WLAN-Sicherheit 4 - Ein Protokoll für den Übergang: Wi-Fi Protected Access (WPA)
Sie haben bereits erfahren, wie WEP funktioniert, und welche Schwachstellen und Angriffe sowie Tools für Angriffe es gibt. Das Fazit nach dem dritten Text fiel eindeutig aus: WEP ist so unsicher, dass dringend ein Ersatz benötigt wird. Das hatten auch die Entwickler des Standards erkannt. Ein neuer Sicherheitsstandard, IEEE 802.11i, war damals bereits in Entwicklung, aber noch nicht einsetzbar. Daraufhin wurde von der Wi-Fi Alliance 2003 eine Zwischenlösung veröffentlicht.
Wi-Fi Protected Access (WPA) als erster Ersatz für WEP
Dabei wurde in Hinblick auf eine spätere Erweiterung auf den dann fertig gestellten Standard IEEE 802.11i auf dessen bereits fertiggestellten Teile zurückgegriffen. Im Gegensatz zum festen Schlüssel bei WEP nutzt WPA dynamische Schlüssel auf Grundlage des Temporal Key Integrity Protocol (TKIP), das auch für den Schutz der Integrität zuständig ist. Die Authentifizierung kann auf Grundlage von Pre-Shared Keys (PSK, vorab getauschte Schlüssel) oder durch das Extensible Authentication Protocol (EAP, RFC 3748) erfolgen. Für die Verschlüsselung wird wie bei WEP RC4 verwendet, jedoch mit einem effektiv 48 Bit-langen Initialisierungsvektor, der außerdem in jedem Paket geändert wird.
Temporal Key Integrity Protocol (TKIP)
TKIP ist eine Erweiterung von WEP, bei der die Schwachstellen des konstanten WEP-Keys und der mangelhaften Integritätssicherung behoben wurden. Aus Kompatibilitätsgründen wurde RC4 als Verschlüsselungsalgorithmus beibehalten. Dies ermöglichte in vielen Fällen die Anpassung vorhandener WEP-fähiger Systeme an WPA durch neue Treiber oder Firmware-Versionen.
Das von WPA genutzte Temporal Key Integrity Protocol (TKIP) nutzt verschiedene, aus einem Master-Secret abgeleitete Schlüssel zur Verschlüsselung und Integritätssicherung. Die für die RC4-Verschlüsselung verwendeten Schlüssel werden für jedes zu sendende Paket neu berechnet, sodass die gegen WEP möglichen Angriffe fehlschlagen.
Die Initialisierungsvektoren (IV) von TKIP sind 56 Bit lang. Davon werden allerdings 8 Bit verworfen, um die in WEP zutage getretenen schwachen Schlüssel zu vermeiden. Der IV wird zur Optimierung der Rechenzeit in einen 16 Bit langen Lo-Teil und einem 32 Bit langen Hi-Teil aufgeteilt. Die Berechnung der für die RC4-Verschlüsselung verwendeten Schlüssel erfolgt in zwei Schritten. Der erste, rechenintensive Schritt berechnet aus dem Hi-Teil und dem Master-Secret ein Zwischenergebnis. Der zweite Schritt berechnet daraus und aus den Lo-Teil des IV dann den RC4-Schlüssel. Der erste Schritt muss dadurch nur einmal für 65536 Pakete durchgeführt werden, erst danach ist eine Neuberechnung nötig.
Der Lo-Teil beginnt mit 0 und wird mit jedem gesendeten Datenpaket um 1 Bit erhöht. Der Empfänger verwirft alle Pakete mit einem bereits empfangenen IV, wodurch Replay-Angriffe effektiv verhindert werden.
Integritätsprüfung
Anstelle (bzw. zusätzlich zu) der einfachen Prüfsumme des Integrity Check Value (ICV) von WEP wird ein 'Michael' genannter Message Integrity Check (MIC) verwendet. Dabei handelt es sich um einen 64 Bit langen Hash-Wert, in den außer den Daten auch die Quell- und Zieladresse einfließen. Er wird mit einem aus dem Master-Secret abgeleiteten geheimen Schlüssel berechnet. Da die verwendete Hash-Funktion relativ schwach ist, wurde eine Schutzfunktion in den Access-Points implementiert: Beim Empfang von 2 Paketen mit falschem MIC-Wert innerhalb einer Sekunde werden alle Schlüssel für ungültig erklärt und die Verbindung für eine Minute gesperrt.
Authentifizierung
Für die Authentifizierung und die Verteilung des Master-Secrets stehen zwei Verfahren zur Verfügung:
- Enterprise Mode, WPA-Enterprise
Ist ein Authentifizierungsserver, z.B. ein RADIUS-Server, vorhanden, wird der Client über das Extensible Authentication Protocol (EAP, RFC 3748) authentifiziert und anschließend ein individuelles, temporäres Secret verteilt. - Customer Mode, WPA-Personal, WPA-PSK
Steht kein Authentifizierungsserver zur Verfügung, wird das Pre-Shared-Key-Verfahren (PSK, vorab getauschte Schlüssel) für die Authentifizierung verwendet. Der PSK ist 256 Bit lang und wird aus einer auf dem Access-Point und allen Clients gespeicherten, zwischen 8 und 64 Zeichen langen Passphrase und dem SSID (Service Set Identifier) berechnet. Alternativ kann auch direkt ein 256-Bit-Wert als PSK eingegeben werden. Der PSK dient gleichzeitig als Master-Secret.
Die Sicherheit hängt entscheidend von Qualität und Geheimhaltung der Passphrase ab. Kann sie über einen Wörterbuchangriff ermittelt oder vom Angreifer auf andere Weise ausgespäht werden, hat dieser danach ungehinderten Zugriff auf das WLAN. Programme, die über einen Wörterbuchangriff auf die beim Schlüsselaustausch ausgetauschten Pakete offline das Master-Secret ermitteln, gibt es seit langem. Zu kurze oder zu einfache Passphrasen können damit ermittelt werden.
In der nächsten Folge wird der Schlüsselaustausch von WPA beschrieben, und es werden Angriffe auf WPA vorgestellt.
Trackbacks
Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 5 - WPA-Schlüsselaustausch und DoS-Angriffe
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 6 - Angriffe auf die WPA-Verschlüsselung, Teil 1
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 7 - Angriffe auf die WPA-Verschlüsselung, Teil 2
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 8 - Der aktuelle Standard-Verschlüsselungsalgorithmus: WPA2
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 10 - Die Schlüssel von WPA2, Teil 2
Vorschau anzeigen