Sie sind auf Seite 1von 16

802.11i – endlich sicheres WLAN?

16. November 2004

Kaspar Brand <kbrand@ee.ethz.ch>


IT-Support-Gruppe (ISG.EE), D-ITET, ETH Zürich

Kaspar Brand, ISG.EE – 1/16


Überblick

• WEP und seine Schwächen


• Verbesserungen durch WPA
• 802.11i/RSN – künftiger state of the art
• Akronymdschungel: AES, AS, CCMP, EAP, EAPOL, GTK, IV,
PEAP, PMK, PTK, RADIUS, RSN, TKIP, TSN, WEP, WPA

Kaspar Brand, ISG.EE – 2/16


WEP und sein Schicksal
• Wired Equivalent Privacy im ursprünglichen
802.11-Standard (1999): Wired equivalent privacy is defined as protecting
authorized users of a wireless LAN from casual eavesdropping. This service is intended
to provide functionality for the wireless LAN equivalent to that provided by the
physical security attributes inherent to a wired medium.
• Januar 2001: Borisov et al. (UC Berkeley): Analysis of
802.11 security or wired equivalent privacy isn’t
• August 2001: Fluhrer/Mantin/Shamir: Weaknesses in
the key scheduling algorithm of RC4
• August 2001: Stubblefield/Ioannidis/Rubin: Using the
Fluhrer, Mantin, and Shamir attack to break WEP
• August 2001: WEPcrack (12.8.), AirSnort (17.8.)

Kaspar Brand, ISG.EE – 3/16


WEP – Schwächen und Reparaturversuche

• Zahlreiche Schwächen: zu kurzer und vor wiederholter


Verwendung nicht geschützter IV, anfällig für Attacken
mit schwachen RC4-Schlüsseln, keine
Integritätssicherung, kein Mechanismus für
Schlüsselwechsel, kein Schutz gegen Replay-Attacken
• WEPplus (Agere, Oktober 2001): Vermeidung
schwacher WEP-Schlüssel
• dynamische WEP-Keys (Cisco et al., 2001)
• WPA (Wi-Fi Alliance, Oktober 2002): TKIP und
802.1X/EAP bzw. WPA-PSK für SOHO-Umgebungen
• IEEE 802.11i: im Juni 2004 verabschiedet

Kaspar Brand, ISG.EE – 4/16


802.11i

• Task Group von Mai 2001 bis Juni 2004


• zuletzt (bei der Schlussabstimmung) 531 Mitglieder
• Beratung durch erfahrene Kryptografen
• Titel: Medium Access Control (MAC) Security
Enhancements
• Gesamtumfang 190 Seiten, hauptsächlich Ersatz für
Kapitel 8 des Standards von 1999 (bisher 11 Seiten, neu
82 Seiten)
• WPA2: von der Wi-Fi Alliance benutztes Subset von
802.11i

Kaspar Brand, ISG.EE – 5/16


802.11i: Robust Security Network (RSN)

Kaspar Brand, ISG.EE – 6/16


Voraussetzungen für ein RSN

• Verschlüsselung mit TKIP (Temporal Key Integrity


Protocol) oder CCMP (Counter Mode with CBC-MAC
Protocol)
• Authentifizierung/Access Control: 802.1X und EAP
• Schlüsselmanagement und -hierarchie (paarweise und
Gruppenschlüssel)

Kaspar Brand, ISG.EE – 7/16


TKIP – Temporal Key Integrity Protocol

• Schlüssellänge 128 Bit


• basiert auf WEP, aber mit per-packet key mixing
• Integritätssicherung mit Michael

Kaspar Brand, ISG.EE – 8/16


CCMP – AES im Counter-Modus mit CBC-MAC

• Schlüssellänge 128 Bit


• erfordert Hardwareunterstützung im WLAN-Chip
• CCM kombiniert Verschlüsselung und
Integritätssicherung

Kaspar Brand, ISG.EE – 9/16


Access Control und Authentifizierung – 802.1X und EAP

• RSN setzt gegenseitige Authentifizierung von


Supplicant und AS voraus

Kaspar Brand, ISG.EE – 10/16


EAP-Verfahren

Status AS-Authentifizierung Client- dynamische Attacken


Authentifizierung WEP-Schlüssel
EAP RFC 3748 keine MD5, OTP, GTC nein Man in the middle,
Wörterbuchattacke,
Session Hijacking
EAP-TLS RFC 2716 Zertifikat Zertifikat ja keine bekannt
(experimentell)
EAP-TTLS Internet-Draft Zertifikat Passwort, Zertifikat ja Man in the middle
(Funk et al.)
PEAP Internet-Draft Zertifikat Passwort, Zertifikat ja Man in the middle
(Microsoft/Cisco/RSA)
LEAP proprietär (Cisco) Passwort Passwort ja Wörterbuchattacke
(Shared Secret)
EAP-FAST Internet-Draft (Cisco) Passwort Passwort ja Man in the middle
(Shared Secret)
Weitere Methoden in Form von I-Ds, u. a. EAP-SIM (GSM) und EAP-AKA (UMTS)

Kaspar Brand, ISG.EE – 11/16


Authentizität – 4-way handshake

stellt beidseitigen Besitz des PMK sicher

Kaspar Brand, ISG.EE – 12/16


RSN-Schlüsselhierarchie

• TKIP benötigt 512 Bit (zusätzliche 128 Bit für Michael),


AES-CCMP 384 Bit

Kaspar Brand, ISG.EE – 13/16


Verfügbare Implementationen
• Betriebssysteme mit integrierter WPA-Unterstützung:
Windows XP (für Versionen vor SP2 separates Update
erforderlich), Mac OS X 10.3 (AirPort 3.2)
• Alternative Clients für Windows: u. a. Aegis Client
(Meetinghouse), Odyssey Client (Funk Software),
herstellerspezifische Software zu WLAN-Karte (z. B.
Intel PROSet/Wireless)
• Open-Source-Client: wpa_supplicant (derzeit nur für
Linux, erfordert Unterstützung im betreffenden
WLAN-Treiber)
• Open-Source-Server: FreeRADIUS, unterstützt EAP-TLS,
EAP-TTLS, PEAP, LEAP, EAP-SIM

Kaspar Brand, ISG.EE – 14/16


Fazit
• WEP: besser als nichts – aber auch nicht mehr
• WPA-PSK: geeignet für Privatanwender und
SOHO-Umgebungen, Vorsicht bei der Wahl des
Passworts! (Wörterbuchattacken)
• TKIP: abwärtskompatibel, unterstützt auch ältere
Hardware (Softwareupgrade erforderlich)
• AES-CCMP: neuer State of the art, erfordert geeignete
Hardware
• EAP-TLS: im Moment sicherstes EAP-Verfahren, keine
Attacken bekannt (setzt RADIUS-Server voraus)
• derzeitiges Nonplusultra: Verschlüsselung mit
AES-CCMP und Authentifizierung mit EAP-TLS

Kaspar Brand, ISG.EE – 15/16


Literatur

• E DNEY, J ON / A RBAUGH , W ILLIAM A.: Real 802.11 Security:


Wi-Fi Protected Access and 802.11i.
Boston: Addison-Wesley, 2003.

Kaspar Brand, ISG.EE – 16/16