Kryptografische Probleme bei WPA gefährden evt. viele Wireless-LANs

Donnerstag, 6 November 2008 21:30 - Geschrieben von René Lindhorst

Ist WPA inzwischen wirklich in annehmbarer Zeit knackbar? Falls dem wirklich so ist, sind sehr viele WLAN-Netz potenziell gefährdet.

Für die kommende Sicherheitskonferenz PacSec 2008 ist ein Vortrag “Gone in 900 Seconds, Some Crypto Issues with WPA” des deutschen Sicherheitsspezialisten Erik Tews angekündigt, der zeigen soll, wie sich bei WLANs auch unter WPA mit TKIP gesicherte Verbindungen mitlesen lassen.

[...]

Details will Tews demnächst in einer akademischen Zeitschrift veröffentlichen. Bekannt ist nur, dass Tews sich bestimmte mathematische Methoden zunutze macht und dafür sehr viel Datenverkehr erforderlich ist, um sein Ziel zu erreichen – das aber in unter einer Viertelstunde.

[heise Security (06.11.08) - WPA angeblich in weniger als 15 Minuten knackbar]

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
keine Kommentare

WPA – Verschlüsselung (TKIP)

Montag, 8 September 2008 21:02 - Geschrieben von René Lindhorst

WLAN-IconDas Temporal-Key-Integration-Protocol (TKIP) [Ins04a, 43ff] sollte die Schwachstellen von WEP in Bezug auf Verschlüsselung und Integritätssicherung beseitigen. Der bereits bei WEP eingesetzte RC4-Algorithmus wurde weiterhin verwendet, da er nicht für die Schwächen von WEP verantwortlich war und für eine Abwärtskompatibilität benötigt wurde ([Hof05, 98]). Die erhöhte Sicherheit von TKIP basiert auf den folgenden Änderungen bzw. Erweiterungen:

  • 48 Bit langer Initialisierungsvektor (IV) - Ein im Vergleich zu WEP doppelt so langer IV wird verwendet, um Schlüsselkollisionen zu vermeiden. Zusätzlich werden IVs, die zur Generierung von schwachen Schlüssel führen, ausgeschlossen, so dass FMS-Angriffe unwirksam sind.
  • IV als Sequenzzähler (TKIP Sequence Counter, TSC) – Der IV wird mit null initialisiert und mit jedem Paket um eins erhöht. Da die Gegenstelle nur noch TCS-Werte innerhalb eines 16 Pakete großen Fensters akzeptiert, werden Replay-Angriffe erschwert.
  • Message-Integrity-Code (MIC) als kryptografische Prüfsumme – Um zuverlässig eine Datenmanipulation auszuschließen wird eine 64 Bit lange Prüfsumme auf Nachrichten-Ebene sowohl über die Daten als auch über die Quell- und Zieladresse gebildet. Der MIC wird bei TKIP über eine als Michael bezeichnete kryptografische Hash-Funktion erzeugt, die einen eigenen geheimen Schlüssel benötigt. Die Prüfsumme wird zusammen mit den Daten durch TKIP verschlüsselt.
  • Gegenmaßnahmen gegen Angriffe – Da der MIC aufgrund der hardwaretechnischen Restriktionen keinen vollständigen Schutz bieten kann, wurden Gegenmaßnahmen gegen Angriffe definiert. So schreibt der Standard vor, dass wenn innerhalb von 60 s zwei MIC-Fehler aufgetreten sind, für weitere 60s keine Datenpakete angenommen werden dürfen. Durch diese Maßnahme werden Brute-Force-Angriffe o.Ä. stark verlangsamt, jedoch wird auch der normale Datenverkehr beeinträchtigt.
  • Mixing-Funktion erzeugt Per-Packet-Key - In zwei Phasen wird mittels Key-Mixing aus einem temporären Schlüssel, der MAC-Adresse des Senders und dem TSC der individuelle Schlüssel (WEP-Seed) zur Verschlüsselung generiert. Auf diese Weise wird für jedes Paket ein neuer individueller Schlüssel erzeugt.
  • Schlüsselhierarchie zur Schlüsselverwaltung – Es werden verschiedene geheime Schlüssel für unterschiedliche Aufgaben verwendet und diese werden von einer sog. Schlüsselhierarchie abgeleitet. So besitzt bspw. jeder Client zwei einzigartige Schlüssel zum Verschlüsseln der Daten und Erzeugen des MIC.

Verschlüsselung bei WPA (TKIP)

Wie in [Rec06, 444f] dargelegt und der obigen Grafik veranschaulicht wird, verwendet die TKIP-Verschlüsselung den alten WEP-Funktionsblock in Verbindung mit neuen Key-Mixing-Funktionen. Dabei läuft die Verschlüsselung der Daten, wie in [Ins04a, 43f] beschrieben, in den folgenden Schritten ab:

  • Über die im Klartext vorliegende Nachricht (MSDU) wird zur Integritätskontrolle der Message-Integrity-Code (MIC) gebildet. Die Eingabewerte für den Michael-Algorithmus sind:
    • die im Klartext vorliegenden Daten
    • der geheime MIC-Schlüssel
    • die MAC-Adressen des Senders (Source Address, SA)
    • die MAC-Adressen des Empfängers (Destination Address, DA)

  • Der MIC wird anschließend mit den Daten kombiniert und ggf. fragmentiert. Über die jeweils in ein MAC-Frame eingefügten Fragmente wird wie bei WEP ein Integrity-Check-Value (ICV) gebildet. Dies geschieht, da der WEP-Funktionsblock weiterverwendet wird.
  • In der ersten Phase des Key-Mixing wird der 128 Bit lange temporäre Schlüssel (Temporal Key, TK) mit der SA und den oberen 32 Bit des TKIP-Sequence-Counter (TSC), dem IV32, vermischt.
  • Der daraus entstandene Intermediate-Key (TKIP-Mixed Transmit Address and Key, TTAK) wird in der zweiten Phase erneut mit dem TK und den unteren 16 Bit des TSC (IV16) vermischt. Anschließend wird der TSC um eins erhöht.
  • Das Ergebnis des Key-Mixing ist ein 128 Bit langer WEP-Seed der auch als Per-Packet-Key (PPK) bezeichnet wird.
  • Aus dem WEP-Seed entsteht mittels des RC4-Zufallszahlengenerators (Pseudo Random Number Generator, PRNG) ein für die Übertragung einzigartiger Schlüsselstrom (Keystream).
  • Die eigentliche Erzeugung des Chiffretext (Ciphertext) erfolgt wie bei WEP, indem der Schlüsselstrom XOR mit den Daten inklusive MIC und dem ICV verknüpft wird.

Literaturverzeichnis:

[Hof05]
Matthias Hofherr: WLAN-Sicherheit. Professionelle Absicherung von 802.11-Netzen*. 2005
[Ins04a]
Institute of Electrical and Electronical Engineers: IEEE Std 802.11i. 2004
[Rec06]
Jörg Rech: Wireless LANs. 802.11-WLAN-Technologie und praktische Umsetzung im Detail*. 2006

(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)

* Affiliate-Link: Wer über diesen Link bei Amazon bestellt, der unterstützt lindhorst.cc mit einem kleinen Prozentsatz des weiterhin unveränderten Kaufpreises.

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
1 Kommentar

1Password – populärer Passwortmanager für den Mac

Montag, 7 Juli 2008 21:27 - Geschrieben von René Lindhorst

1passwd-icon.png1Password (ehemals 1Passwd) ist der meiner Ansicht nach funktionsreichste und am besten integrierte Passwortmanager unter OS X. Er bindet sich perfekt in alle gängigen Browser (u.a. Safari, Firefox, Camino und Fluid) ein und ermöglich so eine Browserübergreifende Passwortverwaltung.

Das Programm von Agile Web Solutions hilft jedoch nicht nur beim Umgang mit Logindaten. Es ermöglicht auch das Ausfüllen von Web-Formularen, das Speichern von sicheren Notizen und das sichere Verwalten diverser anderer Daten (z.B. Email-Account, iTunes-Account, Bankdaten und Softwarelizenzen).

1Password lets you live your online life safely and securely by protecting your most valuable data from unauthorized access and web-based phishing attempts. Your web surfing and shopping experience is made more convenient by 1Password’s ability to fill web forms with the identification and financial information of your choice, at the click of a button.

1Password - vor Unbefugten gesichert

Die mit 1Password verwaltet Daten werden im Mac OS X Schlüsselbund (Keychain) abgelegt und sind so mit dem Triple Data Encryption Standard (TDES) gesichert. Die Verwendung des Schlüsselbundes für die Speicherung der Daten bringt jedoch auch einige Nachteile mit sich. So können z.B. keine Bilder oder andere Dateien wie etwa spezielle Lizenz-Dateien darin abgelegt werden. Dies ist auch ein Grund dafür, warum die Entwickler an einer eigenen “Speicherlösung” arbeiten.

1Password unterstützt sowohl die Synchronisation über .Mac (MobileMe) als auch über den my1Password genannten Webservice von Agile Web Solutions. Zusätzlich wird auch der Abgleich mit dem iPhone und dem iPod touch ermöglicht. Durch spezielle Lesezeichen und JavaScript kann man somit auch im MobileSafari auf die gespeicherten Passwörter zugreifen. Dank des iPhone-SDKs wird es jedoch in naher Zukunft auch eine native 1Password Applikation für das iPhone und den iPod touch geben. [UPDATE] Mehr Informationen über die kommenden iPhone-Applikation gibt es bei tuaw.com. Es wird offenbar ein eigenständiger Browser, da es mit dem SDK nicht möglich ist MobileSafari zu erweitern. [/UPDATE]

Integration von 1Password in Safari

Ich habe 1Password nun seit der Mac Gems Promo-Aktion 2007 im Einsatz. Damals verteilten die Entwickler kostenlose Lizenzen anlässlich der Macworld. Inzwischen habe ich mir jedoch eine volle Lizenz gekauft, so dass ich auch alle Neuerungen der aktuellen Version nutzen kann. Bei dem gebotenen Funktionsumfang ist der Preis ist von 35$ für mich wirklich vertretbar.

Für alle die das Programm auch nutzen möchten und trotz MacHeist und diverser Promo-Aktionen keine Lizenz besitzen, habe ich noch einen kleinen Tipp. Momentan gibt es einen 20%-Rabatt wenn man es über den entsprechenden Link auf der Produktseite des neuen und äußerst praktischen Organized-Widgets (via apfelquak.de) kauft.

At Agile Web Solutions we love iSlayer widgets and applications! To support the iSlayer team we setup this special 20% discount! Purchase 1Password and a large portion of the sale will go to your favorite widget developers!.

Links:
1Password – Password Manager & Automatic Form Filler for Mac OS X
1Password – kurzes Demo-Video

Ähnliche Beiträge:

Kategorien
Mac OS XSicherheitSoftware
3 Kommentare

WPA – Authentifizierung

Sonntag, 4 Mai 2008 21:54 - Geschrieben von René Lindhorst

WLAN-IconWPA definiert wie der IEEE-802.11i [Ins04a, 14ff] zwei verschiedene Modi zur Authentisierung der Benutzer:

  1. WPA-Personal, welches für den Einsatz im Privat- bzw. SoHo-Bereich gedacht ist und einen Pre-Shared-Key verwendet.
  2. WPA-Enterprise, dass für den Einsatz in Unternehmen spezifiziert wurde und 802.1X für die Authentifizierung nutzt, wofür zusätzlich zum Access-Point ein Authentisierungsserver benötigt wird.

WPA-Personal

WPA-Personal ist, wie in [ED06, 341] beschrieben, identisch zu der im 802.11i-Standard spezifizierten Pre-Shared-Key-Authentisierung. Eine auf allen Stationen manuell eingegebene Passphrase, mit einer Länge von acht bis 63 Zeichen, wird zur Generierung des Pre-Shared-Key (PSK) verwendet (vgl. [Ins04a, 165f]). Dieser ermöglicht die Identitätsprüfung der beteiligten WLAN-Stationen und den dynamischen Schlüsselaustausch zwischen ihnen. Dabei wird der PSK jedoch nicht direkt verwendet, sondern lediglich zur Ableitung eines geheimen Sitzungsschlüssels eingesetzt. Da dieses Verfahren nicht den Einsatz eines zusätzlichen Authentisierungsservers erfordert, ist es besonders für kleinere Wireless-LANs geeignet.

WPA-Enterprise

WPA-Enterprise greift für die Authentisierung auf die im IEEE-Standard 802.1X [Ins04b] spezifizierten Verfahren zurück. Um nicht auf allen Access-Points die Informationen über die Nutzer vorhalten zu müssen, kommt ein zusätzlicher Authentisierungsserver zum Einsatz. Dabei handelt es sich meist um einen RADIUS-Server, der die Benutzerdaten aus den verschiedensten Datenquellen verwenden kann.


Authentifizierung nach 802.1X

Bei der 802.1X-Authentifizierung erfolgt, wie in der obigen Abbildung veranschaulicht wird, die Kommunikation zwischen drei verschiedenen Instanzen:

  • Supplicant – Der Client, der den Authentifizierungsvorgang einleitet, wird als Supplicant bezeichnet. Nach IEEE-802.11i [Ins04a, 68] baut er eine Verbindung zum Authenticator auf und erbittet den Zugang zum Netzwerk. Die Kommunikation erfolgt dabei über das EAPOL-Protokoll (Extensible Authentication Protocol over LAN).
  • Authenticator – Innerhalb eines Wireless-LANs ist der Access-Point der Authenticator und bildet den Zugangspunkt zum Netzwerk. Er leitet die Authentifizierungsanfrage des Clients an den Authentisierungsserver weiter. Dazu wird EAP (Extensible Authentication Protocol) [Net04] verwendet. Erst nach erfolgreicher Authentifizierung erhält der Supplicant Zugang zum Netzwerk.
  • Authentication-Server - Der Authentisierungsserver prüft die Anfrage des Supplicant und teilt das Ergebnis dem Authenticator mit.

Das für die Authentifizierung verwendete EAP nutzt ein Challenge-Response-Verfahren zum Austausch der Authentifizierungsdaten zwischen Client und Authentisierungsserver. EAP unterstützt verschiedene Authentifizierungsmechanismen, wobei die Sicherheit von der verwendeten Methode abhängt. Wie bereits im Beitrag WEP – Schwachstellen festgestellt wurde, ist eine gegenseitige Authentifizierung im Wireless-LAN besonders wichtig, da nur so Man-in-the-Middle-Angriffe verhindert werden können. Da bspw. die Methode EAP-MD5 dies nicht ermöglicht, ist sie nicht für eine sichere Authentifizierung geeignet. Wie Jörg Rech jedoch in [Rec06, 430] darstellt, gelten EAP-TTLS, PEAP und EAP-FAST als sehr sichere EAP-Methoden und eignen sich für die Authentifizierung im WLAN. Die verwendete Methode hängt allerdings davon ab, welche von den Clients im WLAN unterstützt wird.

Literaturverzeichnis:

[ED06]
Evren Eren und Kai-Oliver Detken: Mobile Security. Risiken mobiler Kommunikation und Lösungen zur mobilen Sicherheit*. 2006
[Ins04a]
Institute of Electrical and Electronical Engineers: IEEE Std 802.11i. 2004
[Ins04b]
Institute of Electrical and Electronical Engineers: IEEE Std 802.11X. 2004
[Net04]
Network Working Group: Extensible Authentication Protocol (EAP). 2004
[Rec06]
Jörg Rech: Wireless LANs. 802.11-WLAN-Technologie und praktische Umsetzung im Detail*. 2006

(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)

* Affiliate-Link: Wer über diesen Link bei Amazon bestellt, der unterstützt lindhorst.cc mit einem kleinen Prozentsatz des weiterhin unveränderten Kaufpreises.

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
keine Kommentare

WiFi-Protected-Access (WPA)

Sonntag, 6 April 2008 14:25 - Geschrieben von René Lindhorst

WLAN-IconNachdem ich bereits vor einiger Zeit den WLAN-Sicherheitsstandard WEP (Shared-Key-Authentication, Verschlüsselung) und dessen Schwachstellen beschrieben habe, möchte ich mich nun dem WiFi-Protected-Access (WPA) zuwenden.

Die IEEE gründete im März 2001 eine Arbeitsgruppe, die zur Absicherung von 802.11-Netzwerken einen neuen Standard erarbeiten sollte. An diesem neuen 802.11i genannten Standard wurde jedoch über drei Jahre gearbeitet. Da die Netzwerkindustrie aufgrund der Schwachstellen von WEP nicht bis zur endgültigen Verabschiedung des Standards warten wollte, beschloss die Wi-Fi Alliance einen “Hersteller-Standard” zu schaffen. Im Oktober 2003 veröffentlichte sie den “Wi-Fi Protected Access” (WPA) der eine Untermenge von IEEE-802.11i (dritter Draft) darstellt.

WPA sollte die grundlegenden Schwachstellen von WEP in Infrastruktur-Netzwerken beseitigen, dabei jedoch keine höheren Anforderungen an die Hardware stellen. So sollte WPA durch Firmware- bzw. Treiber-Updates auch auf älteren Access-Points und WLAN-Adaptern funktionieren. Die wesentlichen Neuerungen von WPA sind:

  • WPA-Enterprise zur Benutzer-Authentifizierung
  • Temporal-Key-Integration-Protocol (TKIP) als Verschlüsselungsverfahren
  • Message-Integrity-Code (MIC) für eine verbesserte Integritätsprüfung

WPA Übersicht

(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)

Links:
IEEE Std 802.11i-2004
Wi-Fi Alliance

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
4 Kommentare

« Previous Entries