Problemy bezpieczeństwa sieci mobilnych

Transkrypt

1 Problemy bezpieczeństwa sieci mobilnych Kerberos - istnieje rozwiązanie przeznaczone dla sieci typu WLAN Protokoły Radius i Diameter RADIUS (Remote Authentication Dial-In User Service) jest protokołem uwierzytelniania, autoryzacji i rozliczania zaprojektowanym dla dostępu do sieci. Radius jest powszechnie stosowany w zdalnych serwerach dostępowych, ruterach i śluzach ogniowych. Serwery RADIUS mogą być także użyte jako serwery proxy dla innych serwerów uwierzytelniających. Po poprawnym uwierzytelnieniu serwer przekazuje klientowi informacje i konfiguracji sieci. DIAMETER to protokół RADIUS II-ej generacji. W przeciwieństwie do poprzedniego, bazuje na modelu P2P i zawiera wiele ulepszeń, usuwających słabości RADIUS. Protokół EAP EAP (Extensible Authentication Protocol) zaprojektowano w celu przydzielenia adresu IP uwierzytelniającej się jednostce, bazując głównie na modelu PPP (point-to-point). Ten protokół może być używany na poziomie drugiej warstwy modelu protokołów sieci, jak I wyżej. EAP jest użytecznym opakowaniem (wrapper), umożliwiającym administratorom bezpieczeństwa na użycie dowolnego protokołu uwierzytelniającego. Istnieje wiele wersji i rozwiązań typu EAP. Stos protokołów EAP EAP-TLS (EAP with Transport Layer Security) jest jedną z najczęściej stosowanych metod. Pakiety EAP są przesyłane w tunelu SSL/TLS. Tożsamość komunikujących się stron (węzłów) jest sprawdzana z pomocą certyfikatów kluczy publicznych. Jednak nazwa węzła podanego w

2 certyfikacie jest przesyłana jawnie, jak również komunikaty potwierdzające nawiązanie połączenia (EAP-success, EAP-fail). Było to zachętą do opracowania wersji zwanej Protected EAP (PEAP) i EAP z TLS (EAP- TTLS). PEAP (Protected EAP) zapewnia prywatność danych w EAP-TLS. Najpierw jest uwierzytelniany tylko serwer, a użytkownik pozostaje anonimowy. W drugiej fazie dokonuje się wzajemnego uwierzytelnienia we wcześniej ustanowionym tunelu TLS przy użyciu kluczy z fazy pierwszej. Chociaż to rozwiązanie jest zalecane przez Cisco, Microsoft i RSA Security, istnieją dwie podstawowe wersje PEAP jedna Cisco, a druga Microsoft. Obie są nazywane PEAP i są niekompatybilne. PEAP zapewnia obustronne uwierzytelnienie, ochronę tożsamości klienta i generację kluczy sesyjnych. EAP-TTLS (EAP with Tunneled Transport Layer Security) zaprojektowano, mając na uwadze kompatybilność wstecz. Na początku badania wiarygodności stron jest tworzony bezpieczny kanał TLS, podobnie jak w PEAP. Następnie klient łączy się z serwerem TTLS, który jest wykorzystywany jednokrotnie. Podobny do PEAP (ale powstał wcześniej) i jest promowany przez Funk Software i Certicom. TTLS zapewnia obustronne uwierzytelnienie, ochronę tożsamości klienta, generację kluczy sesyjnych i szyfrowanie parametrów sesji. EAP-MD5 jest metodą EAP, bazującą na przesyłaniu skrótów haseł. Można jej używać tylko w bezpiecznych korporacyjnych sieciach LAN. Jest podatna na ataki metodą brutalną i słownikowe, a także nie zapewnia użycia dynamicznego protokołu WEP (Wired Equivalent Privacy) (802.11). LEAP (Lightweight EAP) jest standardem zaproponowanym przez Cisco. Specyfikację udostępniono za darmo jedynie partnerom biznesowym Cisco. Trochę bardziej rozbudowany jak EAP-MD5 i zapewnia wzajemne uwierzytelnianie i krótkoterminowe klucze WEP. Nadal są możliwe ataki słownikowe off-line i ujawnienie tożsamości klienta (nazwy są jawnie przesyłane). Ponadto dla klienta LEAP ujawniono słabość protokołu typu challenge/response, bo jeden z kluczy DES zawiera sześć (na 8) zerowych bajtów. Tak więc wystarczy 2 16 prób, by złamać klucz. EAP-FAST (EAP Flexible Authentication via Secure Tunneling - CISCO) umożliwia uwierzytelnianie bez potrzeby użycia certyfikatów PK ani dowolnej PKI. Utworzenie tunelu kryptograficznego opiera się na współdzielonej tajemnicy (PAC). EAP-FAST jest podobny do PEAP i także ma dwie fazy działania. Pierwsza tworzy tunel kryptograficzny pomiędzy klientem a serwerem. W drugiej fazie korzysta się z tego tunelu do bezpiecznego uwierzytelnienia klienta w sesji MS-CHAPv2. Natomiast

3 współdzielona tajemnica musi być ewentualnie dostarczona w opcjonalnej, początkowej fazie protokołu. Twórcy ukrywają jednak fakt, że do tego celu należy użyć algorytmu Diffie-Hellmana, aby protokół był odporny na ataki słownikowe, powtórzeniowe, MitMA i słabości wektora początkowego (DES). EAP-SIM (EAP for GSM Subscriber Identity) umożliwia operatorom telefonii komórkowej stosowanie EAP bez konieczności modyfikacji istniejącej infrastruktury. Podstawą jest użycie złamanego wcześniej szyfrowania GSM. EAP-SIM zaprojektowano w celu dostarczenia 128- bitowych kluczy w systemie z 64-bitowym szyfrowaniem GSM, ale to się nie powiodło. Ponadto występują zależności pomiędzy poszczególnymi sesjami połączeniowymi, czego nie udało się usunąć. EAP-AKA (EAP for UMTS Authentication and Key Management) zaprojektowano dla standardu 3G rozwijanego przez 3G Partnership Project. Użytkownicy sieci bezprzewodowych LAN są uwierzytelniani przy użyciu ich modułu SIM w sieci 3G. Inne metody EAP używają haseł EAP (Diffie-Hellman) I haseł jednorazowych (EAP-secureID). IEEE 802.1x 802.1x to standard IEEE kontroli dostępu w sieciach LAN I MAN. Chociaż nie jest przewidziany dla sieci bezprzewodowych, włączono go do standardu i. Używając środków 802.1x, dokonuje się uwierzytelnienia i autoryzacji urządzeń dołączonych do portu sieciowego na bazie charakterystyk połączenia point-to-point. Portem LAN jest pojedynczy punklt dołączenia do infrastruktury LAN, tj. mostek MAC lub punkt dostępowy Ponadto 802.1x zapewnia, że dostęp zostanie zablokowany, jeśli nie uda się uwierzytelnianie lub autoryzacja x zwykle wykorzystuje protokół EAP w wersji EAPOL (EAP over LAN) lub EAPOW (EAP over Wireless). Tak więc sprawdzenie portu jest bezpiecznie przeniesione do wyższej warstwy.

4 W 802.1x mamy trzy komunikujące się strony: Supplicant klient urządzenie żądające dostępu do sieci; Authenticator punkt dostępowy lub router dostępowy; Authentication Server urządzenie dostarczające informacji niezbędnych do uwierzytelnienia i podejmujące decyzje w tym zakresie: np. serwer RADIUS. PAE (port access entity) to punkt, w którym klient próbuje uzyskać dostęp do sieci. Authenticator steruje dwoma portami: swoim portem używanym do uwierzytelniania oraz portem usługowym. Działanie standardu 802.1x Etapy procesu uwierzytelniania: 1. Interfejs sieciowy klienta jest dołączany do punktu dostępowego. 2. Zostaje wysłany przez klienta komunikat EAPOL-Start w celu ustalenia, czy jest obecny punkt dostępowy. Komunikat jest wysłany do specjalnej grupy adresów rozgłoszeniowych MAC zarezerwowanych dla punktów dostępowych. Komunikaty EAPOL- Key i EAPOL-Packet są używane w sieciach WLAN do komunikacji z wykorzystaniem protokołu EAP.

5 Uwierzytelnianie w standardzie 802.1x 3. Punkt dostępowy wysyła komunikat EAP Identity Request, na który w odpowiedzi powinien otrzymać EAP Identity Response. 4. Punkt dostępowy wysyła Access Request do serwera AS, który odpowiada komunikatem Authentication Request. Ta wiadomość i następne są zależne od typu stosowanego EAP. 5. Jeśli uwierzytelnianie powiedzie się, AS wysyła komunikat Success message i port punktu dostępowego zostaje otwarty dla klienta. W sieciach bezprzewodowych po komunikacie EAP-Success występuje wymiana kluczy, które mogą być używane w WEP lub WPA do szyfrowania ruchu i zapewnienia podstawowego bezpieczeństwa. W standardzie 802.1x używa się do tego celu pojedynczej wiadomości, ale ulepszony standard (802.1aa) definiuje to działanie jako 4- etapowe. Dzięki temu chronimy się przed atakami MitM u umożliwiamy dynamiczną generację kluczy sesyjnych. 6. Aby rozłączyć się, klient wysyła komunikat EAPOL-Logoff.

6 Istnieje kilka standardów przemysłowych 802.1x: Open1x implementacja open source 802.1x; Microsoft 802.1x; Cisco. Są one niekompatybilne i stosują różne metody EAP, co pozbawia możliwość współpracy systemy używające różnych urządzeń. Chaffing and winnowing Technikę chaffing and winnowing zaproponował Ron Rivest, aby uzyskać nieco poufności bez szyfrowania. Nadawca (A) i odbiorca (B) współdzielą klucz tajny. Wiadomości są przesyłane jawnie, ale uzupełnia się je skrótem, np. HMAC-SHA1, wyliczonym na podstawie treści wiadomości I klucza tajnego. Wiadomości zniekształcone lub niewiarygodne mogą być więc odrzucone. W drugim kroku metody dołączamy nic nie znaczące pakiety do strumienia wiadomości. Segmentację realizuje się za pomocą numerów seryjnych w każdym pakiecie. Bezpieczeństwo schematu polega na trudności odróżnienia pakietów poprawnych od nic nie znaczących (złożoność obliczeń ma charakter wykładniczy w zależności od liczby pakietów). Dystrybucję klucza tajnego wykonuje się np. przy użyciu algorytmu Diffie-Hellmana. Aby nieco utrudnić zadanie napastnikom, każdy bit wiadomości może być przesyłany w innym pakiecie. Bezpieczeństwo w (Wi-Fi) Prace nad standardem zaczęto w 1990 r. Minimalną przepustowość ustalono na 1 Mb/s. Nowy standard miał zapewnić łączność bezprzewodową również podróżującym z umiarkowaną prędkością. Wspólna warstwa MAC zapewnia współpracę wielu warstw fizycznych. IEEE wydało pierwszą wersję standardu w 1997 r., z przepustowością do 2 Mb/s. W 1999 r. pojawiły się: b dla f=2.4 GHz i a działający w paśmie 5.3 GHz i 5.8 GHz. Praktyczna przepustowość zmierzona w SAP (Media Access Control Service Access Point) wynosi odpowiednio ok. 5 Mb/s i 25 Mb/s. Nowa wersja standardu, g, używa modulacji OFDM i osiąga przepustowość rzędu 25 Mb/s. Projektowany standard n teoretycznie powinien zapewnić 500 Mb/s.

7 Popularne typy sieci w standardzie 802.1x W mamy 3 typy ramek: Ramki organizacyjne (np. Beacon, Association Request); Ramki sterujące (np. Request To Send RTS); Ramki danych. Format ramki w standardzie

8 Tryby pracy Basic Service Set (BSS) to zbiór zwykłych węzłów zarządzanych pojedynczą funkcją sterującą dostępem do kanału. Independent BSS to niezależny BBS bez dostępu ogólnego. System rozproszony (Distribution System - DS) można użyć do połączenia BBS, budując rozszerzony system usługowy (Extended Service Set - ESS). W ESS cały ruch jest kierowany przez punkty dostępowe AP. DS można zbudować na bazie AP lub przy użyciu kabla łączącego różne AP w odmiennych BSS. Każda sieć jest identyfikowana przez SSID (Service Set Identifier), który oznacza nazwę sieci (do 32 znaków długości). Identyfikator BSSID (Basic Service Set Identifier) jest używany do identyfikacji pojedynczej komórki i ma tę samą wartość co adres MAC interfejsu punktu dostępowego AP. Tryby pracy Aby dołączyć się do punktu dostępowego, STA skanuje wybrane częstotliwości w celu znalezienia najsilniejszego sygnału. W tym celu STA regularnie wysyła sygnały Probe Requests i czeka na odpowiedź w wybranych kanałach. Jeśli proces skanowania ma charakter pasywny, STA nasłuchuje nachodzących pakietów typu Beacon i określa na ich podstawie siłę sygnału.

9 Kanału może także nasłuchiwać napastnik i nie będzie wykryty!! Punkt dostępowy utrzymuje listę dowiązanych STA. Jeśli AP jest skonfigurowany do realizacji protokołu Open Authentication, atakujący mógłby przeprowadzić prosty atak typu Denial of Service w którym dokonuje częstej zmiany adresu MAC w karcie sieciowej. W konsekwencji zalewa AP potokiem żądań. Lista AP szybko się przepełni, tym samym odmawiając dostępu do AP legalnym użytkownikom. Dla sieci zdefiniowano dwa tryby pracy: infrastructure i ad-hoc. W obu trybach mamy odmienne sposoby dostępu do medium. W trybie ad-hoc używa się protokołu DCF (Distributed Coordination Function), który de facto jest protokołem CSMA/CA (Carrier Sense Multiple Access protocol with Collision Avoidance). Stacja bada kanał w celu sprawdzenia, czy nie jest zajęty przez inną transmisję. Po odczekaniu pewnego czasu (DCF Interframe Spacing) można rozpocząć transmisję. Jeśli w szczelinie czasowej DIFS medium będzie zajęte, jest rozpoczynany mechanizm wycofania (backoff). W trybie infrastructure używa się protokołu PCF (Point Coordination Function). PCF jest mechanizmem scentralizowanym, opartym na głosowaniu i wymagającym obecności centralnego koordynatora (Point Coordinator). Czas jest podzielony na fragmenty zwane superramkami. Każda z nich składa się z okresu zwanego contention, w którym działa DCF i okresu contention free period (CFP), w którym działa PCF. Gdy startuje protokół CFP, każda stacja z listy PC jest odpytywana kolejno (round-robin). Odstęp (timeslot) pomiędzy ramkami PCF jest krótszy od DIFS, tak więc żadna stacja nie może przerwać transmisji. Odstępy czasowe w trybie pracy interframe

10 Swobodne uwierzytelnianie (Open authentication) Access Point nie ma żadnego sposobu na odróznienie poprawnego klienta od intruza. Każdy może dołączyć się do sieci i wszystkie transmitowane są dostępne dla wszystkich w ramach SSID (a także dla wszystkich podsłuchujących). Dane nie są szyfrowane, więc każda sesja http lub telnet może być odczytana. WEP WEP (Wired Equivalent Privacy) to metoda ochrony komunikacji WiFi dla warstwy MAC. Jest częścią standardu (1999). WEP zaprojektowano w celu zapewnienia: poufności (szyfr strumieniowy RC4), spójności (CRC32), ochrony przed nieautoryzowanym dostępem (uwierzytelnianie nie było głównym celem!!!). Domyślny klucz 64-bitowy RC4 jest generowany poprzez połączenie 40- bitowego ustalonego ciągu do 24-bitowego wektora inicjalizacyjnego (IV). Ten 40-bitowy klucz jest współdzielony przez dwie komunikujące się strony, a zmieniający się IV zapewnia różne wartości kluczy RC4 dla każdego pakietu. Ten sam klucz 40-bitowy służy do uwierzytelniania zarówno AP, jak i stacja mobilna (STA) używają tego samego klucza. Jest to poważnym osłabieniem bezpieczeństwa!! Ponadto, klucze szyfrujące i uwierzytelniające powinny być różne i zmieniane w pewnym przedziale czasowym. Ponieważ standard WEP nie definiuje metody zarządzania kluczami, zmiana kluczy w większych sieciach może być kłopotliwe. Standardowa długość wynika z ograniczeń eksportowych USA (zniesionych 15 grudnia 1999). Później pojawiły się usługi WEP oferujące klucze 128- i 256-bitowe. Klucz 128-bitowy składa się z 24-bitowego IV i 26 znaków heksadecymalnych (4-bitowych). Zidentyfikowano wiele słabości protokołu WEP. Mimo tego WEP nadal pozostaje (przypuszczalnie) najczęściej stosowaną metodą zabezpieczania sieci WiFi. Poważną jego wadą jest dawanie fałszywego poczucia bezpieczeństwa. Lista wad:

11 24-bitowa przestrzeń IV jest bardzo ograniczona. W szyfrach strumieniowych zmiana klucza występuje dla każdego pakietu, co znacznie ogranicza czas stosowania dla AP b (ok. 5 godzin). Ponadto standard nie zaleca zmiany IV co ramkę jest to opcjonalne. W wielu implementacjach IV wcale nie jest zmieniany, a jedynie zwiększany o 1 (tryb licznikowy). Natomiast przy losowym wyborze IV istnieje duża szansa na kolizje co ok ramek. Standard nie zawiera żadnych wskazówek co do zarządzania wyborem IV. Pseudolosowy generator RC4 czasami wytwarza słabe IV. Znany jest pierwszy bajt transmisji, więc pozostałe (pseudolosowe) łatwiej ustalić. Poprawny klucz WEP można odtworzyć, używając zaledwie 256 przechwyconych pakietów. Usunięcie słabych IV może poprawić sytuację. Podczas procesu uwierzytelniania z współdzielonym kluczem AP wysyła tekstem jawnym ciąg wyzwania do strony uwierzytelniającej się. Ten ciąg jest szyfrowany przez STA i odsyłany do AP. Jest więc możliwa kryptoanaliza ze znanym tekstem jawnym. Napastnik może także zsumować modulo 2 dwie przechwycone ramki i uzyskać ciąg łatwy do odszyfrowania. Algorytm sumy kontrolnej - CRC32 ma liniowy charakter i dzięki temu jest podatny na kolizje, co uniemożliwia zapewnienie integralności transmisji, a także fałszowanie wiadomości. Standard nie definiuje żadnych środków zapobiegawczych atakom powtórzeniowym. Wszystkie komunikaty na poziomie MAC mogą być ponownie wysyłane, ponieważ nie występuje numeracja pakietów ani znakowanie czasowe. Stosowanie 40-bitowego szyfrowania obniża przepustowość o ok. 1 Mb/s, a 128-bitowe szyfrowanie zwiększa stratę do 2 Mb/s. To jest prawie 20% spadek przepustowości dla sieci b. Ograniczona przepustowość zwiększa opóźnienia, co jest denerwujące przy trasmisjach multimedialnych. WPA (WiFi Protected Access) WPA został opracowany przez IEEE i komitet Wi-Fi w 2003 w odpowiedzi na wiele słabości ujawnionych w działaniu WEP. WPA podnosi nieco bezpieczeństwo w sieciach Jest podzbiorem standardu i. WPA stosuje TKIP (Temporal Key Integrity Protocol) do zarządzania kluczami, usuwając możliwość przewidywania ich wartości, co było powodem groźnych ataków. Protokół stosuje klucze 128-bitowe o pełnej

12 długości, generowane dynamicznie. Klucze mogą być często zmieniane podczas transmisji, redukując znacznie ryzyko ujawnienia. Dystrybucją zajmuje się serwer AS (Authentication Server), który stosuje 802.1x do wytworzenia unikalnej pary kluczy po poprawnym uwierzytelnieniu klienta. Ten klucz jest używany z kolei do generacji kluczy szyfrujących o liczbie kombinacji rzędu Dodatkowo suma kontrolna MIC (Message Integrity Check) zapewnia spójność i ochronę przed powtórzeniami. W WPA wprowadzono mechanizmy uwierzytelniania 802.1x takie jak w EAP. Administratorzy mają pewną możliwość wyboru, ponieważ mogą wybrać kilka różnych metod. Istnieją także rozwiązania WPA nieco słabsze (WPA pre-shared key). Jednak przejście z WEP do WPA nie zapewnia pełnego bezpieczeństwa, bowiem nadal są możliwe ataki słownikowe. Protokół i (WPA2) i jest rozszerzeniem standardu Zaprojektowano go w celu zapewnienia poufności, spójności, niemożności wyparcia się i ochrony przed powtórzeniami. Architektura i jest zbudowana z nast. elementów: schematy uwierzytelniania 802.1x (EAP + authentication server) kontrola dostępu na bazie portów; RSN (Robust Security Network) - zabezpieczanie połączeń; CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) szyfrowanie z użyciem AES w celu zapewnienia uwierzytelniania, poufności i spójności komunikacji, obowiązkowe dla wszystkich urządzeń zgodnych z i; TKIP (Temporal Key Integrity Protocol), opcjonalny zestaw szyfrów dla wzmocnienia protokołu WEP. Do specyfikacji dodano opis RSNA (Robust Security Network Architecture) w celu poprawy bezpieczeństwa o wzmocnione mechanizmy uwierzytelniania dla STA, algorytmy zarządzania kluczami i opakowanie danych (enhanced data encapsulation mechanism - CCMP) łącznie z opcjonalnym protokołem TKIP (Temporal Key Integrity Protocol). Należy jednak dodać, że w znacznym stopniu te poprawki są zależne od mechanizmów wbudowanych w urządzenia PAE (Port Access Entity) i AS (Authentication Server).

13 Standard i dzieli urządzenia na dwie klasy: Urządzenia typu pre-rsna niezdolne do utworzenia RSNA, Urządzenia typu RSNA. Urządzenia typu pre-rsna mogą wykorzystywać tradycyjne metody szyfrowania i uwierzytelniania, takie jak WEP i uwierzytelnianie W standardzie i zdefiniowano kilka trybów komunikacji: Jeden-do-jeden pomiędzy stacjami STA i sieciami przewodowymi poprzez wykorzystanie AP (najczęściej stosowany bo z w zgodności z obecnym modelem b/g/a); Jeden-do-wielu jednokierunkowa komunikacja od AP do stacji mobilnych STA w grupie AP; Jeden-do-jeden pomiędzy dwoma STA dołączonymi do tego samego AP. Kolizje wektorów IV Ataki na protokół WiFi (802.11) Wartości IV są przesyłane bez szyfrowania, by węzeł odbiorczy mógł je wykorzystać do ustawienia generatora strumienia klucza, a potem odszyfrowania pakietu. IV nie powinny powtarzać się podczas sesji. Kolizja wystąpi, gdy nadajnik wyczerpie wszystkie posiadane IV i będzie musiał użyć któregoś ponownie. Niekiedy sprzęt zaczyna generować IV począwszy od tej samej wartości (np. 0000). Sumując modulo 2 dwa odebrane pakiety zaszyfrowane tym samym kluczem, napastnik otrzyma sumę dwóch tekstów jawnych. Jeśli jeden z nich jest wcześniej znany, cała komunikacja zostaje ujawniona. Jeśli tak nie jest, to posługując się analizą statystyczną dla danego można uzyskać zaskakujące wyniki. Ponadto po pewnym czasie, używając bazy danych odebranych szyfrogramów i ciągów IV. Można więc ujawnić całą komunikację, ponieważ IV ma długość zaledwie 24 bity, a klucze szyfrujące 256 bitów. Łamanie WEP Istnieją dwie główne metody łamania WEP: Statystyczna (z użyciem dużej liczby przechwyconych IV) i Atak brutalny.

14 Wstawianie (wstrzykiwanie) danych do sieci Wstawianie (wstrzykiwanie) polega na wprowadzaniu pakietów do sieci przy specyficznym wykorzystaniu kart sieciowych i sterowników, co powoduje zakłócenia ruchu, a nawet fałszowanie tożsamości i zakłócanie zarządzania ruchem. Ataki słownikowe WPA (tryb PSK) Protokoły WPA i WPA2 (w i) zezwalają na stosowanie kluczy WPA PSK (Pre-Shared Key) jako poprawnej metody uwierzytelniania. Jednak ta metoda jest podatna na atak słownikowy (off-line), ponieważ użytkownicy wybierają hasła łatwe do zapamiętania. Napastnik musi przechwycić adresy MAC komunikujących się stron, uzgadniane parametry kryptograficzne i ciągi losowe używane do rozpoczęcia generacji kluczy. Powtórzenia IV (Initialization Vector) Scenariusz: Faza I: Tekst jawny (np. lub komunikat ICMP ECHO) jest wysyłany do serwera sieci używającej WEP. Tekst jawny zostaje zaszyfrowany w AP za pomocą klucza WEP i odesłany do klienta. Napastnik zachowuje ten komunikat. Znając zawartość komunikatu, może uzyskać klucz szyfrujący (szyfr strumieniowy). Korzystając z faktu, że ten sam IV I klucz WEP mogą być użyte wielokrotnie, powiększa zbiór ciągu klucza, aż uzyska strumień klucza dla określonej długości ramki. I faza ataku powtórzeniowego na IV

15 Posługując się wielokrotnie tym sposobem, napastnik może zbudować ramkę o jeden bajt dłuższą niż przechwycona aktualnie. Spowoduje ona odpowiedź AP, potwierdzającą zgodność klucza. Można odgadnąć postać tego dodatkowego bajtu, bowiem to tylko 256 kombinacji, a AP potwierdzi poprawność wyboru. Tę zabawę można powtarzać aż do uzyskania klucza o żądanej długości. II faza ataku powtórzeniowego na IV (narastające gromadzenie klucza) Zamiana bitów (Bit-flipping) Podobne do ataków na IV, bo mają ten sam cel. W przechwyconej ramce o znanym typie zawartości zmieniamy kilka bitów (dzięki słabościom algorytmu CRC32) i odsyłamy ponownie. Tak więc bez znajomości przesyłanej wiadomości napastnik może zmienić kilka bitów i sumę kontrolną. Powtórzona wiadomość zostanie poprawnie odtworzona w AP i być może przesłana dalej poprzez Internet. Ze względu na modyfikację treści wiadomości żądanie usługi nie zostanie zrealizowane, ale otrzymamy odpowiedź o błędzie skierowaną do klienta bezprzewodowego. Zawartość komunikatu może być analizowana przez napastnika i po wykonaniu działania XOR na zaszyfrowanym ciągu można odtworzyć podciąg strumienia klucza o długości ramki.

16 Budowa ramki do ataku metodą zmiany bitów Scenariusz ataku z podmianą bitów

17 Inna wersja Bit-flipping Inny wariant tego ataku odkryto podczas projektowania protokołu IPSec. Atak jest skuteczny dla sieci używających TCP, ponieważ ten protokół akceptuje jedynie pakiety z poprawną sumą kontrolną i wymaga od odbiorcy wysłania komunikatu potwierdzenia (ACK) za każdym razem, gdy otrzyma poprawny pakiet. Scenariusz: W przechwyconej ramce napastnik zmienia bity I odpowiednio koryguje CRC, a następnie odsyła ramkę do AP I czeka na odpowiedź. Ramki TCP ACK można łatwo zidentyfikować (mały rozmiar), więc należy tylko odgadnąć, które bity należy zamienić, aby odnieść sukces. Tak więc zmienijąc kolejno bity pakietu I nasłuchując odpowiedzi, napastnik może ustalić zależności pomiędzy bitami I odgadnąć większość wiadomości. MITM (Man in the Middle) Aby atak się powiódł, napastnik musi znać adres MAC oraz SSID sieci ofiary. Najpierw wysyła pakiet DEAUTH z podrobionym adresem MAC. Ofiara zostaje odłączona od AP i zaczyna poszukiwać nowego AP. W międzyczasie napastnik ustanawia fałszywy AP i ofiara zostaje do niego dołączona. W tym samym czasie napastnik ustanawia legalne połączenie z AP, używając adresu MAC ofiary. Dzięki temu napastnik jest w stanie przechwycić całą komunikację pomiędzy ofiarą a AP. Ten atak umożliwia także bardziej poważne, jak np. zablokowanie SSL. W efekcie moga zdarzyć się straty finansowe. Jest to dowodem na konieczność realizacji obustronnego uwierzytelniania. Przechwytywanie ruchu (podsłuchiwanie) To klasyczny atak na sieci bezprzewodowe, bowiem prawie wszystkie karty umożliwiają jawną komunikację. Fałszywy AP (Evil twin) Szczególnie niebezpieczne dla sieci bezprzewodowych jest podszywanie się (spoofing), bowiem w wielu ograniczonych protokołach to staje się uwierzytelniania szczególnie łatwe. Popularną techniką jest także ustanawianie fałszywych stacji AP z silnym sygnałem w towarzystwie innych, legalnych AP.

18 MAC address spoofing Wiele protokołów przyjmuje założenie, że adres MAC jest niepowtarzalny i dzięki temu jest uważany za jednoznaczny identyfikator. Te adresy są często używane do uwierzytelniania, a następnie przydzielenia dostępu do zasobów sieciowych. Prawie wszystkie urządzenia pozwalają zmienić adres MAC, to dyskredytuje wszelkie bezpieczeństwo oparte na MAC. Podrobione adresy MAC można wykorzystać do bardziej złośliwych ataków, jak ukrycie obecności sieci, kradzież uwierzytelnionego identyfikatora lub uzyskanie nieuprawnionego dostępu. Wykrywanie fałszywych adresów MAC Istnieje kilka sposobów na wykrycie fałszerstwa MAC w sieciach Pierwsze 24 bity adresu MAC są przypisane przez IEEE do producenta urządzeń. Jest ich obecnie ok Adres MAC poza tym zakresem jest sygnałem wystąpienia nieprawidłowości. Ponadto obserwacja sekwencyjności wartości adresów z różnych źródeł, a także nie zachowujące kolejności numerów w ramkach z jednego ciągłego źródła powinny budzić podejrzenie o fałszerstwie. Odtworzenie hasła LEAP Pomimo umowy Cisco z partnerami o nieujawnianiu specyfikacji, znaleziono efektywny atak na ten protokół. Kiedy AP wysyła wyzwanie (8 bytów) do STA, STA wykorzystuje skrót MD4 hasła do wygenerowania trzech 7-bytowych kluczy DES. Klucz 1 zawiera bajty od 1 do 7, klucz 2 bajty od 8 do 14, a klucz 3 zawiera 2 ostatnie bajty skrótu uzupełnione pięcioma zerami. Każdy z tych kluczy jest używany do zaszyfrowania wyzwania, dając w wyniku 3 słowa 8-bajtowe. Te bajty są odsyłane do AP, gdzie odpowiedź jest porównywana z wyliczoną wartością. Trzeci, obcięty klucz DES redukuje przestrzeń przeszukiwania, co umożliwia bardzo szybkie ustalenie wartości skracanej. Atak typu Queensland DoS Polega na zapełnianiu kanału radiowego ciągłym strumieniem nieznaczących komunikatów zarządzających. Legalne stacje nie sa wstanie odpowiedzieć z powodu zajęcia pasma. Atak typu DEAUTH DoS Wykorzystuje możliwość zmiany adresu MAC. Każda strona komunikacji w sieci AP może otwarcie zażądać odłączenia w dowolnej chwili.

19 Ponadto podczas odłączania AP bierze pod uwagę tylko adres MAC, bez sprawdzania spójności pakietu. W wyniku stacja mobilna z fałszywym adresem MAC może wysłać do AP sfałszowane pakiety DEAUTH, tym samym kończąc sesje połączeniowe ofiar. Atak typu Deassociation DoS Polega na wysłaniu fałszywego pakietu z żądaniem odłączenia się od współpracującej sieci przewodowej. Zalew pakietami z żądaniem połączenia (Associate flood) Celem ataku są zasoby pamięciowe stacji AP. Polega na zalewaniu AP pakietami z fałszywymi adresami MAC, co powoduje zapełnienie pamięci AP. W wyniku AP nie jest w stanie obsłużyć zgłoszeń legalnych użytkowników. Ataki związane z trybem uśpienia stacji mobilnej W każdej chwili stacja mobilna może przejść w stan uśpienia i wówczas stacja AP przechowuje dla niej zgromadzone pakiety. Od czasu do czasu STA budzi się i w celu wydobycia zgromadzonych wiadomości wysyła specjalny komunikat. Napastnik może wysłać taki komunikat w imieniu uśpionego klienta i przejąć jego pakiety. Można także przekonać STA, że żadne pakiety nie czekają, gdy faktycznie są one zgromadzone w AP. Spowoduje to powrót do trybu uśpienia. Ponadto komunikaty budzenia I usypiania są przesyłane jawnie, co dodatkowo pozwala zniszczyć komunikację. Zakłócenie zarządzania przepustowością Atak polega na zalewaniu kanału ciągiem pakietów bez zachowania wymaganego odstępu (DIFS). Słabości wykrywania nośnej W stosowaniu CSMA zakłada się, że stacje AP i STA będą zachowywać się poprawnie I zgodnie współpracować w zakresie dostępu do medium. Współpraca polega, m.in., na tym, by powiadamiać się wzajemnie o zajętości kanału. Służą do tego celu specjalne, krótkie pakiety, nieszyfrowane, ani w żaden sposób nie objęte uwierzytelnianiem. Używając celowo powiekszonych tzw. ramek RTS, napastnik łatwo doprowadzi do zablokowania medium.

20 Podsumowanie Niewątpliwie wynika z podanych przykładów, że sieci WiFi nie są właściwie zabezpieczone, co naraża je na przeróżne ataki. Jak chronić WLAN w takiej sytuacji przykłady remediów: Ukrywanie identyfikatorów sieci (SSID); Nieużywanie WEP i WPA w trybie PSK; Stosowanie bezpiecznych protokołów https, sftp, ssh; Skonfigurowanie środowiska do stosowania VPN; Stosowanie 802.1x i obustronnego uwierzytelniania, jeśli to tylko mozliwe; Uruchomienie systemu IDS w otoczeniu szczególnie ważnych AP; Bluetooth Standard IEEE , znany jako Bluetooth, definiuje metody komunikacji bezprzewodowej w sieciach WPAN (Wireless Personal Area Networks). Sieci WPAN są używane do przesyłania informacji na małe odległości w obrębie małej, zaufanej grupy urządzeń członków grupy. W przeciwieństwie do WLAN, połączenie w obrębie WPAN nie używa prawie żadnej infrastruktury do połączenia się ze światem zewnętrznym. Dzięki temu można używać małych i tanich rozwiązań. Minisieć Bluetooth (piconet) Bluetooth ma typowy zasięg rzędu kilku metrów, ale pewne urządzenia umożliwiają komunikację na odległości rzędu 100m. Pojawiły się

21 doniesienia o pokonaniu odległości 1.5 km. To świadczy o tym, że komunikacja Bluetooth może być jednak narażona na ataki. Protokół Bluetooth ma 3 tryby pracy: Brak wymuszenia aktywnego zabezpieczenia (tryb 1), Bezpieczeństwo usług (tryb 2), z dwoma pod-trybami: niezaufane urządzenie i zaufane urządzenie to ma dostęp do wszystkich usług, Bezpieczeństwo na poziomie urządzenia (tryb 3): o Usługi wymagają uwierzytelnienia i autoryzacji, o Usługi wymagają uwierzytelnienia, o Otwarte usługi (dla wszystkich urządzeń). Kombinacje zabezpieczenia trybów pracy dla układu Master-Slave W trybie 1 występuje brak zabezpieczeń i można go stosować w niekrytycznych aplikacjach. Obowiązkowe jest podtrzymywanie uwierzytelniania, ale wyzwanie nie będzie nigdy wysłane. Jeśli urządzenie wspiera szyfrowanie, powinno zażądać jego włączenia do pracy. W trybie 2 zapewniamy pewien poziom zabezpieczeń usług i aplikacje o różnych wymaganiach mogą pracować równolegle. Usługi stają się dostępne tylko dla autoryzowanych urządzeń. Reguły bezpieczeństwa są wymuszane podczas ustanawiania kanału (L2CAP) lub połączenia (np. SDP, RFCOMM). W trybie 3 mamy sytuacje podobną do tej w trybie 2 z tym wyjątkiem, że zabezpieczenia są badane przed ustanowieniem kanału. Menedżer połączeń LM (Link Manager) zapewnia jednolity poziom zabezpieczeń dla wszystkich usług. Możliwe są 2 tryby pracy: wymuszone uwierzytelnianie lub wymuszone uwierzytelnianie i szyfrowanie.

22 Podstawowe pojęcia dot. bezpieczeństwa w Bluetooth Model bezpieczeństwa w Bluetooth bazuje na kryptografii symetrycznej do uwierzytelniania, szyfrowania danych i generacji kluczy. Dwa urządzenia muszą najpierw przeprowadzić uwierzytelnianie na poziomie połączenia (link-level). Jako klucze szyfrujące (link-keys) są używane 128-bitowe, losowe wartości przypisane do każdej pary urządzeń. Te klucze są stosowane zarówno do uwierzytelniania Klucz szyfrujący dane jest wyprowadzony z tego klucza. Mamy kilka typów kluczy: Półtrwałe klucze (link keys): o Kombinacyjne wytworzone na podstawie danych dostarczonych przez dwa urządzenia; utrzymywane tylko przez te urządzenia; o Jednostkowe mogą być stosowane przez wiele urządzeń w tym samym czasie; wytwarzane przez urządzenie do stosowania z innymi urządzeniami. Tymczasowe (link keys) używane do komunikatów typu broadcast (bez uwierzytelniania); tylko członkowie minisieci mają ten klucz: o Inicjalizacyjne krótkoterminowe klucze tworzone i stosowane podczas konfigurowania współpracy dwóch urządzeń; o Główne (Master) do ustawienia środowiska przed wysłaniem zaszyfrowanego komunikatu typu broadcast w piconecie od mastera do slave ów. Szyfrujące: o Encryption Key (EK) główny klucz sterujący szyfrowaniem; o Obcięty EK (Constrained Encryption Key - CEK) wyprowadzony z EK i podlegający ograniczeniom prawnym; od 8 do 128 bitów długości; o Payload Key wyprowadzony z CEK; służy do inicjacji generatora klucza. Urządzenie będące w stanie połączenia akceptuje kontakty od wszystkich innych urządzeń. Stwarza to możliwość ataków typu DoS flood.

23 Ustanawianie połączenia Bluetooth

24 Gdy dwa urządzenia chcą wymienić dane, zaczynają proces konfiguracji. W tej fazie (pairing process) jest tworzony klucz połączenia (link key). Użytkownik musi manualnie wprowadzić PIN (do 128 bitów długości), często krótszy (ok. 4 cyfry). Niektóre urządzenia mają wbudowane numery PIN I wówczas uzgadnianie klucza przebiega automatycznie. Jest to jednak zagrożenie dla bezpieczeństwa jeśli napastnik uzyska dostęp do takiego PIN, będzie miał nieuprawniony dostęp do sieci! Klucz inicjalizacyjny jest generowany na podstawie PIN, które są sprawdzane pod kątem identyczności. Jeśli tak jest, to 128-bitowy klucz połączenia po wygenerowaniu jest przechowywany w obu urządzeniach. Ta faza nie musi być powtarzana, jeśli są nadal przechowywane klucze połączeniowe. Uwierzytelnianie (challenge-response) przebiega w jednym kierunku. Sprawdzający wysyła wyzwanie i sprawdza otrzymaną odpowiedź, która powinna być zaszyfrowana kluczem połączeniowym. W przypadku wzajemnego uwierzytelniania proces musi być powtórzony z zamianą ról. W celu ochrony przed atakami typu DoS, czas odstępu pomiędzy kolejnymi próbami uwierzytelniania narasta wykładniczo do pewnej wartości maksymalnej. Nowy klucz szyfrujący jest wytwarzany na podstawie klucza połączenia, dla każdej sesji inny. Klucz CEK zawsze będą miały 128 bitów, ale ich rzeczywista entropia waha się od 8 do 128 bitów. Szyfrowanie danych w Bluetooth odbywa się przy użyciu szyfru strumieniowego, zaimplementowanego sprzętowo. Klucz PK (inicjalizator generatora klucza szyfru strumieniowego) jest wytwarzany przy użyciu 4 ciągów: Adresu urządzenia BD_ADDR 48 bitów; Prywatny CEK (Constrained Encryption Key), od 8 do 128 bitów; Pseudolosowa liczba RAND, często zmieniana liczba 128-bitowa wytworzona przez urządzenie; Zegar 26 bitów. Klucz PK jest ładowany do generatora klucza szyfru strumieniowego w celu rozpoczęcia szyfrowania. Klucz szyfrujący jest sumowany (XOR) z tekstem jawnym lub szyfrogramem w celu wytworzenia, odpowiednio, szyfrogramu lub tekstu jawnego. Suma kontrolna CRC jest podawana na szyfrator razem z tekstem jawnym. Podobnie jak w , nagłówek pakietu nie jest szyfrowany.

25 Ataki na Bluetooth Stosunkowo niedojrzała technologia daje pewne możliwości ataków na protokół. Niektóre z nich są typowe dla wszystkich protokołów tej klasy (podsłuchiwanie i kryptoanaliza), a pozostałe możliwe dzięki niedoskonałościom implementacji. Podsłuchiwanie Bardzo rzadko zdarza się połączenie Bluetooth nieszyfrowane, ale dla szyfrowanych są możliwe różne ataki: Korelacyjne skupiają się na odkryciu stanu początkowego generatora klucza, z użyciem liczby operacji rzędu np do analizy 2 34 bitów. Układy równań nieliniowych również bardzo czasochłonne. Sabotaż na danych Atak podobny do podmiany bitów w sieciach Ponieważ w Bluetooth algorytmy używają funkcji XOR z użyciem jako argumentów bitów klucza i tekstu jawnego, to po przechwyceniu ramki można dodać do niej modulo 2 wybrany specjalnie ciąg bitów. Algorytm CRC ma liniowy charakter, więc te zmiany nie będą zauważalne. Możliwy jest także atak brutalny (jak zawsze). Szanse na niewykrycie zmiany wynoszą 2-16, co jest wartością znaczącą. Ponadto podczas takiego ataku znacząco spadnie przepustowość sieci. Ataki typu Denial of Service Wiele urządzeń blokuje się i wchodzi w stan ponownej inicjalizacji po otrzymaniu zniekształconej wiadomości (np. Nokia 6310i). Nie można nad tym zapanować, tak więc atak jest niezwykle skuteczny. Typowym atakiem jest BlueSmack, korzystający z funkcji echo protokołu L2CAP. Zniekształcona wiadomość przesłana do urządzenia ofiary powoduje przepełnienie bufora. SNARF Niektóre urządzenia pozwalają zewnętrznym użytkownikom na dołączenie się do Bluetooth bez ostrzeżenia o tym właściciela urządzenia. Dzięki temu można wykraść niekiedy wartościowe dane zawartość książki numerów, kalendarza, a nawet numer IMEI urządzenia. Ponadto zmodyfikowane dane mogą być odesłane z powrotem do urządzenia mobilnego bez pozostawienia jakiegokolwiek śladu ingerencji. Lekarstwem jest ograniczenie widzialności urządzenia.

26 Bluetooth Backdoor Ten atak jest przeprowadzany podczas nawiązywania połączenia. Po udanym nawiązaniu łączności informacja o nim jest wymazywana z pamięci ofiary, ale klucz pozostaje zachowany w bazie danych. Od tego momentu napastnik może swobodnie wnikać do urządzenia ofiary bez ostrzeżenia. W ten sposób mogą być także infiltrowane zaufane usługi takie jak modemy i bramy WAP/Internet. Bluebug Atak polega na utworzeniu połączenia dla łącza szeregowego, dającego dostęp do zestawu poleceń typu AT. To pozwala napastnikowi na prawie pełne przejęcie funkcji telefonu: wysyłanie SMS-ów, prowadzenie rozmów, zarządzanie połączeniami, dostęp do usług i bram, a nawet obserwowanie połączeń GSM w zasięgu urządzenia. Bluejacking Bluejacking oznacza działanie, w którym napastnik zmyślnie przekonuje właściciela urządzenia, aby ustanowił połączenie z urządzeniem atakującego. Scenariusz opiera się na poziomie naiwności ofiary. Po ustanowieniu połączenia są wyświetlane nazwy urządzeń. Przeznaczone na to pole może mieć do 248 znaków, tak więc wiele ludzi machinalnie mogą wpisać swój numer PIN po ujrzeniu komunikatu do tego zachęcającego (typowy atak wykorzystujący psychoanalizę). Wirusy Wirusy I robaki stanowią poważne zagrożenie dla sieci Bluetooth. Ponieważ aktualizacja software urządzeń jest trudna, a oprogramowanie antywirusowe pochłania znaczne zasoby urządzenia, to mamy dość kłopotliwą sytuację. Jednym z popularnych wirusów w sieci Bluetooth jest Cabir, zaprojektowany dla telefonów komórkowych Symbian 60.

27 Inne wirusy typu Symbian: Skulls wirus typu trojan dla Symbian 60, udający aplikację Macromedia Flash Player; pozostawia kopię robaka Cabir i blokuje inne aplikacje; Lasco.A robak dla Symbian 60; replikuje się. Wysyłając pliki zawierające jego kod; MetalGear tez robak typu Cabir; udaje grę na urządzenia Symbian. Problemy związane z przechowywaniem kluczy Ujawnienie kluczy tajnych niesie duże zagrożenie dla ich właścicieli. Napastnik może podszyć się pod taką osobę, pod warunkiem, że zna adres urządzenia ofiary. Klucze Bluetooth są bardziej podatne na kradzież, bo niekiedy są przechowywane jawnie w plikach urządzeń takich jak PDA. Śledzenie urządzeń Osobiste urządzenie Bluetoot może pomóc hakerom lub przestępcom namierzyć jego właściciela. Najbardziej widocznym unikalnym identyfikatorem jest BD_ADDR. Okresowo urządzenie wysyła swój adres do sieci w ramach ramek FHS (Frequency Hop Synchronization). BD_ADDR ma 48 bitów długości i składa się z trzech części: mniej znacząca część adresu LAP (24 msb), bardziej znacząca część adresu (8 środkowych bitów) i część nieznacząca (16 lsb). Mniej znacząca część adresu jest podstawą do budowy kodów dostępu, przesyłanych na początku ramki. Przechwycone losowo ramki mogą pozwolić na identyfikację urządzenia i jego właściciela. Wyróżniamy kilka scenariuszy ataków. Podsumowanie Większość popularnych ataków w Bluetooth następuje w trybie poszukiwania urządzeń I nawiązywania połączenia. Częściowym lekarstwem jest przełączenie urządzenia na tryb blokujący jego poszukiwanie. Wówczas łączność jest możliwa tylko przy znajomości jego BD_ADDR. Jednak najbezpieczniej wyłączyć Bluetooth I nawiązywać połączenia tylko wtedy, gdy to jest niezbędne. Ważną kwestią jest wybór długiego kodu PIN.

28 Opis WiMax W 2001 r. opublikowano standard , zwany WiMax, który definiuje technologię metropolitarnych sieci bezprzewodowych (WMAN). Teoretyczna prędkość transmisji to 75Mb/s, a odległości pomiędzy stacjami mogą wynosić kilkanaście kilometrów. To świadczy o możliwości zastąpienia sieci przewodowych. Istnieją dwie wersje WiMax: starsza, stacjonarna wersja (2004) d, i Nowa wersja mobilna, ciągle rozwijana e. Protokół e (Mobile WiMax) ma szereg udoskonaleń w stosunku do normy d, a najbardziej znaczące to wsparcie mobilności, modulacja OFDMA do transmisji i zaawansowane techniki bezpieczeństwa włącznie z zarządzaniem kluczami PKMv2. Typowa sieć WiMax składa się z przynajmniej jednej stacji bazowej(bs) i wielu stacji klienckich SS (Subscriber Station). Protokół składa się z czterech warstw: fizyczna, podwarstwa MAC bezpieczeństwa, ogólna podwarstwa MAC (MAC CPS), i podwarstwa konwergencji MAC (MAC CS). Warstwa fizyczna dostarcza zunifikowanego interfejsu dla warstwy MAC. Warstwy protokołu

29 Podstawowe założenia dot.bezpieczeństwa Dla WiMax wyróżniamy 2 podstawowe protokoły bezpieczeństwa: protokół opakowujący (ecapsulation), który definiuje zestaw parametrów kryptograficznych uzgadnianych pomiędzy BS i SS (protokoły szyfrujące dane i uwierzytelniania oraz zasady ich stosowania); protokół zarządzania kluczami, definiujący metodę zarządzania kluczami podczas połączenia; w d jest stosowany PKMv1 (Privacy Key Management ver. 1) lub w e protokół PKMv2. Na poziomie MAC wykorzystuje się pojęcie Security Associations (SA), używane do ustanowienia komunikacji pomiędzy BS i SS. Obejmuje ono klucze szyfrujące ruch (TEK Traffic Encryption Key) i wartości IV dla szyfrów. W standardzie zdefiniowano trzy typy SA: Główne (Primary) SA: unikalne dla każdego SS; ustanowione podczas inicjalizacji SS; identyfikator SA (SAID) ma wartość ustawioną w korelacji z identyfikatorem połączenia (CID) w którym SS działa; Statyczne SA: używany do celów wewnętrznych BS; Dynamiczne SA: tworzone i niszczone razem ze zmianami w ruchu (komunikacji, połączeniach). Klucze przypisane BS i związane z danym SA mają ograniczony czas ważności i SS powinien ubiegać się o nowe klucze przed upłynięciem tego czasu. PKMv1 PKM protokół zarządzania kluczami pomiędzy BS i SS obejmuje okresową ponowną autoryzację i odświeżenie klucza. W PKM korzysta się z certyfikatów X.509 i szyfrowania 3DES w architekturze klient-serwer, gdzie BS jest serwerem, a SS klientem. Najpierw ustanawiany jest współdzielony tajny klucz AK (Authorization Key) pomiędzy BS i SS, używany do wymiany i odświeżania kluczy TEK. Każda stacja SS ma certyfikat typu X.509 wydany przez wytwórcę sprzętu i związany z numerem urządzenia. Klucz publiczny RSA z tego certyfikatu jest bezpośrednio wbudowany w sprzęt, razem z dodatkowymi informacjami takimi jak adres MAC, numer seryjny i identyfikator producenta. Po otrzymaniu kopii certyfikatu urządzenia SS stacja bazowa BS sprawdza jego składnię i wysyła klucz AK zaszyfrowany kluczem publicznym SS. Stacja SS używa następnie swego klucza prywatnego do odszyfrowania AK. Przechwycenie tej wiadomości nie zagraża niczemu, ponieważ tylko SS dysponuje odpowiednim kluczem prywatnym. Wbudowanie klucza

30 prywatnego w sprzęcie zapobiega kradzieży tożsamości. Przestrzeń AK ma 16 pozycji, ponieważ nr AK w wiadomościach MAC ma 4 bity. BS stara się utrzymać dwa klucze AK w danym czasie w celu podtrzymania synchronizacji. Zarządzanie kluczem AK pomiędzy BS i SS W następnej fazie klucze TEK musi uzyskać SS. Każdy z ciągów SAID włączonych w komunikacie autoryzacyjnym z BS buduje nowy stan generatora TEK w SS. Każda z tych maszyn zarządza materiałem klucza dla odpowiedniego SAID (włączając odświeżanie). Aby uzyskać klucze

31 TEK, SS używa stosownej wiadomości zawierającej, m.in., ciąg SAID dla którego żąda klucza i skrót wiadomości HMAC, uwierzytelniający to żądanie. BS sprawdza skrót HMAC i w wypadku zgodności wysyła nowy materiał klucza do SS, włączając TEK (chroniony za pomocą szyfrowania 3DES), wektor IV dla trybu CBC, sekwencje klucza dla przesyłanego TEK i jego okres ważności. Szyfrowanie 3-DES używa klucza KEK (Encryption Key), wyprowadzonego z ciągu AK. Zarządzanie kluczami TEK pomiędzy SS i BS Klucze AK i TEK mają nachodzące na siebie okresy ważności, aby umożliwić przejście od starego materiału klucza do nowego. Przełączenie AK jest względnie proste, ponieważ wiadomości zaszyfrowane kluczem AK wędrują w jednym kierunku - od BS do SS. Klucz TEK jest używany do szyfrowania obustronnej komunikacji, więc przełączanie kluczy jest bardziej złożone.

32 Wybrane problemy związane z protokołem PKMv1 1. W PKMv1 korzysta się z DES i 3-DES. 3-DES można uznać za całkiem bezpieczny, natomiast DES został złamany. 2. Ponadto w protokole PKMv1 brakuje uwierzytelniania BS. Każdy użytkownik dysponujący odpowiednim sprzętem może zbudować fałszywą stacje bazową BS. 3. Możliwe jest także przeprowadzenie wielu typów ataków powtórzeniowych na PKMv1. Szczególnie komunikaty zarządzające w żaden sposób nie są przed nimi zabezpieczone. 4. Funkcja HMAC to SHA-1, która to jest jednak podatna na ataki kolizyjne. Na szczęście skróty są wyliczane na podstawie kluczy wyprowadzonych z kluczy AK, które maja losowy charakter. 5. Innym problemem jest mała wydajność algorytmu 3-DES, szczególnie w porównaniu z AES. 6. Możliwe jest także przeprowadzenie wielu ataków typu DoS. PKMv2 PKMv2 to znacznie poprawiona wersja protokołu PKM. Najbardziej znaczącą zmianą jest użycie AES w trybie CCM (Counter Mode Cipher Block Chaining Message Authentication Code) do wszystkich szyfrowań. Tryb CCM specjalnie zaprojektowano do pakietowej transmisji danych. Wątpliwej jakości protokół HMAC zastąpiono CMAC (Cipher based Message Authentication Code). Ponadto jest możliwe obustronne uwierzytelnienie SS i BS. Procesy uwierzytelniania i autoryzacji zostały rozdzielone, dając lepszy margines bezpieczeństwa. Uwierzytelnianie bazuje na protokole EAP. Użytkownicy mogą także wybrać RSA do uwierzytelniania.