Mobilkommunikationsnetze. - IEEE Security -

Größe: px

Ab Seite anzeigen:

Download "Mobilkommunikationsnetze. - IEEE Security -"

Joseph Ackermann
vor 8 Jahren
Abrufe

1 - IEEE Security - Andreas Mitschele-Thiel 1

2 Sicherheitsziele Vertraulichkeit Schutz gegen unbefugtes Abhören des Datenverkehrs auch durch authentifizierte Nutzer untereinander! Integrität Schutz gegen Veränderung der Pakete in flight Authentizität Zugriff nur durch befugte Nutzer Ggf. Authentifizierung des Netzes gegenüber STA 2

3 Historisch: WEP Wired Equivalent Privacy (WEP) Verschlüsselung mit RC4-Stromchiffre (XOR-Verknüpfung) mit 40 bzw. 104 Bit Schlüssel (statisch) 24-Bit-Initialisierungsvektor (dynamisch) zur Vermeidung von Schlüsselduplikaten CRC32 zur Sicherung gegen Fehler im Paket Durch XOR-Verknüpfung effizient implementierbar Unsicher in allen praktischen Belangen 3

4 WEP Verschlüsselung PRNG Plaintext Message Secret Key Ciphertext 13 byte (104 bits) ICV IV IV 3 byte (24 bits) Steps: Transfer Message a) Use CRC-32 to calculate the ICV (Integrity Check Value) over the plaintext message (for packet authentication) b) Concatenate the ICV to the plaintext c) Choose a random IV (Initialization Vector, 3 bytes, selected for each packet) and concatenate it to the secret key (13 bytes) d) Input the secret key + IV into the PRNG (Pseudo Random Number Generator) to produce a pseudorandom key sequence e) Encrypt the plaintext + ICV by doing a bitwise XOR with the pseudo random key sequence under RC4 to produce the cipher text f) Communicate the IV to the peer by placing it in front of the cipher text 4

5 WEP Entschlüsselung Ciphertext IV PRNG Secret Key IV Plaintext message ICV Plaintext Message ICV Steps: a) Concatenate the IV of the incoming message to the secret key. b) Generate the key sequence (same as for sender) using the pseudo-random noise generator. c) Decrypt the incoming message. Combining the cipher text with the proper key sequence yields the original plaintext and ICV. d) Verify the decryption by performing the integrity check algorithm on the recovered plaintext and comparing the output ICV' e) If ICV' is not equal to ICV, the received message is in error, and an error indication is sent to the MAC management and back to the sending station. 5

6 Historisch: Shared Key Authentication Nutzerauthentifizierung durch Kenntnis eines geheimen Schlüssels (statisch) einfaches Challenge-Response-Verfahren AP sendet zufällige Zeichenfolge an STA (Challenge Text) STA verschlüsselt Zeichenfolge nach WEP mit gemeinsamem Schlüssel AP entschlüsselt erfolgreich STA ist authentifiziert basiert auf WEP vergleichbar unsicher 6

7 Aktuell: i (WPA2) Erweiterung von um (bisher) als sicher geltende Authentifizierungs- & Verschlüsselungsverfahren Temporal Key Integrity Protocol (TKIP) WPA Kompromiss zur ressourcenschonenden Verschlüsselung basierend auf WEP/RC4 aber mit dynamisch erzeugte Schlüssel Upgrade für bestehende WEP-Systeme CTR with CBC-MAC Protocol (CCMP) Broadcast/Multicast Integrity Protocol (BIP) Schutz von Managementpaketen gegen Veränderung und Replay Simultaneous Authentication of Equals (SAE) Authentifizierung zwischen zwei STA mit gemeinsamem Passwort 802.1X zur Zugangskontrolle 7

8 CCMP CCMP: Counter (CTR) Mode with Cipher Block Chaining Message Authentication Code (CBC-MAC) Protocol bietet Verschlüsselung (Counter Mode, CTR), Authentifizierung (CBC-MAC) und Replay-Schutz von Nachrichten Basis: CCMP (RFC 3610) mit AES mit 128-Bit-Schlüssel und -Blockgröße 48 Bit Paketnummer als Schutz gegen Replay und als (Teil des) Nonce für Verschlüsselung & Authentifizierung 8

9 CCMP CBC-MAC zur Authentifizierung Sicherstellung der Nachrichtenintegrität & -authentizität durch kryptografisch sichere Prüfsumme Verschlüsseln der Nachricht im CBC-Modus, d.h. jeder Block ist von der korrekten Verschlüsselung des vorherigen Blocks abhängig Speichern des letzten Blocks als Prüfsumme (WLAN: 8 von 16 Bytes gespeichert) m 1 m 2 m x 0 k E k E k E Message m Schlüssel k Block cipher E Nach: 9 Prüfsumme

10 CCMP Counter-Mode zur Verschlüsselung Block-Chiffre: Nonce (Flags, Zieladresse, Paketzähler) + Counter werden mit Schlüssel k mittels AES verschlüsselt Schlüsselstrom Blockweise XOR-Verknüpfung der Klartextblöcke Nonce Counter xyz Nonce Counter xyz Nonce Counter xyz k Block-Chiffre k Block-Chiffre k Block-Chiffre Klartext Klartext Klartext Ciphertext Ciphertext Ciphertext Nach: 10

11 Vergleich zu regulärem Cipher Block Chaining Einkopplung des Ergebnisses der Block Ciphers in nächsten Block Cipher 11

12 CCMP Counter Mode Kopplung der Block Chiffre-Elemente nur über Counter Vorteile: keine Ausbreitung von Übertragungsfehlern (1 Bitfehler im Ciphertext = 1 Bitfehler im Klartext) ggf. Fehlerkorrekturmechanismen weiterhin möglich wahlfreier Zugriff auf einzelne Blöcke Pakete segmentweise entschlüsselbar Ver-/Entschlüsselung parallelisierbar Skalierbarkeit bei vielen Paketen (bspw. am AP) 12

13 CCMP Replay-Schutz STA hält für jeden Kommunikationspartner einen Paketzähler wenn Paketzähler des empfangenen Pakets vorhandener Zähler Paket verwerfen Paketzähler ist Bestandteil des Nonce für CBC-MAC keine Fälschung möglich 13

802.1X zur Zugangskontrolle Infrastruktur

14 802.1X zur Zugangskontrolle Infrastruktur zur Kontrolle des Zugriffs auf Netzwerkendpunkte (Ports) EAPOL (bspw.) EAP in RADIUS PAE PAE Supplicant Authenticator Authentication Server EAP Extensible Authentication Protocol EAPOL EAP over LAN PAE Port Access Entity 14

15 802.1X EAPOL Extensible Authentication Protocol over LAN Anpassung zur Benutzung von EAP (RFC 3748) über LAN-Verbindungen EAP: Framework zur generischen Unterstützung der flexiblen Authentifizierung von Endgeräten Flexible Verwendung verschiedener Authentifizierungsmethoden im Protokollablauf keine vorherige Aushandlung nötig Einbindung zusätzlicher Methoden über Backend-Server (Passthrough) 15

16 802.1X EAP Generischer Protokollablauf Peer/Supplicant Identity Request Authenticator Identity Response ggf. abhängig von Methode weitere Schritte Request Response EAP Success/Failure 16

17 802.1X EAP-MD5 Challenge Handshake Authentication Protocol mit MD5- Hash Peer/Supplicant Authenticator MD5(id, secret, challenge) EAP-MD5-Challenge(N) Response(User, MD5( )) EAP Success/Failure Zufallszahl N MD5(id, secret, challenge) == Response? 17

18 802.1X EAP-TLS EAP Transport Layer Security Authentifizierung mit X.509-Zertifikaten auf beiden Seiten Peer/Supplicant Authenticator EAP-TLS-Start Authentication Server Verifikation Server- Zertifikat TLS Handshake EAP Success EAP-TLS client_hello EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS change_cipher_spec EAP-TLS certificate, client_key_exchange, certificate_verify, change_cipher_spec EAP-TLS Response Verifikation Client- Zertifikat 18

19 802.1X EAP-TTLS EAP Tunneled TLS Benutzung von anderen EAP- Methoden via TLS-Tunnel Phase 1: TLS-Handshake zum Aufbau eines Tunnels zwischen Supplicant & Server Phase 2: Nutzung weiterer Authentifizierungsmethoden via Tunnel (bspw. Password Authentication Protocol, PAP) geschützt durch verschlüsselten Tunnel Typisch: Tunnel nur mit Server-Authentifizierung, Client anonym => keine PKI Infrastruktur nötig Client-Authentifizierung durch verschiedene Methoden in Phase 2 (Beispiel: eduroam) 19

20 802.1X Schlüsselableitung Authentifizierungsvorgang liefert Pairwise Master Key (PMK) 4-Wege-Handshake zur Ableitung von Pairwise Transient Key (PTK - Schutz von Unicastverkehr) und Group Temporal Key (GTK - Verschlüsselung von Broadcastverkehr) Ableitung PTK aus Nonce von STA und AP, MAC- Adressen von STA und AP und PMK durch Password- Based Key Derivation Function 2 (PBKDF2) 64 Byte PTK Aufteilung PTK in verschiedene Teilschlüssel für Anwendungen wichtig: Temporal Key für Verschlüsselung Unicast-Traffic (128 Bit) 20

21 802.1X Schlüsselableitung STA AP Ableitung PTK aus AP- & STA-Nonce AP-Nonce STA-Nonce GTK ACK Ableitung PTK aus AP- & STA-Nonce 21

Ähnliche Dokumente

Mobilkommunikationsnetze - 802.11 Security -

Mobilkommunikationsnetze - 802.11 Security - - 802.11 Security - Vorlesung Historisch: WEP Wired Equivalent Privacy (WEP) Verschlüsselung mit RC4-Stromchiffre mit 40 bzw. 104 Bit Schlüssel 24-Bit-Initialisierungsvektor zur Vermeidung von Schlüsselduplikaten