Kryptografische Probleme bei WPA gefährden evt. viele Wireless-LANs

Donnerstag, 6 November 2008 21:30 - Geschrieben von René Lindhorst

Ist WPA inzwischen wirklich in annehmbarer Zeit knackbar? Falls dem wirklich so ist, sind sehr viele WLAN-Netz potenziell gefährdet.

Für die kommende Sicherheitskonferenz PacSec 2008 ist ein Vortrag “Gone in 900 Seconds, Some Crypto Issues with WPA” des deutschen Sicherheitsspezialisten Erik Tews angekündigt, der zeigen soll, wie sich bei WLANs auch unter WPA mit TKIP gesicherte Verbindungen mitlesen lassen.

[...]

Details will Tews demnächst in einer akademischen Zeitschrift veröffentlichen. Bekannt ist nur, dass Tews sich bestimmte mathematische Methoden zunutze macht und dafür sehr viel Datenverkehr erforderlich ist, um sein Ziel zu erreichen – das aber in unter einer Viertelstunde.

[heise Security (06.11.08) - WPA angeblich in weniger als 15 Minuten knackbar]

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
keine Kommentare

WPA – Verschlüsselung (TKIP)

Montag, 8 September 2008 21:02 - Geschrieben von René Lindhorst

WLAN-IconDas Temporal-Key-Integration-Protocol (TKIP) [Ins04a, 43ff] sollte die Schwachstellen von WEP in Bezug auf Verschlüsselung und Integritätssicherung beseitigen. Der bereits bei WEP eingesetzte RC4-Algorithmus wurde weiterhin verwendet, da er nicht für die Schwächen von WEP verantwortlich war und für eine Abwärtskompatibilität benötigt wurde ([Hof05, 98]). Die erhöhte Sicherheit von TKIP basiert auf den folgenden Änderungen bzw. Erweiterungen:

  • 48 Bit langer Initialisierungsvektor (IV) - Ein im Vergleich zu WEP doppelt so langer IV wird verwendet, um Schlüsselkollisionen zu vermeiden. Zusätzlich werden IVs, die zur Generierung von schwachen Schlüssel führen, ausgeschlossen, so dass FMS-Angriffe unwirksam sind.
  • IV als Sequenzzähler (TKIP Sequence Counter, TSC) – Der IV wird mit null initialisiert und mit jedem Paket um eins erhöht. Da die Gegenstelle nur noch TCS-Werte innerhalb eines 16 Pakete großen Fensters akzeptiert, werden Replay-Angriffe erschwert.
  • Message-Integrity-Code (MIC) als kryptografische Prüfsumme – Um zuverlässig eine Datenmanipulation auszuschließen wird eine 64 Bit lange Prüfsumme auf Nachrichten-Ebene sowohl über die Daten als auch über die Quell- und Zieladresse gebildet. Der MIC wird bei TKIP über eine als Michael bezeichnete kryptografische Hash-Funktion erzeugt, die einen eigenen geheimen Schlüssel benötigt. Die Prüfsumme wird zusammen mit den Daten durch TKIP verschlüsselt.
  • Gegenmaßnahmen gegen Angriffe – Da der MIC aufgrund der hardwaretechnischen Restriktionen keinen vollständigen Schutz bieten kann, wurden Gegenmaßnahmen gegen Angriffe definiert. So schreibt der Standard vor, dass wenn innerhalb von 60 s zwei MIC-Fehler aufgetreten sind, für weitere 60s keine Datenpakete angenommen werden dürfen. Durch diese Maßnahme werden Brute-Force-Angriffe o.Ä. stark verlangsamt, jedoch wird auch der normale Datenverkehr beeinträchtigt.
  • Mixing-Funktion erzeugt Per-Packet-Key - In zwei Phasen wird mittels Key-Mixing aus einem temporären Schlüssel, der MAC-Adresse des Senders und dem TSC der individuelle Schlüssel (WEP-Seed) zur Verschlüsselung generiert. Auf diese Weise wird für jedes Paket ein neuer individueller Schlüssel erzeugt.
  • Schlüsselhierarchie zur Schlüsselverwaltung – Es werden verschiedene geheime Schlüssel für unterschiedliche Aufgaben verwendet und diese werden von einer sog. Schlüsselhierarchie abgeleitet. So besitzt bspw. jeder Client zwei einzigartige Schlüssel zum Verschlüsseln der Daten und Erzeugen des MIC.

Verschlüsselung bei WPA (TKIP)

Wie in [Rec06, 444f] dargelegt und der obigen Grafik veranschaulicht wird, verwendet die TKIP-Verschlüsselung den alten WEP-Funktionsblock in Verbindung mit neuen Key-Mixing-Funktionen. Dabei läuft die Verschlüsselung der Daten, wie in [Ins04a, 43f] beschrieben, in den folgenden Schritten ab:

  • Über die im Klartext vorliegende Nachricht (MSDU) wird zur Integritätskontrolle der Message-Integrity-Code (MIC) gebildet. Die Eingabewerte für den Michael-Algorithmus sind:
    • die im Klartext vorliegenden Daten
    • der geheime MIC-Schlüssel
    • die MAC-Adressen des Senders (Source Address, SA)
    • die MAC-Adressen des Empfängers (Destination Address, DA)

  • Der MIC wird anschließend mit den Daten kombiniert und ggf. fragmentiert. Über die jeweils in ein MAC-Frame eingefügten Fragmente wird wie bei WEP ein Integrity-Check-Value (ICV) gebildet. Dies geschieht, da der WEP-Funktionsblock weiterverwendet wird.
  • In der ersten Phase des Key-Mixing wird der 128 Bit lange temporäre Schlüssel (Temporal Key, TK) mit der SA und den oberen 32 Bit des TKIP-Sequence-Counter (TSC), dem IV32, vermischt.
  • Der daraus entstandene Intermediate-Key (TKIP-Mixed Transmit Address and Key, TTAK) wird in der zweiten Phase erneut mit dem TK und den unteren 16 Bit des TSC (IV16) vermischt. Anschließend wird der TSC um eins erhöht.
  • Das Ergebnis des Key-Mixing ist ein 128 Bit langer WEP-Seed der auch als Per-Packet-Key (PPK) bezeichnet wird.
  • Aus dem WEP-Seed entsteht mittels des RC4-Zufallszahlengenerators (Pseudo Random Number Generator, PRNG) ein für die Übertragung einzigartiger Schlüsselstrom (Keystream).
  • Die eigentliche Erzeugung des Chiffretext (Ciphertext) erfolgt wie bei WEP, indem der Schlüsselstrom XOR mit den Daten inklusive MIC und dem ICV verknüpft wird.

Literaturverzeichnis:

[Hof05]
Matthias Hofherr: WLAN-Sicherheit. Professionelle Absicherung von 802.11-Netzen*. 2005
[Ins04a]
Institute of Electrical and Electronical Engineers: IEEE Std 802.11i. 2004
[Rec06]
Jörg Rech: Wireless LANs. 802.11-WLAN-Technologie und praktische Umsetzung im Detail*. 2006

(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)

* Affiliate-Link: Wer über diesen Link bei Amazon bestellt, der unterstützt lindhorst.cc mit einem kleinen Prozentsatz des weiterhin unveränderten Kaufpreises.

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
1 Kommentar

WPA – Authentifizierung

Sonntag, 4 Mai 2008 21:54 - Geschrieben von René Lindhorst

WLAN-IconWPA definiert wie der IEEE-802.11i [Ins04a, 14ff] zwei verschiedene Modi zur Authentisierung der Benutzer:

  1. WPA-Personal, welches für den Einsatz im Privat- bzw. SoHo-Bereich gedacht ist und einen Pre-Shared-Key verwendet.
  2. WPA-Enterprise, dass für den Einsatz in Unternehmen spezifiziert wurde und 802.1X für die Authentifizierung nutzt, wofür zusätzlich zum Access-Point ein Authentisierungsserver benötigt wird.

WPA-Personal

WPA-Personal ist, wie in [ED06, 341] beschrieben, identisch zu der im 802.11i-Standard spezifizierten Pre-Shared-Key-Authentisierung. Eine auf allen Stationen manuell eingegebene Passphrase, mit einer Länge von acht bis 63 Zeichen, wird zur Generierung des Pre-Shared-Key (PSK) verwendet (vgl. [Ins04a, 165f]). Dieser ermöglicht die Identitätsprüfung der beteiligten WLAN-Stationen und den dynamischen Schlüsselaustausch zwischen ihnen. Dabei wird der PSK jedoch nicht direkt verwendet, sondern lediglich zur Ableitung eines geheimen Sitzungsschlüssels eingesetzt. Da dieses Verfahren nicht den Einsatz eines zusätzlichen Authentisierungsservers erfordert, ist es besonders für kleinere Wireless-LANs geeignet.

WPA-Enterprise

WPA-Enterprise greift für die Authentisierung auf die im IEEE-Standard 802.1X [Ins04b] spezifizierten Verfahren zurück. Um nicht auf allen Access-Points die Informationen über die Nutzer vorhalten zu müssen, kommt ein zusätzlicher Authentisierungsserver zum Einsatz. Dabei handelt es sich meist um einen RADIUS-Server, der die Benutzerdaten aus den verschiedensten Datenquellen verwenden kann.


Authentifizierung nach 802.1X

Bei der 802.1X-Authentifizierung erfolgt, wie in der obigen Abbildung veranschaulicht wird, die Kommunikation zwischen drei verschiedenen Instanzen:

  • Supplicant – Der Client, der den Authentifizierungsvorgang einleitet, wird als Supplicant bezeichnet. Nach IEEE-802.11i [Ins04a, 68] baut er eine Verbindung zum Authenticator auf und erbittet den Zugang zum Netzwerk. Die Kommunikation erfolgt dabei über das EAPOL-Protokoll (Extensible Authentication Protocol over LAN).
  • Authenticator – Innerhalb eines Wireless-LANs ist der Access-Point der Authenticator und bildet den Zugangspunkt zum Netzwerk. Er leitet die Authentifizierungsanfrage des Clients an den Authentisierungsserver weiter. Dazu wird EAP (Extensible Authentication Protocol) [Net04] verwendet. Erst nach erfolgreicher Authentifizierung erhält der Supplicant Zugang zum Netzwerk.
  • Authentication-Server - Der Authentisierungsserver prüft die Anfrage des Supplicant und teilt das Ergebnis dem Authenticator mit.

Das für die Authentifizierung verwendete EAP nutzt ein Challenge-Response-Verfahren zum Austausch der Authentifizierungsdaten zwischen Client und Authentisierungsserver. EAP unterstützt verschiedene Authentifizierungsmechanismen, wobei die Sicherheit von der verwendeten Methode abhängt. Wie bereits im Beitrag WEP – Schwachstellen festgestellt wurde, ist eine gegenseitige Authentifizierung im Wireless-LAN besonders wichtig, da nur so Man-in-the-Middle-Angriffe verhindert werden können. Da bspw. die Methode EAP-MD5 dies nicht ermöglicht, ist sie nicht für eine sichere Authentifizierung geeignet. Wie Jörg Rech jedoch in [Rec06, 430] darstellt, gelten EAP-TTLS, PEAP und EAP-FAST als sehr sichere EAP-Methoden und eignen sich für die Authentifizierung im WLAN. Die verwendete Methode hängt allerdings davon ab, welche von den Clients im WLAN unterstützt wird.

Literaturverzeichnis:

[ED06]
Evren Eren und Kai-Oliver Detken: Mobile Security. Risiken mobiler Kommunikation und Lösungen zur mobilen Sicherheit*. 2006
[Ins04a]
Institute of Electrical and Electronical Engineers: IEEE Std 802.11i. 2004
[Ins04b]
Institute of Electrical and Electronical Engineers: IEEE Std 802.11X. 2004
[Net04]
Network Working Group: Extensible Authentication Protocol (EAP). 2004
[Rec06]
Jörg Rech: Wireless LANs. 802.11-WLAN-Technologie und praktische Umsetzung im Detail*. 2006

(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)

* Affiliate-Link: Wer über diesen Link bei Amazon bestellt, der unterstützt lindhorst.cc mit einem kleinen Prozentsatz des weiterhin unveränderten Kaufpreises.

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
keine Kommentare

WiFi-Protected-Access (WPA)

Sonntag, 6 April 2008 14:25 - Geschrieben von René Lindhorst

WLAN-IconNachdem ich bereits vor einiger Zeit den WLAN-Sicherheitsstandard WEP (Shared-Key-Authentication, Verschlüsselung) und dessen Schwachstellen beschrieben habe, möchte ich mich nun dem WiFi-Protected-Access (WPA) zuwenden.

Die IEEE gründete im März 2001 eine Arbeitsgruppe, die zur Absicherung von 802.11-Netzwerken einen neuen Standard erarbeiten sollte. An diesem neuen 802.11i genannten Standard wurde jedoch über drei Jahre gearbeitet. Da die Netzwerkindustrie aufgrund der Schwachstellen von WEP nicht bis zur endgültigen Verabschiedung des Standards warten wollte, beschloss die Wi-Fi Alliance einen “Hersteller-Standard” zu schaffen. Im Oktober 2003 veröffentlichte sie den “Wi-Fi Protected Access” (WPA) der eine Untermenge von IEEE-802.11i (dritter Draft) darstellt.

WPA sollte die grundlegenden Schwachstellen von WEP in Infrastruktur-Netzwerken beseitigen, dabei jedoch keine höheren Anforderungen an die Hardware stellen. So sollte WPA durch Firmware- bzw. Treiber-Updates auch auf älteren Access-Points und WLAN-Adaptern funktionieren. Die wesentlichen Neuerungen von WPA sind:

  • WPA-Enterprise zur Benutzer-Authentifizierung
  • Temporal-Key-Integration-Protocol (TKIP) als Verschlüsselungsverfahren
  • Message-Integrity-Code (MIC) für eine verbesserte Integritätsprüfung

WPA Übersicht

(Quelle: Lindhorst, René: Sicherheit von drahtlosen Netzwerken, Diplomarbeit, November 2007)

Links:
IEEE Std 802.11i-2004
Wi-Fi Alliance

Ähnliche Beiträge:

Kategorien
SicherheitWireless-LAN
4 Kommentare

Unterstützte WLAN-Standards bei Apple-Produkten

Montag, 17 März 2008 21:22 - Geschrieben von René Lindhorst

Airport-IconAnfang Januar 2007 integrierte Apple als einer der ersten Hersteller den neuen IEEE-802.11n-Standard (Entwurf) in die AirPort Extreme Basisstation. Heute war es endlich soweit und Apple hat seine AirPort Express Basisstation aktualisiert. Sie unterstützt nun endlich ebenfalls den schnelleren 802.11n-Standard.

Damit ist Apples Produktpalette in Bezug auf WLAN nun ein Stück einheitlicher geworden. Fast alle Geräte unterstützen nun den neuesten und schnellsten WLAN-Standard. Lediglich das iPhone und der iPod Touch sind auf den 802.11b- und 802.11g-Standard beschränkt. Etwas verwunderlich ist auch, dass der Mac mini anscheinend auch nicht viel besser dran ist. Apple sollte den mini wirklich nicht so stiefmütterlich behandeln.

unterstützte WLAN-Standars in Apples Produktpalette

Links:
Apple – AirPort Express

Ähnliche Beiträge:

Kategorien
AppleHardwareWireless-LAN
2 Kommentare

« Previous Entries