Skip to content

WLAN-Sicherheit 5 - WPA-Schlüsselaustausch und DoS-Angriffe

Da der ursprüngliche Standard-Verschlüsselungsalgorithmus für drahtlose Netze nach dem Standard IEEE 802.11 (WLAN), Wired Equivalent Privacy (WEP) einige Schwachstellen enthält und es etliche Tools für Angriffe darauf gibt, musste ein Ersatz her. Ein neuer Sicherheitsstandard, IEEE 802.11i, war bereits in Entwicklung, aber noch nicht einsetzbar. Daraufhin wurde von der Wi-Fi Alliance eine Zwischenlösung veröffentlicht, das in der vorherigen Folge vorgestellte Wi-Fi Protected Access (WPA). Für dessen vollständige Beschreibung fehlt noch der

Schlüsselaustausch

Nach erfolgreicher Authentifizierung wird der Schlüsselaustausch zur Bildung der notwendigen Schlüssel gestartet. Der erfolgt in folgenden Schritten:

  1. Sowohl Access-Point als auch Client kennen bereits den so genannten 'Pairwise Master Key' (PMK) – entweder das individuelle temporäre Secret aus der EAP-Authentifizierung oder das aus dem PSK berechnete allgemeine Master-Secret.
    Beide erzeugen nun Zufallsdaten (Nonces).
    Der Access-Point sendet seinen Nonce-Wert an den Client.
  2. Der Client berechnet aus dem PMK, seiner und der MAC-Adresse des Access-Points sowie den beiden Nonces den 'Pairwise Transient Key' (PTK), aus dem die benötigten Schlüssel für RC4-Verschlüsselung und MIC-Berechnung abgeleitet werden.
    Er sendet dann seinen Nonce und dessen MIC-Wert an den Access-Point.
  3. Der Access-Point berechnet nun analog zum Client ebenfalls den 'Pairwise Transient Key' (PTK). Dieser wurde daher niemals übertragen.
    Damit ist der 'Pairwise Key Handshake' abgeschlossen, es folgt der 'Group Key Handshake'.
    Der Access-Point überträgt nun den für die Verschlüsselung von Broadcast- und Multicast-Paketen verwendeten 'Group Transient Key' (GTK). Die Übertragung erfolgt durch den PTK geschützt, außerdem wird der MIC-Wert des GTK übertragen.
  4. Der Client antwortet mit dem mit dem PTK verschlüsselten empfangenen MIC.
  5. Stimmt der mit dem übertragenen Wert überein, wurde der GTK nicht manipuliert und die verschlüsselte Kommunikation kann beginnen.
       Client Access-Point

1.
  • Kennt 'Pairwise Master Key' (PMK)
  • Erzeugt NonceC
  • Kennt 'Pairwise Master Key' (PMK)
  • Erzeugt NonceA
      NonceA
<----------------------
2.
  • Berechnet 'Pairwise Transient Key' (PTK)
  NonceC, MIC(NonceC)
---------------------->
3.
  • Berechnet 'Pairwise Transient Key' (PTK)
  • Stellt 'Group Transient Key' (GTK) bereit
  • Verwendet PTK
  PTK( GTK, MIC(GTK) )
<----------------------
4.
  • Verwendet PTK und GTP
  PTK( MIC(GTK) )
---------------------->
5.
  • Vergleicht gespeicherten und empfangenen MIC(GTK)
    Wenn identisch: Verschlüsselte Kommunikation beginnt
Durch WPA geschützte Kommunikation

Angriffe auf WPA

WPA schützt die Kommunikation deutlich besser als WEP. Aber das ist ja kein Wunder, denn WEP bietet bekanntlich überhaupt keinen Schutz mehr.

DoS-Angriffe über 'Michael'

Schon kurz nach der Veröffentlichung des neuen Standards wurde auf die Möglichkeit von DoS-Angriffen auf bzw. über den Message Integrity Check (MIC) 'Michael' hingewiesen: Beim Empfang von 2 Paketen mit falschem MIC-Wert innerhalb einer Sekunde werden alle Schlüssel für ungültig erklärt und die Verbindung für eine Minute gesperrt. Damit sollen Angriffe auf den MIC abgewehrt werden, die durch die relativ schwache verwendete Hash-Funktion entstehen.

Die Möglichkeit, das für DoS-Angriffe zu nutzen, wurde dabei bewusst in Kauf genommen. Denn alle Ansätze, die DoS-Möglichkeit zu verhindern, würden die Sicherheit des Protokolls reduzieren.

Die WLAN-Hardware ist einfach nicht leistungsstark genug um sicherere Kryptografie als 'Michael' zu bewältigen. Der Algorithmus wurde extra so entwickelt, dass die damals vorhandenen Geräte ihn bewältigen können. Dass darunter die Sicherheit leidet ist unvermeidbar: Der Schlüsselraum ist mit 220 deutlich kleiner als z.B. die 2128 bei AES mit der minimalen Schlüssellänge von 128 Bit. Das ermöglicht natürlich Brute-Force-Angriffe, also musste ein Schutz her. Und wie eigentlich immer führt ein Schutz vor Brute-Force-Angriffen zu Möglichkeiten für DoS-Angriffe - man muss sich also entscheiden, was einem wichtiger ist: Vertraulichkeit oder Verfügbarkeit.

Mal abgesehen davon, dass Vertraulichkeit eigentlich immer vor zu ziehen ist, gibt es im zu Grunde liegenden 802.11-Protokoll schwerwiegendere DoS-Schwachstellen. Also wäre eine Schwächung von WPA zur Verhinderung dieses einen DoS-Angriffs völlig nutzlos - ein Angreifer, der einen DoS auslösen will, würde dann einfach eine der anderen DoS-Schwachstellen ausnutzen. Und in der Tat habe ich nie von DoS-Angriffen über WPA gehört. Oder von DoS-Angriffen auf WPA allgemein. Es scheint also keine gegeben zu haben, oder zumindest keine, die zu einem größeren Aufschrei oder Medienecho geführt hätten.

Außerdem sind DoS-Angriffe doch sowieso ziemlich lahm. Wirklich lohnenswert sind nur Angriffe auf die Verschlüsselung. Und die sind im Fall von WPA ebenfalls möglich. Und genau darum geht es in der nächsten Folge.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 6 - Angriffe auf die WPA-Verschlüsselung, Teil 1

Vorschau anzeigen
Der ursprüngliche Standard-Verschlüsselungsalgorithmus für drahtlose Netze nach dem Standard IEEE 802.11 (WLAN), Wired Equivalent Privacy (WEP) enthält einige Schwachstellen und kann kinderleicht geknackt werden. Aber auch d

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 7 - Angriffe auf die WPA-Verschlüsselung, Teil 2

Vorschau anzeigen
Der ursprüngliche Standard-Verschlüsselungsalgorithmus für drahtlose Netze nach dem Standard IEEE 802.11 (WLAN), Wired Equivalent Privacy (WEP) enthält einige Schwachstellen und kann kinderleicht geknackt werden. Aber auch d

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 8 - Der aktuelle Standard-Verschlüsselungsalgorithmus: WPA2

Vorschau anzeigen
Wi-Fi Protected Access 2 (WPA2) implementiert die grundlegenden Funktionen des aktuellen Sicherheitsstandards IEEE 802.11i für drahtlose Netze nach dem IEEE 802.11 Standard (WLAN). Im Gegensatz zum ursprünglichen Verschlüs

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!