Bezprzewodowe sieci transmisyjne Bezpiecze«stwo w sieci bezprzewodowej. 27 lutego 2015

Transkrypt

1 Bezprzewodowe sieci transmisyjne Bezpiecze«stwo w sieci bezprzewodowej 27 lutego

2 Literatura [1] IEEE Std Information Technology- telecommunications And Information exchange Between Systems-Local And Metropolitan Area Networks-specic Requirements-part 11: Wireless Lan Medium Access Control (MAC) And Physical Layer (PHY) Specications [2] [3] "Security Weaknesses in Bluetooth". RSA Security Conf. Cryptographer's Track. 2

3 Bezpiecze«stwo sieci bezprzewodowej Sieci bezprzewodowe z natury oferuj du»o ni»szy poziom bezpiecze«stwa od przewodowej (monitorowanie i wykradanie informacji w sieci bezprzewodowej jest o wiele ªatwiejsze) WEP wykorzystuje algorytm RC4, b d cy szyfrem strumieniowym. Szyfr strumieniowy rozwija krótki klucz na niesko«czony pseudolosowy klucz strumie«. Nadawca wykorzystuje ten strumie«xor-uj c go tekstem prostej wiadomo±ci w celu wyprodukowania zaszyfrowanego tekstu zwanego chipertekstem. 3

4 WEP - (Wired Equivalent Privacy) Protokóª bezpiecze«stwa stosowany w bezprzewodowych sieciach WLAN standardu Zostaª zaprojektowany do ochrony przed nieuprawnionym podsªuchem i ograniczeniem dost pu do sieci bezprzewodowej. Opiera si na tajno±ci klucza prywatnego. Algorytm pozwala na cz st zmian klucza K i wektora inicjalizuj cego IV co czyni go bardziej odpornym na atak typu brute-force. Jest samosynchronizuj cy. Wªa±ciwo± jest wa»na gdy» straty pakietów mog by cz ste. Jest wydajny. Mo»e by implementowany zarówno w sprz t i programowo Mo»e by exportowany z USA Jest opcjonalny w

5 Model OSI WEP jest u»yty w dwóch najni»szych warstwach modelu OSI. 5

6 Sie bezprzewodowa WEP opiera si na 40 lub 104-bitowym kluczu sprawdzanie integralno±ci w celu zapewnienia,»e pakiety nie s modykowane w czasie transportu. 6

7 Protokóª szyfruj cy WEP Klucze 40 i 104-bitowe. W procesie wysyªania do kluczy doª czany jest wektor inicjuj cy IV o dªugo±ci 24 bitów. W efekcie daje to dªugo± klucza odpowiednio 64 i 128 bitowy. 7

8 RC4 - historia Zaprojektowany przez Rona Rivest'a (RSA) 1987 r. Pocz tkowo tajny ale anonimowo dodany do listy dyskusyjnej 1994 r. Pó¹niej ju» szeroko omawiany chocia»by na wielu stronach internetowych Nazwa zostaªa opatentowana, nie mo»na jej nielegalnie u»ywa, sam algorytm jednak mo»e by wykorzystywany Unika si problemów z odno±nikami stosuj c powszechnie naw ARCFOUR Staª si powszechnie stosowany ( WEP, WPA, SSL) 8

9 Budowa pakietu WEP szyfruje tylko pakiety danych, nie szyfruje pakietow zarzadzajacych siecia (management frames) tylko dane sa zaszyfrowane 9

10 Enkapsuªowanie 10

11 Dekapsuªowanie 11

12 RC4 - opis Generujemy z klucza pseudolosowy ci g bitów Przygotowanie losowej permutacji S[256] Wygenerowanie za pomoc S dowolnej dªugo±ci losowego ci gu bitów Traktujemy ci g jako klucz w szyfrze Vernama, czyli XOR z wiadomo±ci daje szyfrogram 12

13 Algorytm RC4 13

14 Algorytm RC4 14

15 Algorytm RC4 15

16 Algorytm RC4 16

17 Algorytm RC4 17

18 Algorytm RC4 18

19 Atak na sie WiFi IV jest za krotki aby byc unikatowy dla kazdego pakietu brak zabezpieczenia przed powtornym wyslaniem 'tego samego' pakietu brak mozliwosci zmiany klucza "w locie" W sieci lokalnej zazwyczaj ka»dy u»ytkownik korzysta z tego samego klucza. Algorytm RC4 rozwija klucz na niesko«czony pseudolosowy strumie«kluczy. Aby wyeliminowa szyfrowanie pakietów tym samym kluczem RC4 (generowanym losowo na podstawie identycznego klucza WEP), uzytkownicy wykorzystuj ró»ne wektory inicjuj ce IV. Przed wysªaniem pakietu obliczane jest CRC. Sªabo± WEP spowodowana jest zª implementacj wektora inicjuj cego. Je»eli haker zgromadzi dwa pakiety posiadaj ce identyczny wektor IV wówczas wykonuj c operacje XOR b dzie w stanie odgadn klucz. Przeprowadzanie ataku na sie 19

20 4 kwietnia 2007 r. naukowcom z Politechniki w Darmstadt udaªo si pobi rekord w szybko- ±ci ªamania zabezpieczenia WEP. Andrei Pychkine, Erik Tews oraz Ralf-Philipp Weinmann (atak 'PTW' - nazwany od pierwszych liter ich nazwisk) zredukowali liczb przechwyconych pakietów wymaganych do skutecznego przeprowadzenia ataku do okoªo 40 tysi cy (wcze±niej trzeba byªo 20

21 przechwyci od 500 tysi cy do dwóch milionów pakietów). Jak zapewniaj odkrywcy, sie bezprzewodowa szyfrowana 104-bitowym kluczem mo»e zosta rozszyfrowana w czasie nie przekraczaj cym minuty[1]. W nowej metodzie po przechwyceniu 40 tysi cy pakietów istnieje 50-procentowe prawdopodobie«stwo odkrycia klucza. Po przechwyceniu 85 tysi cy pakietów prawdopodobie«stwo to wzrasta ju» do 95 procent. 21

22 Man in the Middle klient nie jest w stanie potwierdzi to»samo±ci AP wykradanie danych uwierzytelniaj cych u»ytkownika wykradanie informacji poufnych u»ytkownika 22

23 Bit Flipping Modykacja danych bez rozszyfrowania 23

24 Algorytmy sprawdzania autentyczno±ci w Metody uwierzytelniania w standardzie : Open System authentication (uwierzytelnienie otwarte) Punkt dost pu pozytywnie rozpatruje ka»de» danie uwierzytelnienia [KLIENT] wysyla ramke Auth Request, uwierzytelnianie otwarte, czyli kazdy moze dodac sie do listy i komunikowac z AP. AP udziela odpowiedzi i odsyla do klienta AUTH RESPONSE Klient podrzebuje SSID do skojarzenia Shared Key (uwierzytelnianie ze wspóªdzielonym kluczem) STACJA -AUTH REQUEST-> AP, wysyla zadanie auth do access ponit'a STACJA <AUTH CHALLENGE AP - ok przyjalem informacje, ale najpierw wysyªa tzw 'challenge text' 24

25 STACJA -CHALLENGE-> AP stacja odbiera dane i je szyfruje, nastepnie wysyla taki pakiet do ap STACJA <-AUTH SUCCESS OR NOT AP, AP odszyfruje ten pakiet i sprawdza poprawno± 25

26 Sªabo±ci WEP: zbyt krótki wektor inicjuj cy IV i dopuszczalne powtórne wykorzystanie tego samego wektora IV, brak metod aktualizacji kluczy brak bezpiecznego sprawdzania integralno±ci - algorytm CRC32 nadaje si do wykrywania bª dów, ale nie jest kryptogracznie bezpieczny ze wzgl du na sw liniowo± brak jakiegokolwiek uwierzytelnienia ¹ródªa danych 26

27 Rozwój protokoªów 27

28 WPA Dane szyfrowane s przez RC4 wykorzystuj c 128 bitowy klucz oraz 48 bitowy IV TKIP (Temporal Key Integrity Protocol) usuwa problemy zwi zane z WEP, bez wymiany sprz tu Protokóª TKIP skªada si z trzech protokoªów: kryptogracznego algorytmu integralno±ci komunikatów MIC (Message Integrity Check) Michael, algorytmu mieszania kluczy rozszerzenia wektora pocz tkowego. 28

29 wykorzystuje algorytm RC4, modykowanie podstawowego klucza WEP dla ka»dego pakietu danych, zamiast CRC-32 nowy kod integralno±ci MIC (Message Integrity Check - kontrola integralno±ci komunikatów) o nazwie Michael. Algorytm ten wykorzystuje unikatowy klucz, który jest mieszany ze ¹ródªowym i docelowym adresem MAC, a tak»e caªym fragmentem pakietu zawieraj cym niezaszyfrowane dane. 29

30 Schemat tworzenia klucza 30

31 Szyfrowanie szyfrem strumieniowym 31

32 Kompatybilno± z WEP (24 bity nieszyfrowane) Sprawdzanie integralno±ci MIC (Michael) 32

33 WPA v2 (802.11i) Wykorzystuje szyfr AES Zast puje TKIP oraz MIC Uwa»any jest za w peªni bezpieczny Dwa tryby pracy: WPA2-PSK (Personal) WPA2-Enterprise wykorzystuje 128-bitowe klucze wykorzystuje dynamiczne klucze (na poziomie u»ytkownika, sesji, klucza pakietów) automatycznie dystrybuuje klucze posiada wzmocnione bezpiecze«stwo uwierzytelniania u»ytkownika (przy u»yciu 802.1x oraz EAP) 33

34 802.11i Radius uwierzytelnianie systemu i u»ytkowników 34

35 Podczas podª czania do sieci AP wysyªa» danie identykacji. Tworzony jest bezpieczny tunel. Serwer uwierzytelnia si gdy klient»ada. 35

36 Serwer sprawdza to»samo± u»ytkownika. Je»eli u»ytkownik ma prawo dost pu serwer generuje klucz WEP. 36

37 Standard i - fazy dziaªania 37

38 1. Uzgodnienie polityki bezpiecze«stwa 38

39 2. Sprawdzanie autentyczno±ci (uwierzytelnianie) Po próbie zalogowania si do sieci punkt dost powy generuje zapytanie o dane u»ytkownika, w tym jego identykator i hasªo. Po wprowadzeniu tych danych z poziomu terminala u»ytkownika, jego identykator wraz z zakodowanym hasªem zostaj wysªane do serwera RADIUS-a. Po przej±ciu z sukcesem etapu uwierzytelniania, serwer RADIUS sprawdza w bazach autoryzacji, jakie usªugi s dost pne dla danego u»ytkownika 39

40 Hierarchia kluczy Generowane s dwa zestawy kluczy. Pierwszy zestaw tworz klucze sparowane. Klucze te s unikalne dla ka»dego poª czenia klienta z punktem dost powym. Klucze sesji zapewniaj prywatno± poª czenia oraz usuwaj problem jednego klucza WEP dla wszystkich. Drugi zestaw tworz klucze grupowe, które s wspóªdzielone przez wszystkie komputery pracuj ce w jednej komórce sieci , a wykorzystywane s do szyfrowania ruchu typu multicast. Oba rodzaje kluczy maj wielko± 128 bitów. Klucze sparowane tworzy si na podstawie sparowanego klucza gªównego PMK (Pairwise Master Key) o wielko±ci 256 bitów. Klucz PMK ka»de urz dzenie otrzymuje z serwera RADIUS. W podobny sposób na podstawie gªównego klucza GMK (Group Master Key) tworzone s klucze zgrupowane. 40

41 Negocjacja czteroetapowa Proces negocjacji inicjowany przez punkt dost powy ma na celu: potwierdzenie,»e klient faktycznie zna klucz PMK (pojedynczy klucz gªówny), wygenerowanie nowego klucza PTK (pojedynczy klucz szyfruj cy), instalacj kluczy szyfrowania i integralno±ci, szyfrowanie transportu klucza GTK (Group Transient Key), potwierdzenie wyboru zestawu szyfrów. 41

42 Poziom zabezpiecze«42

43 Porównanie parametrów 43

44 AES historia W 1997 roku NIST (National Institute of Standards and Technology) próbowaª zast pi szyfr DES przez nowocze±niejszy. Ogªosiª swego rodzaju konkurs "Call for Algorithms" gdzie wyªoniono 5 kandydatów: Nowy szyfr z rmy IBM - MARS Szyfr Ronalda Rivest'a - RC6 Rijandel - autorstwa dwu Belgów (Joan Daemen i Vincent Rijmen) SERPENT - szyfr mi dzynarodowego zespoªu z Anglii, Izraela i Norwegii TwoFish - Bruce'a Schneiera (twórca BlowFish) Wygraª Rijndael i nazwano go AES 44

45 Opis dziaªania szyfru AES Szyfr AES mo»e operowa na bloku o ró»nej dªugo±ci, u»ywaj c kluczy ró»nej dªugo±ci. Ocjalna specykacja dopuszcza u»ycie bloków danych 128-, 192- lub 256-cio bitowych, szyfrowanych kluczami 128-, 192- lub 256-cio bitowymi. Dopuszczalne s wszystkie z 9 kombinacji. Rijndael jest "iterowanym szyfrem blokowym", co oznacza,»e blok wej±ciowy oraz klucz przechodz wielokrotne RUNDY transformacji, zanim wyprodukuj wynik. Po ka»dej rundzie, powstaje szyfr po±redni, zwany STANEM (State). 45

46 Liczba rund Liczba rund (Nr) Liczba bitów klucza Liczba bitów bloku 128 Ns=4 192 Ns=6 256 Ns=8 128 Nk= Nk= Nk= W standardzie AES wersji szyfru Rijndael, ograniczono t ró»norodno± do mo»liwo±ci wyst powania zmiennej liczby kluczy, ale ustalono staª wielko± bloku na 128 bitów. Wersje z ró»nymi dªugo±ciami kluczy nawano AES-128, AES-192 oraz AES-256. Parametry szyfru, Ns, Nk oraz Nr przedstawia tabela: Parametr Variant Ns Nk Nr AES AES AES

47 AES AES wykonuje 10 (klucz 128 bitów), 12 (klucz 192 bity) lub 14 (klucz 256 bitów) rund szyfruj cych. Skªadaj si one z substytucji wst pnej, permutacji macierzowej (mieszanie wierszy, mieszanie kolumn) i modykacji za pomoc klucza. Initial Round AddRoundKey (transformacja klucza) Nr rund 1. SubBytesbajt jest zamieniany zgodnie z LUT 2. ShiftRowska»dy wiersz jest przesuwany. 3. MixColumnsmno»enie kolumny przez wielomian 4. AddRoundKeyka»dy bajt jest xor'owany. Runda naªowa (no MixColumns) 1. SubBytes 2. ShiftRows 3. AddRoundKey 47

48 Szyfrowanie AES 48

49 Krok SubBytes Transformacja "podstawienie bajtów" (substitute bytes) operuje na ka»dym bajcie stanu niezale»nie i zmienia warto± tego bajtu. S-box (tabela podstawie«- substitution box) kontroluje caª transformacj. S-box to macierz 16*16. Bajt wynikowy odnajdywany jest pod adresem wiersza i kolumny uzyskanym za pomoc 4-bitowego adresu (mªodsza i starsza poªówka bajtu). 49

50 Tabela podstawie«je»eli np. bajt a 2,2 = 0x53 to po operacji podstawienia warto± wynienie 0xED (5-wiersz, 3- kolumna) 50

51 Krok ShiftRows Transformacja ShiftRows przesuwa cyklicznie bajty w 3 dolnych wierszach macierzy Stanu. 51

52 Krok MixColumns Operacja ta polega na przemno»eniu wielomianu utworzonego z bajtów kolumny, np. W (X) = a 0,1 x 3 + a 1,1 x 2 + a 2,1 x 1 + a 3,1 przez staªy wielomian: C(X) = 03 x x x Mno»enie to wykonywane jest modulo X

53 W praktyce, operacja mno»enia wielomianów zostaªa zaimplementowana jako mno»enie macierzy A przez macierz C 53

54 Krok AddRoundKey Operacja AddRoundKey polega na wykonaniu operacji XOR w ka»dej rundzie pomi dzy caªym blokiem a kluczem rundy. Animacja AES 54

55 Liczba deszyfrowa«55