Dipl.-Inform. Carsten Eilers

Nach erfolgreicher Authentifizierung wird der Schlüsselaustausch zur Bildung der notwendigen Schlüssel gestartet. Der erfolgt in folgenden Schritten:

1. Sowohl Access-Point als auch Client kennen bereits den so genannten 'Pairwise Master Key' (PMK) – entweder das individuelle temporäre Secret aus der EAP-Authentifizierung oder das aus dem PSK berechnete allgemeine Master-Secret.
   Beide erzeugen nun Zufallsdaten (Nonces).
   Der Access-Point sendet seinen Nonce-Wert an den Client.
2. Der Client berechnet aus dem PMK, seiner und der MAC-Adresse des Access-Points sowie den beiden Nonces den 'Pairwise Transient Key' (PTK), aus dem die benötigten Schlüssel für RC4-Verschlüsselung und MIC-Berechnung abgeleitet werden.
   Er sendet dann seinen Nonce und dessen MIC-Wert an den Access-Point.
3. Der Access-Point berechnet nun analog zum Client ebenfalls den 'Pairwise Transient Key' (PTK). Dieser wurde daher niemals übertragen.
   Damit ist der 'Pairwise Key Handshake' abgeschlossen, es folgt der 'Group Key Handshake'.
   Der Access-Point überträgt nun den für die Verschlüsselung von Broadcast- und Multicast-Paketen verwendeten 'Group Transient Key' (GTK). Die Übertragung erfolgt durch den PTK geschützt, außerdem wird der MIC-Wert des GTK übertragen.
4. Der Client antwortet mit dem mit dem PTK verschlüsselten empfangenen MIC.
5. Stimmt der mit dem übertragenen Wert überein, wurde der GTK nicht manipuliert und die verschlüsselte Kommunikation kann beginnen.

Angriffe auf WPA

WPA schützt die Kommunikation deutlich besser als WEP. Aber das ist ja kein Wunder, denn WEP bietet bekanntlich überhaupt keinen Schutz mehr.

DoS-Angriffe über 'Michael'

Schon kurz nach der Veröffentlichung des neuen Standards wurde auf die Möglichkeit von DoS-Angriffen auf bzw. über den Message Integrity Check (MIC) 'Michael' hingewiesen: Beim Empfang von 2 Paketen mit falschem MIC-Wert innerhalb einer Sekunde werden alle Schlüssel für ungültig erklärt und die Verbindung für eine Minute gesperrt. Damit sollen Angriffe auf den MIC abgewehrt werden, die durch die relativ schwache verwendete Hash-Funktion entstehen.

Die Möglichkeit, das für DoS-Angriffe zu nutzen, wurde dabei bewusst in Kauf genommen. Denn alle Ansätze, die DoS-Möglichkeit zu verhindern, würden die Sicherheit des Protokolls reduzieren.

Die WLAN-Hardware ist einfach nicht leistungsstark genug um sicherere Kryptografie als 'Michael' zu bewältigen. Der Algorithmus wurde extra so entwickelt, dass die damals vorhandenen Geräte ihn bewältigen können. Dass darunter die Sicherheit leidet ist unvermeidbar: Der Schlüsselraum ist mit 2²⁰ deutlich kleiner als z.B. die 2¹²⁸ bei AES mit der minimalen Schlüssellänge von 128 Bit. Das ermöglicht natürlich Brute-Force-Angriffe, also musste ein Schutz her. Und wie eigentlich immer führt ein Schutz vor Brute-Force-Angriffen zu Möglichkeiten für DoS-Angriffe - man muss sich also entscheiden, was einem wichtiger ist: Vertraulichkeit oder Verfügbarkeit.

Mal abgesehen davon, dass Vertraulichkeit eigentlich immer vor zu ziehen ist, gibt es im zu Grunde liegenden 802.11-Protokoll schwerwiegendere DoS-Schwachstellen. Also wäre eine Schwächung von WPA zur Verhinderung dieses einen DoS-Angriffs völlig nutzlos - ein Angreifer, der einen DoS auslösen will, würde dann einfach eine der anderen DoS-Schwachstellen ausnutzen. Und in der Tat habe ich nie von DoS-Angriffen über WPA gehört. Oder von DoS-Angriffen auf WPA allgemein. Es scheint also keine gegeben zu haben, oder zumindest keine, die zu einem größeren Aufschrei oder Medienecho geführt hätten.

Außerdem sind DoS-Angriffe doch sowieso ziemlich lahm. Wirklich lohnenswert sind nur Angriffe auf die Verschlüsselung. Und die sind im Fall von WPA ebenfalls möglich. Und genau darum geht es in der nächsten Folge.

Carsten Eilers