Skip to content

WLAN-Sicherheit 10 - Die Schlüssel von WPA2, Teil 2

Wi-Fi Protected Access 2 (WPA2) implementiert die grundlegenden Funktionen des aktuellen Sicherheitsstandards IEEE 802.11i für drahtlose Netze nach dem IEEE 802.11 Standard (WLAN). Der allgemeine Aufbau, Schlüsselmanagement und Schlüsselhierarchie wurden bereits vorgestellt, ebenso der Pairwise Master Key PMK und Pairwise Transient Key. In dieser Folge geht es um die

Gruppenschlüssel

Der 128 Bit lange Group Master Key (GMK) steht analog zum Pairwise Master Key an der Spitze der IEEE 802.11i Gruppenschlüssel-Hierarchie. Unter ihm liegt der Group Temporal Key (GTK), der mithilfe einer Pseudozufallszahlenfunktion aus dem GMK erzeugt wird. Er ist bei TKIP 256-Bit-lang, bei CCMP 128 Bit, da nur zwei temporäre 128-Bit-Schlüssel für TKIP bzw. einer für CCMP benötigt werden. Die EAPOL-Schlüssel entfallen, da der Schlüsselaustausch nur über die paarweisen Schlüssel abgewickelt wird.

Die Aufteilung des GTK in die temporären Schlüssel zur Verschlüsselung und Integritätssicherung erfolgt analog dem Vorgehen beim Pairwise Transient Key (PTK).

TKIP-Gruppenschlüsselhierarchie

Group Master Key (GMK)
128 Bit
 
Group Temporal Key (GTK)
256 Bit
 
Sitzungsschlüssel
128 Bit
Michael-Key
2x 64 Bit
 
Schutz der Multicast-Datenübertragung

CCMP-Gruppenschlüsselhierarchie

Group Master Key (GMK)
128 Bit
 
Group Temporal Key (GTK)
128 Bit
 
Sitzungs- und Integritätsschlüssel
128 Bit
 
Schutz der Multicast-Datenübertragung

Erzeugung des GMK

Der GMK wird vom Access-Point erzeugt und nur von diesem verwendet. Da er nicht für die Authentifizierung verwendet wird, werden für seine Berechnung keine Access-Point-spezifischen Informationen verwendet, sondern er ist eine reine Zufallszahl.

Erzeugung und Verteilung des GTK

Der GTK wird ebenfalls auf dem Access-Point erzeugt. Als Parameter gehen der GMK, die Markierung "Group key expansion" als Kennzeichnung, dass es sich um einen Gruppenschlüssel handelt, die MAC-Adresse des Access-Points und ein analog zum ANonce und SNonce erzeugter Zufallswert, genannt GNonce, in die Berechnung ein:

GTK = PRF(GMK, "Group key expansion", MAC-Adresse, GNonce)

PRF ist wie bei der Berechnung des PTK eine Pseudozufallszahlenfunktion.

Die Verteilung des GTK erfolgt im Rahmen des 4-Wege-Handshakes für die Erzeugung der temporären paarweisen Schlüssel in den Schritten 3 und 4:

  • Schritt 3:
    Der Access-Point sendet den GTK an den Client. Die Übertragung erfolgt durch den EAPOL-Schlüssel geschützt, außerdem wird der EAPOL-MIC-Wert des GTK übertragen.
  • Schritt 4:
    Der Client antwortet mit dem empfangenen, durch den EAPOL-Schlüssel verschlüsselten, EAPOL-MIC. Stimmt der mit dem übertragenen Wert überein, wurde der GTK nicht manipuliert und die verschlüsselte Kommunikation kann beginnen.

Wechsel der Schlüssel

Wird ein Client aus dem WLAN entfernt, wird sein paarweiser Schlüssel nach seiner Abmeldung aus dem Netz vom Access-Point gelöscht. Bei einem erneuten Verbindungsaufbau wird ein neuer paarweiser Schlüssel erzeugt.

Damit ein abgemeldeter Client keine Multicast-Nachrichten mehr entschlüsseln kann, muss der GTK nach der Abmeldung eines Clients ausgetauscht werden. Dazu erzeugt der Access-Point einen neuen GTK und verteilt ihn an die Clients. Bei einer hohen Fluktuation der Clients könnte dies den Multicast-Verkehr zu sehr beeinträchtigen: Wird auf den neuen Gruppenschlüssel umgeschaltet, bevor alle Clients ihn installiert haben, werden die Clients, die noch den alten Gruppenschlüssel verwenden, vom Multicast-Verkehr ausgesperrt. Im umgekehrten Fall würden alle Clients ausgesperrt, die den neuen Gruppenschlüssel bereits installiert haben. Als Gegenmaßnahme werden dann zwei Gruppenschlüssel, die über eine Schlüssel-ID ausgewählt werden, eingesetzt: Der Access-Point verteilt den neuen Gruppenschlüssel und sendet währenddessen die Multicast-Nachrichten weiterhin mit dem alten Gruppenschlüssel. Erst wenn alle Clients den neuen Gruppenschlüssel installiert haben, wird der Multicast-Verkehr damit verschlüsselt und der alte Gruppenschlüssel gelöscht.

TKIP und CCMP

TKIP (siehe hier in der Beschreibung von WPA) wurde nur aus Gründen der Kompatibilität zu vorhandenen IEEE 802.11-Geräten in den Standard aufgenommen. Es kann im Mischbetrieb parallel zu CCMP (Counter-Mode/CBC-MAC, vollständig "Counter Mode with Cipher Block Chaining Message Authentication Code Protocol") eingesetzt werden. Und das wird ab der nächsten Folge beschrieben.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 11 - Der Counter-Mode/CBC-MAC von WPA2

Vorschau anzeigen
Wi-Fi Protected Access 2 (WPA2) implementiert die grundlegenden Funktionen des aktuellen Sicherheitsstandards IEEE 802.11i für drahtlose Netze nach dem IEEE 802.11 Standard (WLAN). Der allgemeine Aufbau, Schlüsselmanagement und Schl&uu

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 12 - Authentifizierung in WPA2

Vorschau anzeigen
Wi-Fi Protected Access 2 (WPA2) implementiert die grundlegenden Funktionen des aktuellen Sicherheitsstandards IEEE 802.11i für drahtlose Netze nach dem IEEE 802.11 Standard (WLAN). Der allgemeine Aufbau, Schlüsselmanagement und Schl&uu

Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 13 - Authentifizierung in WPA2, Teil 2

Vorschau anzeigen
Wi-Fi Protected Access 2 (WPA2) implementiert die grundlegenden Funktionen des aktuellen Sicherheitsstandards IEEE 802.11i für drahtlose Netze nach dem IEEE 802.11 Standard (WLAN). Der allgemeine Aufbau, Schlüsselmanagement und Schl&uu

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!