wlan-sicherheit - Universität Salzburg

Transcrição

Einleitung
Verschlüsselungsalgorithmen
Sicherheitsprotokolle
Rechtliche Aspekte / Attacken
WLAN-SICHERHEIT
Florian Geier, Alexander Rothschadl, Maximilian Scholderer
8. Juni 2012
WLAN-SICHERHEIT
Einleitung
Überblick
1
Einleitung
2
Geschichte des WLAN’s
Stromverschlüsselung
Linear rückgekoppelte Schieberegister (LFSR)
3
WEP (Wired Equivalent Privacy)
WPA (Wi-Fi Protected Access)
WPA2 (Wi-Fi Protected Access 2)
4
Privatbereich und Hot Spot
Wardriving (Warbiking)
„Hacking for Dummies“
WLAN der Universität Salzburg
WLAN-SICHERHEIT
Einleitung
Geschichte des WLAN’s
1942 „Frequenzsprungverfahren“ zur Torpedosteuerung wird
patentiert.
1970 „ALOHAnet“ der Universität Honolulu, Hawaii geht in
Betrieb.
1997 Erster IEEE 802.11 Standard
1999 „iBook“ mit „Airporttechnologie“
2009 IEEE 802.11n ratifiziert
WLAN-SICHERHEIT
Einleitung
Grundsätzliches
Jedes Klartextelement wird einzeln verschlüsselt.
Einsatz mehrerer Schlüssel kann Sicherheit erhöhen.
Typen (1)
Synchrone Stromchiffren
Schlüsselstrom unabhängig vom Datenstrom, d.h. nur
abhängig von Algorithmus und Schlüssel.
Vorteil: Hoher Durchsatz.
Nachteil: Geheimtext schon bei nur einem verlorengegangenen Bit unbrauchbar.
WLAN-SICHERHEIT
Einleitung
Typen (2)
Selbstsynchronisierende Stromchiffren
Jedes Schlüsselstrombit ist Funktion einer festen Anzahl
n vorhergehender Chiffrebits.
Gleicher Schlüssel liefert bei unterschiedlichen Daten
unterschiedliche Schlüsselströme.
Bei fehlerhaft übertragenem Bit sind nur die nächsten n
Bits unbrauchbar.
WLAN-SICHERHEIT
Einleitung
RC4 (Rivest Cipher Number 4) (1)
S-Box: Permutation der Zahlen 0, . . . , 255, welche durch
den geheimen Schlüssel erzeugt wird.
Initialisierung: S[i] = i für alle i ∈ {0, . . . , 255}.
Weiteres Verfahren:
j := 0
Für 0 <= i <= 255
j := (j + S[i] + K[i mod L]) mod 256
vertausche S[i] mit S[j]
mit K [k] Schlüsselwert an der Stelle k ∈ {0, . . . , L − 1},
5 ≤ L ≤ 256, d.h. L . . . Schlüssellänge.
WLAN-SICHERHEIT
Einleitung
RC4 (Rivest Cipher Number 4) (2)
Erzeugung der Zufallsbitfolge und des Geheimtextes:
i := 0
j := 0
Für 0 <= n <= N-1
i := (i + 1) mod 256
j := (j + S[i]) mod 256
vertausche S[i] mit S[j]
randomNumber := S[(S[i] + S[j]) mod 256]
C[n] := randomNumber XOR P[n]
mit P[l ] Wert des Klartextes an der Stelle
l ∈ {0, . . . , N − 1} (N ∈ N) und C [m] Wert des
Geheimtextes an der Stelle m.
WLAN-SICHERHEIT
Einleitung
Bei einem LFSR (engl.: linear feedback shift register)
werden die Ausgabebits mit Werten einzelner Register
logisch verknüpft.
Koeffizienten des sog. Rückkoppelungspolynoms (auch:
charakteristisches Polynom) beschreiben Rückkoppelungsstellen.
Einsatz zur Erzeugung pseudozufälliger Binärfolgen.
Abbildung: LFSR mit zugehörigem Rückkoppelungspolynom.
WLAN-SICHERHEIT
Einleitung
Anwendungen
Content Scramble System (CSS)
DVD-Verschlüsselung als Kopierschutz und zur
Regionenbeschränkung.
Zum Einsatz kommen ein 40-Bit-Schlüssel und zwei
LFSRs.
Global System for Mobile Communications (GSM)
Abhörsicherheit von Konversationen.
Jedes übertragene Frame wird durch den sog.
A5/1-Running-Key-Generator erzeugt.
Dieser Generator besteht aus drei LFSRs
unterschiedlicher Länge.
WLAN-SICHERHEIT
Einleitung
Grundsätzliches
War nicht als „Hochsicherheitsstandard“ vorgesehen.
Angreifern sollte die Arbeit nur spürbar erschwert werden.
1999 eingeführt, 2001 bereits vollständig gebrochen.
Dennoch Grundlage für seinen Nachfolger WPA.
Hauptanliegen
Datenintegrität durch Prüfsumme
Vertraulichkeit durch Verschlüsselung
Zugangskontrolle durch Authentifizierung
WLAN-SICHERHEIT
Einleitung
Datenintegrität
Über die Nutzdaten jedes Pakets wird eine 32 Bit lange
CRC-Prüfsumme berechnet, der sog. Integrity Check
Value (ICV).
Der ICV wird an die Nutzdaten angehängt.
Diese Daten werden mit dem Schlüsselstrom mittels XOR
verbunden und übertragen.
Der Empfänger bildet über entschlüsselte Nutzdaten
erneut ICV.
Stimmen beide ICVs überein, wurden Daten vermutlich
korrekt übertragen und nicht manipuliert.
WLAN-SICHERHEIT
Einleitung
Verschlüsselung
Austausch von bis zu vier Shared Keys zwischen
Kommunikationspartnern.
Unterscheidung der Keys durch Key-ID im
unverschlüsselten Header eines Pakets.
Länge der Shared Keys entweder 40 Bit (gemäß
IEEE-Standard 802.11) oder 104 Bit für größere
Sicherheit.
24 Bit langer Initialisierungsvektor (IV) wird dem Shared
Key vorangestellt und mittels RC4 verschlüsselt.
IV ändert sich (herstellerabhängig) mit jedem Paket und
wird unverschlüsselt übertragen.
WLAN-SICHERHEIT
Einleitung
WLAN-SICHERHEIT
Einleitung
Entschlüsselung
Empfänger liest IV und Key-ID aus. Beide sind
unverschlüsselt.
IV und Shared Key werden erneut mittels RC4
verschlüsselt, wodurch der gleiche Schlüsselstrom wie
zuvor entsteht.
Dieser Schlüsselstrom wird mittels XOR mit dem
verschlüsselten Teil des Pakets verknüpft, um die Daten
zu entschlüsseln.
WLAN-SICHERHEIT
Einleitung
Mathematische Betrachtung
Seien IV der Initialisierungsvektor, K der Shared Key und
KS := RC 4 (IV k K ) der durch den RC4 erzeugte
Schlüsselstrom der aus IV und K zusammengehängten Daten.
Weiters seien M die Nutzdaten im Klartext, ICV der Integrity
Check Value und C der verschlüsselte Teil der Übertragung.
Verschlüsselung:
C = (M k ICV ) ⊕ KS
Entschlüsselung:
C ⊕ KS = (M k ICV ) ⊕ KS ⊕ KS = (M k ICV )
WLAN-SICHERHEIT
Einleitung
Authentifizierung
Methode 1 – Open System Authentication: Jede Anfrage
wird mit einem Authentication Success beantwortet. Also
erfolgt keine wirkliche Authentifizierung.
Methode 2 – Shared Key Authentication: Verwendung
eines Challenge-Response-Verfahrens.
WLAN-SICHERHEIT
Einleitung
Schwächen des Shared Keys
Bei Eingabe hexadezimaler Ziffern werden 10 Ziffern (bei
40 Bit Schlüssellänge) und 26 (bei 104 Bit) benötigt.
Diese Methode ist offensichtlich nicht benutzerfreundlich.
Beim ASCII-Mapping (Abbildung von ASCII-Zeichen auf
hexadezimale Werte) kommen meist einfache Phrasen
zum Einsatz. Es besteht die Gefahr von Wörterbuchangriffen. Außerdem wird der Schlüsselraum eingeschränkt.
Bei der (herstellerabhängigen) funktionsbasierten
Schlüsselgenerierung wird der Schlüssel aus der Eingabe
erzeugt. Auch hier sind Wörterbuchangriffe möglich.
Bei beiden letztgenannten Methoden gelingt das Knacken
im schlimmsten Fall in weniger als einer Minute.
WLAN-SICHERHEIT
Einleitung
Schwächen des Initialisierungsvektors
Wird unverschlüsselt übertragen.
Wahrscheinlichkeit einer Wiederholung eines IVs nach
4 823 Paketen bei bereits über 50 % (vgl. Geburtstagsparadoxon).
Bei Wiederholung eines IVs liefert XOR-Verknüpfung der
beiden Geheimtexte die XOR-Verknüpfung der beiden
Klartexte.
Mit mehr Aufwand kann Shared Key schrittweise ermittelt
und damit das System vollständig gebrochen werden.
WLAN-SICHERHEIT
Einleitung
Schwächen des RC4-Algorithmus
Existenz einer großen Anzahl „schwacher“ Schlüssel.
Nur ein kleiner Teil der Schlüsselbits bestimmt dann die
Initialisierung der S-Box.
Dadurch geringe Anzahl „effektiver“ Bits, was Angriff auf
Schlüssel erleichtert. Betroffen sind vor allem die
anfänglichen Bits des Schlüsselstroms.
Verwerfen der ersten 256 Bytes der Zufallsfolge könnte
Abhilfe schaffen. Dies geschieht bei WEP jedoch nicht.
WLAN-SICHERHEIT
Einleitung
Schwächen der Integritätssicherung
Keine Verwendung einer kryptographischen Prüfsumme,
sondern lediglich eines linearen CRC-32-Verfahrens.
Aufgrund der Linearität des Verfahrens kann vorhergesagt
werden, welche Bits sich im ICV ändern, wenn die
Nutzdaten verfälscht werden.
WLAN-SICHERHEIT
Einleitung
Schwächen der Authentifizierung
Challenge, die Access Point an Client sendet, und
unverschlüsselte Response können problemlos abgehört
werden.
Möglichkeit der Rekonstruktion des Schlüsselstroms mit
zugehörigem IV, welcher ohnehin unverschlüsselt
übertragen wird.
Durch XOR-Verknüpfung der Challenge mit der Response
kann ein Angreifer den gesamten Schlüsselstrom
offenlegen und sich nun selbst am Access Point
authentifizieren.
WLAN-SICHERHEIT
Einleitung
Grundsätzliches
Als Übergangslösung von der „Wi-Fi Alliance“ als
Quasi-Standard eingeführt.
Im Oktober 2003 eingeführt, sollte aber schon 2004 von
WPA2 abgelöst werden.
Sollte auf der gleichen Hardware wie WEP funktionieren.
Verschlüsselung wieder durch RC4.
WLAN-SICHERHEIT
Einleitung
Veränderungen zu WEP
Längerer Initialisierungsvektor (48 statt 24 Bit).
Kontrollmöglichkeit der Datenintegrität (MIC).
Es werden verschiedene Schlüssel für
Verschlüsselungsstrom, Integrität, . . . verwendet (TKIP).
Individueller Schlüssel für jedes Datenpaket
(PPK (per packet keying)).
WLAN-SICHERHEIT
Einleitung
Message Integrity Code (MIC)
Der Hash-Algorithmus „Michael“ bildet aus
Nachricht,
MIC-Schlüssel,
Quell- und Zieladresse
den MIC.
Dann wird aus der Nachricht und dem MIC die CRCPrüfsumme berechnet und angehängt. Erst jetzt werden
Nachricht, Michael und die Prüfsumme verschlüsselt.
WLAN-SICHERHEIT
Einleitung
Temporal Key Integrity Protocol (TKIP)
Schlüsselstrom wird in 2 Key-Mixing-Phasen erzeugt.
Mixing-Phase 1
Aus 32 Bit des IV (IVHi), TKIP-Schlüssel und Quelladresse
wird ein Schlüssel berechnet.
Mixing-Phase 2
Für den fertigen Schlüsselstrom kommen noch die restlichen
16 Bit (IVLo) des IV dazu.
WLAN-SICHERHEIT
Einleitung
WLAN-SICHERHEIT
Einleitung
Grundsätzliches
Erweiterung des IEEE 802.11 Standards.
Implementiert die grundlegenden Funktionen des IEEE
802.11i Standards.
Verschlüsselungsstandard AES.
Verschlüsselungsprotokoll CCMP zusätzlich zu TKIP.
WLAN-SICHERHEIT
Einleitung
CCMP (Counter Cipher Mode with Block Chaining Message
Authentication Code Protocol)
CCMP basiert auf AES (Advanced Encryption Standard).
CCMP besteht aus CM (Counter Mode).
Bewirkt die Verschlüsselung der Daten.
CBC-MAC (Cipher Block Chaining Message
Authentication Code)
Verarbeitet das Integrieren und Authentifizieren der
Daten.
WLAN-SICHERHEIT
Einleitung
AP . . . Access Point
STA . . . (Client) Station
ANonce . . . AP Nonce
PTK . . . Pairwise Transient Key
SNonce . . . STA Nonce
MIC . . . Message Integrity Code
GTK . . . Group Temporal Key
Abbildung: Four-Way Handshake.
WLAN-SICHERHEIT
Einleitung
Abbildung: Group-Key Handshake.
WLAN-SICHERHEIT
Einleitung
Privatbereich
Betreiber muss Netzwerk gegen Missbrauch absichern.
Betreiber haftet jedoch nur beschränkt.
Bei Zuwiderhandlung:
Kostenpflichtige Abmahnung (bis 100 Euro).
Unterlassungserklärung abgeben.
WLAN-SICHERHEIT
Einleitung
Hot Spot
Öffentliche Einrichtung, die den Internetzugriff über
WLAN ermöglicht.
Anzeigepflicht (Meldepflicht)
Schutzmaßnahmen
Sicherheitsbeauftragter (keine Anforderung an fachliche
oder persönliche Qualifikation)
Sicherheitskonzept
WLAN-SICHERHEIT
Einleitung
WLAN-SICHERHEIT
Einleitung
WLAN-Sniffen
Gerät mit WLAN-Karte
Software z.B. „Wigle Wifi“
Ergebnisse
1 262 Netze auf 12 km
Ca. 7 % noch mit WEP
Ca. 50 % noch mit WPA
SSID gibt oft Rückschlüsse auf verwendete Hardware
(Standardpasswort?).
WLAN-SICHERHEIT
Einleitung
„Hacking for Dummies“
www.wifi4free.info
WLAN-SICHERHEIT
Einleitung
WLAN der Universität Salzburg
SSID: Plus_Uni
Verschlüsselung: keine
Möglicher Missbrauch
MAC-Spoofing
IP-Spoofing
So kann man unter „falschem Namen“ surfen.
WLAN-SICHERHEIT

wlan-sicherheit - Universität Salzburg

Transcrição

Documentos relacionados

Einladung zum 6. Porsche Asten Hallencup der Union TTI St.Florian

Florianposcht 03-10 - club

Dschungelbuch Musical - Klaus

Der Kampf um die Kunst. Max Doerner und sein Reichsinstitut für

Wolfgang Petry, Wei

Kranken- und Gesundheitspfleger/in

jahreskalender 2013.FH11

Biografie als PDF

PI_Welt-Premiere Florian Zimmer in der Todeskralle

Die Schauspieler und Schauspielerinnen mit Sprechrollen treffen