Dipl.-Inform. Carsten Eilers

Der 128 Bit lange Group Master Key (GMK) steht analog zum Pairwise Master Key an der Spitze der IEEE 802.11i Gruppenschlüssel-Hierarchie. Unter ihm liegt der Group Temporal Key (GTK), der mithilfe einer Pseudozufallszahlenfunktion aus dem GMK erzeugt wird. Er ist bei TKIP 256-Bit-lang, bei CCMP 128 Bit, da nur zwei temporäre 128-Bit-Schlüssel für TKIP bzw. einer für CCMP benötigt werden. Die EAPOL-Schlüssel entfallen, da der Schlüsselaustausch nur über die paarweisen Schlüssel abgewickelt wird.

Die Aufteilung des GTK in die temporären Schlüssel zur Verschlüsselung und Integritätssicherung erfolgt analog dem Vorgehen beim Pairwise Transient Key (PTK).

TKIP-Gruppenschlüsselhierarchie

CCMP-Gruppenschlüsselhierarchie

Erzeugung des GMK

Der GMK wird vom Access-Point erzeugt und nur von diesem verwendet. Da er nicht für die Authentifizierung verwendet wird, werden für seine Berechnung keine Access-Point-spezifischen Informationen verwendet, sondern er ist eine reine Zufallszahl.

Erzeugung und Verteilung des GTK

Der GTK wird ebenfalls auf dem Access-Point erzeugt. Als Parameter gehen der GMK, die Markierung "Group key expansion" als Kennzeichnung, dass es sich um einen Gruppenschlüssel handelt, die MAC-Adresse des Access-Points und ein analog zum ANonce und SNonce erzeugter Zufallswert, genannt GNonce, in die Berechnung ein:

GTK = PRF(GMK, "Group key expansion", MAC-Adresse, GNonce)

PRF ist wie bei der Berechnung des PTK eine Pseudozufallszahlenfunktion.

Die Verteilung des GTK erfolgt im Rahmen des 4-Wege-Handshakes für die Erzeugung der temporären paarweisen Schlüssel in den Schritten 3 und 4:

• Schritt 3:
  Der Access-Point sendet den GTK an den Client. Die Übertragung erfolgt durch den EAPOL-Schlüssel geschützt, außerdem wird der EAPOL-MIC-Wert des GTK übertragen.
• Schritt 4:
  Der Client antwortet mit dem empfangenen, durch den EAPOL-Schlüssel verschlüsselten, EAPOL-MIC. Stimmt der mit dem übertragenen Wert überein, wurde der GTK nicht manipuliert und die verschlüsselte Kommunikation kann beginnen.

Wechsel der Schlüssel

Wird ein Client aus dem WLAN entfernt, wird sein paarweiser Schlüssel nach seiner Abmeldung aus dem Netz vom Access-Point gelöscht. Bei einem erneuten Verbindungsaufbau wird ein neuer paarweiser Schlüssel erzeugt.

Damit ein abgemeldeter Client keine Multicast-Nachrichten mehr entschlüsseln kann, muss der GTK nach der Abmeldung eines Clients ausgetauscht werden. Dazu erzeugt der Access-Point einen neuen GTK und verteilt ihn an die Clients. Bei einer hohen Fluktuation der Clients könnte dies den Multicast-Verkehr zu sehr beeinträchtigen: Wird auf den neuen Gruppenschlüssel umgeschaltet, bevor alle Clients ihn installiert haben, werden die Clients, die noch den alten Gruppenschlüssel verwenden, vom Multicast-Verkehr ausgesperrt. Im umgekehrten Fall würden alle Clients ausgesperrt, die den neuen Gruppenschlüssel bereits installiert haben. Als Gegenmaßnahme werden dann zwei Gruppenschlüssel, die über eine Schlüssel-ID ausgewählt werden, eingesetzt: Der Access-Point verteilt den neuen Gruppenschlüssel und sendet währenddessen die Multicast-Nachrichten weiterhin mit dem alten Gruppenschlüssel. Erst wenn alle Clients den neuen Gruppenschlüssel installiert haben, wird der Multicast-Verkehr damit verschlüsselt und der alte Gruppenschlüssel gelöscht.

TKIP und CCMP

TKIP (siehe hier in der Beschreibung von WPA) wurde nur aus Gründen der Kompatibilität zu vorhandenen IEEE 802.11-Geräten in den Standard aufgenommen. Es kann im Mischbetrieb parallel zu CCMP (Counter-Mode/CBC-MAC, vollständig "Counter Mode with Cipher Block Chaining Message Authentication Code Protocol") eingesetzt werden. Und das wird ab der nächsten Folge beschrieben.

Carsten Eilers