Sicherheit bei WiMAX Analyse, Bewertung und Vergleich von IEEE 802.16d und IEEE 802.16e IT-Symposium 2008 Frankfurt, 04. Juni 2008 Prof. Dr. -Ing. E. Eren Web: www.inf.fh-dortmund.de/eren E-Mail: eren@fh-dortmund.de www.it-symposium2008.de Folie 1 WiMAX WiMAX: Worldwide Interoperability for Microwave Access Dez. 2001: IEEE 802.16 (LoS) 10 66 GHz Okt. 2004 : IEEE 802.16d (NLoS, Fixed Indoor & Outdoor) 2 11 GHz Dez. 2005: IEEE 802.16e (Full Mobility & Roaming) 2 6 GHz Typische Datenraten bis 70 Mbps (hängt von Modulation und Kodierung ab), jedoch realistisch 1-2 Mbps Maximale Abdeckung: 50 km typische urbane Abdeckung: 1-3 km Effiziente Technologie für Highspeed-Internetzugang (Alternative zu DSL) Nomadische Nutzung (ähnlich WLAN) Typische Dienste: VoIP, IP-TV, klassische Web-Anwendungen Unterstützung von Quality-of-Service (QoS) www.it-symposium2008.de Folie 2
WiMAX Standard 802.16-2001 2001 802.16a-2003 2003 802.16-2004 2004 802.16e Frequenzbereich 10-66 GHz 2-11 GHz 2-66 GHz 0,7-6 GHz Bandbreite 32-134 MBit/s <75 MBit/s 32-134 MBit/s <15 MBit/s Kanalbedingungen LOS NLOS LOS, NLOS NLOS Reichweite 2-5 Km 7-10 max. 50 Km 2-10 max. 50 Km 2-5 Km www.it-symposium2008.de Folie 3 WiMAX-Standards und Modi IEEE 802.16d IEEE 802.16e Quelle: http://www.intel.com/technology/itj/2004/ www.it-symposium2008.de Folie 4
WiMAX-Sicherheit IEEE 802.16d definiert den PHYund MAC-Layer innerhalb ISO- OSI-Schichtenmodell. S ht MAC: Verbindungsmanagement und Sicherheit. PHY: Signalmanagement, Fehlerkorrektur, Registrierung, Bandbreitenmanagement Die WiMAX-Sicherheitsarchitektur setzt eine Vielzahl von etablierten Komponenten und Mechanismen ein: Digitales Zertifikat der S-STA (nach X.509-Standard) Security Associations Encapsulation Protocol (Verschlüsselung) Privacy Key Management Protocol (Schlüsselmanagement) www.it-symposium2008.de Folie 5 Parts Security Associations, Privacy Key Management Protocol und Encapsulation Protocol Security Associations (SA) Satz von Sicherheitsinformationen (kryptographische Mechanismen) zur sicheren Kommunikation S-STA B-STA (ähnlich IPsec) ( ) Zur Autorisierung einer S-STA zur Nutzung eines WiMAX-Dienstes Man unterscheidet zwei SA-Klassen: Authorization SA Data SA www.it-symposium2008.de Folie 6
Parts Security Associations, Privacy Key Management Protocol und Encapsulation Protocol Security Assocations Authorization SA Authorization SA (die wesentlichen Elemente): X.509-Zertifikat: Digitales Zertifikat, das die S-STA identifiziert. Authorization Key (AK): Dient als Autorisierungs-Token und wird von der B-STA erzeugt. KEK und HMAC-Schlüssel lwerden von ihm abgeleitet. t Key Encryption Key (KEK): Zur Verschlüsselung des TEK. HMAC-Keys Uplink/Downlink: Dienen der Integritätsprüfung von ausgetauschtem Schlüsselmaterial. Garantieren, dass S-STA und B-STA über denselben AK verfügen. SA-Descriptor: Beschreibt eine SA und beinhaltet folgende Information: SAID, SA- Typ sowie Cryptographic Suite (spezifiziert die von den Stationen unterstützten Verschlüsselungs- und Authentisierungsverfahren). www.it-symposium2008.de Folie 7 Parts Security Associations, Privacy Key Management Protocol und Encapsulation Protocol Security Assocations Data SA Data SA (die wesentlichen Elemente): Traffic Encryption Key (TEK): Schlüssel zur Datenverschlüsselung Cipher: Zum Schutz der Daten während der Übertragung www.it-symposium2008.de Folie 8
WiMAX-Schlüsselhierarchie K pub S-STA Öffentlicher Schlüssel S-STA Digitales Zertifikat (identifiziert die S-STA) AK Dient als Autorisierungs-Token, wird von der B-STA erzeugt. Authorization Key Datenabsicherung KEK Key Encryption Key Zur Integritätsprüfung von ausgetauschtem Schlüssel- material. Garantieren, dass S-STA und B- STA über denselben AK verfügen. TEK Traffic Encryption Key Schlüsselabsicherung Key-Exchange-Nachrichten Uplink HMAC-Key U HMAC-Key D Datenverkehr Key-Exchange-Nachrichten Downlink www.it-symposium2008.de Folie 9 Abhängigkeiten Schlüsselmaterial TEK-Parameter: TEK KEK, TEK-Lifetime, TEK-Seqnr., InitVector Data-SA: Authorization-SA: ti - SAID - X.509-Certificate - AK-Sequence number - Authorization Key (AK) - TEK-Parameter: - AK-Sequence number - Traffic Encryption Key (TEK) - TEK-Lifetime - TEK-Sequence Number - Initialization Vector (IV) - Cipher - AK Lifetime - Key Encryption Key (KEK) - HMAC-Keys (Uplink / Downlink) - SA-Descriptor(en) www.it-symposium2008.de Folie 10
Drei Phasen für Authentisierung, Autorisierung und Verschlüsselung Kommunikation S-STA und B-STA: Phase I: Authentisierung/Autorisierung der S-STA mittels X.509-Zertifikat Phase II: Austausch von Schlüsselmaterial (TEK) für die Verschlüsselung (die S-STA fordert den Chiffrierschlüssel TEK periodisch an) Phase III: Verschlüsselung des Datenverkehrs www.it-symposium2008.de Folie 11 Parts Security Associations, Privacy Key Management Protocol und Encapsulation Protocol Privacy Key Management Protocol (PKM): ist verantwortlich für die Autorisierung der S-STA sichere Verteilung und Erneuerung von Schlüsseln zwischen den Stationen Encapsulation Protocol: ermöglicht die Verschlüsselung des Datenverkehrs Hierzu werden Cryptographic Suites und die Regeln für die Anwendung definiert. www.it-symposium2008.de Folie 12
www.it-symposium2008.de Folie 13 Schwachstellen Zwei wesentliche Phasen weisen Schwachstellen auf: Authentisierung (Phase I) Austausch des Schlüsselmaterials (Phase II) www.it-symposium2008.de Folie 14
Schwachstellen Authentisierung der S-STA MiM, Forgery, Replay und DoS-Angriff: Einer der offensichtlichsten Schwachstellen ist die fehlende gegenseitige Authentisierung: S-STA kann nicht erkennen, ob in der Authorisierungsphase die Nachrichten von einer vertrauenswürdigen B-STA stammen. Ein Angreifer 1. positioniert sich zwischen S-STA und B-STA 2. gibt vor, eine B-STA zu sein und zwingt die S-STA, sich zu authentisieren 3. initiiert eine Sitzung (d.h., erzeugt seine eigene Authorization Reply Message mit einem selbstgenerierten AK) 4. fälscht das S-STA-Zertifikat und authentisiert sich an der B-STA 5. Bekommt die Kontrolle über die Kommunikation mit der S-STA www.it-symposium2008.de Folie 15 www.it-symposium2008.de Folie 16
Schwachstellen Replay und DoS-Attacke: Ein Angreifer 1. fängt eine Authorization Request Message von einer autorisierten S- STA ab und speichert sie 2. sendet diese Nachricht wiederholt an die B-STA und belastet diese mit dem Effekt, dass diese weitere Nachrichten der authentischen S-STA nicht mehr annehmen kann www.it-symposium2008.de Folie 17 Schwachstellen und Gegenmaßnahmen Freshnesh-Parameter einbauen: Die Authorization Request Message mit einem Zeitstempel sowie einer Signatur der S-STA ausstatten. Ein Nonce (Zufallszahl) benutzen, mittels dessen die S-STA sichergehen kann, dass Authorization Reply pymessage und Authorization Request Message korrespondieren (Aktion Reaktion). Authentisierung der B-STA einbauen: Gegenseitige Authentisierung, z.b. mittels RSA (Digitales Zertifikat der B-STA) oder EAP-Methoden (z.b. EAP-TLS, EAP-SIM, EAP-AKA oder EAP- MSCHAPv2). www.it-symposium2008.de Folie 18
Schwachstellen und Gegenmaßnahmen Schlüsselmaterialaustausch Angriff auf die Key Sequence Number: Aufgrund der Länge der Key Sequence Number des TEK (2 Bit, d.h. nur vier Werte) ist ein Replay-Angriff möglich. Ein Angreifer 1. schneidet vier aufeinanderfolgende TEK-Nachrichten mit (beginnt mit der ersten) 2. spielt diese wieder ein, um Informationen zu aggregieren und später den Datenverkehr zu entschlüsseln www.it-symposium2008.de Folie 19 Schwachstellen und Gegenmaßnahmen Sequence Number Länge erhöhen so dass eine ausreichende Menge an TEK- Sequenznummern innerhalb der größten Gültigkeitsdauer des AK erzeugt und übertragen werden kann. S-STA zwingen, einen neuen AK (Re-Autorisierung) anzufordern, falls der Schlüsselaustausch nicht erfolgreich war (Key Reject Message). Gegenseitige Authentisierung, d.h. mittels RSA oder EAP-Methoden. Einsatz von AES-CCM zur Datenauthentisierung (Integritätsprüfung). www.it-symposium2008.de Folie 20
Fazit Fixed WiMAX WiMAX ist verwundbar in zwei Phasen: Abhilfe: Authentisierung Schlüsselaustausch Empfehlungen für Gegenmaßnahmen von Security-Experten sollten berücksichtigt und entsprechend implementiert oder Sicherheitsmechanismen von Mobile WiMAX (IEEE 802.16e) sollten nach Fixed WiMAX übertragen werden. www.it-symposium2008.de Folie 21 Mobile WiMAX Mobile WiMAX definiert zwei verschiedene Protokollmechanismen für eine Authentisierung: RSA EAP Einsatz hängt von der PKM-Version ab PKMv1 ist vergleichbar mit PKM bei Fixed WiMAX PKMv2 bietet weitere Funktionen wie Schlüsselhierarchie Verschlüsselung nach AES-CMAC Broadcast/Multicast-Unterstützung Mobile WiMAX ist sicherer als Fixed WiMAX Viele der Fehler bei Fixed WiMAX wurden hier beseitigt: Ergänzung von Verschlüsselungsverfahren l h Gegenseitige Authentisierung RSA PKMv1 PKMv2 Pflicht (einseitig) Optional (beidseitig) EAP Optional Optional www.it-symposium2008.de Folie 22
Mobile WiMAX- Die wichtigsten Sicherheitsverbesserungen In der Authentisierungsphase ist die Generierung des AK sicherer, denn beide Stationen tragen ihren Teil zur Berechnung des AK bei. Die Berechnung des AK hängt davon ab, welches Authentisierungsverfahren (z.b. EAP) ausgewählt wurde. Datenauthentizität wird durch AES im CCM-Modus abgebildet. Hierdurch kann eine Replay-Attacke verhindert werden, da jeder CMAC-Key immer nur einmal benutzt wird. Austausch von Schlüsselmaterial erfolgt sicher über den sog. SA-TEK 3-Wege- Handshake. Die Nachrichten beinhalten Nonces, eine AKID zur eindeutigen Identifikation des benutzten AK sowie einen Message Authentication Code, der mittels des AK berechnet wurde. Diese Sicherheitsmerkmale h it beugen MiM-Attacken vor. www.it-symposium2008.de Folie 23 WiMAX-Schlüsselhierarchie K pub S-STA Öffentlicher Schlüssel S-STA Digitales Zertifikat (identifiziert die S-STA) AK Dient als Autorisierungs-Token, wird von der B-STA erzeugt. Authorization Key Datenabsicherung KEK Key Encryption Key Zur Integritätsprüfung von ausgetauschtem Schlüssel- material. Garantieren, dass S-STA und B- STA über denselben AK verfügen. TEK Traffic Encryption Key Schlüsselabsicherung Key-Exchange-Nachrichten Uplink HMAC-Key U HMAC-Key D Datenverkehr Key-Exchange-Nachrichten Downlink www.it-symposium2008.de Folie 24
WiMAX-Schlüsselhierarchie K pub S-STA Öffentlicher Schlüssel S-STA Pre-PAK Preliminary PAK RSA-Authentisierung Datenabsicherung KEK Key Encryption Key PAK Primary Authorization Key AK Authorization Key EIK EAP Integrity Key HMAC-Key U HMAC-Key D TEK Traffic Encryption Key Key-Exchange-Nachrichten Uplink EAP-Nachrichten Uplink Datenverkehr Key-Exchange-Nachrichten Downlink EAP-Nachrichten Downlink www.it-symposium2008.de Folie 25 WiMAX-Schlüsselhierarchie MSK Master Session Key EAP-Authentisierung Datenabsicherung KEK Key Encryption Key PMK Pairwise Master Key AK Authorization Key Schlüsselabsicherung Schlüsselabsicherung EIK EAP Integrity Key HMAC-Key U HMAC-Key D TEK Traffic Encryption Key Key-Exchange-Nachrichten Uplink EAP-Nachrichten Uplink Datenverkehr Key-Exchange-Nachrichten Downlink EAP-Nachrichten Downlink www.it-symposium2008.de Folie 26
K pub S-STA Öffentlicher Schlüssel S-STA WiMAX-Schlüsselhierarchie MSK Pre-PAK Preliminary PAK Master Session Key RSA-Authentisierung EAP-Authentisierung Datenabsicherung KEK Key Encryption Key PAK PMK Primary Authorization Key Pairwise Master Key AK Authorization Key EIK EAP Integrity Key HMAC-Key U HMAC-Key D TEK Traffic Encryption Key Key-Exchange-Nachrichten Uplink EAP-Nachrichten Uplink Datenverkehr Key-Exchange-Nachrichten Downlink EAP-Nachrichten Downlink www.it-symposium2008.de Folie 27 Fazit Vergleich IEEE 802.16d IEEE 802.16e Cryptographic Suites Schlüsselabsicherung Datenverschlüsselung/ entschlüsselung 802.16d Fixed WiMAX DES im CBC-Mode mit 56 Bit AES im CCM-Mode Daten- authentisierung nicht ihtunterstützt tüt t 802.16e Mobile WiMAX DES im CBC-Mode mit 56 Bit AES im CCM-Mode AES im CBC-Mode AES im CTR-Mode für Multicast-/Broadcast- Services mit 8 Bit Rollover Counter AES in CCM-Mode Mode Schlüsselerzeugung nicht unterstützt Dot16KDF Schlüsselverschlüsselung/ entschlüsselung 3DES in EDE-Mode RSA-Encryption mit 1048 Bit 3DES im EDE-Mode RSA-Verschlüsselung mit 1048 Bit Authentisierung der Station AES in ECB-Mode nur S-STA AES im ECB-Mode AES Key Wrap S-STA und B-STA (gegenseitig) X.509-Zertifikat RSA oder EAP Methoden Schlüsselmanagement (TEK) Autorisierung der Station (AK-Erzeugung) Ungesichert B-STA Abgesichert über 3-Wege-Handshake B-STA und S-STA Berechnung hängt vom Authentisierungsverfahren ab www.it-symposium2008.de Folie 28
Vielen Dank! Haben Sie Fragen? www.it-symposium2008.de Folie 29