Ataques contra prcticas

WEP y WPA
8 de noviembre de, 2008
En este trabajo, se describen dos ataques a las redes LAN inalmbricas basadas
en IEEE 802.11. El primer ataque es una mejora de la recuperacin de claves
ataque en WEP, lo que reduce la cantidad del nmero de paquetes de un atacante
tiene que interceptar para recuperar la clave secreta. El segundo ataque es (de
acuerdo con nuestro conocimiento) el primer ataque prctico sobre WPA
asegurado redes inalmbricas, adems de lanzar un ataque de diccionario cuando
se utiliza una clave previamente dbil (PSK).
El ataque funciona si la red est utilizando TKIP para cifrar el trfico. Un
atacante, que tiene alrededor de 12-15 minutos de acceso a la red es capaz de
descifrar una peticin o respuesta ARP y enviar 7 paquetes con contenido
personalizado a la red.
1. INTRODUCCIN
IEEE 802.11 [2] es una familia estndar para redes inalmbricas. Tales redes se
pueden encontrar en el hogar, oficinas y entornos empresariales y son muy
populares hoy en da. Si la informacin son sensibles transmite a travs de una
red inalmbrica, la privacidad y la integridad es una preocupacin y debe ser
atendido.
La primera versin de la norma IEEE 802.11 apoy un mecanismo bsico para la
proteccin de tales redes nombrados Wired Equivalent Privacy (WEP). WEP
requiere que todos los clientes y los puntos de acceso en el red para compartir
hasta cuatro claves simtricas secretas diferentes, lo que claramente no es ptima
para una mayor instalacin en la que los usuarios cambian con frecuencia.
La mayora de las instalaciones slo tiene que utilizar una nica clave secreta
denominada clave raz. WEP tiene algunos de los principales AWS diseo
y fue completamente roto en 2001 [4, 13] por Fluhrer, Mantin, y Shamir.
Ellos demostraron que un atacante puede recuperar la clave secreta de la red con
un consumidor medio ordenador porttil en 1-2 horas. Los ataques ms
avanzados se han publicado en los ltimos aos por lo que es posible recuperar la
clave secreta de la red en menos de 60 segundos [15].
El acceso a solucionar los problemas de WEP, un nuevo estndar llamado Wi-Fi
protegido (WPA) fue lanzado en
De 2003, que ahora forma parte de las especificaciones IEEE 802.11.
La estructura de este documento es la siguiente: En la Seccin 2 se muestra una
introduccin a los detalles tcnicos de WEP y WPA e introducir la notacin

utilizada en el resto de este documento. En la seccin 3, damos una visin

general de un determinado nmero de ataques contra WEP.
En la seccin 4, se presenta un nuevo ataque contra WEP, lo que reduce el
nmero de paquetes que un atacante necesita para interceptar para recuperar la
clave secreta de la raz en comparacin a los ataques anteriores. En la seccin 5,
se presentar un nuevo ataque sobre WPA, lo que permite a un atacante, que tiene
acceso a unos 12-15 minutos a una
WPA protegida red para enviar 7 paquetes a la red con la carga til elegido y
descifrar un solo
ARP [11] paquete. Segn nuestro conocimiento, este es el primer ataque prctica
sobre WPA protegida redes, adems de lanzar un ataque de diccionario contra una
clave previamente compartida dbilmente elegido.
2 NOTACIN
Los nmeros se escriben siempre en la notacin decimal, por ejemplo, 12 es el
nmero doce. Las seales
+ Y * son la suma y la multiplicacin. (Z = NZ)
+
es el grupo aditivo de los nmeros del 0 al n1, donde
todas las adiciones se hacen mod n. Cuando las operaciones se realizan en (Z =
NZ)
+
, Escribimos a + b como una forma corta
de a + b mod n. Para las matrices, se utiliza la notacin [_] tal como se utiliza en
muchos lenguajes de programacin como C
o Java. El primer elemento de la matriz S es S [0]. Permutaciones se escriben
como matrices tambin. Si S es una permutacin, S
1
es la permutacin inversa. Por ejemplo, si S [i] = j se mantiene, entonces
S
1
[j] = i sostiene. Cuando dos matrices A y B se concatenan para una nueva matriz
C, escribimos C = AjjB. F
2
es la _nite _eld con slo los dos elementos 0 y 1. F
2
[X] es el anillo de polinomios sobre F
2

Al especificar las estimaciones para una probabilidad de xito o cosas similares,

usamos el signo tener en cuenta que una frmula o un valor slo es una buena
aproximacin, pero no es absolutamente exacto.
Debido a que WEP se basa principalmente en el cifrado de flujo RC4 [12], es
necesario introducir una notacin para analizar el cifrado de flujo RC4. RC4 se
compone de dos algoritmos, el RC4-KSA, que transforma una clave de longitud
1 a 256 bytes en una permutacin inicial S de los nmeros 0 a 255. El interno
estado de RC4 consiste en esta permutacin S y dos nmeros i y j se usa como
punteros a los elementos de S. El RC4-PRGA genera un solo byte de flujo de
clave de tal estado y luego actualiza el estado.
Para analizar el sistema de cifrado, escribiremos S
k
yj
k
para el estado de S y J, despus de exactamente k rondas de la
bucle comienza en la lnea 5 en el Listado 1 han sido ejecutadas. Para hacer el
papel ms legible, escribimos
n para el valor constante 256. De acuerdo con ello, se escribe S
k+n
yj
k+n
para el estado de S y j, despus de la
Estado fue inicializado por el algoritmo en el Listado 1 y se han producido
exactamente k bytes de salida por el algoritmo en el Listado 2. Cuando se utiliza
una clave K para RC4 y una cadena de claves X de longitud arbitraria es
producido, escribimos X = RC4 (K). Tenga en cuenta que un atacante que conoce
los primeros k bytes de un RC4 clave K tambin sabe S
k
yj
k
.
En una red protegida WEP, todas las estaciones suelen compartir una nica clave
denominada raz Rk clave simtrica. UN solo paquete puede ser fcilmente
perdido en una red IEEE 802.11, debido a un error de transmisin, de modo WEP
necesita para cifrar todos los paquetes de forma independiente. Debido a que
RC4 no es compatible con un vector de inicializacin por s mismo, WEP genera
una clave por paquete

para cada paquete. A tres bytes vector de inicializacin IV se elige y se antepone

a la clave raz Rk lo que se traduce en la clave por paquete K = IVjjRk. Un flujo
de clave X = RC4 (K) se genera a partir de K. Para proteger la integridad de los
datos transmitidos, una suma de comprobacin CRC32 largo 32 bits llamado ICV
se anexa a los datos. El texto claro resultante se cifra aplicndole una operacin
XOR el texto completo (incluyendo el CRC32 suma de control) con el flujo de
clave generado. El texto cifrado junto con la correspondiente sin cifrar vector de
inicializacin IV A continuacin, se enva a travs del aire.
WEP originalmente slo se especifica un secreto de 40 bits Rk clave, pero la
mayora de los vendedores implement un adicional modo en el que Rk tena una
longitud de 104 bits. La longitud de la correspondiente por teclas de paquete k
donde 64 o 128 bits, y estas variantes se comercializan principalmente como
WEP 64 o 128 bits. Nos limitamos a la variante de 104 bits, pero nuestros
ataques pueden fcilmente ser adoptadas para redes con diferentes longitudes de
clave con slo modificaciones menores.
3. ATAQUES PREVIOS SOBRE WEP
Una serie de ataques contra WEP se han publicado en el pasado.
3.1 El ataque FMS
Fluhrer, Mantin y Shamir publican el primer ataque en la recuperacin de claves
WEP en 2001. Su ataque se basa en las siguientes ideas: Un atacante que escucha
pasivamente a que el trfico de una clave WEP red protegida puede grabar una
gran cantidad de paquetes encriptados incluyendo los vectores de inicializacin

utilizados para estos paquetes. Debido a que los primeros bytes del texto claro de
la mayora de los paquetes son fcilmente predecibles, la atacante es capaz de
recuperar los primeros bytes de la keystreams utiliza para cifrar estos
paquetes. El vector de inicializacin se transmite sin proteccin con los paquetes,
por lo que el atacante inicialmente tambin sabe los 3 primeros bytes de la clave
por paquete para todos los paquetes. Todos los siguientes bytes de la clave por
paquete son el mismo para todos los paquetes, pero son inicialmente
desconocidos para el atacante.
Asumamos que un atacante conoce los primeros l bytes de una clave RC4
utilizado para generar un flujo de clave X.
Por lo tanto, se puede simular las primeras etapas de la l RC4-KSA y sabe S
l
yj
l
. En el siguiente paso de
RC4-KSA, j
l+1
=j
l
+ K [l] + S
l
[l] y S
l
[l] es intercambiada con S
l
[j
l+1
]. Si el atacante podra revelar S
l+1
[l],
que fcilmente podra recuperarse K [l] mediante el clculo de la diferencia S
1l
[S
l+1
[l]] j
l
S
l
[l]. Fluhrer, Mantin, y

Shamir utiliza el siguiente truco para revelar este valor:

Suponga que las siguientes condiciones se cumplen despus de los primeros
pasos de la l RC4-KSA:

En el siguiente paso de la RC4-KSA, un valor de k = Sl[jl + 1] Ser cambiado a S

l + 1[l]. Si j cambia aleatoriamente para el resto de la RC4-KSA, los valores de S
[1]; S [S [1]] y S [l] no se ver alterada con una probabilidad de
aproximadamente (1 / e) 3 durante el restante RC4-KSA.
Cuando el primer byte de salida se produce por la RC4-PRGA, j tomar el valor
Sn[1] y Sn[1] y Sn[j] se intercambian. Despus del intercambio, S [1] + S [S
[1]] = l todava lleva a cabo y el primer adis de salida del RC4-PRGA X[0] ser
S[l]. Si las condiciones 3 4 no se mantendra, esto indicara que S [1] o S[S [1]]
tiene sido alterado. En pocas palabras, si estas cuatro condiciones se cumplen, el
fuction:

tomar el valor de K [l] con una probabilidad de alrededor de (1 / e) 3%5

Nos referiremos tosuch un conjunto de condiciones, junto con una funcin como
una correlacin de RC4.
Flurer, Mantin, y Shamir se refiere a estas condiciones (o al menos a las dos
primeras condiciones) como el condicin resuelto.
Un ataque de la recuperacin de claves WEP en plena se puede construir
utilizando esta correlacin. Un intruso captura los paquetes de una WEP
protegida de la red y se recupera el primer byte del flujo de clave utilizada para
cifrar estos paquetes de adivinar el primer byte de texto plano. Tambin hay
varias tcnicas activas para generar el trfico en una red protegida WEP incluso
sin la llave, que permite la recuperacin de ms de la primeros 1000 bytes de
flujo de claves por paquete [1]. l selecciona los paquetes donde la condicin
resueltos mantiene y calcula F
fms
para estos paquetes. Cada resultado de F
fms

puede ser visto como un voto para el valor de Rk [0]. Despus de suficientes
paquetes han sido capturados, el atacante toma una decisin por el valor de
Rk [0] basa en el nmero de votos por F geberated
fms
. Si la decisin fue correcta, el atacante
conoce la primera l = 4 bytes de todas las teclas por paquete y pueden continuar
con Rk [1]. Tenga en cuenta que todos paquetes necesitan ser reevaluado wether
la condicin resuelta permanece, ya que esto depende de verificacin en el valor
de Rk [0]. Despus de que se han determinado todos los bytes de Rk, el atacante
comprueba el resultante clave para la correccin usando un nmero de descifrado
de prueba. Si la clave es correcta, el atacante tiene tenido xito.
Si la clave resultante es incorrecta, el atacante se ve de una decisin para Rk [i],
eran un valor alternativo para Rk [i] tambin era muy probable. El atacante
corrige la decisin en el rbol de decisin en i profundidad y contina el ataque
con la decisin alternativa.
Aunque la probabilidad de xito 5% de F
fms
se ve impresionante, el ataque necesita 4.000.000 de
6.000.000 de paquetes para tener xito con una probabilidad de xito de al menos
50%, dependiendo de la exacta
medio ambiente y la aplicacin [14, 13]. La razn de esto es que la condicin
resuelta permanece
slo para una pequea cantidad de vectores de inicializacin elegido al azar.
3.2 El ataque KoreK
En 2004, una persona bajo el seudnimo KoreK publicado una implementacin
de un avanzado WEP herramienta de formacin de grietas en un foro de
internet. KoreK utiliza 16 correlaciones adicionales entre la primera l octetos de
una clave RC4, los dos primeros bytes del flujo de clave generado, y el siguiente
octeto de la clave K [l]. Ms de estas correlaciones se han encontrado por KoreK
l mismo, unos pocos haban sido discutidas [5] en pblico antes de. KoreK
asignado nombres como A o A u15 s13 a estos ataques, el ataque original FMS es
llamado A_s5_1 aqu.
Casi todas las correlaciones encontradas por KoreK utilizan el enfoque de que el
primero o segundo byte de la keystream revela el valor de j
l+1
bajo ciertas condiciones, si 2-4 valores en S tienen una especial constelacin, no
se cambian durante el restante RC4-KSA despus de la etapa l + 1. Un
interesante

Una excepcin es la correlacin neg, que no votan por un determinado valor de K

[l]. En lugar de un valor puede ser excluido de la lista de posibles candidatos para
K [l], que puede ser visto como un voto negativo para
K [l].
La estructura general de ataque es el mismo enfoque basado en el rbol de
decisiones como para el ataque FMS. Los nmero de paquetes capturados se
reduce a aproximadamente 700.000 para 50% de probabilidad de xito. De
nuevo, los nmeros exactos dependen del entorno y la implementacin exacta y
los parmetros utilizados para el ataque. Un factor importante es si los vectores
de inicializacin son generados por un algoritmo PRNG o si se generan
secuencialmente por un contador.
3.3 EL ATAQUE PTW
En 2007, se public una nueva generacin de ataques WEP por Tews, Weinmann,
y Pyshkin. Su ataque introdujo dos nuevos conceptos:}
Todas las correlaciones anteriores utilizados requieren valores de 2-4 en S
no cambiar durante el restante RC4-KSA. Tambin tenan una gran
cantidad de condiciones previas que deben mantener para utilizar el
correlacin. Por lo tanto, slo un pequeo nmero de paquetes podra ser
utilizado para votar a favor de una determinado octeto de la clave.
En 2005, Klein mostr [7] que lX [L1] toma el valor de S [l] con una
probabilidad de 2/n. Si Sl[l] permanece sin cambios hasta X [l-1] se ha
producido, la funcin:

toma el valor de K [l] con una probabilidad de 2/n. Este resultado tambin
se conoce como la correlacin Jenkins [6].
S
l
[l] se mantiene sin cambios con una probabilidad de aproximadamente
1e
. Si S
l
[l] se modi_ed antes de que X [l 1] es
producido, F
Klein

toma un valor ms o menos al azar. En total, esto se traduce en la siguiente

probabilidad para F
Klein
tomando el valor de K [l]:

Esta correlacin no hace ninguna requisitos sobre el estado interno de RC4 o el

flujo de claves, de modo que cada de paquetes puede ser utilizado.
El segundo nuevo concepto es un cambio en la estructura de ataque. Hasta
ahora, todas las claves ataque de la recuperacin tena una estructura
basada rbol de decisin y una especie de mejor primera bsqueda se
utiliz la estrategia para determinar la clave byte por byte.
Suponga que un atacante conoce los primeros l octetos de una clave RC4 y
logra recuperar k = S
l+2
[l +
1] en lugar de S
l+1
[l]. ahora S
1
l+1
[k] S
l+1
[l + 1] S
l
[l] j
l
=
K [l] + K [l + 1] sostiene y un atacante habra recuperado el valor de K [l] + K [l
+ 1].
Con una probabilidad muy alta de S
1
l+1
[k] = S
1
l
[k] y S

l+1
[l + 1] = S
l
[l + 1] tiene
yS
1
l
[k] S
l+1
[l + 1] S
l
[l] j
l
toma el valor de K [l] + K [l + 1].
Vamos a llamar a este tipo de correlaciones entre los primeros l octetos de una
clave RC4, el flujo de clave generado, y la prxima i bytes de la clave de una
correlacin de varios bytes y escribir
_
Yo por la suma
PAG
yo
k=0
Rk [k]. Tews, Weinmann y Pyshkin modi_ed F
Klein
a votar por la suma de los siguientes m keybytes
por cada m 2 f1; :::; 13g. Esto da lugar a las siguientes funciones:
que slo dependen de los 3 primeros bytes de la clave por paquete (IV) y votar
por _
yo
en lugar de Rk [i].
El ataque PTW ahora funciona de la siguiente manera: En primer lugar un
atacante captura paquetes y recupera su keystreams como para el FMS y ataque
KoreK. El atacante conoce el primero l = 3 bytes de todos por
teclas de paquetes. Ahora eValues F
ptw
metro
para cada paquete y cada m 2 f1; :::; 13g y obtiene votos para
_
0
::: _
12

. Despus de que todos los paquetes hayan sido procesados, la clave raz
resultante se calcula utilizando Rk [0] =
_
0
y Rk [i] = _
yo
_
i1
. Si la clave es correcta, una decisin alternativa se hace para uno
de los valores de _
yo
y la clave se actualiza utilizando slo 12 sustracciones individuales sin la
necesidad de reevaluar todos los paquetes.
El ataque slo necesita entre 35.000 y 40.000 paquetes [14, 15] el 50% de
probabilidad de xito, lo cual se pueden recoger en menos de 60 segundos en una
red rpida. Slo unos pocos segundos de tiempo de CPU es necesaria para
ejecutar el ataque.
Se han propuesto algunas modificaciones del ataque PTW [16, 10] que reducen
el nmero de los paquetes necesarios o permitir el uso del ataque PTW en
algunos casos especiales en los que la recuperacin de completa corrientes clave
es difcil.
3.4 El ataque Chopchop
El ataque chopchop [8, 14] permite a un atacante descifrar de forma interactiva
los ltimos m bytes de texto sin formato de un paquete cifrado mediante el envo
de paquetes m_128 en promedio a la red.
El ataque no revela la clave de raz y no se basa en ninguna propiedad especial de
la RC4 cifrado de flujo.
Podemos resumir el ataque chopchop de la siguiente manera: Antes de cifrado,
un CRC32 de cuatro bytes suma de control llamado ICV se aade a los datos del
paquete. El paquete con la suma de comprobacin de arrastre
P se puede representar como un elemento del anillo de polinomios F
2
[X]. Si la suma de comprobacin es correcta, P mod
PAG
CRC
=P
UNO
en posesin, cuando P
UNO

es un polinomio conocido y P
CRC
es un polinomio conocido tambin, que es
irreducible. Podemos escribir como P QX
8
+ R. Aqu R es el ltimo byte de P y Q son todos los bytes restantes.
Cuando el paquete (cifrado) se trunca por un byte, Q es muy probable que tenga
un incorrecto suma de comprobacin.
Supongamos que el atacante conoce R. La adicin de P
UNO
+ (X
8
)
1
(PAG
UNO
+ R) para Q corrige la suma de comprobacin
de nuevo. Si R es incorrecta aqu, el paquete resultante tendr una suma de
comprobacin incorrecta. Esta adicin
Tambin se puede hacer en el paquete cifrado.
La mayora de los puntos de acceso pueden ser utilizados para distinguir entre los
paquetes cifrados con correcta y suma de comprobacin incorrecta. Por ejemplo,
si un cliente no est autenticado, y un punto de acceso recibe una paquetes de
este cliente, el punto de acceso generar un mensaje de error.
Los paquetes con una suma de comprobacin incorrecta se descartan.
Un atacante puede usar esto para descifrar los paquetes de forma interactiva. El
atacante selecciona un paquete capturado para descifrado. Se trunca el paquete
por un byte, adivina R, corrige la suma de comprobacin y la enva paquete al
punto de acceso para averiguar si su suposicin de I era correcta. Si la conjetura
de I era correcta, el atacante sabe ahora el ltimo octeto de texto plano y puede
continuar con el segundo byte pasado. Si el supongo que la guerra incorrecta, se
hace otra suposicin diferente para R. Despus de un mximo de 256 en
conjeturas y promedio 128 conjeturas, que ha adivinado el valor correcto de R.
4. UN ATAQUE MEJORADO SOBRE WEP
Por desgracia, despus del lanzamiento del ataque PTW, se llam la poca
atencin hacia el viejo KoreK ataque. En comparacin con el ataque PTW, el
ataque KoreK tiene la ventaja de que slo necesita los dos primeros bytes de los
keystreams de todos los paquetes capturados. Por lo general, la recuperacin de
los dos primero bytes de flujo de clave es mucho ms fcil que la recuperacin de
los primeros 15 o 31 bytes. Una excepcin es agradable

el trabajo realizado por Vaudenay y Vuagnoux, que mostr que la correlacin

utiliza en el FMS ataque tambin puede ser reescrita para votar por _
yo
en lugar de Rk [i]. Esta correlacin es una de las 17
correlaciones usadas en el ataque KoreK.
Para mejorar el rendimiento del ataque PTW, empezamos a volver a escribir
todas las correlaciones utilizadas por KoreK
votar por _
yo
en lugar de Rk [i]. Sorprendentemente, los autores fueron capaces de modificar
con xito casi todos correlaciones utilizadas por KoreK, con algunas
excepciones:
Las correlaciones A 4 S13, A 4 U5 1, y A 4 U5 2 en el ataque original KoreK slo
se pueden utilizar para
voto para Rk [1] cuando se conoce Rk [0]. El uso de estas correlaciones para Rk
[2], Rk [3] o cualquier otro octeto de la clave
adems de Rk [1] no ha sido implementado por KoreK. La modificacin de estas
correlaciones resultados en
nuevas correlaciones, que votan slo para _
1
, Incluso con Rk [0] o _
0
siendo desconocido.
KoreK asigna etiquetas con comentarios a algunas correlaciones. La correlacin
A U5 3 es el nico
correlacin etiquetado con el comentario no es bueno. Cuando tratamos de
modificar una U5 3 a votar por _
yo
, el
correlacin resultante no produjo ningn resultado til.
La correlacin Un neg fue utilizado por KoreK para excluir los valores de ser Rk
[i]. La modificacin de
esta correlacin se traduce en una nueva correlacin que pueden excluir los
valores de ser _
yo
con un alto probabilidad. Para implementar esta funcin adicional, un peso
negativo se asigna a esta correlacin.
Otra interesante extensin del ataque PTW fue sugerido por [16] y [10] de forma
independiente.

En primer lugar se demostr que es posible obtener cuatro veces ms votos for_
13
que para todos los dems valores de _
yo
.
Esto hace que sea mucho ms fcil para un atacante para decidir sobre el valor de
_
12
que todos los otros valores de _
yo
.
En segundo lugar, se dieron cuenta, que la correlacin utilizada en el ataque PTW
puede ser fcilmente modificado para votar
por el valor de _
12
+_
yo
, Incluso cuando el valor de _
12
Se desconoce en este momento. Despus de que el atacante
ha decidido sobre el valor de _
12
, l puede conseguir votos adicionales para cada _
yo
, Restando
El valor de _
12
a partir de estos votos. Para utilizar estas correlaciones adicionales, necesita un
atacante la
flujo de claves bytes X [15] a X [30], que a veces puede ser recuperado tambin.
El uso de todas estas ideas, modificamos una implementacin del ataque PTW
1
resultando en un nuevo WEP
herramienta de craqueo, que claramente necesita un menor nmero de paquetes
que las implementaciones anteriores de ataque PTW.
Decidimos utilizar la misma estrategia clave de clasificacin tal como se utiliza
para el ataque original PTW. hemos limitado
el nmero de teclas de las pruebas de aplicacin antes de fallar a 2
20

. El mismo lmite ha sido utilizado por publicaciones anteriores sobre ataques

WEP, por lo que debera ser ms fcil de comparar nuestro ataque a ataques
anteriores.
La Figura 1 muestra la tasa de xito de nuestra aplicacin. Para una tasa de xito
del 50%, el ataque slo se necesita alrededor de 24.200 paquetes, en comparacin
con 32.700 para el ataque VX [16] y de 35.000 a 40.000 para diversas
implementaciones del ataque PTW [15, 14].
5. BREAKING WPA
Nuestra segunda contribucin es un ataque sobre WPA. WPA estandariza dos
modos de cmo el payload puede ser protegido durante la transmisin, Temporal
Key Integrity Protocol (TKIP) y (AES) CCMP. Para esto papel, nos
concentraremos en TKIP. TKIP es una versin ligeramente modificada de
WEP. TKIP implementa una de las ms sofisticadas funciones de mezcla de
claves para la mezcla de una clave de sesin con un vector de inicializacin
para cada paquete. Esto evita que todos los actualmente conocidos ataques claves
relacionadas porque cada byte de la por paquete clave depende de cada byte de la
clave de sesin y el vector de inicializacin. Adems, un bit 64 Comprobacin de
integridad de mensaje (MIC) llamado Michael est incluido en cada paquete para
prevenir los ataques de la debilidad del mecanismo de proteccin de la integridad
CRC32 conocido de WEP. Para evitar la repeticin sencilla ataques, un contador
de secuencia (TSC) se utiliza lo que permite que los paquetes lleguen slo en
orden al receptor.
TKIP fue diseado de manera que slo se apoya hardware heredado WEP debera
ser el firmware o el controlador actualizable a TKIP. Por lo tanto, el cifrado de
flujo RC4 todava se utiliza y el ICV se sigue incluyendo en cada paquete.
Ahora vamos a demostrar que todava es posible descifrar el trfico en una
chopchop la misma manera y para enviar paquetes con un contenido
personalizado: Supongamos que se cumplan las siguientes condiciones: estar La
red de atacado est utilizando TKIP para comunicaciones de cliente a punto de
acceso. El protocolo IPv4 se utiliza con una
Rango de IP donde se sabe que la mayora de los bytes de las direcciones para el
atacante (por ejemplo en 192.168.0.X). Un intervalo de tiempo de reintroduccin
de clave se utiliza para TKIP, por ejemplo 3600 segundos. La red es compatible
con el estndar IEEE
802.11e calidad de servicio que permiten a los 8 canales diferentes (llamado TID
- identificador de trfico) para diferentes flujos de datos y una estacin est
conectada actualmente a la red.

Estos supuestos son bastante realista para la mayora de las redes desplegadas
actualmente en estado salvaje. Atacar una red de este tipo, un atacante captura el
trfico de primera, hasta que haya encontrado una solicitud ARP cifrado o
respuesta. Tales paquetes pueden ser fcilmente detectados debido a la longitud
caracterstica. Adicionalmente, la direccin Ethernet origen y el destino no est
protegida por WEP y TKIP y solicitudes estn
Siempre enviado a la direccin de difusin de la red. La mayor parte del texto
claro de este paquete se sabe que el atacante, excepto el ltimo byte de las
direcciones IP de origen y destino, el 8 byte MICHAEL
MIC y la suma de comprobacin ICV 4 byte. MIC e ICV forman los ltimos 12
bytes del texto en claro.
Un atacante puede ahora lanzar un ataque chochop modificado como contra una
red WEP para descifrar el bytes de texto sin formato desconocido. TKIP contiene
principalmente dos contramedidas contra los ataques chopchop como:
Si un paquete con un valor de ICV incorrecto es recibida por un cliente, un
error de transmisin es asumido y el paquete resultante se desecha en
silencio. Si el valor de ICV es correcta, pero el MIC verificacin falla, un
ataque es asumido y el punto de acceso se notifica mediante el envo de
una Marco de informe de error MIC. Si hay ms de 2 fallas en la
verificacin de MIC se producen en menos de 60 segundos, la
comunicacin se apaga, y todas las claves se renegocian despus de un
segundo 60 perodo de sancin.
Cuando un paquete se ha recibido correctamente, el contador TSC para el
canal era recibida el se actualiza. Si se recibe un paquete con un valor ms
bajo que el contador actual (el paquete se recibe fuera de servicio), el
paquete se descarta.
Sin embargo, todava es posible ejecutar un ataque chopchop. Un atacante
necesita ejecutar el ataque a un canal de calidad de servicio diferente que el
paquete se recibi originalmente en. Por lo general, habr un canal sin o con poco
trfico, donde el contador TSC es an menor. Si la conjetura para el ltimo byte
durante el ataque chopchop era incorrecta, el paquete es todava cay en
silencio. Si la suposicin era correcta, un marco de informe de error de MIC es
enviado por el cliente, pero el contador TSC no se incrementa. Los atacante tiene
que esperar por lo menos 60 segundos despus de la activacin de un marco
informe de error de MIC para evitar el cliente de contramedidas de
acoplamiento. Dentro de un poco ms de 12 minutos, el atacante puede descifrar
los ltimos 12 bytes de texto plano (MIC e ICV). Para determinar los bytes

restantes desconocidos (remitente exacta y las direcciones IP del receptor), el

atacante puede adivinar los valores y verificarlas contra la ICV descifrado.
Despus de que el MIC y el texto completo del paquete es conocido, un atacante
puede simplemente invertir la MICHAEL algoritmo y recuperar la clave MIC
usado para proteger los paquetes que se envan desde el punto de acceso a la
cliente. El algoritmo MICHAEL no est diseado para ser una funcin de un solo
sentido y la inversin de la algoritmo es tan eficiente como el clculo del
algoritmo adelante.
En este punto, el atacante se ha recuperado la clave MIC y conoce una serie de
claves para el punto de acceso a la comunicacin del cliente. Ahora es capaz de
enviar un paquete a medida para el cliente en todos los canales de QoS, donde el
contador TSC es an ms bajo que el valor utilizado para el paquete
capturado. En la mayora de las redes en la naturaleza, todo el trfico se transmite
solo en el canal 0, por lo que el atacante es ahora capaz de enviar 7 paquetes
personalizados al cliente.
Despus del ataque se ha ejecutado con xito, un atacante puede recuperar un
flujo de clave adicional dentro de 4-5 minutos, ya que slo tiene que descifrar el
ICV 4 bytes mediante chopchop. el IP bytes de direccin se puede adivinar, el
MIC se puede calcular usando la clave MIC conocido y luego ser verificada
contra el ICV.
Para causar dao, el atacante podra, por ejemplo, enviar mensajes de activacin
sistemas IDS cuales trabajar en la capa IP. Como alternativa, el trfico puede ser
desviado mediante respuestas ARP falsos. el atacante podra tratar de establecer
un canal bidireccional para el cliente, si el cliente est conectado a internet
usando un firewall bloqueando el trfico entrante, pero permitiendo el trfico de
salida. Las respuestas del cliente no se puede leer a travs del aire por el atacante,
pero podra ser encaminado de nuevo sobre el internet.
Hemos creado una prueba de la realizacin concepto de este ataque para verificar
que el ataque realmente funciona.
Nos las arreglamos para atacar el hardware de varios vendedores, lo que confirma
que este ataque es realmente aplicable contra las redes del mundo real.
Incluso si la red no es compatible con las caractersticas de IEEE 802.11e QoS, el
ataque parece estar an posible. Aqu, el atacante tiene que evitar que el cliente
recibe el paquete de datos que elige para el ataque chopchop, y debe desconectar
el cliente desde el punto de acceso para el momento de la ataque, de modo que el
contador TSC no se incrementa por los paquetes de paquetes o

siguientes. Despus de la atacante ha ejecutado con xito el ataque chopchop,

puede enviar un nico paquete de datos al cliente. Sin embargo, no implementan
este modo de ataque.
Si un atacante lograra recuperar un flujo de clave sigue siendo vlida para un
canal de calidad de servicio y la clave MIC para ambas direcciones (nuestro
ataque solamente la recuperacin de una serie de claves y la clave MIC para el
punto de acceso de cliente comunicacin), que sera capaz de utilizarlas para
recuperar keystreams adicionales y podra enviar una nmero ilimitado de
paquetes con texto sin formato personalizado.
5.1 Contramedidas
Para evitar este ataque, sugerimos utilizar un tiempo de cambio de claves muy
corto, por ejemplo 120 segundos o menos. En 120 segundos, el atacante slo
puede descifrar partes del valor ICV al final de un paquete. Como alternativa
deshabilitar el envo de marco marcos informe de fallo de MIC en los clientes
que tambin prevenir el ataque. La mejor solucin sera ser inhabilitar TKIP y
utilizando una nica red CCMP.
6. CONCLUSIN
WEP es conocido por ser insegura desde 2001, sin embargo creemos que los
ataques de recuperacin de claves WEP contra siguen siendo de inters. Por un
lado, WEP se utiliza todava en la naturaleza y en el otro, algunos compaas
estn vendiendo hardware usando versiones modificadas del protocolo WEP, que
dicen ser seguro. En segundo lugar, el protocolo TKIP utilizado por WPA no es
muy diferente de WEP, por lo que los ataques
WEP puede afectar a la seguridad de las redes utilizando TKIP, como se ve en el
papel.
Nuestro ataque a TKIP en la seccin 5 muestra que incluso WPA con una
contrasea segura no es 100% segura y puede ser atacado en un escenario
real. Aunque este ataque no es una completa recuperacin de claves ataque,
sugerimos que los proveedores deben implementar contramedidas contra este
ataque. Porque el problema se puede solucionar en una zona de alto nivel del
protocolo, creemos que las actualizaciones pueden ser fcilmente desarrolladas y
desplegadas con nuevos conductores.