wlan-sicherheit - Universität Salzburg
Transcrição
wlan-sicherheit - Universität Salzburg
Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WLAN-SICHERHEIT Florian Geier, Alexander Rothschadl, Maximilian Scholderer 8. Juni 2012 Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Überblick 1 Einleitung 2 Verschlüsselungsalgorithmen Geschichte des WLAN’s Stromverschlüsselung Linear rückgekoppelte Schieberegister (LFSR) 3 Sicherheitsprotokolle WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) WPA2 (Wi-Fi Protected Access 2) 4 Rechtliche Aspekte / Attacken Privatbereich und Hot Spot Wardriving (Warbiking) „Hacking for Dummies“ WLAN der Universität Salzburg Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Geschichte des WLAN’s 1942 „Frequenzsprungverfahren“ zur Torpedosteuerung wird patentiert. 1970 „ALOHAnet“ der Universität Honolulu, Hawaii geht in Betrieb. 1997 Erster IEEE 802.11 Standard 1999 „iBook“ mit „Airporttechnologie“ 2009 IEEE 802.11n ratifiziert Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Stromverschlüsselung Grundsätzliches Jedes Klartextelement wird einzeln verschlüsselt. Einsatz mehrerer Schlüssel kann Sicherheit erhöhen. Typen (1) Synchrone Stromchiffren Schlüsselstrom unabhängig vom Datenstrom, d.h. nur abhängig von Algorithmus und Schlüssel. Vorteil: Hoher Durchsatz. Nachteil: Geheimtext schon bei nur einem verlorengegangenen Bit unbrauchbar. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Stromverschlüsselung Typen (2) Selbstsynchronisierende Stromchiffren Jedes Schlüsselstrombit ist Funktion einer festen Anzahl n vorhergehender Chiffrebits. Gleicher Schlüssel liefert bei unterschiedlichen Daten unterschiedliche Schlüsselströme. Bei fehlerhaft übertragenem Bit sind nur die nächsten n Bits unbrauchbar. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Stromverschlüsselung RC4 (Rivest Cipher Number 4) (1) S-Box: Permutation der Zahlen 0, . . . , 255, welche durch den geheimen Schlüssel erzeugt wird. Initialisierung: S[i] = i für alle i ∈ {0, . . . , 255}. Weiteres Verfahren: j := 0 Für 0 <= i <= 255 j := (j + S[i] + K[i mod L]) mod 256 vertausche S[i] mit S[j] mit K [k] Schlüsselwert an der Stelle k ∈ {0, . . . , L − 1}, 5 ≤ L ≤ 256, d.h. L . . . Schlüssellänge. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Stromverschlüsselung RC4 (Rivest Cipher Number 4) (2) Erzeugung der Zufallsbitfolge und des Geheimtextes: i := 0 j := 0 Für 0 <= n <= N-1 i := (i + 1) mod 256 j := (j + S[i]) mod 256 vertausche S[i] mit S[j] randomNumber := S[(S[i] + S[j]) mod 256] C[n] := randomNumber XOR P[n] mit P[l ] Wert des Klartextes an der Stelle l ∈ {0, . . . , N − 1} (N ∈ N) und C [m] Wert des Geheimtextes an der Stelle m. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Linear rückgekoppelte Schieberegister (LFSR) Bei einem LFSR (engl.: linear feedback shift register) werden die Ausgabebits mit Werten einzelner Register logisch verknüpft. Koeffizienten des sog. Rückkoppelungspolynoms (auch: charakteristisches Polynom) beschreiben Rückkoppelungsstellen. Einsatz zur Erzeugung pseudozufälliger Binärfolgen. Abbildung: LFSR mit zugehörigem Rückkoppelungspolynom. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Linear rückgekoppelte Schieberegister (LFSR) Anwendungen Content Scramble System (CSS) DVD-Verschlüsselung als Kopierschutz und zur Regionenbeschränkung. Zum Einsatz kommen ein 40-Bit-Schlüssel und zwei LFSRs. Global System for Mobile Communications (GSM) Abhörsicherheit von Konversationen. Jedes übertragene Frame wird durch den sog. A5/1-Running-Key-Generator erzeugt. Dieser Generator besteht aus drei LFSRs unterschiedlicher Länge. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Grundsätzliches War nicht als „Hochsicherheitsstandard“ vorgesehen. Angreifern sollte die Arbeit nur spürbar erschwert werden. 1999 eingeführt, 2001 bereits vollständig gebrochen. Dennoch Grundlage für seinen Nachfolger WPA. Hauptanliegen Datenintegrität durch Prüfsumme Vertraulichkeit durch Verschlüsselung Zugangskontrolle durch Authentifizierung Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Datenintegrität Über die Nutzdaten jedes Pakets wird eine 32 Bit lange CRC-Prüfsumme berechnet, der sog. Integrity Check Value (ICV). Der ICV wird an die Nutzdaten angehängt. Diese Daten werden mit dem Schlüsselstrom mittels XOR verbunden und übertragen. Der Empfänger bildet über entschlüsselte Nutzdaten erneut ICV. Stimmen beide ICVs überein, wurden Daten vermutlich korrekt übertragen und nicht manipuliert. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Verschlüsselung Austausch von bis zu vier Shared Keys zwischen Kommunikationspartnern. Unterscheidung der Keys durch Key-ID im unverschlüsselten Header eines Pakets. Länge der Shared Keys entweder 40 Bit (gemäß IEEE-Standard 802.11) oder 104 Bit für größere Sicherheit. 24 Bit langer Initialisierungsvektor (IV) wird dem Shared Key vorangestellt und mittels RC4 verschlüsselt. IV ändert sich (herstellerabhängig) mit jedem Paket und wird unverschlüsselt übertragen. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Entschlüsselung Empfänger liest IV und Key-ID aus. Beide sind unverschlüsselt. IV und Shared Key werden erneut mittels RC4 verschlüsselt, wodurch der gleiche Schlüsselstrom wie zuvor entsteht. Dieser Schlüsselstrom wird mittels XOR mit dem verschlüsselten Teil des Pakets verknüpft, um die Daten zu entschlüsseln. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Mathematische Betrachtung Seien IV der Initialisierungsvektor, K der Shared Key und KS := RC 4 (IV k K ) der durch den RC4 erzeugte Schlüsselstrom der aus IV und K zusammengehängten Daten. Weiters seien M die Nutzdaten im Klartext, ICV der Integrity Check Value und C der verschlüsselte Teil der Übertragung. Verschlüsselung: C = (M k ICV ) ⊕ KS Entschlüsselung: C ⊕ KS = (M k ICV ) ⊕ KS ⊕ KS = (M k ICV ) Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Authentifizierung Methode 1 – Open System Authentication: Jede Anfrage wird mit einem Authentication Success beantwortet. Also erfolgt keine wirkliche Authentifizierung. Methode 2 – Shared Key Authentication: Verwendung eines Challenge-Response-Verfahrens. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Schwächen des Shared Keys Bei Eingabe hexadezimaler Ziffern werden 10 Ziffern (bei 40 Bit Schlüssellänge) und 26 (bei 104 Bit) benötigt. Diese Methode ist offensichtlich nicht benutzerfreundlich. Beim ASCII-Mapping (Abbildung von ASCII-Zeichen auf hexadezimale Werte) kommen meist einfache Phrasen zum Einsatz. Es besteht die Gefahr von Wörterbuchangriffen. Außerdem wird der Schlüsselraum eingeschränkt. Bei der (herstellerabhängigen) funktionsbasierten Schlüsselgenerierung wird der Schlüssel aus der Eingabe erzeugt. Auch hier sind Wörterbuchangriffe möglich. Bei beiden letztgenannten Methoden gelingt das Knacken im schlimmsten Fall in weniger als einer Minute. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Schwächen des Initialisierungsvektors Wird unverschlüsselt übertragen. Wahrscheinlichkeit einer Wiederholung eines IVs nach 4 823 Paketen bei bereits über 50 % (vgl. Geburtstagsparadoxon). Bei Wiederholung eines IVs liefert XOR-Verknüpfung der beiden Geheimtexte die XOR-Verknüpfung der beiden Klartexte. Mit mehr Aufwand kann Shared Key schrittweise ermittelt und damit das System vollständig gebrochen werden. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Schwächen des RC4-Algorithmus Existenz einer großen Anzahl „schwacher“ Schlüssel. Nur ein kleiner Teil der Schlüsselbits bestimmt dann die Initialisierung der S-Box. Dadurch geringe Anzahl „effektiver“ Bits, was Angriff auf Schlüssel erleichtert. Betroffen sind vor allem die anfänglichen Bits des Schlüsselstroms. Verwerfen der ersten 256 Bytes der Zufallsfolge könnte Abhilfe schaffen. Dies geschieht bei WEP jedoch nicht. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Schwächen der Integritätssicherung Keine Verwendung einer kryptographischen Prüfsumme, sondern lediglich eines linearen CRC-32-Verfahrens. Aufgrund der Linearität des Verfahrens kann vorhergesagt werden, welche Bits sich im ICV ändern, wenn die Nutzdaten verfälscht werden. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WEP (Wired Equivalent Privacy) Schwächen der Authentifizierung Challenge, die Access Point an Client sendet, und unverschlüsselte Response können problemlos abgehört werden. Möglichkeit der Rekonstruktion des Schlüsselstroms mit zugehörigem IV, welcher ohnehin unverschlüsselt übertragen wird. Durch XOR-Verknüpfung der Challenge mit der Response kann ein Angreifer den gesamten Schlüsselstrom offenlegen und sich nun selbst am Access Point authentifizieren. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WPA (Wi-Fi Protected Access) Grundsätzliches Als Übergangslösung von der „Wi-Fi Alliance“ als Quasi-Standard eingeführt. Im Oktober 2003 eingeführt, sollte aber schon 2004 von WPA2 abgelöst werden. Sollte auf der gleichen Hardware wie WEP funktionieren. Verschlüsselung wieder durch RC4. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WPA (Wi-Fi Protected Access) Veränderungen zu WEP Längerer Initialisierungsvektor (48 statt 24 Bit). Kontrollmöglichkeit der Datenintegrität (MIC). Es werden verschiedene Schlüssel für Verschlüsselungsstrom, Integrität, . . . verwendet (TKIP). Individueller Schlüssel für jedes Datenpaket (PPK (per packet keying)). Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WPA (Wi-Fi Protected Access) Message Integrity Code (MIC) Der Hash-Algorithmus „Michael“ bildet aus Nachricht, MIC-Schlüssel, Quell- und Zieladresse den MIC. Dann wird aus der Nachricht und dem MIC die CRCPrüfsumme berechnet und angehängt. Erst jetzt werden Nachricht, Michael und die Prüfsumme verschlüsselt. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WPA (Wi-Fi Protected Access) Temporal Key Integrity Protocol (TKIP) Schlüsselstrom wird in 2 Key-Mixing-Phasen erzeugt. Mixing-Phase 1 Aus 32 Bit des IV (IVHi), TKIP-Schlüssel und Quelladresse wird ein Schlüssel berechnet. Mixing-Phase 2 Für den fertigen Schlüsselstrom kommen noch die restlichen 16 Bit (IVLo) des IV dazu. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WPA (Wi-Fi Protected Access) Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WPA2 (Wi-Fi Protected Access 2) Grundsätzliches Erweiterung des IEEE 802.11 Standards. Implementiert die grundlegenden Funktionen des IEEE 802.11i Standards. Verschlüsselungsstandard AES. Verschlüsselungsprotokoll CCMP zusätzlich zu TKIP. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WPA2 (Wi-Fi Protected Access 2) CCMP (Counter Cipher Mode with Block Chaining Message Authentication Code Protocol) CCMP basiert auf AES (Advanced Encryption Standard). CCMP besteht aus CM (Counter Mode). Bewirkt die Verschlüsselung der Daten. CBC-MAC (Cipher Block Chaining Message Authentication Code) Verarbeitet das Integrieren und Authentifizieren der Daten. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WPA2 (Wi-Fi Protected Access 2) AP . . . Access Point STA . . . (Client) Station ANonce . . . AP Nonce PTK . . . Pairwise Transient Key SNonce . . . STA Nonce MIC . . . Message Integrity Code GTK . . . Group Temporal Key Abbildung: Four-Way Handshake. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WPA2 (Wi-Fi Protected Access 2) Abbildung: Group-Key Handshake. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Privatbereich Betreiber muss Netzwerk gegen Missbrauch absichern. Betreiber haftet jedoch nur beschränkt. Bei Zuwiderhandlung: Kostenpflichtige Abmahnung (bis 100 Euro). Unterlassungserklärung abgeben. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Hot Spot Öffentliche Einrichtung, die den Internetzugriff über WLAN ermöglicht. Anzeigepflicht (Meldepflicht) Schutzmaßnahmen Sicherheitsbeauftragter (keine Anforderung an fachliche oder persönliche Qualifikation) Sicherheitskonzept Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Wardriving (Warbiking) Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken Wardriving (Warbiking) WLAN-Sniffen Gerät mit WLAN-Karte Software z.B. „Wigle Wifi“ Ergebnisse 1 262 Netze auf 12 km Ca. 7 % noch mit WEP Ca. 50 % noch mit WPA SSID gibt oft Rückschlüsse auf verwendete Hardware (Standardpasswort?). Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken „Hacking for Dummies“ www.wifi4free.info Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT Einleitung Verschlüsselungsalgorithmen Sicherheitsprotokolle Rechtliche Aspekte / Attacken WLAN der Universität Salzburg SSID: Plus_Uni Verschlüsselung: keine Möglicher Missbrauch MAC-Spoofing IP-Spoofing So kann man unter „falschem Namen“ surfen. Florian Geier, Alexander Rothschadl, Maximilian Scholderer WLAN-SICHERHEIT