Sicherheit bei WiMAX Analyse, Bewertung und Vergleich von IEEE d und IEEE e

Ähnliche Dokumente
Wireless Communication and Information 2006

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Sicherheitsrisiken bei WLAN

WLAN-Sicherheit. Markus Oeste. 27. Januar Konferenzseminar Verlässliche Verteilte Systeme Lehr- und Forschungsgebiet Informatik 4 RWTH Aachen

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

WLAN-Technologien an der HU

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Sicherer Netzzugang im Wlan

Technische Richtlinie Sicheres WLAN (TR-S-WLAN)

SSL-Protokoll und Internet-Sicherheit

Mobilkommunikationsnetze. - IEEE Security -

Prof. Dr. Martin Leischner Netzwerksysteme und TK. Hochschule Bonn-Rhein-Sieg. Modul 5: IPSEC

Transport Layer Security Nachtrag Angriffe

IT-Sicherheit Kapitel 11 SSL/TLS

IT-Sicherheit Kapitel 7 Schlüsseletablierung

Modul 3: IPSEC Teil 2 IKEv2

Mobilkommunikationsnetze Security -

TLS ALS BEISPIEL FÜR EIN SICHERHEITSPROTOKOLL

8.2 Vermittlungsschicht

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

VPN - Virtuelle Private Netzwerke

IPsec Hintergrund 1 Überblick

IKEv1 vs. v2. Wie verändert die Version 2 von IKE das Verhalten? Netzwerksicherheit - Monika Roßmanith CNB, Simon Rich CN

Denn es geh t um ihr Geld: Kryptographie

CodeMeter. Ihr Führerschein zum Kryptographie-Experten. Rüdiger Kügler Professional Services

Wireless LAN (WLAN) Security

Gestaltung von virtuellen privaten Netzwerken (VPN) - Tunneling und Encryption

IT-Sicherheit SSL/TLS. Jens Kubieziel. Fakultät für Mathematik und Informatik. 6. Januar 2012

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

IPSec. Motivation Architektur Paketsicherheit Sicherheitsrichtlinien Schlüsselaustausch

Wireless LAN. Wired Equivalent Privacy. Authentizierung bei WEP

Wireless LAN (WLAN) Sicherheit

3.2 Vermittlungsschicht

Wireless LAN in öffentlich zugänglichen Gebäuden

Vertrauliche Videokonferenzen im Internet

Netzsicherheit. Das TCP/IP-Schichtenmodell

Andreas Dittrich 10. Januar 2006

WLAN & Sicherheit IEEE

Ein Überblick über Security-Setups von E-Banking Websites

IT-Sicherheit Kapitel 10 IPSec

Leistungsnachweis-Klausur Kurs Sicherheit im Internet I Ergänzungen Lösungshinweise

Angewandte Kryptographie

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet

Grundlagen der Web-Entwicklung INF3172

Systemsicherheit (Diplom) Netzsicherheit (Master)

IT-Sicherheit Kapitel 13. Sicherheit

Merkmale: Spezifikationen: Standards IEEE 802.1d (Spanning Tree Protocol) IEEE a (54 Mbps Wireless LAN) IEEE b (11 Mbps Wireless LAN)

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Sicherheit in Pervasiven Systemen. Peter Langendörfer & Zoya Dyka

Wireless LAN Sicherheit

NCP Secure Entry macos Client Release Notes

9 Schlüsseleinigung, Schlüsselaustausch

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

Wireless Local Area Network

8 Sichere Kommunikationsdienste ITS-8.1 1

VPN unterstützt 3 verschiedene Szenarien: Host to Host: Dies kennzeichnet eine sichere 1:1 Verbindung zweier Computer, z.b. über das Internet.

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

Wireless Local Area Network (Internet Mobil) Zengyu Lu

Inhaltsverzeichnis Vorwort Kryptographie und das Internet Point-To-Point Sicherheit

Beweisbar sichere Verschlüsselung

Modul 3: IPSEC Teil 2 IKEv2

WLAN Sicherheit von WEP bis CCMP. Prof. Dr.-Ing. Evren Eren Fachhochschule Dortmund Web:

Ethernet-Security am Beispiel SOME/IP

Webseiten mit HTTPS bereitstellen und mit HSTS sichern

Microtraining e-security AGETO

Kryptograhie Wie funktioniert Electronic Banking? Kurt Mehlhorn Adrian Neumann Max-Planck-Institut für Informatik

Kryptographische Verfahren: Empfehlungen und Schlüssellängen

Masterarbeit OCRA Challenge/Response - Framework. Sideris Minovgioudis

Message Authentication Codes. Konstruktion von MACs. Hash-then-Encrypt. Sicherheitsmodell

Agenda. Nächste Generation WLANs IT-Symposium 2007 IETF: IEEE: 1. HP User Society: IT Symposium 2007

Protokolldesign. Alexander Aprelkin TUM. Alexander Aprelkin (TUM) Protokolldesign / 36

Key Agreement. Diffie-Hellman Schlüsselaustausch. Key Agreement. Authentifizierter Diffie-Hellman Schlüsselaustausch

Sicherheit in Wireless LANs

Secure Socket Layer v. 3.0

Wiederholung. Symmetrische Verfahren: klassische Verfahren / grundlegende Prinzipien: Substitution, Transposition, One-Time-Pad DES AES

im DFN Berlin Renate Schroeder, DFN-Verein

Systemsicherheit 4: Wireless LAN

Sichere Identitäten in Smart Grids

Netzsicherheit 2 - SSL [Netsec2] Autoren: Prof. Dr. Jörg Schwenk. Ruhr - Universität Bochum

Vorlesung Netzsicherheit

Technische Richtlinie TR Anhang A: Kryptographische Vorgaben für die Infrastruktur von Messsystemen

Wireless G 4-Port VPN Router 54 Mbit/s WLAN g, VPN, QoS, 4-Port 10/100 Mbit/s LAN-Switch Part No.:

Seminar Neue Techologien in Internet und WWW

Netzsicherheit 9: Das Internet und Public-Key-Infrastrukturen

Nachtrag vom zur Fortschreibung der 301-Vereinbarung vom

N. Sicherheit. => Literatur: Tanenbaum & vansteen: Verteilte Systeme.

WiMAX Worldwide Interoperability for Microwave Access

Fakultät Informatik, Proseminar Technische Informationssysteme Sind Handyverbindungen abhörsicher?

WLAN Security. Bernhard Thaler Raiffeisen Informatik GmbH

Workshop: IPSec. 20. Chaos Communication Congress

High Definition AV Inhaltsschutz für Netzwerkübertragungen

Transportschicht TCP, UDP. Netzzugangsschicht

Kryptographie. Nachricht

IT-Sicherheit: Kryptographie

OPC UA: Ein kritischer Vergleich der IT-Sicherheitsoptionen

Kryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier

Verbesserte WLAN Sicherheit mit WPA, EAP und i

Layer 2 Forwarding Protokoll. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Transkript:

Sicherheit bei WiMAX Analyse, Bewertung und Vergleich von IEEE 802.16d und IEEE 802.16e IT-Symposium 2008 Frankfurt, 04. Juni 2008 Prof. Dr. -Ing. E. Eren Web: www.inf.fh-dortmund.de/eren E-Mail: eren@fh-dortmund.de www.it-symposium2008.de Folie 1 WiMAX WiMAX: Worldwide Interoperability for Microwave Access Dez. 2001: IEEE 802.16 (LoS) 10 66 GHz Okt. 2004 : IEEE 802.16d (NLoS, Fixed Indoor & Outdoor) 2 11 GHz Dez. 2005: IEEE 802.16e (Full Mobility & Roaming) 2 6 GHz Typische Datenraten bis 70 Mbps (hängt von Modulation und Kodierung ab), jedoch realistisch 1-2 Mbps Maximale Abdeckung: 50 km typische urbane Abdeckung: 1-3 km Effiziente Technologie für Highspeed-Internetzugang (Alternative zu DSL) Nomadische Nutzung (ähnlich WLAN) Typische Dienste: VoIP, IP-TV, klassische Web-Anwendungen Unterstützung von Quality-of-Service (QoS) www.it-symposium2008.de Folie 2

WiMAX Standard 802.16-2001 2001 802.16a-2003 2003 802.16-2004 2004 802.16e Frequenzbereich 10-66 GHz 2-11 GHz 2-66 GHz 0,7-6 GHz Bandbreite 32-134 MBit/s <75 MBit/s 32-134 MBit/s <15 MBit/s Kanalbedingungen LOS NLOS LOS, NLOS NLOS Reichweite 2-5 Km 7-10 max. 50 Km 2-10 max. 50 Km 2-5 Km www.it-symposium2008.de Folie 3 WiMAX-Standards und Modi IEEE 802.16d IEEE 802.16e Quelle: http://www.intel.com/technology/itj/2004/ www.it-symposium2008.de Folie 4

WiMAX-Sicherheit IEEE 802.16d definiert den PHYund MAC-Layer innerhalb ISO- OSI-Schichtenmodell. S ht MAC: Verbindungsmanagement und Sicherheit. PHY: Signalmanagement, Fehlerkorrektur, Registrierung, Bandbreitenmanagement Die WiMAX-Sicherheitsarchitektur setzt eine Vielzahl von etablierten Komponenten und Mechanismen ein: Digitales Zertifikat der S-STA (nach X.509-Standard) Security Associations Encapsulation Protocol (Verschlüsselung) Privacy Key Management Protocol (Schlüsselmanagement) www.it-symposium2008.de Folie 5 Parts Security Associations, Privacy Key Management Protocol und Encapsulation Protocol Security Associations (SA) Satz von Sicherheitsinformationen (kryptographische Mechanismen) zur sicheren Kommunikation S-STA B-STA (ähnlich IPsec) ( ) Zur Autorisierung einer S-STA zur Nutzung eines WiMAX-Dienstes Man unterscheidet zwei SA-Klassen: Authorization SA Data SA www.it-symposium2008.de Folie 6

Parts Security Associations, Privacy Key Management Protocol und Encapsulation Protocol Security Assocations Authorization SA Authorization SA (die wesentlichen Elemente): X.509-Zertifikat: Digitales Zertifikat, das die S-STA identifiziert. Authorization Key (AK): Dient als Autorisierungs-Token und wird von der B-STA erzeugt. KEK und HMAC-Schlüssel lwerden von ihm abgeleitet. t Key Encryption Key (KEK): Zur Verschlüsselung des TEK. HMAC-Keys Uplink/Downlink: Dienen der Integritätsprüfung von ausgetauschtem Schlüsselmaterial. Garantieren, dass S-STA und B-STA über denselben AK verfügen. SA-Descriptor: Beschreibt eine SA und beinhaltet folgende Information: SAID, SA- Typ sowie Cryptographic Suite (spezifiziert die von den Stationen unterstützten Verschlüsselungs- und Authentisierungsverfahren). www.it-symposium2008.de Folie 7 Parts Security Associations, Privacy Key Management Protocol und Encapsulation Protocol Security Assocations Data SA Data SA (die wesentlichen Elemente): Traffic Encryption Key (TEK): Schlüssel zur Datenverschlüsselung Cipher: Zum Schutz der Daten während der Übertragung www.it-symposium2008.de Folie 8

WiMAX-Schlüsselhierarchie K pub S-STA Öffentlicher Schlüssel S-STA Digitales Zertifikat (identifiziert die S-STA) AK Dient als Autorisierungs-Token, wird von der B-STA erzeugt. Authorization Key Datenabsicherung KEK Key Encryption Key Zur Integritätsprüfung von ausgetauschtem Schlüssel- material. Garantieren, dass S-STA und B- STA über denselben AK verfügen. TEK Traffic Encryption Key Schlüsselabsicherung Key-Exchange-Nachrichten Uplink HMAC-Key U HMAC-Key D Datenverkehr Key-Exchange-Nachrichten Downlink www.it-symposium2008.de Folie 9 Abhängigkeiten Schlüsselmaterial TEK-Parameter: TEK KEK, TEK-Lifetime, TEK-Seqnr., InitVector Data-SA: Authorization-SA: ti - SAID - X.509-Certificate - AK-Sequence number - Authorization Key (AK) - TEK-Parameter: - AK-Sequence number - Traffic Encryption Key (TEK) - TEK-Lifetime - TEK-Sequence Number - Initialization Vector (IV) - Cipher - AK Lifetime - Key Encryption Key (KEK) - HMAC-Keys (Uplink / Downlink) - SA-Descriptor(en) www.it-symposium2008.de Folie 10

Drei Phasen für Authentisierung, Autorisierung und Verschlüsselung Kommunikation S-STA und B-STA: Phase I: Authentisierung/Autorisierung der S-STA mittels X.509-Zertifikat Phase II: Austausch von Schlüsselmaterial (TEK) für die Verschlüsselung (die S-STA fordert den Chiffrierschlüssel TEK periodisch an) Phase III: Verschlüsselung des Datenverkehrs www.it-symposium2008.de Folie 11 Parts Security Associations, Privacy Key Management Protocol und Encapsulation Protocol Privacy Key Management Protocol (PKM): ist verantwortlich für die Autorisierung der S-STA sichere Verteilung und Erneuerung von Schlüsseln zwischen den Stationen Encapsulation Protocol: ermöglicht die Verschlüsselung des Datenverkehrs Hierzu werden Cryptographic Suites und die Regeln für die Anwendung definiert. www.it-symposium2008.de Folie 12

www.it-symposium2008.de Folie 13 Schwachstellen Zwei wesentliche Phasen weisen Schwachstellen auf: Authentisierung (Phase I) Austausch des Schlüsselmaterials (Phase II) www.it-symposium2008.de Folie 14

Schwachstellen Authentisierung der S-STA MiM, Forgery, Replay und DoS-Angriff: Einer der offensichtlichsten Schwachstellen ist die fehlende gegenseitige Authentisierung: S-STA kann nicht erkennen, ob in der Authorisierungsphase die Nachrichten von einer vertrauenswürdigen B-STA stammen. Ein Angreifer 1. positioniert sich zwischen S-STA und B-STA 2. gibt vor, eine B-STA zu sein und zwingt die S-STA, sich zu authentisieren 3. initiiert eine Sitzung (d.h., erzeugt seine eigene Authorization Reply Message mit einem selbstgenerierten AK) 4. fälscht das S-STA-Zertifikat und authentisiert sich an der B-STA 5. Bekommt die Kontrolle über die Kommunikation mit der S-STA www.it-symposium2008.de Folie 15 www.it-symposium2008.de Folie 16

Schwachstellen Replay und DoS-Attacke: Ein Angreifer 1. fängt eine Authorization Request Message von einer autorisierten S- STA ab und speichert sie 2. sendet diese Nachricht wiederholt an die B-STA und belastet diese mit dem Effekt, dass diese weitere Nachrichten der authentischen S-STA nicht mehr annehmen kann www.it-symposium2008.de Folie 17 Schwachstellen und Gegenmaßnahmen Freshnesh-Parameter einbauen: Die Authorization Request Message mit einem Zeitstempel sowie einer Signatur der S-STA ausstatten. Ein Nonce (Zufallszahl) benutzen, mittels dessen die S-STA sichergehen kann, dass Authorization Reply pymessage und Authorization Request Message korrespondieren (Aktion Reaktion). Authentisierung der B-STA einbauen: Gegenseitige Authentisierung, z.b. mittels RSA (Digitales Zertifikat der B-STA) oder EAP-Methoden (z.b. EAP-TLS, EAP-SIM, EAP-AKA oder EAP- MSCHAPv2). www.it-symposium2008.de Folie 18

Schwachstellen und Gegenmaßnahmen Schlüsselmaterialaustausch Angriff auf die Key Sequence Number: Aufgrund der Länge der Key Sequence Number des TEK (2 Bit, d.h. nur vier Werte) ist ein Replay-Angriff möglich. Ein Angreifer 1. schneidet vier aufeinanderfolgende TEK-Nachrichten mit (beginnt mit der ersten) 2. spielt diese wieder ein, um Informationen zu aggregieren und später den Datenverkehr zu entschlüsseln www.it-symposium2008.de Folie 19 Schwachstellen und Gegenmaßnahmen Sequence Number Länge erhöhen so dass eine ausreichende Menge an TEK- Sequenznummern innerhalb der größten Gültigkeitsdauer des AK erzeugt und übertragen werden kann. S-STA zwingen, einen neuen AK (Re-Autorisierung) anzufordern, falls der Schlüsselaustausch nicht erfolgreich war (Key Reject Message). Gegenseitige Authentisierung, d.h. mittels RSA oder EAP-Methoden. Einsatz von AES-CCM zur Datenauthentisierung (Integritätsprüfung). www.it-symposium2008.de Folie 20

Fazit Fixed WiMAX WiMAX ist verwundbar in zwei Phasen: Abhilfe: Authentisierung Schlüsselaustausch Empfehlungen für Gegenmaßnahmen von Security-Experten sollten berücksichtigt und entsprechend implementiert oder Sicherheitsmechanismen von Mobile WiMAX (IEEE 802.16e) sollten nach Fixed WiMAX übertragen werden. www.it-symposium2008.de Folie 21 Mobile WiMAX Mobile WiMAX definiert zwei verschiedene Protokollmechanismen für eine Authentisierung: RSA EAP Einsatz hängt von der PKM-Version ab PKMv1 ist vergleichbar mit PKM bei Fixed WiMAX PKMv2 bietet weitere Funktionen wie Schlüsselhierarchie Verschlüsselung nach AES-CMAC Broadcast/Multicast-Unterstützung Mobile WiMAX ist sicherer als Fixed WiMAX Viele der Fehler bei Fixed WiMAX wurden hier beseitigt: Ergänzung von Verschlüsselungsverfahren l h Gegenseitige Authentisierung RSA PKMv1 PKMv2 Pflicht (einseitig) Optional (beidseitig) EAP Optional Optional www.it-symposium2008.de Folie 22

Mobile WiMAX- Die wichtigsten Sicherheitsverbesserungen In der Authentisierungsphase ist die Generierung des AK sicherer, denn beide Stationen tragen ihren Teil zur Berechnung des AK bei. Die Berechnung des AK hängt davon ab, welches Authentisierungsverfahren (z.b. EAP) ausgewählt wurde. Datenauthentizität wird durch AES im CCM-Modus abgebildet. Hierdurch kann eine Replay-Attacke verhindert werden, da jeder CMAC-Key immer nur einmal benutzt wird. Austausch von Schlüsselmaterial erfolgt sicher über den sog. SA-TEK 3-Wege- Handshake. Die Nachrichten beinhalten Nonces, eine AKID zur eindeutigen Identifikation des benutzten AK sowie einen Message Authentication Code, der mittels des AK berechnet wurde. Diese Sicherheitsmerkmale h it beugen MiM-Attacken vor. www.it-symposium2008.de Folie 23 WiMAX-Schlüsselhierarchie K pub S-STA Öffentlicher Schlüssel S-STA Digitales Zertifikat (identifiziert die S-STA) AK Dient als Autorisierungs-Token, wird von der B-STA erzeugt. Authorization Key Datenabsicherung KEK Key Encryption Key Zur Integritätsprüfung von ausgetauschtem Schlüssel- material. Garantieren, dass S-STA und B- STA über denselben AK verfügen. TEK Traffic Encryption Key Schlüsselabsicherung Key-Exchange-Nachrichten Uplink HMAC-Key U HMAC-Key D Datenverkehr Key-Exchange-Nachrichten Downlink www.it-symposium2008.de Folie 24

WiMAX-Schlüsselhierarchie K pub S-STA Öffentlicher Schlüssel S-STA Pre-PAK Preliminary PAK RSA-Authentisierung Datenabsicherung KEK Key Encryption Key PAK Primary Authorization Key AK Authorization Key EIK EAP Integrity Key HMAC-Key U HMAC-Key D TEK Traffic Encryption Key Key-Exchange-Nachrichten Uplink EAP-Nachrichten Uplink Datenverkehr Key-Exchange-Nachrichten Downlink EAP-Nachrichten Downlink www.it-symposium2008.de Folie 25 WiMAX-Schlüsselhierarchie MSK Master Session Key EAP-Authentisierung Datenabsicherung KEK Key Encryption Key PMK Pairwise Master Key AK Authorization Key Schlüsselabsicherung Schlüsselabsicherung EIK EAP Integrity Key HMAC-Key U HMAC-Key D TEK Traffic Encryption Key Key-Exchange-Nachrichten Uplink EAP-Nachrichten Uplink Datenverkehr Key-Exchange-Nachrichten Downlink EAP-Nachrichten Downlink www.it-symposium2008.de Folie 26

K pub S-STA Öffentlicher Schlüssel S-STA WiMAX-Schlüsselhierarchie MSK Pre-PAK Preliminary PAK Master Session Key RSA-Authentisierung EAP-Authentisierung Datenabsicherung KEK Key Encryption Key PAK PMK Primary Authorization Key Pairwise Master Key AK Authorization Key EIK EAP Integrity Key HMAC-Key U HMAC-Key D TEK Traffic Encryption Key Key-Exchange-Nachrichten Uplink EAP-Nachrichten Uplink Datenverkehr Key-Exchange-Nachrichten Downlink EAP-Nachrichten Downlink www.it-symposium2008.de Folie 27 Fazit Vergleich IEEE 802.16d IEEE 802.16e Cryptographic Suites Schlüsselabsicherung Datenverschlüsselung/ entschlüsselung 802.16d Fixed WiMAX DES im CBC-Mode mit 56 Bit AES im CCM-Mode Daten- authentisierung nicht ihtunterstützt tüt t 802.16e Mobile WiMAX DES im CBC-Mode mit 56 Bit AES im CCM-Mode AES im CBC-Mode AES im CTR-Mode für Multicast-/Broadcast- Services mit 8 Bit Rollover Counter AES in CCM-Mode Mode Schlüsselerzeugung nicht unterstützt Dot16KDF Schlüsselverschlüsselung/ entschlüsselung 3DES in EDE-Mode RSA-Encryption mit 1048 Bit 3DES im EDE-Mode RSA-Verschlüsselung mit 1048 Bit Authentisierung der Station AES in ECB-Mode nur S-STA AES im ECB-Mode AES Key Wrap S-STA und B-STA (gegenseitig) X.509-Zertifikat RSA oder EAP Methoden Schlüsselmanagement (TEK) Autorisierung der Station (AK-Erzeugung) Ungesichert B-STA Abgesichert über 3-Wege-Handshake B-STA und S-STA Berechnung hängt vom Authentisierungsverfahren ab www.it-symposium2008.de Folie 28

Vielen Dank! Haben Sie Fragen? www.it-symposium2008.de Folie 29

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback