• Verbesserungen durch WPA • 802.11i/RSN – künftiger state of the art • Akronymdschungel: AES, AS, CCMP, EAP, EAPOL, GTK, IV, PEAP, PMK, PTK, RADIUS, RSN, TKIP, TSN, WEP, WPA
Kaspar Brand, ISG.EE – 2/16
WEP und sein Schicksal • Wired Equivalent Privacy im ursprünglichen 802.11-Standard (1999): Wired equivalent privacy is defined as protecting authorized users of a wireless LAN from casual eavesdropping. This service is intended to provide functionality for the wireless LAN equivalent to that provided by the physical security attributes inherent to a wired medium. • Januar 2001: Borisov et al. (UC Berkeley): Analysis of 802.11 security or wired equivalent privacy isn’t • August 2001: Fluhrer/Mantin/Shamir: Weaknesses in the key scheduling algorithm of RC4 • August 2001: Stubblefield/Ioannidis/Rubin: Using the Fluhrer, Mantin, and Shamir attack to break WEP • August 2001: WEPcrack (12.8.), AirSnort (17.8.)
Kaspar Brand, ISG.EE – 3/16
WEP – Schwächen und Reparaturversuche
• Zahlreiche Schwächen: zu kurzer und vor wiederholter
Verwendung nicht geschützter IV, anfällig für Attacken mit schwachen RC4-Schlüsseln, keine Integritätssicherung, kein Mechanismus für Schlüsselwechsel, kein Schutz gegen Replay-Attacken • WEPplus (Agere, Oktober 2001): Vermeidung schwacher WEP-Schlüssel • dynamische WEP-Keys (Cisco et al., 2001) • WPA (Wi-Fi Alliance, Oktober 2002): TKIP und 802.1X/EAP bzw. WPA-PSK für SOHO-Umgebungen • IEEE 802.11i: im Juni 2004 verabschiedet
Kaspar Brand, ISG.EE – 4/16
802.11i
• Task Group von Mai 2001 bis Juni 2004
• zuletzt (bei der Schlussabstimmung) 531 Mitglieder • Beratung durch erfahrene Kryptografen • Titel: Medium Access Control (MAC) Security Enhancements • Gesamtumfang 190 Seiten, hauptsächlich Ersatz für Kapitel 8 des Standards von 1999 (bisher 11 Seiten, neu 82 Seiten) • WPA2: von der Wi-Fi Alliance benutztes Subset von 802.11i
Kaspar Brand, ISG.EE – 5/16
802.11i: Robust Security Network (RSN)
Kaspar Brand, ISG.EE – 6/16
Voraussetzungen für ein RSN
• Verschlüsselung mit TKIP (Temporal Key Integrity
Protocol) oder CCMP (Counter Mode with CBC-MAC Protocol) • Authentifizierung/Access Control: 802.1X und EAP • Schlüsselmanagement und -hierarchie (paarweise und Gruppenschlüssel)
Kaspar Brand, ISG.EE – 7/16
TKIP – Temporal Key Integrity Protocol
• Schlüssellänge 128 Bit
• basiert auf WEP, aber mit per-packet key mixing • Integritätssicherung mit Michael
Kaspar Brand, ISG.EE – 8/16
CCMP – AES im Counter-Modus mit CBC-MAC
• Schlüssellänge 128 Bit
• erfordert Hardwareunterstützung im WLAN-Chip • CCM kombiniert Verschlüsselung und Integritätssicherung
Kaspar Brand, ISG.EE – 9/16
Access Control und Authentifizierung – 802.1X und EAP
• RSN setzt gegenseitige Authentifizierung von
Supplicant und AS voraus
Kaspar Brand, ISG.EE – 10/16
EAP-Verfahren
Status AS-Authentifizierung Client- dynamische Attacken
Authentifizierung WEP-Schlüssel EAP RFC 3748 keine MD5, OTP, GTC nein Man in the middle, Wörterbuchattacke, Session Hijacking EAP-TLS RFC 2716 Zertifikat Zertifikat ja keine bekannt (experimentell) EAP-TTLS Internet-Draft Zertifikat Passwort, Zertifikat ja Man in the middle (Funk et al.) PEAP Internet-Draft Zertifikat Passwort, Zertifikat ja Man in the middle (Microsoft/Cisco/RSA) LEAP proprietär (Cisco) Passwort Passwort ja Wörterbuchattacke (Shared Secret) EAP-FAST Internet-Draft (Cisco) Passwort Passwort ja Man in the middle (Shared Secret) Weitere Methoden in Form von I-Ds, u. a. EAP-SIM (GSM) und EAP-AKA (UMTS)
Kaspar Brand, ISG.EE – 11/16
Authentizität – 4-way handshake
stellt beidseitigen Besitz des PMK sicher
Kaspar Brand, ISG.EE – 12/16
RSN-Schlüsselhierarchie
• TKIP benötigt 512 Bit (zusätzliche 128 Bit für Michael),
AES-CCMP 384 Bit
Kaspar Brand, ISG.EE – 13/16
Verfügbare Implementationen • Betriebssysteme mit integrierter WPA-Unterstützung: Windows XP (für Versionen vor SP2 separates Update erforderlich), Mac OS X 10.3 (AirPort 3.2) • Alternative Clients für Windows: u. a. Aegis Client (Meetinghouse), Odyssey Client (Funk Software), herstellerspezifische Software zu WLAN-Karte (z. B. Intel PROSet/Wireless) • Open-Source-Client: wpa_supplicant (derzeit nur für Linux, erfordert Unterstützung im betreffenden WLAN-Treiber) • Open-Source-Server: FreeRADIUS, unterstützt EAP-TLS, EAP-TTLS, PEAP, LEAP, EAP-SIM
Kaspar Brand, ISG.EE – 14/16
Fazit • WEP: besser als nichts – aber auch nicht mehr • WPA-PSK: geeignet für Privatanwender und SOHO-Umgebungen, Vorsicht bei der Wahl des Passworts! (Wörterbuchattacken) • TKIP: abwärtskompatibel, unterstützt auch ältere Hardware (Softwareupgrade erforderlich) • AES-CCMP: neuer State of the art, erfordert geeignete Hardware • EAP-TLS: im Moment sicherstes EAP-Verfahren, keine Attacken bekannt (setzt RADIUS-Server voraus) • derzeitiges Nonplusultra: Verschlüsselung mit AES-CCMP und Authentifizierung mit EAP-TLS
Kaspar Brand, ISG.EE – 15/16
Literatur
• E DNEY, J ON / A RBAUGH , W ILLIAM A.: Real 802.11 Security:
Wi-Fi Protected Access and 802.11i. Boston: Addison-Wesley, 2003.