WPA – Verschlüsselung (TKIP)
Das Temporal-Key-Integration-Protocol (TKIP) [Ins04a, 43ff] sollte die Schwachstellen von WEP in Bezug auf Verschlüsselung und Integritätssicherung beseitigen. Der bereits bei WEP eingesetzte RC4-Algorithmus wurde weiterhin verwendet, da er nicht für die Schwächen von WEP verantwortlich war und für eine Abwärtskompatibilität benötigt wurde ([Hof05, 98]). Die erhöhte Sicherheit von TKIP basiert auf den folgenden Änderungen bzw. Erweiterungen:
- 48 Bit langer Initialisierungsvektor (IV) - Ein im Vergleich zu WEP doppelt so langer IV wird verwendet, um Schlüsselkollisionen zu vermeiden. Zusätzlich werden IVs, die zur Generierung von schwachen Schlüssel führen, ausgeschlossen, so dass FMS-Angriffe unwirksam sind.
- IV als Sequenzzähler (TKIP Sequence Counter, TSC) – Der IV wird mit null initialisiert und mit jedem Paket um eins erhöht. Da die Gegenstelle nur noch TCS-Werte innerhalb eines 16 Pakete großen Fensters akzeptiert, werden Replay-Angriffe erschwert.
- Message-Integrity-Code (MIC) als kryptografische Prüfsumme – Um zuverlässig eine Datenmanipulation auszuschließen wird eine 64 Bit lange Prüfsumme auf Nachrichten-Ebene sowohl über die Daten als auch über die Quell- und Zieladresse gebildet. Der MIC wird bei TKIP über eine als Michael bezeichnete kryptografische Hash-Funktion erzeugt, die einen eigenen geheimen Schlüssel benötigt. Die Prüfsumme wird zusammen mit den Daten durch TKIP verschlüsselt.
- Gegenmaßnahmen gegen Angriffe – Da der MIC aufgrund der hardwaretechnischen Restriktionen keinen vollständigen Schutz bieten kann, wurden Gegenmaßnahmen gegen Angriffe definiert. So schreibt der Standard vor, dass wenn innerhalb von 60 s zwei MIC-Fehler aufgetreten sind, für weitere 60s keine Datenpakete angenommen werden dürfen. Durch diese Maßnahme werden Brute-Force-Angriffe o.Ä. stark verlangsamt, jedoch wird auch der normale Datenverkehr beeinträchtigt.
- Mixing-Funktion erzeugt Per-Packet-Key - In zwei Phasen wird mittels Key-Mixing aus einem temporären Schlüssel, der MAC-Adresse des Senders und dem TSC der individuelle Schlüssel (WEP-Seed) zur Verschlüsselung generiert. Auf diese Weise wird für jedes Paket ein neuer individueller Schlüssel erzeugt.
- Schlüsselhierarchie zur Schlüsselverwaltung – Es werden verschiedene geheime Schlüssel für unterschiedliche Aufgaben verwendet und diese werden von einer sog. Schlüsselhierarchie abgeleitet. So besitzt bspw. jeder Client zwei einzigartige Schlüssel zum Verschlüsseln der Daten und Erzeugen des MIC.
Wie in [Rec06, 444f] dargelegt und der obigen Grafik veranschaulicht wird, verwendet die TKIP-Verschlüsselung den alten WEP-Funktionsblock in Verbindung mit neuen Key-Mixing-Funktionen. Dabei läuft die Verschlüsselung der Daten, wie in [Ins04a, 43f] beschrieben, in den folgenden Schritten ab:
- Über die im Klartext vorliegende Nachricht (MSDU) wird zur Integritätskontrolle der Message-Integrity-Code (MIC) gebildet. Die Eingabewerte für den Michael-Algorithmus sind:
- die im Klartext vorliegenden Daten
- der geheime MIC-Schlüssel
- die MAC-Adressen des Senders (Source Address, SA)
- die MAC-Adressen des Empfängers (Destination Address, DA)
- Der MIC wird anschließend mit den Daten kombiniert und ggf. fragmentiert. Über die jeweils in ein MAC-Frame eingefügten Fragmente wird wie bei WEP ein Integrity-Check-Value (ICV) gebildet. Dies geschieht, da der WEP-Funktionsblock weiterverwendet wird.
- In der ersten Phase des Key-Mixing wird der 128 Bit lange temporäre Schlüssel (Temporal Key, TK) mit der SA und den oberen 32 Bit des TKIP-Sequence-Counter (TSC), dem IV32, vermischt.
- Der daraus entstandene Intermediate-Key (TKIP-Mixed Transmit Address and Key, TTAK) wird in der zweiten Phase erneut mit dem TK und den unteren 16 Bit des TSC (IV16) vermischt. Anschließend wird der TSC um eins erhöht.
- Das Ergebnis des Key-Mixing ist ein 128 Bit langer WEP-Seed der auch als Per-Packet-Key (PPK) bezeichnet wird.
- Aus dem WEP-Seed entsteht mittels des RC4-Zufallszahlengenerators (Pseudo Random Number Generator, PRNG) ein für die Übertragung einzigartiger Schlüsselstrom (Keystream).
- Die eigentliche Erzeugung des Chiffretext (Ciphertext) erfolgt wie bei WEP, indem der Schlüsselstrom XOR mit den Daten inklusive MIC und dem ICV verknüpft wird.
Literaturverzeichnis:
- [Hof05]
- Matthias Hofherr: WLAN-Sicherheit. Professionelle Absicherung von 802.11-Netzen*. 2005
- [Ins04a]
- Institute of Electrical and Electronical Engineers: IEEE Std 802.11i. 2004
- [Rec06]
- Jörg Rech: Wireless LANs. 802.11-WLAN-Technologie und praktische Umsetzung im Detail*. 2006
(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)
* Affiliate-Link: Wer über diesen Link bei Amazon bestellt, der unterstützt lindhorst.cc mit einem kleinen Prozentsatz des weiterhin unveränderten Kaufpreises.
