Sie sind auf Seite 1von 11

LANCOM™ Techpaper

WPA und 802.11i

1 Einleitung
Die WLAN-Standards WPA und 802.11i Mitteln wie PPTP oder IPSec die benötigte WLANs nach aktuellen Maßstäben ermög-
sind dabei, den in der Vergangenheit stark Sicherheit bieten. All diese Verfahren funk- lichen.
angegriffenen Ruf von WLANs bezüglich tionieren zwar prinzipiell, bringen auf der Auf dem Weg vom ursprünglichen WEP des
der Sicherheit wieder herzustellen. Die im anderen Seite jedoch Einschränkungen, 802.11-Standards bis zu 802.11i sind
originalen Standard vorgesehenen Verfah- z.B. bezüglich der Interoperabilität oder dabei eine ganze Reihe von Begriffen ent-
ren haben sich in der Praxis als unzurei- des Datendurchsatzes. standen, die teilweise eher zu einer Verwir-
chend erwiesen. Dieser Mangel führte zum Mit dem kürzlich verabschiedeten Stan- rung und Verunsicherung der Anwender
einen zu einer Reihe von proprietären dard 802.11i hat das IEEE-Komitee das geführt haben. Das vorliegende Dokument
Erweiterungen des Standards wie 'CKIP' Thema 'WLAN und Sicherheit' von Grund soll helfen, die Begriffe zu erklären und die
von Cisco oder 'KeyGuard' von Symbol auf neu definiert. Das Resultat sind stan- verwendeten Verfahren in der chronologi-
Technologies, zum anderen zu Lösungen, dardisierte Methoden, die den Aufbau von schen Reihenfolge ihrer Entwicklung zu
die auf höheren Protokollschichten mit sicheren und herstellerübergreifenden erläutern.

2 Einige Grundbegriffe
Auch wenn immer wieder in Zusammen- summenverfahren veränderte Pakete einfach an den Schlüssel von einem ent-
hang mit Computernetzen pauschal von identifizieren und verwerfen. fernten Web-Server gelangen. In diesem
'Sicherheit' gesprochen wird, so ist es doch Von den Zugangsschutz getrennt zu sehen Falle werden so genannte asymmetrische
für die folgenden Ausführungen wichtig, ist die Vertraulichkeit, d.h. unbefugte Verschlüsselungsverfahren wie z.B. RSA
die dabei gestellten Forderungen etwas Dritte dürfen nicht in der Lage sein, den eingesetzt, d.h. zum Entschlüsseln der
näher zu differenzieren. Als ersten Punkt Datenverkehr mitzulesen. Dazu werden die Daten wird ein anderer Schlüssel als zum
der Sicherheit betrachten wir den Daten verschlüsselt. Solche Verschlüsse- Verschlüsseln benutzt. Solche Verfahren
Zugangsschutz: lungsverfahren sind z.B. DES, AES, RC4 sind jedoch viel langsamer als symmetri-
왘 Dabei handelt es sich zum einen um oder Blowfish. Zur Verschlüsselung gehört sche Verschlüsselungsverfahren, was zu
einen Schutzmechanismus, der nur natürlich auf der Empfängerseite eine ent- einer zweistufigen Lösung führt: eine Seite
autorisierten Nutzern den Zugang zum sprechende Entschlüsselung, üblicher- verfügt über ein asymmetrisches Schlüssel-
Netzwerk gewährt. weise mit dem gleichen Schlüssel (so paar und überträgt den Teil zum Verschlüs-
genannte symmetrische Verschlüsselungs- seln an die andere Seite, üblicherweise als
왘 Zum anderen soll aber auch sicherstellt
verfahren). Dabei ergibt sich natürlich das Teil eines Zertifikats. Die Gegenseite wählt
werden, dass der Client sich mit genau
Problem, wie der Sender dem Empfänger einen beliebigen symmetrischen Schlüssel
dem gewünschten Access Point verbin-
den verwendeten Schlüssel erstmalig mit- aus und verschlüsselt diesen symmetri-
det, und nicht mit einem von unbefug-
teilt – eine einfache Übertragung könnte schen Schlüssel mit dem zuvor von der
ten Dritten eingeschmuggelten Access
von einem Dritten sehr einfach mitgelesen Gegenseite erhaltenen asymmetrischen
Point mit dem gleichen Netzwerk-
werden, der damit den Datenverkehr leicht Schlüssel. Den kann der Inhaber des asym-
Namen. So eine Authentifizierung
entschlüsseln könnte. metrischen Schlüsselpaars wieder ent-
kann z.B. durch Zertifikate oder Pass-
schlüsseln, ein potentieller Mithörer aber
wörter gewährleistet werden. Im einfachsten Fall überlässt man dieses
nicht – das Ziel des gesicherten Schlüs-
왘 Ist der Zugang einmal gewährt, so Problem dem Anwender, d.h. man setzt die
selaustauschs ist erreicht.
möchte man sicherstellen, dass Daten- Möglichkeit voraus, dass er die Schlüssel
pakete den Empfänger unverfälscht auf beiden Seiten der Verbindung bekannt In den folgenden Abschnitten werden uns
erreichen, d.h. dass niemand die machen kann. In diesem Fall spricht man solche Verfahren wieder begegnen, zum
Pakete verändert oder andere Daten in von Pre-Shared-Keys oder kurz 'PSK'. Teil auch in etwas modifizierter Form.
den Kommunikationsweg einschleusen Ausgefeiltere Verfahren kommen dann
kann. Die Manipulation der Datenpa- zum Einsatz, wenn der Einsatz von Pre-
kete selbst kann man nicht verhindern; Shared-Keys nicht praktikabel ist, z.B. in
aber man kann durch geeignete Prüf- einer über SSL aufgebauten HTTP-Verbin-
dung – hierbei kann der Anwender nicht so
LANCOM™ Techpaper
WPA und 802.11i

3 WEP
WEP ist eine Abkürzung für Wired Equiva-
Daten
lent Privacy. Die primäre Zielsetzung von
WEP ist die Vertraulichkeit von Daten. Im
Gegensatz zu Signalen, die über Kabel
übertragen werden, breiten sich Funkwel-
CRC
len beliebig in alle Richtungen aus – auch
auf die Straße vor dem Haus und an andere
Orte, wo sie gar nicht erwünscht sind. Das
Problem des unerwünschten Mithörens Daten + CRC
tritt bei der drahtlosen Datenübertragung
besonders augenscheinlich auf, auch wenn
es prinzipiell auch bei größeren Installatio- WEP-Schlüssel RC4
nen kabelgebundener Netze vorhanden ist
– allerdings kann man den Zugang zu + Generator XOR
Kabeln durch entsprechende Organisation
eher begrenzen als bei Funkwellen.
Aktueller IV
Das IEEE-Komitee hat bei der Entwicklung
der WLAN-Sicherheitsstandards nicht
geplant, ein 'perfektes' Verschlüsselungs-
verfahren zu entwerfen. Solche hochsiche- +1
ren Verschlüsselungsverfahren werden z.B.
für Electronic-Banking verlangt und auch
einsetzt – in diesen Fällen bringen aller-
IV Daten + CRC (verschlüsselt)
dings die Anwendungen selber entspre- Abbildung 1: Arbeitsweise von WEP
chend hochwertige Verschlüsselungsver-
fahren mit, und es wäre unnötig, diesen
Aufwand nochmals auf der Ebene der lige Folge von Bytes erzeugt wird. Das kann sie sowohl zum Senden als auch
Funkübertragung zu treiben. Mit den Datenpaket wird dann sukzessive Byte für Empfangen benutzen. Da die Daten im
neuen Sicherheitsstandards sollte lediglich Byte mit diesem Byte-Strom XOR-ver- WLAN ohnehin nur halbduplex übertragen
solchen Anwendungen, die in kabelgebun- knüpft. Der Empfänger wiederholt einfach werden, wird auch nie gleichzeitig gesen-
denen LANs üblicherweise ohne Verschlüs- diesen Vorgang mit dem gleichen Schlüssel det und empfangen. RC4 hat aber einen
selung arbeiten, eine ausreichende Sicher- und damit der gleichen Folge, um wieder gravierenden Nachteil: man darf einen
heit gegen das Mitlesen durch unbefugte das ursprüngliche Datenpaket zu erhalten bestimmten RC4-Schlüssel nur einmal für
Dritte ermöglicht werden. – eine doppelte Anwendung der XOR-Ver- ein einziges Paket verwenden! Verwendet
knüpfung mit den gleichen Werten hebt man den gleichen RC4-Schlüssel für zwei
Abbildung 1 zeigt den Ablauf der WEP-
sich auf. verschiedene Datenpakete, so kann ein
Verschlüsselung – die Entschlüsselung ver-
Der Vorteil von RC4 ist, dass die Operatio- potentieller Mithörer diese beiden Pakete
läuft genau umgekehrt. WEP ist also ein
nen mitschneiden und miteinander XOR-Ver-
symmetrisches Verschlüsselungsverfahren.
knüpfen. Durch diese Operation erhält man
WEP benutzt als Basistechnologie zur Ver- 왘 Erzeugung der Byte-Folge aus dem
zwar noch nicht direkt Klartext, aber die
schlüsselungs den RC4-Algorithmus, ein in Schlüssel
Pseudo-Zufallsfolge und damit die Ver-
anderen Bereichen bereits bekanntes und 왘 XOR-Verknüpfung mit dem Daten- schlüsselung fällt heraus, man hat die
durchaus als sicher eingestuftes Verfahren. strom XOR-Verknüpfung zweier Klartextpakete.
RC4 benutzt einen zwischen 8 und 2048
auf Sender- und Empfängerseite identisch Wenn man dazu den Inhalt eines der bei-
Bit langen Schlüssel, aus dem nach einem
sind – man braucht die Hardware also nur den Pakete kennt, kann daraus das andere
festgelegten Verfahren eine pseudo-zufäl-
einmal in die WLAN-Karte einzubauen und Klartextpaket ermittelt werden. WEP ver-

2/11
LANCOM™ Techpaper
WPA und 802.11i

wendet daher den vom Benutzer eingege- Wie oben erwähnt, kann RC4 prinzipiell ents. Dazu schickt der Access Point ein
benen Schlüssel nicht direkt für den RC4- mit Schlüssellängen bis zu 2048 Bit arbei- Klartextpaket, das einen 128 Byte langen
Algorithmus, sondern kombiniert diesen ten, was WEP-Schlüsseln bis zu 2024 Bit Challenge enthält, den der Client per WEP
mit einem sogenannten Initial Vector (IV) entsprechen würde. In der Praxis stoßen verschlüsselt und zurückschickt. Wenn der
zum eigentlichen RC4-Schlüssel. Diesen IV die Schlüssellängen an die einfache Access Point diese Antwort erfolgreich ent-
wechselt der Sender automatisch von Grenze, bis zu der ein Anwender die Zah- schlüsseln kann (d.h. die CRC stimmt) und
Paket zu Paket, üblicherweise durch einfa- lenkolonnen noch fehlerfrei eingeben wieder den ursprünglich gesendeten Chal-
ches Inkrementieren, und überträgt ihn kann. Da WEP ein reines PSK-Verfahren ist, lenge erhält, geht er davon aus, dass der
zusammen mit dem verschlüsselten Paket. müssen die Schlüssel auf beiden Seiten der Client über korrekte WEP-Schlüssel verfügt
Der Empfänger nutzt den im Paketübertra- Verbindung identisch eingetragen werden. und daher zum Zugriff berechtigt ist.
genen IV, um den für dieses Paket verwen- Der IEEE-Standard sieht keinerlei Mecha- Leider stellt dieses Verfahren einem poten-
deten RC4-Schlüssel zu konstruieren. nismen vor, die WEP-Schlüssel in einem tiellen Angreifer 128 Byte Klartext und den
Desweiteren berechnet WEP über das WLAN automatisch zu verteilen. Einige zugehörigen verschlüsselten Text bereit,
unverschlüsselte Paket noch eine CRC- Hersteller haben z.B. versucht, dem was Ansätze zur Krypto-Analyse bietet.
Prüfsumme und hängt sie an das Paket an, Anwender das Eintippen zu erleichtern, Des weiteren implementieren viele Clients
bevor es RC4-verschlüsselt wird. Der Emp- indem nicht die WEP-Schlüssel selbst ein- dieses Variante nicht, so dass dieses
fänger kann nach der Entschlüsselung getragen werden, sondern eine Passphrase Shared Key genannte Verfahren selten
diese CRC-Prüfsumme überprüfen und (also eine Art überlanges Passwort), aus angewendet wird – stattdessen werden
feststellen, ob die Entschlüsselung fehler- der die Schlüssel berechnet werden. Dieses heutzutage zur Authentifizierung der
haft war – z.B. durch einen falschen WEP- Verfahren variiert allerdings von Hersteller WLAN-Anmeldung nachgeschaltete Ver-
Schlüssel. Auf diese Weise bietet WEP übri- zu Hersteller, so dass die gleiche Pass- fahren wie z.B. 802.1x (s.u.) benutzt.
gens einen gewissen Grad an Zugangs- phrase bei verschiedenen Herstellern zu
Während das WEP-Verfahren in der Theo-
schutz, weil ein Eindringling ohne Kenntnis unterschiedlichen WEP-Schlüsseln führen
rie bisher relativ gut klingt, haben sich lei-
des WEP-Schlüssels nur 'defekte' Pakete kann – außerdem haben Anwender die
der in der Praxis schwerwiegende Fehler im
erzeugt, die in der WLAN-Karte ausgefiltert Tendenz, relativ einfach zu ratende Pass-
Verfahren gefunden, welche die Vorteile
werden. wörter zu verwenden, so dass die entste-
deutlich reduzieren – und zwar unabhän-
henden Schlüssel meist schwächer als 40
Aus dem zusätzlichen IV erklärt sich die gig von der verwendeten WEP-Schlüssel-
bzw. 104 Bit sind (die aktuellen IEEE-Stan-
bisweilen auftretende Verwirrung um die länge. Diese Schwächen hätten sich bei
dards gehen z.B. davon aus, dass ein typi-
Schlüssellänge bei WEP – da sich größere einer genauen Analyse eigentlich bereits
sches Paßwort eine Stärke von etwa 2,5 Bit
Schlüssellängen sicherer anhören, werden bei der Definition von WEP finden müssen.
pro Zeichen ausweist).
die 24 Bit des IV gerne zur eigentlichen Leider waren bei der WEP-Definition keine
Schlüssellänge hinzuaddiert, obwohl der Der IEEE-Standard sieht vor, dass in einem Kryptologie-Experten beteiligt, so dass
Anwender selber natürlich nur den Rest WLAN bis zu vier verschiedene WEP- diese Fehler erst offensichtlich wurden, als
konfigurieren kann. Der IEEE-Standard sah Schlüssel existieren können. Der Sender das WEP-Verfahren mit dem Markterfolg
ursprünglich eine relativ kurze Schlüssel- kodiert in das verschlüsselte Paket neben von 802.11b-WLAN-Karten massenweise
länge von 40 Bit vor, die sich wahrschein- dem IV die Nummer des verwendeten eingesetzt wurde (frühere 2MBit-Designs
lich an den damals existierenden US- WEP-Schlüssels, so dass der Empfänger enthielten oft gar keine Verschlüsselung –
Exportbeschänkungen für starke Krypto- den passenden Schlüssel verwenden kann. WEP ist eine optionale Funktion im
graphie orientierte – diese Variante wird in Die Idee dahinter war, dass sich so alte 802.11-Standard).
Prospekten meist als WEP64 bezeichnet. Schlüssel in einem WLAN graduell gegen
Die Hauptschwäche von WEP ist die viel zu
Die meisten WLAN-Karten unterstützen neue Schlüssel austauschen lassen, indem
kurze IV-Länge. Wie bereits erwähnt, ist
heutzutage eine Variante, bei der Anwen- Stationen, die den neuen Schlüssel noch
die Wiederverwendung eines Schlüssels
der einen 104 Bit langen Schlüssel konfi- nicht erhalten haben, für eine übergangs-
bei RC4 eine große Sicherheitslücke – das
gurieren kann, was einen 128 Bit langen zeit noch einen alten Schlüssel weiter ver-
passiert bei WEP aber spätestens alle 16
RC4-Schlüssel ergibt – folgerichtig wird wenden können.
Millionen Pakete, wenn der IV-Zähler von
dies oft als WEP128 bezeichnet. Seltener Auf Basis von WEP definiert der 802.11- 0xffffff auf Null überläuft. Ein 11Mbit-
finden sich Schlüssellängen von 128 Bit Standard auch ein Challenge-Response- WLAN erreicht eine Nettodatenrate von ca.
(WEP152) oder 232 Bit (WEP256). Verfahren zur Authentifizierung von Cli-

3/11
LANCOM™ Techpaper
WPA und 802.11i

5MBit/s, bei einer maximalen Paketlänge weit verbreiteten WLAN-Karten eingeflos- Wege gefunden, mit denen man unter
von 1500 Bytes sind das also ca. 400 sen. bestimmten Bedingungen verschlüsselte
Pakete pro Sekunde bei vollem Durchsatz. Dummerweise sind diese 'schwachen' Pakete auch ohne Kenntniss des WEP-
Nach etwa 11 Stunden würde der IV-Zähler Werte von RC4-Schlüsseln an bestimmten Schlüssels so verändern kann, dass nach
theoretisch überlaufen und ein Mithörer Werten in den ersten Bytes des RC4- der Entschlüsselung auf Empfängerseite
bekommt die benötigten Informationen Schlüssels zu erkennen, und das ist bei die CRC immer noch stimmt. WEP kann
zum 'Knacken' des WEP-Schlüssels. In der WEP der in jedem Paket im Klartextüber- daher also nicht garantieren, dass ein
Praxis bekommt der Angreifer die gesuch- tragene IV. Nachdem dieser Zusammen- Paket auf dem Weg vom Sender zum Emp-
ten Informationen sogar noch viel früher. hang bekannt wurde, tauchten im Internet fänger nicht verändert wurde.
Mathematische Analysen von RC4 haben schnell spezialisierte Sniffer-Tools auf, die Diese Schwachstellen degradierten WEP
ergeben, dass man bei bestimmten Werten nur auf Pakete mit solchen 'schwachen IVs' leider zu einem Verschlüsselungsverfahren,
des RC4-Schlüssels schon Rückschlüsse lauschen, und die dadurch nur einen das bestenfalls zum Schutz eines Heim-
auf die ersten Werte der sich ergebenden Bruchteil des gesamten Verkehrs mit- netzwerkes gegen 'zufällige Lauscher'
Pseudo-Zufallsfolge machen kann – also schneiden müssen. Je nach Datenaufkom- taugt. Diese Erkenntnisse haben für eini-
auf die Bytes, mit denen der Anfang des men in einem WLAN können solche Tools gen Aufruhr gesorgt, WLAN den Ruf einer
Paketes verschlüsselt wird. Diese Eigen- die Verschlüsselung in einem Bruchteil der unsicheren Technologie eingetragen und
schaft von RC4 lässt sich relativ leicht oben genannten Zeit knacken. Bei länge- die Hersteller zum Handeln gezwungen.
umgehen, indem man z.B. die ersten Bytes ren WEP-Schlüsseln (z.B. 104 statt 40 Bit) WLAN ist aber eine standardisierte Tech-
des pseudo-zufälligen Byte-Stroms ver- dauert dies zwar etwas länger, aber der nologie, und bessere Standards entstehen
wirft und erst die 'späteren' Bytes zur Ver- Zeitaufwand zum Knacken wächst besten- nicht von heute auf morgen – deshalb gibt
schlüsselung heranzieht, und dies wird falls linear mit der Schlüssellänge, nicht bzw. gab es bis zu einer wirklich sicheren
heutzutage auch häufig beim Einsatz von exponentiell, wie man dies sonst kennt. Lösung einige Zwischenschritte, welche die
RC4 getan. Als diese Erkenntnisse bekannt schlimmsten Design-Fehler von WEP
Leider hat auch die in den Paketen enthal-
wurden, war WEP aber in der beschriebe- zumindest abmildern.
tene CRC-Prüfsumme nicht das gehalten,
nen Form bereits Teil des IEEE-Standards
was man sich von ihr versprach. Es wurden
und unabänderlich in die Hardware der

4 WEPplus
Wie im vorangegangenen Abschnitt aus- terung nicht kennen. Eine echte Verbesse- ihre IV-Zähler jeweils einfach auf Null initi-
geführt, ist die Verwendung 'schwacher' rung der Sicherheit erhält man natürlich alisieren, erhält man damit praktisch sofort
IV-Werte das Problem gewesen, welches erst dann, wenn alle Partner in einem nach dem Start der Verbindung Pakete mit
das WEP-Verfahren am stärksten WLAN diese Methode benutzen. identischen IV-Werten. Durch die Initiali-
schwächt. Nur wenige Wochen nach der Ein potentieller Angreifer ist in einem mit sierung auf einen zufälligen Wert kann
Veröffentlichung tauchten Tools wie 'WEP- WEPplus ausgestatteten Netzwerk wieder man die Kollision so wenigstens um durch-
Crack' oder 'AirSnort' im Internet auf, die darauf angewiesen, den ganzen Datenver- schnittlich 223 Pakete verzögern, also den
automatisiert eine beliebige WLAN-Ver- kehr mitzuschneiden und auf IV-Wieder- halben Raum möglicher IVs – bei mehr als
bindung innerhalb weniger Stunden kna- holungen zu warten – es reicht nicht mehr einer Station in einem WLAN reduziert sich
cken konnten. WEP war damit faktisch aus, nur auf die wenigen Pakete mit dieser Wert natürlich. WEPplus ist daher
wertlos geworden. schwachen IVs zu warten. Das legte die bei sachlicher Betrachtung nur eine leichte
Ein erster 'Schnellschuss', um WLANs Latte für einen Angreifer schon wieder Verbesserung – aber es war geeignet, die
gegen solche Programme zu sichern, war höher, insbesondere wenn man beim Initi- Anwenderschaft wieder so weit zu beruhi-
die einfache Überlegung, dass die schwa- alisieren einer WLAN-Karte den IV-Zähler gen, WEP wenigstens für den Heimge-
chen IV-Werte bekannt sind und man sie nicht einfach auf Null, sondern einen zufäl- brauch wieder akzeptabel zu machen
beim Verschlüsseln einfach überspringen ligen Wert initialisiert: der IV-Zähler in (solange man häufig genug neue Schlüssel
kann – da der verwendete IV ja im Paket einem Access Point beginnt ja erst dann zu konfiguriert). Für den Einsatz im professio-
mit übertragen wird, ist so eine Vorgehens- zählen, wenn sich die erste Station ein- nellen Umfeld reichte das natürlich nicht.
weise voll kompatibel gegenüber WLAN- bucht und mit der Datenübertragung
Karten, die diese WEPplus getaufte Erwei- beginnt. Wenn Access Point und Station

4/11
LANCOM™ Techpaper
WPA und 802.11i

5 EAP und 802.1x


Es liegt auf der Hand, dass ein 'Zusatz' wie Client Access Point RADIUS-Server
WEPplus das grundsätzliche Problem des
zu kurzen IVs nicht aus der Welt schaffen
kann, ohne das Format der Pakete auf dem
WLAN zu ändern und damit inkompatibel
zu allen bisher existierenden WLAN-Karten
zu werden. Es gibt aber eine Möglichkeit,
WLAN-Anmeldung
mehrere der aufgetauchten Probleme mit
einer zentralen Änderung zu lösen: man
verwendet nicht mehr wie bisher die fest EAP/802.1x-Verhandlung
konfigurierten WEP-Schlüssel und handelt
sie stattdessen dynamisch aus. Als dabei Mitteilung Master Secret
anzuwendendes Verfahren hat sich dabei
das Extensible Authentication Protocol
Sitzungsschlüssel
durchgesetzt. Wie der Name schon nahe-
legt, ist der ursprüngliche Zweck von EAP
die Authentifizierung, d.h. der geregelte normaler Datenverkehr
Zugang zu einem WLAN – die Möglichkeit,
einen für die folgende Sitzung gültigen neuer Sitzungsschlüssel
WEP-Schlüssel zu installieren, fällt dabei
sozusagen als Zusatznutzen ab. Abbildung weiterer normaler Datenverkehr
2 zeigt den grundsätzlichen Ablauf einer
mittels EAP geschützten Sitzung. Abbildung 2: Schematischer Ablauf einer WLAN-Sitzung mit EAP/802.1x

In der ersten Phase meldet sich der Client


wie gewohnt beim Access Point an und kehrt wandelt der Access Point darauf vom Über den so gebildeten Tunnel durch den
erreicht einen Zustand, in dem er bei nor- RADIUS-Server kommende Antworten Access Point versichern sich Client und Ser-
malem WEP oder WEPplus jetzt über den wieder in EAP-Pakete um und reicht sie an ver nun ihrer gegenseitigen Authentizität,
Access Point Daten senden und empfan- den Client weiter. d.h. der Server überprüft die Zugangsbe-
gen könnte – nicht so jedoch bei EAP, denn Der Access Point dient dabei sozusagen als rechtigung des Clients zum Netz, und der
in diesem Zustand verfügt der Client ja 'Mittelsmann' zwischen Client und Server: Client überprüft, ob er wirklich mit dem
noch über keinerlei Schlüssel, mit denen er muss den Inhalt dieser Pakete nicht prü- richtigen Netz verbunden ist. Von Hackern
man den Datenverkehr vor Abhören schüt- fen, er stellt lediglich sicher, dass kein aufgestellte 'wilde' Access Points lassen
zen könnte. Stattdessen steht der Client anderer Datenverkehr von oder zu dem Cli- sich so erkennen.
aus Sicht des Access Points in einem 'Zwi- ent erfolgen kann. Es gibt eine ganze Reihe von Authentifizie-
schenzustand', in dem er nur bestimmte Dieses Verfahren hat zwei Vorteile: rungsverfahren, die in diesem Tunnel
Pakete vom Client weiter leitet, und diese angewendet werden können. Ein gängiges
왘 Der Implementierungsaufwand im
auch nur gerichtet an einen Authentifizie- (und von Windows XP unterstütztes) Ver-
Access Point ist gering. Während Client
rungs-Server. Bei diesen Paketen handelt fahren ist z.B. TLS, bei dem Server und Cli-
und Server meist PCs mit vergleichs-
es sich um das bereits erwähnte EAP/ ent Zertifikate austauschen, ein anderes ist
weise beliebig viel Ressourcen sind,
802.1x, das sich an ihrem Ethernet-Typ TTLS, bei dem nur der Server ein Zertifikat
sind Access Points Geräte, die sowohl
0x888e zweifelsfrei von sonstigen Proto- liefert – der Client authentifiziert sich über
hinsichtlich Speicherplatz als auch
kollen unterscheiden lässt. Der Access einen Benutzernamen und ein Paßwort.
Rechenleistung beschränkt sind.
Point verpackt diese Pakete in RADIUS- Nachdem die Authentifizierungsphase
Anfragen um und reicht sie an den 왘 Neue Verfahren zur Authentifizierung
angeschlossen ist, ist gleichzeitig ein auch
Authentifizierungs-Server weiter. Umge- erfordern kein Firmware-Upgrade auf
ohne WEP-Verschlüsselung gesicherter
dem Access Point.

5/11
LANCOM™ Techpaper
WPA und 802.11i

Tunnel entstanden, in den im nächsten Kommunikation mit mehreren Clients und der dort gespeicherten Zertifikate ist
Schritt der Access Point eingebunden wird. benutzt. Klassische WEP-Hardware kennt im allgemeinen nur in größeren Einrichtun-
Dazu schickt der RADIUS-Server das soge- meistens nur Gruppenschlüssel, nämlich gen mit separater IT-Abteilung möglich –
nannte 'Master Secret', einen während der die im Kapitel über WEP erwähnten vier. für den Heimgebrauch oder kleinere Unter-
Verhandlung berechneten Sitzungsschlüs- Der besondere Vorteil dieses Verfahrens ist nehmen ist es weniger geeignet. Des wei-
sel, zum Access Point. Obwohl das LAN es, dass der Access Point über den EAP- teren ist bisher nirgendwo eine Mindest-
hinter dem Access Point in diesem Szenario Tunnel die WEP-Schlüssel regelmäßig menge an Verfahren festgelegt, die ein
als sicher betrachtet wird, erfolgt auch wechsel kann, d.h. ein sogenanntes Client bzw. ein Server unterstützen müs-
diese Übertragung verschlüsselt. Rekeying durchführen kann. Auf diese sen. Es sind also durchaus Szenarien denk-
Weise lassen sich WEP-Schlüssel gegen bar, in denen ein Client und ein Server kei-
Mit diesem Sitzungsschlüssel übernimmt
andere ersetzen, lange bevor sie durch IV- nen EAP-Tunnel aufbauen können, weil die
der Access Point jetzt den gebildeten Tun-
Kollisionen Gefahr laufen, geknackt zu Menge unterstützter Verfahren nicht über-
nel und kann ihn nutzen, um dem Client
werden. Eine gängige 'Nutzungszeit' für so einstimmt. Diese praktischen Hürden
die eigentlichen WEP-Schlüssel mitzutei-
einen WEP-Schlüssel sind z.B. 5 Minuten. haben den Einsatz von EAP/802.1x daher
len. Je nach Fähigkeiten der Access-Point-
bisher auf professionellen Bereich
Hardware kann das ein echter Sitzungs- Zu den weiteren Vorteil dieses Verfahrens
beschränkt – der Heimanwender musste
schlüssel sein (d.h. ein WEP-Schlüssel, der zählt die einfache Implementation im
sich weiterhin mit bestenfalls WEPplus
nur für Datenpakete zwischen dem Access Access Point mit geringen Erweiterungen
begnügen, oder sich selber auf Anwen-
Point und genau diesem Client benutzt auf existierender Hardware. Nachteilig ist
dungsebene um das Sicherheitsproblem
wird) oder ein sogenannter Gruppen- bei diesem Verfahren seine Komplexität:
kümmern.
schlüssel, den der Access Point für die Die Pflege des zentralen RADIUS-Servers

6 TKIP und WPA


Wie in den letzten Abschnitten klar gewor- Access (WPA) definiert. Die WiFi-Alliance Point zur Ermittlung/Übertragung der
den sein sollte, ist der WEP-Algorithmus ist ein Zusammenschluss von WLAN-Her- Sitzungsschlüssel.
prinzipiell fehlerhaft und unsicher; die bis- stellern, der die herstellerübergreifende 왘 Ein vereinfachtes Verfahren zur Ermitt-
herigen Maßnahmen waren im wesentli- Funktion von WLAN-Produkten fördern lung des im letzten Abschnitt erwähn-
chen entweder 'Schnellschüsse' mit nur möchte und z.B. das Wifi-Logo vergibt. ten Master Secret, das ohne einen
geringen Verbesserungen oder so kompli- Bei der Definition von Standards, so auch RADIUS-Server auskommt.
ziert, dass sie für den Heimbenutzer oder bei 802.11i, sind die grundlegenden 왘 Aushandlung des Verschlüsselungs-
kleine Installationen schlicht unpraktikabel Mechanismen üblicherweise recht schnell verfahrens zwischen Access Point und
sind. klar. Die Verabschiedung der Standards Client.
Die IEEE hatte nach Bekanntwerden der ziehen sich meistens aufgrund von unter-
Probleme mit WEP eine Task Group schiedlichen Detailauffassungen in die 6.1 TKIP
gegründet, die sich mit der Definition bes- Länge. Diese Details sind dann aber häufig
serer Sicherungsmechanismen befassen nur für seltene Anwendungen wichtig. TKIP steht für Temporal Key Integrity Pro-
sollte, und die schließlich in den Standard WPA ging deshalb den pragmatischen tocol. Wie der Name nahelegt, handelt es
IEEE 802.11i münden sollten. Die Ausar- Weg, die bereits klaren und für den Markt sich dabei um eine Zwischenlösung, die
beitung und Ratifizierung eines solchen wichtigen Dinge aus den Entwürfen von nur übergangsweise bis zur Einführung
Standards dauert jedoch üblicherweise 802.11i herauszunehmen und in einen eines wirklich starken Verschlüsselungs-
mehrere Jahre. Zwischenzeitlich war der eigenen Standard zu packen. Zu diesen verfahrens genutzt werden soll, aber trotz-
Druck aus dem Markt so groß geworden, Details gehören im einzelnen: dem mit dem Problemen von WEP auf-
dass man in der Industrie nicht mehr auf 왘 TKIP und Michael als Ersatz für WEP räumt. Eine Design-Anforderung war
die Fertigstellung von 802.11i warten demzufolge, dass das neue Verschlüsse-
왘 Ein standardisiertes Handshake-Ver-
konnte und wollte. Unter Federführung lungsverfahren auch auf existierender
fahren zwischen Client und Access
von Microsoft wurde daher von der WiFi- WEP/RC4-Hardware mit vertretbarem Auf-
Alliance, der 'Standard' Wifi Protected wand implementierbar sein sollte. Als TKIP

6/11
LANCOM™ Techpaper
WPA und 802.11i

definiert wurde, war bereits abzusehen, Daten Michael-Schlüssel


dass es bis weit in die Ära der 54/108MBit-
WLANs genutzt werden würde, und eine Michael
reine Software-Verschlüsselung wäre auf
TKIP
den meisten Systemen mit zu hohen Daten + Michael
Quell-MAC-Adresse Michael
Geschwindigkeitseinbußen verbunden
gewesen. Im 'Blockschaltbild' von TKIP CRC
TKIP-Schlüssel
(Abbildung 3) finden sich deshalb viele von
WEP bekannte Komponenten wieder, die in Daten + Michael + CRC
WLAN-Kartenüblicherweise in Hardware Key-Mixing
existieren und damit effektiv für TKIP (Phase 1)
RC4
genutzt werden können.
Key-Mixing Generator XOR
Als Komponenten, die auch schon von (Phase 2)
WEP her bekannt sind, erkennt man die
RC4-Engine zur eigentlichen Ver- und Ent-
schlüsselung sowie die CRC-Bildung davor. IVHi IVLo
Als neue Komponente (grün) wird den
unverschlüsselten Paket neben der CRC
allerdings noch der sogenannte Michael-
+1 IVHi IVLo Daten + Michael + CRC (verschlüsselt)
MIC angehängt. Bei diesem handelt es sich
um einen extra für WLAN entwickelten Abbildung 3: Arbeitsweise von TKIP/Michael
Hash-Algorithmus, der so konzipiert
wurde, dass er auch auf älterer WLAN- eigentliche Schlüssel und der im Paket ent- einen 32 Bit langen Hi-Teil. Der Hinter-
Hardware mit vertretbarem Overhead haltene IV hier niemals direkt als RC4- grund dafür ist, dass das Key-Mixing wie
berechnet werden kann. Da im Gegensatz Schlüssel genutzt, sondern er durchläuft im Bild gezeigt in zwei Phasen abläuft:
zur CRC in diesen Hash ein weiterer Schlüs- zusammen mit dem IV zwei sogenannte 왘 Für die erste (rechenintensive) Phase
sel (der Michael-Schlüssel) eingeht, lässt er Key-Mixing-Phasen – ein Angreifer kann wird nur der obere Teil benötigt, sie
sich ohne die Kenntnis des Schlüssels also vom im Klartext enthaltenen IV keine braucht daher nur alle 65536 Pakete
weder berechnen, noch lässt sich ein direkten Rückschlüsse auf den RC4-Schlüs- durchlaufen werden.
Datenpaket verfälschen, ohne dass der sel machen, was das Problem der 'schwa-
왘 Die zweite, relativ einfache Phase des
Empfänger dies erkennt. Dies gilt natürlich chen' IVs von WEP löst (das Key-Mixing
Key-Mixing benutzt die Ausgabe der
nur unter Voraussetzung, dass ein Angrei- selber ist so ausgelegt, dass niemals
ersten Phase sowie den Lo-Teil des IV
fer den Michael-Hash nicht mit Brute- schwache RC4-Schlüssel entstehen kön-
(der sich mit jedem Paket ändert), um
Force-Methoden bricht. Wegen der Forde- nen).
den eigentlichen RC4-Schlüssel zu
rung der hohen Laufzeiteffizienz geht Desweiteren ist der intern hochgezählte erstellen.
Michael hier gewisse Kompromisse ein: und im Paket im Klartext übertragene IV
Im Gegensatz zu WEP ist bei TKIP darüber
obwohl ein 64 Bit langer Schlüssel verwen- statt 24 jetzt 48 Bit lang - damit kann ein
hinaus festgelegt, dass die von Paket zu
det wird, beträgt die effektive Stärke von Sender jetzt etwa 280 Billionen Pakete
Paket zu verwendenden IVs streng mono-
Michael nur etwa 40 Bit. Dies wurde aller- übertragen, bevor der 128 Bit lange TKIP-
ton ansteigen müssen, der Empfänger
dings als hinreichend angesehen, da ein Schlüssel zwingend gewechselt werden
muss die Phase 1 also auch nur für alle
potentieller Angreifer erst einmal die TKIP- müsste. Selbst in einem modernen WLAN
65536 empfangenen Pakete durchlaufen.
Komponente brechen müsste, um Daten- mit brutto 108 MBit/s, was netto ca. 50
Der Entschlüsselungsteil von TKIP ist
pakete zu erzeugen, welche die CRC-Prü- MBit/s erreicht, würde das bei ansonsten
gehalten, diese Sequentialität zuüberprü-
fung der WEP/RC4-Komponente überste- gleichen Voraussetzungen wie oben bei
fen und Pakete zu verwerfen, die einen
hen. WEP ca. 2000 Jahren entsprechen.
bereits benutzen IV enthalten, was Replay-
TKIP (rot) kümmert sich um die Berechnung Es bleibt noch zu erwähnen, dass der IV Attacken verhindert.
der eigentlichen Schlüssel für die RC4- aus Optimierungsgründen in zwei Teile
Engine. Im Gegensatz zu WEP wird der geteilt ist: einen 16 Bit langen Lo-Teil und

7/11
LANCOM™ Techpaper
WPA und 802.11i

Als weiteres Detail mischt TKIP in der ers- Wie man sehen kann, besteht Client Access Point
ten Phase auch noch die MAC-Adresse des der Handshake jeweils aus
Senders ein. Auf diese Weise ist sicherge- Paaren von Paketen, die
stellt, dass eine Verwendung gleicher IVs jeweils aus einer 'Anfrage' des
von verschiedenen Sendern nicht zu iden- Access Points und einer
tischen RC4-Schlüsseln und damit wieder 'Bestätigung' des Clients
zu Angriffsmöglichkeiten führt. bestehen. Das erste Pärchen
1 (Send ANonce)
Wie oben erwähnt, stellt der Michael-Hash dient im wesentlichen dazu,
keine besonders hohe kryptographische dass Client und Access Point
Hürde dar: kann der Angreifer den TKIP- für diese Verhandlung spezifi- 2 (Send SNonce)
Schlüssel brechen oder verschlüsselte sche Zufallswerten (soge-
Pakete durch Modifikationen ähnlich wie nannte Nonces) austauschen. 3 (Install Pairwise Key)
bei WEP an der CRC-Prüfung vorbeischleu- Das auf beiden Seiten bereits
sen, bleiben nicht mehr allzuviele Hürden bekannte Master Secret wird
4 (Pairwise Key Installed)
zu überwinden. WPA definiert aus diesem dann mit diesen Nonces
Grund Gegenmaßnahmen, wenn eine gemischt und nach einem
WLAN-Karte mehr als zwei Michael-Fehler festgelegten Hash-Verfahren
pro Minute erkennt: sowohl Client als auch werden auf diese Weise wei-
Access Point brechen dann für eine Minute tere Schlüssel generiert, die 1 (Install Group Key)

den Datentransfer ab und handeln danach zum einen dem Schutz des
TKIP- und Michael-Schlüssel neu aus. weiteren Austausches dienen 2 (Group Key Installed)
und zum anderen als der Pair-
wise-Key für diese Station Abbildung 4: Key-Handshake bei WPA
6.2 Der Key-Handshake genutzt werden. Da das Mas-
Bereits bei der Besprechung von 802.1x ter Secret nicht direkt verwendet wird, lässt bestätigt. Da zu diesem Zeitpunkt bereits
wurde dargestellt, dass EAP/802.1x die es sich später für eventuell notwendige ein Pairwise-Key auf beiden Seiten instal-
Möglichkeit bietet, dem Client beim Neuverhandlungen wiederverwenden, liert ist, sind diese beiden Pakete bereits
Beginn einer Sitzung die dafür gültigen indem es dann mit neuen Zufallswerten verschlüsselt.
Schlüssel mitzuteilen. WPA stellt dies jetzt gemischt wird und so andere Schlüssel Nach erfolgreichem Group-Key-Hands-
auf eine standardisierte Grundlage, und ergibt. hake kann der Access Point den Client end-
berücksichtigt dabei auch die von moder- Im zweiten Pärchen instruiert der Access lich für den normalen Datentransfer frei-
nen Access Points gegebene Möglichkeit, Point den Client, den berechneten TKIP- schalten. Es steht dem Access Point dabei
neben den vier 'globalen' Schlüsseln auch Sitzungsschlüssel zu installieren, und frei, auch weiterhin während der Sitzung
noch für jeden eingebuchten Client einen sobald der Client dies bestätigt, tut dies über solche Pakete ein Rekeying durchzu-
Session-Key auszuhandeln, der exklusiv für auch der Access Point. Damit ist der Pair- führen. Prinzipiell könnte sogar der Client
Datenpakete von oder zu diesem Client wise-Handshake abgeschlossen, und als das Rekeying vom Access Point anfordern.
benutzt wird. Ergebnis besteht jetzt eine Möglichkeit, WPA berücksichtigt auch den Fall älterer
Betrachtet man noch einmal den in Abbil- zwischen Client und Access Point Daten WLAN-Hardware, in dem der Access Point
dung 2 gegebenen Ablauf, so ersetzt der per TKIP auszutauschen. keine Pairwise-Keys unterstützt, sondern
neu definierte Key-Handshake die Phase, Damit kann der Client aber noch nicht ganz nur Group-Keys. Die erste Phase des
in welcher der Access Point nach Erhalt des 'freigeschaltet' werden, weil der Access Handshakes läuft in diesem Fall genauso
Master-Secret vom RADIUS-Server die Point noch einen weiteren Schlüsselüber- ab wie vorher, nur führt dies nicht zu der
WEP-Schlüssel an den Client übermittelt. mitteln muss – den Group Key, den er Installation eines Pairwise-Keys – der
Der Key-Handshake gliedert sich in zwei benutzt, um Broadcast- und Multicast- Group-Key-Handshake läuft weiterhin im
Phasen: zuerst den Pairwise Key Hands- Pakete gleichzeitig an alle Stationen zuü- Klartext ab, eine Verschlüsselung in den
hake, dann den Group Key Handshake bermitteln. Diesen muss der Access Point EAP-Paketen selber verhindert aber, dass
(Abbildung 4). einseitig festlegen, und er übermittelt ihn ein Angreifer die Schlüssel einfach mitlesen
einfach an die Station, die seinen Empfang kann.

8/11
LANCOM™ Techpaper
WPA und 802.11i

6.3 WPA mit Passphrase Infrastruktur wird dabei jedem Client wise Key anbietet – hier ist WEP expli-
anhand seiner MAC-Adresse über den Ein- zit nicht mehr erlaubt.
Der im vorigen Abschnitt beschriebene trag in der ACL (Access Control Liste) eine 왘 Eine Liste von Authentifizierungsver-
Handshake läuft bei WPA grundsätzlich ab, individuelle Passphrase zugewiesen. Firm- fahren, über die sich ein Client gegen-
d.h. der Anwender wird niemals selber wenweite Passphrases und die damit ver- über dem WLAN als zugangsberechtigt
irgendwelche TKIP- oder Michael-Schlüs- bundenen Risiken sind damit nicht mehr zeigen kann – mögliche Verfahren sind
sel definieren müssen. In Umgebungen, in notwendig. im Moment EAP/802.1x oder PSK.
denen kein RADIUS-Server zur Erteilung
des Master-Secrets vorhanden ist (z.B. bei Der Access Point strahlt ein solches Ele-
6.4 Verhandlung des ment mit seinen Beacons aus, so dass sich
kleinere Firmen oder Heimanwendern)
sieht WPA deshalb neben der Authentifi- Verschlüsselungs- Clients informieren können, ob dieses Netz
für sie geeignet ist. Bei der Anmeldung am
zierung über einen RADIUS-Server noch verfahrens Access Point schickt der Client wiederum
das PSK-Verfahren vor; dabei muss der
Anwender sowohl auf dem Access Point als Die ursprüngliche WEP-Definition sah ein solches Paket, in dem er den von ihm
auch auf allen Stationen eine zwischen 8 lediglich eine feste Schlüssellänge vor, so gewünschten Typ des Pairwise Keys sowie
und 32 Zeichen lange Passphrase einge- dass in den Anmeldepakete von Station das Authentifizierungsschema angibt. Der
ben, aus der zusammen mit der verwende- und Access Point lediglich ein einziges Bit Access Point startet daraufhin entweder
ten SSID das Master-Secret über ein Hash- erforderlich war, um anzuzeigen, ob Ver- die EAP/802.1x-Verhandlung oder beginnt
Verfahren berechnet wird. Das Master Sec- schlüsselung benutzt werden soll oder direkt mit dem Key-Handshake.
ret ist in so einem PSK-Netz also konstant, nicht. Dies war bereits in dem Moment Da sowohl Beacons als auch Anmeldepa-
die Nonces sorgen aber dafür, dass sich nicht mehr hinreichend, als WEP mit ande- kete noch nicht kryptographisch geschützt
trotzdem immer unterschiedliche TKIP- ren Längen als 40 Bit eingesetzt wurde – sind, ist es denkbar, dass Dritte in diesen
Schlüssel ergeben. der Anwender musste einfach aufpassen, Austausch eingreifen und Client und/oder
dass neben dem gleichen Wert auch die Access Point auf ein schwächeres als das
In einem PSK-Netz hängen – ähnlich wie
gleiche Länge definiert ist. WPA stellt einen eigentlich gewünschte Verfahren herunter-
bei klassischem WEP – sowohl Zugangs-
Mechanismus bereit, mit dem sich Client drücken. Sowohl Access Point als auch Cli-
schutz als auch Vertraulichkeit davon ab,
und Access Point über das zu verwendende ent sind deshalb gehalten, diese Info-Ele-
dass die Passphrase nicht in unbefugte
Verschlüsselungs- und Authentifizierungs- mente während des Key-Handshakes
Hände gerät. Solange dies aber gegeben
verfahren verständigen können. Zu diesem nochmals auszutauschen, und wenn das
ist, bietet WPA-PSK eine massiv höhere
Zweck wurde ein neues Info-Element defi- dann empfangene sich nicht mit dem aus
Sicherheit gegen Einbrüche und Abhören
niert, das folgendes enthalten kann: der Anmeldung deckt, brechen sie die Ver-
als jede WEP-Variante. Für größere Instal-
왘 Das in diesem Netz zu verwendende bindung sofort ab.
lationen, in denen eine solche Passphrase
einem zu großen Nutzerkreis bekannt Verschlüsselungsverfahren für Broad- Wie erwähnt, sieht der ursprüngliche WPA-
gemacht werden müsste, als dass sie casts (also die Art des Group Keys). Standard einzig TKIP/Michael als verbes-
geheimzuhalten wäre, wird EAP/802.1x in Jeder Client, der sich in ein WPA-WLAN sertes Verschlüsselungsverfahren vor. Mit
Zusammenhang mit dem hier beschriebe- einbuchen will, muss dieses Verfahren der Weiterentwicklung des 802.11i-Stan-
nen Key-Handshake genutzt. unterstützen. Hier ist neben TKIP auch dards wurde das weiter unten beschrie-
noch WEP zugelassen, um gemischte bene AES/CCM-Verfahren hinzugenom-
WEP/WPA-Netze zu unterstützen – in men. So ist es heutzutage in einem WPA-
LANCOM Systems hat mit dem einem reinen WPA-Netz wird man aber Netz möglich, dass einige Clients über TKIP
LEPS-Feature (LANCOM Enhan- TKIP wählen. mit dem Access Point kommunizieren,
ced Passphrase Security) diese 왘 Eine Liste von Verschlüsselungsverfah- andere Clients jedochüber AES.
potentielle Sicherheitslücke geschlossen. ren, die der Access Point für den Pair-
Ohne komplizierte und aufwendige Server-

9/11
LANCOM™ Techpaper
WPA und 802.11i

7 AES und 802.11i Klartext-Paket verschlüsseltes Paket

Mitte 2004 wurde der lang erwartete Stan- Src-Mac, IV, Len AES XOR Hdr Hdr

(24 ... 32 Byte)


dard 802.11i vom IEEE verabschiedet, der
das ganze Sicherheitskonzept von WLAN AES
auf eine neue Basis stellen soll – und dies XOR Hdr Hdr
wohl auch tun wird, denn nach den Proble-

(8 Byte)
men bei der Einführung von WEP ist es IV IV
nicht zu erwarten, dass sich bei 802.11i AES Src-Mac, IV, 0 AES
ähnlich grobe Fehler finden lassen werden.
XOR Data XOR Data
Wie im vorigen Abschnitt erwähnt, hat
WPA bereits eine ganze Reihe von Konzep- AES Src-Mac, IV, 1 AES
ten in 802.11i vorweggenommen – des- XOR Data XOR Data
halb sollen in diesem Abschnitt nur die
Komponenten beschrieben werden, die
gegenüber WPA neu sind.

7.1 AES AES Src-Mac, IV, n AES


Die augenfälligste Erweiterung betrifft die XOR Data XOR Data
Einführung eines neuen Verschlüsselungs-

(8 Byte)
verfahrens, nämlich AES-CCM. Wie der Src-Mac, IV, 0 AES XOR MIC
Name schon andeutet, basiert dieses Ver-
schlüsselungsverfahren auf dem DES- Abbildung 5: Schema von CCM
Nachfolger AES, im Gegensatz zu WEP und
TKIP, die beide auf RC4 basieren. Da nur AES selber ist im Gegensatz zu RC4 und ein möglich, erreichen auf den üblicherweise
die neueste Generation von WLAN-Chips Block-Cipher, d.h. es wird immer gleich ein in Access Points eingesetzten Prozessoren
AES-Hardware enthält, definiert 802.11i ganzer Block von Daten (im Falle von AES- nicht den Durchsatz moderner WLANs.
auch weiterhin TKIP, allerdings mit umge- CCM 16 Byte) am Stück verschlüsselt. AES Im Gegensatz zu TKIP benötigt AES nur
kehrtem Vorzeichen: eine 802.11i-stan- selber wird dabei sowohl für die Erzeugung noch einen 128 Bit langen Schlüssel, mit
dardkonforme Hardware muss AES unter- des MIC als auch für die Verschlüsselung dem sowohl die Verschlüsselung als auch
stützen, während TKIP optional ist – bei im Chained Mode angewendet, d.h. für der Schutz gegen unerkanntes Verändern
WPA war es genau umgekehrt. Aufgrund jeden AES-Datenblock werden entweder von Paketen erreicht wird. Des weiteren ist
der hohen Verbreitung nicht-AES-fähiger veränderte Eingangsdaten oder die Ergeb- CCM voll symmetrisch, d.h. es wird der
Hardware ist aber zu erwarten, dass jede nisse des letzten Schrittes verwendet, so gleiche Schlüssel in beide Kommunikati-
AES-fähige WLAN-Karte auch weiterhin dass gleiche Klartextdaten von Schritt zu onsrichtungen angewendet – eine kon-
WEP und TKIP unterstützen wird. WLAN- Schritt einen unterschiedlichen Schlüssel- forme TKIP-Implementierung hingegen
Geräte werden allerdings voraussichtlich text ergeben. Bei DES ist diese Vorgehens- verlangt die Verwendung unterschiedlicher
Einstellmöglichkeiten bieten, die den Ein- weise z.B. als Chained Block Coding geläu- Michael-Schlüssel in Sende- und Emp-
satz von TKIP unterbinden – diverse Behör- fig. fangsrichtung, so dass CCM in seiner
den in USA betrachten TKIP nicht als sicher Das schematische Bild von CCM (Abbil- Anwendung deutlich unkomplizierter ist
genug, was angesichts des vergleichsweise dung 5) deutet bereits seine Komplexität als TKIP.
schwachen Michael-Hashes auch durch- an (die XOR- und AES-Einheiten sind in Gelegentlich findet man in älteren Publika-
aus gerechtfertigt ist. Wirklichkeit natürlich nur einmal vorhan- tionen oder Drafts des 802.11i-Standards
Der Zusatz CCM bezieht sich auf die Art, den!), weshalb CCM nur in Hardware effi- noch eine andere AES-Variante, nämlich
wie AES auf WLAN-Pakete angewendet zient implementiert werden kann. Soft- AES-OCB oder WRAP. Bei dieser Variante
wird. warebasierte Implementationen sind zwar wurde AES in einer anderen Form benutzt,

10/11
LANCOM™ Techpaper
WPA und 802.11i

© 2004 LANCOM Systems GmbH, Würselen (Germany). Alle Rechte vorbehalten. LANCOM, LANCOM Systems, LCOS und LANvantage sind eingetragene Marken. Alle anderen verwendeten Namen und Bezeichnungen können Marken oder
die aber im endgültigen Standard zu Guns- zu. Bei Telefongesprächen sind bereits den Client übermittelt. Bei einer Wiederan-
ten von CCM fallen gelassen wurde. WRAP Unterbrechungen von wenigen 100 Milli- meldung fragt der Client mittels der
hat heute keine Bedeutung mehr. sekunden störend, jedoch ist abzusehen, PMKID, ob dieses PMK noch gültig ist. Falls
Ähnlich wie TKIP verwendet CCM einen 48 dass eine vollständige Authentifizierung ja, kann die 802.1x-Phase übersprungen
Bit langen Initial Vector in jedem Paket – über 802.1x, inklusive der folgenden werden und es ist nur der Austausch von
eine IV-Wiederholung ist damit in der Pra- Schlüsselverhandlung mit dem Access sechs kurzen Paketen erforderlich, bis die
xis ausgeschlossen. Wie bei TKIP merkt der Point, deutlich länger dauern kann. Verbindung wieder steht. Diese Optimie-
Empfänger sich den zuletzt benutzten IV Als erste Maßnahme wurde deshalb das rung ist bei PSK-basierten WLANs nicht
und verwirft Pakete mit einem IV, der gleich sogenannte PMK-Caching eingeführt. Der erforderlich, denn dort ist das PMK ja
oder niedriger als der Vergleichswert ist. 802.11i-Standard bezeichnet mit dem ohnehin überall gleich und bekannt.
PMK (Pairwise Master Key) das nach einer Eine weitere Maßnahme erlaubt auch für
7.2 Prä-Authentifizierung 802.1x-Authentifizierung in Client und den Fall der erstmaligen Anmeldung eine
Access Point vorhandene Master Secret, Beschleunigung, sie erfordert aber etwas
und PMK-Caching das die Basis für den Schlüsselaustausch Vorausschau vom Client: dieser muss
darstellt. In VoIP-Umgebungen ist es denk- bereits im Betrieb eine schlechter wer-

eingetragene Marken ihrer jeweiligen Eigentümer sein. Änderungen vorbehalten. Keine Gewähr für technische Ungenauigkeiten und/oder Auslassungen. Version 1.5
Wie schon früher erwähnt, sind es oft die
Details, welche die Verabschiedung eines bar, dass ein Anwender sich zwischen einer dende Verbindung zum Access Point
Standards verzögern. Im Falle von 802.11i relativ kleinen Zahl von Access Points hin- erkennen und einen neuen Access Point
waren es dabei zwei Details, die insbeson- und herbewegt. Dabei wird es vorkommen, selektieren, während er noch Verbindung
dere beim Einsatz von WLAN für Sprach- dass ein Client wieder zu einem Access zum alten Access Point hat. In diesem Fall
verbindungen (VoIP) in Unternehmensnet- Point wechselt, an dem er bereits früher hat er die Möglichkeit, die 802.1x-Ver-
zen helfen sollen. Vor allem in einmal angemeldet war. In so einem Fall handlung über den alten Access Point mit
Zusammenhang mit WLAN-basierten wäre es unsinnig, die ganze 802.1x- dem neuen Access Point zu führen, was
schnurlosen Telefonen kommt einem Authentifizierung noch einmal zu wieder- wiederum die 'Totzeit' um die Zeit der
schnellen Roaming, d.h. dem Wechsel zwi- holen. Aus diesem Grund kann der Access 802.1x-Verhandlung verkürzt.
schen Access Points ohne längere Unter- Point das PMK mit einer Kennung, der
brechungen, eine besondere Bedeutung sogenannten PMKID, versehen, die er an

8 Fazit
Nach dem Bekanntwerden der Sicherheits- tionen des Federal Information Standards Im Zusammenspiel mit weiteren Einstel-
lücken in der WEP-Verschlüsselung, den (FIPS) 140-2 einzuhalten, die von vielen lungsmöglichkeiten wie Multi-SSID und
kurzfristigen Lösungsversuchen wie staatlichen Stellen gefordert werden. VLAN-Tagging ist es möglich, rundum
WEPplus und Zwischenschritten wie WPA LANCOM Systems verwendet in seinen sichere und gleichzeitig für mehrere
hat das IEEE-Komitee den neuen WLAN- 54MBit/s-Produkten den Atheros Chipsatz Benutzergruppen angepasste Netze mit
Sicherheitsstandard 802.11i vorgelegt. mit einem Hardware-AES-Beschleuniger. verschiedenen Sicherheitsstufen anzubie-
Das bei WPA verwendete TKIP-Verfahren Dadurch ist die höchstmögliche Verschlüs- ten.
basiert auf dem schon älteren RC4-Algo- selung ohne Perfomanceverluste gewähr- 왘 VLAN-Tagging ist ab LCOS Version
rithmus, auf dem schon WEP aufbaute. Erst leistet. 3.32 verfügbar.
mit AES wird der wichtige und endgültige
Mit dem benutzerfreundlichen Pre-Shared- 왘 Multi-SSID ist ab LCOS 3.42 verfügbar.
Schritt zu einem wirklich sicheren Ver-
Key-Verfahren (Eingabe einer Passphrase 왘 LANCOM Systems bietet ab der LCOS
schlüsselungsverfahren vollzogen. Die
von 8-63 Zeichen Länge) ist 802.11i für Version 3.50 das PSK-Verfahren an.
bekannten praktischen und theoretischen
jedermann schnell und einfach einzurich- 왘 802.1x wird ab der LCOS-Version 3.52
Sicherheitslücken der Vorgängerverfahren
ten. In professionellen Infrastrukturen mit unterstützt.
gehören mit 802.11i/AES der Vergangen-
einer großen Anzahl von Nutzern kann mit
heit an. 왘 Einfache Authentifizierung durch indi-
802.1x und RADIUS-Servern gearbeitet
Das AES-Verfahren bietet genügend viduelle Passphrases pro MAC-Adresse
werden.
Sicherheit, um die notwendigen Spezifika- (LEPS) ab LCOS-Version 4.0.

www.lancom.de
LANCOM Systems GmbH I Adenauerstr. 20/B2 I 52146 Würselen I Deutschland I E-Mail info@lancom.de I Internet www.lancom.de