsfenster (zufälliger Backoff-Mechanismus) nächster Rahmen Zeitschlitz (50 μs/20 μs) t 3. Medium belegt auf freies DIFS warten und zusätzlich um eine zufällige Backoff-Zeit verzögern 4. Fairness durch zusätzlichen Backoff- Algorithmus Backoff-Timer Zugang zum Drahtlosen Netz WLAN Client muss Access Punkt kennen/identifizieren: Identifikation des Access Points (AP) Jeder AP besitzt eine SSID (Service Set Identifier), AP sendet in festen Intervallen Beacon-Frames mit SSID Unterbinden des Broadcasts der SSID : Cloaked mode Alternative: Client erfragt SSIDs mittels Probe-Nachrichten Sicherheit: noch keine SSID (oder ESSID) werden im Klartext übertragen D.h. Kenntnis der SSID ist kein Authentifikationsnachweis Bem: Client kontaktiert den AP mit der größten Signalstärke 14 Identifikation des Clients durch AP Vergabe von Netznamen auch an Clients (SSID, ESSID) nur Clients mit dem SSID des AP werden akzeptiert Alternativ: Client-Identifikation über MAC-Adresse Zugangskontrolle: ACLs mit MAC-Adressen MAC-Adresse Bem.: Filtern der MAC-Adressen nicht im Standard enthalten, aber Standard-konform Adressen- Vergleich Access Point Manuelle Pflege der Listen! Fremde MAC- Adressen werden abgewiesen ACL-Liste 02-2F-3A-83-AD E A A4-E Sicherheit Identitätsprüfung ist keine Authentifizierung! Zugangskontrolle basiert auf der (fälschbaren) Identität von Clients Vergabe von Netznamen: falls in AP any eingetragen ist, wird jeder Client, der das Netz nutzen möchte, akzeptiert Fazit: Schwache Authentisierung: MAC-Adresse ist kein Authentizitätsnachweis Zusätzliche Authentifizierungsmaßnahmen sind notwendig Weitere Sicherheitsprobleme? 16 TU München, Lehrstuhl Sicherheit in der Informatik 4

5 Mögliche Angriffspunkte: Missbrauch von Ressourcen... Nutzer Mitlesen Angreifer Fälschen Identität übernehmen Access Point LAN Missbrauch von Ressourcen Internet SPAM Datenabruf Illegale Inhalte... Internet Problembereich 1: Konfiguration des AP Standardeinstellung: häufig schwache Mechanismen Standard-Passwörter werden nicht geändert, Default-SSID, 17 Problembereich 2: Abhören: WLAN-Funkwellen haben eine Ausbreitung von bis zu 150 m mit Spezialantennen und -equipment ist es aber möglich, schwache Signale noch in 1,5 km Entfernung aufzuzeichnen. Wellen breiten sich auch in vertikaler Richtung aus: relevant, wenn das Gebäude mehrstöckig ist und evtl. auch andere Firmen im gleichen Gebäudekomplex untergebracht sind. Bem.: durch elektromagnetische Abschirmung lässt sich ein Abhören der Funksignale verhindern (selten eingesetzt) Mauern behindern Signalausbreitung, schirmen aber nicht ab! Fazit: Abhören ist einfach möglich, verschiedene Tools dafür! z.b. für WarDriving 18 Beispiel: WarDriving Frei verfügbare Sniff-Tools, um gezielt nach APs zu suchen u.a. NetStumbler: oder AirCrack NG: Vorgehen: mit WLAN-fähigem Laptop und Sniff-Tools: Herumfahren im PKW (War Driving): Auffangen von Signalen von Access Points Loggen von MAC-Adressen, SSIDs, Hersteller-Namen, Signal Stärke, Frage: Was hat der Angreifer von dieser Information? Problembereich 3: Spoofing Manipulierbare MAC-Adressen (Session hijacking) MAC-Adresse Nutzer ACL-Liste E A6 Access Point MAC in Klartext übertragen Angreifer MAC-Adresse A4-E7-98 Angreifer... wartet bis Client sich abmeldet oder sendet disassociate message an Client TU München, Lehrstuhl Sicherheit in der Informatik 5

6 Manipulierbare MAC-Adressen (Session hijacking) (Teil 2) MAC-Adresse Nutzer ACL-Liste E A6 nach Abmelden des Nutzers übernimmt der Angreifer die Session Access Point MAC in Klartext übertragen Angreifer MAC-Adresse A4-E7-98 manipulierte MAC-Adresse Angreifer... wartet bis Client sich abmeldet oder sendet disassociate message an Client Access Point-Spoofing Szenario: Station St1 sucht Kontakt zu AP2, um auf Server 2 zuzugreifen AP1 sendet mit höherer Signalstärke, ggf. mit SSID von AP2 St1 glaubt, dass AP1 der richtige Partner ist Potentielle Konsequenzen? Server 1? AP1 St1 Server 2 AP2 u.a. Missbrauch der Ressourcen in vermeintlich gesicherten Netzen! Fazit: stärkere Sicherheits-Mechanismen sind erforderlich! Authentizität, Vertraulichkeit, Integritäts-Maßnahmen WEP (Wired Equivalent Privacy) Ziele: Vertraulichkeit, Integrität und Authentizität Soll eine dem kabelgebundenen Ethernet gleiche Sicherheit bieten Bem: Welche Sicherheit bietet eigentlich ein kabelgebundenes Ethernet? WEP-Authentifikation 2 Modi: Open : keine Authentisierung Shared Key : CR mit Pre-Shared Key K, manuelles Eintragen des Schlüssels K bei AP und den Clients Symmetrisches Challenge Response: einseitige Authentifikation WEP-Vertraulichkeit Punkt-zu-Punkt-Verschlüsselung: AP zu WLAN-Client RC4-basierte Stromchiffre: Generierung des Schlüsselstroms Key Ausgangspunkt ist ein gemeinsamer geheimer Schlüssel K: Schlüssellänge ist 40 oder optional 104 Bit Pre-shared secret, manuell eingetragen, für alle Clients gleich Schlüsselstromgenerierung ist abhängig von dem Schlüssel K und einem 24-bit Initialisierungsvektor IV Mit der Stromchiffre RC4 und dem Schlüssel K' = IV K wird ein Schlüsselstrom Key = RC4(K') generiert Klartext M wird verschlüsselt zu: C = M Key. Übertragung von C und IV über die Funkschnittstelle TU München, Lehrstuhl Sicherheit in der Informatik 6

7 4.6.3 WEP-Integrität Integritätswert: 32-Bit Cyclic Redundancy Check (CRC) Vorgehen: Sender: berechnet 32-Bit CRC-Wert der zu sendenden Nachricht M Prüfsummenberechnung: M = M CRC(M) Gesamtnachricht besteht aus n+1+m Bits und ist durch das Polynom G(x) teilbar mit Rest 0 Integritätsprüfung durch Empfänger: Division von M durch das Polynom G(x). Ist der Rest 0, so sind keine Übertragungsfehler aufgetreten. Frage: Qualität der Integritätsprüfung? 25 RC4 PRNG 32 bit CRC Zusammenfassung der WEP-gesicherten Datenübertragung Initialisation Vector (IV) Secret key K Plaintext Schlüsselstrom Key Aktionen auf der Seite des Empfängers: Basis: K empfängt IV und berechnet Key = RC4(IV K) entschlüsselt C mit C Key = M' CRC(M')' prüft die Prüfsumme: CRC(M')' = CRC(M') IV Cipher text Sicherheitsprobleme beim WEP Gravierende Designschwächen in allen drei Schutzbereichen Authentifikationsprobleme: Einseitige Authentifikation: AP-Spoofing ist möglich Client-Spoofing-Angriff Angreifer zeichnet (RAND, RES) auf Berechnen des Schlüsselstroms RC4(K) durch: RC4(K) = RES RAND (Kennt er auch K) Anmelde-Request an Access Point AP sendet Challenge RAND zum Angreifer Angreifer: RES = (RAND CRC-32(RAND )) RC4(K) senden von RES und IV (IV ist wiederverwendbar!) Vertraulichkeitsprobleme: WEP anfällig gegen Known-Plaintext-Angriffe Mögliche Attacke: gegeben sei Klartext M und C = M RC4(K) bei festem Schlüssel K gilt: sei (M, C ) ein weiteres mit K erzeugtes Klartext-Kryptotext-Paar, es gilt: M M' = C C, damit gilt: M = (C C') M' d.h. man erhält den Klartext M, ohne den Schlüssel K zu kennen falls Schlüsselstrom wiederholt verwendet wird WEP: Initialisierungsvektor (24 Bit), soll Wiederholung verhindern IV ist zu kurz, erneute Verwendung nach wenigen Stunden TU München, Lehrstuhl Sicherheit in der Informatik 7

8 Integritätsprobleme: CRC ist linear, d.h. CRC-32(M M') = CRC-32(M) CRC-32(M') d.h. aus der Bit-Differenz zweier Eingabetexte M, M ist die Bit-Differrenz der zugehörigen CRC-Werte zu berechnen Beispiel: Gegeben sei Klartext M und zugehöriger Kryptotext C Angreifer hört C ab und versucht, F = M D einzuspielen Berechnung von C' = C (D CRC-32(D)), überträgt C Empfänger entschlüsselt C : C (D CRC-32(D)) RC4(K), (M CRC-32(M) RC4(K) ) (D CRC-32(D)) RC4(K) = (M D CRC-32(M D)) = F CRC-32(F) : wird akzeptiert Empfänger erkennt durchgeführte Manipulation an M nicht Weiterentwicklung der Sicherheitsdienste: 802.1x, i und WPA Zur Verbesserung der Authentifikation: Rückgriff auf das 802.1x Framework IEEE 802.1x IEEE i Unternehmen Verschlüsselung mit TKIP Vor der Ratifizierung von i bereits als schnelle Verbesserung entwickelt WPA Authentifizierung mittels EAP Schlüsselmanagement Verschlüsselung mit TKIP Authentifizierung mittels EAP Schlüsselmanagement Authentifizierung mittels EAP Schlüsselmanagement Kleine WLANs Verschlüsselung mit TKIP Wi-Fi Protected Access (WPA) Interimslösung der Hersteller unter Leitung der WiFi Alliance Ziel: Ablösung der Sicherheitsdienste von WEP, unter Wahrung der Abwärtskompatibilität, ohne neue Hardware zu erfordern Beseitigung (soweit möglich) der WEP-Sicherheitsprobleme Schrittweise Migration zum neuen Standard i, WiFi Alliance: zertifiziert die Interoperabilität von WLAN-Produkten WPA umfasst Schlüsselmanagement, auch im i TKIP (Temporal Key Integrity Protocol), auch in i EAP-gestützte Authentifizierung unter Nutzung von 802.1X TU München, Lehrstuhl Sicherheit in der Informatik 8

9 4.7.1 Schlüsselmanagement Basis: gute paarweise Master-Keys PMK 256 Bit Pairwise Master Key: zwischen AP und Endgerät Zwei Vorgehensweisen zur Etablierung des PMK Pre-shared z.b. durch manuelles Eintragen über 802.1X-Protokoll (siehe 4.7.3) Aufbau einer Schlüsselhierarchie: PMK bildet die Wurzel zweite Ebene: Pairwise Transient Key PTK (512 Bit bei TKIP) Aufteilen des PTK in (4 bei TKIP, 3 bei CCMP) Schlüssel Schlüssel 1 und 2: Verschlüsselung und Integrität von EAPOL-Nachrichten (beim 802.1x Protokoll) Schlüssel 3: paarweiser Kommunikationsschlüssel Schlüssel 4: zwei paarweise Integritätsschlüssel a 64 Bit 33 Schlüsselhierarchie bei TKIP und i Ausgehend von PMK werden in AP und Station die PTK berechnet Durchführen eines 4-Wege-Handshakes hierfür aus PTK leiten die Partner die eigentlichen Schlüssel ab 34 4-Wege-Handshake zur Berechnung der temporären Schlüssel Protokollnachrichten werden als EAPOL-Nachrichten ausgetauscht AP Station (1) ANonce generiere SNonce berechne PTK (s.u.) (2) SNonce, MIC über SNonce MIC: Integritätswert Berechne PTK mit Schlüssel 2 (3) Aktiviere PTK, MIC gesichert (4) Bestätigte Aktivierung, MIC gesichert PTK: PRF(PMK, ANonce, SNonce, Mac_Adresse_AP, Mac_Adresse_Station) Temporal Key Integrity Protocol (TKIP) Software-Patch für WEP für existierende Hardware, Wrapper Beibehalten der bestehenden Hardware der APs, d.h. keine aufwändigen Cryptoverfahren, da zu wenig CPU-Power in APs Verbesserungen des TKIP gegenüber WEP: 1. Unterschiedliche Schlüssel für jede Verbindung u. Richtung 2. Message Integrity Code (MIC) pro Paket anstelle des einfachen CRC 3. Sequenznummern gegen Replay-Angriffe 4. Schlüsselerneuerungsprotokoll, Beibehalten von RC4-Verschlüsselung TU München, Lehrstuhl Sicherheit in der Informatik 9

10 Ziel: Verstärkung des Schlüsselmanagements und Integrität TKIP Schlüssel 128 Bit Verschlüsselungsschlüssel pro Session (abgeleitet aus PTK) unterschiedliche Schlüssel (64 Bit) pro Richtung 64 Bit Daten-Integritäts-Schlüssel (MIC-Schlüssel) Access Point und Station nutzen unterschiedliche Schlüssel, d.h. für jede Richtung wird ein Schlüssel benötigt WEP-Paket bei TKIP vergröbert Integritätsschlüssel DA SA Payload 8 byte MIC Michael 37 Paketverschlüsselung (D. Whiting, R. Rivest) Partner berechnen PTK aus Master Key Schlüsselteil 3 des PTK (128 Bit) ist der Kommunikationsschlüssel (Session Key TK): daraus die per Paket-Schlüssel PPK berechnen Problem: Hardware interpretiert Paket wie unter WEP, Vorgehen zur Schlüsselberechnung: 2 Phasen: Mixen 128 Bit Session Key PTK Sender MAC-Adresse: 00-A0-C9-BA-4D-5F Sequenznummer Phase 1 Mixer 32 Bit 16 Bit Phase 2 Mixer 80 Bit Temporärer Zwischen-Schlüssel + IV 104 Bit per Paket- Schlüssel PPK 38 Phase1: Erzeugen eines temporären Schlüssels Eingabe: Sender-MAC-Adresse, PTK, 32-Bit der Sequenznummer Funktion: Byteweises und Ergebnis als Index in eine S-Box Berechnung ist aufwändig, Zwischenschlüssel vorab berechnen, wird im Gerät gespeichert für spätere (erneute) Verwendung Bem.: Unter Verwendung des Zwischenschlüssels können 2 16 Paket- Schlüssel erzeugt werden, danach Phase 1 erneut ausführen Phase 2: Verschleiern des Zusammenhangs von IV und Paket-Key Mixen von Schlüsselbits und Sequenznr: Streuen der Bits mittels einer Substitutionschiffre (S-Box), wie auch in Phase 1 Ausgabe: 104-Bit Per-Paket Schlüssel (als WEP-Key interpretiert) 24 Bit IV, also insgesamt 128 Bit Schlüssel Arbeitsweise TKIP und Michael, zusammengefasst Fazit: deutliche Verbesserung gegenüber WEP, interoperabel mit WEP aber Schwächen! TU München, Lehrstuhl Sicherheit in der Informatik 10

11 4.7.3 Authentifikation basierend auf IEEE 802.1X Hintergrund: IEEE 802.1X Allgemeines Authentifikationsframework, das in verschiedenen Kontexten verwendet werden kann, z.b. WLAN-Authentifikation Rollen im 802.1X Framework: Supplicant (im vorliegenden Kontext ist das die WLAN-Karte): nutzt MAC-Verbindungen zum Authenticator Authenticator (AP): Vermittler zwischen Supplicant und Authentifikationsserver Authentication Server (z.b. RADIUS-Server, Kerberos) Authentifizierung an einem Authentifizierungsdienst, z.b. mittels Smartcard, Client-Zertifikate oder Passwort IEEE 802.1X Architektur: Allgemeiner Überblick Dual-Port Architektur Supplicant Authenticator Authentication Server EAPoL/ EAPoW Angebotene Dienste; kontrollierter Port WLAN unautorisiert unkontrollierter Port LAN EAP over RADIUS Nutzung des EAP Typischer Protokollablauf: Idee: das EAP kapselt Anfrage/Antwort-Nachrichten von beliebigen Authentifizierungsprotokollen (TLS, CHAP, Kerberos,..) d.h. EAP-Nachrichten transportieren Authentifizierungsdaten WLAN: EAP-Daten direkt in Paketen verschickt, EAP over LAN 43 Supplicant Associate EAP Identity Request EAP Identity Response EAP Auth Request EAP Auth Response EAP-Success Port Status: AP EAP Identity Response EAP Auth Request EAP Auth Response Authentication Daten Normale Daten EAP-Success Authentication Server Bem: bei Success: Übertragung von Credentials bzw. Master-Keys für sichere Kommunikation Sicherheit von 802.1X? Stärken Schwächen? 44 TU München, Lehrstuhl Sicherheit in der Informatik 11

12 4.8 IEEE i (WPA2) (seit Juni 2004) Anforderungen: Pakete müssen authentifiziert und verschlüsselt werden Schlüssel nur für ein Paket verwenden Pakete müssen verschlüsselte Sequenznummer enthalten Gegenseitige Authentifizierung Integrität Verschlüsselung: TKIP (Temporary Key Integrity Protocol), optional -CCMP (Counter-Mode-CBC-MAC Protocol), obligatorisch Authentifikation: Rückgriff auf 802.1X, analog zu WPA CCMP (Counter-Mode-CBC-MAC Protocol) Verschlüsselungsalgorithmus: (Advanced Encryption Standard) Zur Erinnerung: ist eine symmetrische Block-Chiffre, übliche Modi für : ECB, Cipher-Block-Chaining (CBC), Counter Mode (CTR) CTR: Blocklänge 128 Bit, ctr (Counter), Schlüssel K (128Bit), Verschlüsselung mit CTR-Modus K M 1 ctr ctr+1 ctr+n-1 K C 1 M 2 C 2 M n Background: Entwicklung des -CCMP für CCMP: 128 bit im Counter Mode mit CBC-MAC Protocol Neues Design, wenig Konzessionen bezgl. WEP (nicht kompatibel!) Aufwand: Costs 40 instructions/byte in Software, d.h. es wird neue Access-Point-Hardware benötigt Ziel: Long-term-Lösung Basierend auf starker Kryptographie, Erweiterbar, um eine Re-Konfigurierung zu unterstützen Adressierte Sicherheitsziele: Probleme von WEP beseitigen Block-Chiffre, keine Stromchiffre: Schlüssel; zur Integritätsberechnung und zur Verschlüsselung, d.h. nur ein Integritäts-Schlüssel (nicht kompatibel mit TKIP) -CCMP CCM = Counter Mode + CBC MAC Counter Mode für die Verschlüsselung und CBC-MAC für die Integritätssicherung verschlüsselt Header Payload MIC Authentifiziert Nutzung von CBC-MAC zur MIC-Berechnung über Plaintext Header, Länge des Plaintext Header und Payload Nutzung des CTR Modus, um Payload zu verschlüsseln Counter Werte: Init-Wert, +1, +2, +3, Nutzung des CTR Modus, um MIC zu verschlüsseln: Counter = TU München, Lehrstuhl Sicherheit in der Informatik 12

13 CCM-MIC-Berechnung und Verschlüsselung K K IV (48bit) K MIC- K Berech. Klartextpaket K Verschlüsselung Verschl. Paket K Header Padding 128-bit M bit M 2 Mn Ctr Ctr+1 K K Ctr=0 Header C1 C2 MIC' K bit MIC Vergleich WEP TKIP CCMP Chiffre Größe des Chiffrierschlüssels Wiederholung eines Paketschlüssels Integritätssicherung der Paketdaten Integritätssicherung für den Header Erkennung von Replay-Attacken Schlüsselmanagement WEP RC4 48 oder 104 Bit 2 24 Pakete CRC32 keine keine keine TKIP RC4 Michael 104 Bit für Verschlüsselung, 64 Bit für Integrität 2 48 Pakete Quell- und Ziel-MAC werden von Michael abgesichert IV Sequenzzähler IEEE 802.1X Fazit: WLAn Sicherheitskonzepte, Protokolle Stärken, Schwächen? CCMP 128 Bit Neuer K nach 2 48 Paketen CCM CCM IV Sequenzzähler IEEE 802.1X 50 Einige ergänzende Literaturhinweise zu WLAN-Security Fluhrer, Scott, Itsik Mantin, and Adi Shamir: Weaknesses in the Key Scheduling Algorithm of RC4. Presented to the Eighth Annual Workshop on Selected Areas in Cryptography, Stubblefield, Adam, John Ioannidis, and Aviel D. Rubin: Using the Fluhrer, Mantin, and Shamir Attack to Break WEP. AT&T Labs Technical Report TD-4ZCPZZ. Revision 2, August Erik Tews, Ralf-Philipp Weinmann, Andrei Pyshkin: Breaking 104 bit WEP in less than 60 seconds, WISA 2007, LNCS 4867, pp , Springer-Verlag Erik Tews and Martin Beck, Practical attacks against WEP and WPA, WISEC, 2009, Seite79-86, Jon Edney / William A. Arbaugh: Real Security: Wi-Fi Protected Access and i, Addison-Wesley, 7. Auflage, Mai TU München, Lehrstuhl Sicherheit in der Informatik 13