Bezpiecze nstwo systemów komputerowych Igor T. Podolak

Transkrypt

1 Wykład 12 Wireless Fidelity główne slajdy 21 grudnia 2011 i, WPA, WPA2 Instytut Informatyki Uniwersytet Jagielloński 12.1

2 Wireless Personal Area Network WPAN Bluetooth, IrDA, HomeRF, etc. niska moc, przepustowość i obszar Wireless Local Area Network WLAN protokół średnia moc, średni obszar Wireless Local Area Network WLAN telefonia komórkowa, GSM, GPRS sieci Worldwide Interoperability for Microwave Access WiMAX duży obszar przepustowość zależna od technicznych możliwości, raczej niska i, WPA, WPA2 zwykle profesjonaliści IT nie znaj a się na elektronice i radiu możliwe jest przejście egzaminu Certified Wireless Network Professional, np. htp:// 12.2

3 protokoły podobieństwo do Ethernetu sygnał przesyłany bezprzewodowo w warstwie 1 protokół odpowiada warstwie 2 2 możliwe topologie infrastructure połaczenia przez punkty dostępowe Access Point AP ad hoc gdy urzadzenia łacz a się między soba bezpośrednio 2.4 GHz lub 5 GHz, przy różnej modulacji podział na kanały (nakładajace się lub nie) 14 kanałów, w Europie wykorzystywanych 13, w USA 11, w Japonii 14, każdy o szerokości 22 MHz każdy i, WPA, WPA2 12.3

4 rodzina protokołów wykorzystanie niekoncesjonowanych częstotliwości oryginalny, 1997 oryginalnie w planie podczerwień b pierwszy w powszechnym użyciu zakres kilkudziesięciu metrów z użyciem anten kierunkowych nawet ponad 100 km w otwartej przestrzeni a większa przepustowość, ale większe zużycie mocy g stosunkowo duża przepustowość i standard bezpieczeństwa y rozszerzenie oryginalnego z większa prędkościa n nowy proponowany standard w nowe proponowane rozszerzenia dla bezpieczeństwa szersze kanały z możliwościa łaczenia bardzo duża przepustowość i, WPA, WPA2 12.4

5 n podstawa sieci WAN opartych na bezprzewodowej komunikacji szersze kanały dla znacznie większej przepustowości dwukrotnie większy zasięg niż g możliwość łaczenia kanałów dla większej przepustowości trudne dla 2.4GHZ gdzie tylko 3 nie nakładajace się kanały równocześnie scalanie możliwe dla 5GHz n dla obu częstotliwości jednoczesna transmisja wielu strumieni danych zjawisko zakłócajace dotychczas w n pozwala na kilkukrotne przyspieszenie agregacja ramek opóźnienia wynikajace z konieczności uzyskania dostępu protokół będzie łaczył większa liczbę ramek nawet do Mbit/s standard zatwierdzony w 2009 roku do pełnego wprowadzenia standardu konieczność pracy w trybie mieszanym b/g w paśmie 2.4 GHz n w paśmie 5 GHz i, WPA, WPA2 12.5

6 Możliwa polityka bezpieczeństwa możliwe podejścia do bezpieczeństwa nie zabezpieczać zabezpieczać protokoły wyższych poziomów dowolne dziury pozwola na włamania zabezpieczyć sama warstwę filtrowanie MAC? łatwe do obejścia, tylko zabezpieczenie przed przypadkowymi łaczami ukrywanie SSID? sensowne programy (kismet) i tak sobie radza, spowalnia SSID jest przesyłane otwartym tekstem w odpowiedzi na żadanie klienta szyfrowanie!, WPA uwierzytelnianie niebezpieczeństwa kradzież pasma atak na system wewnatrz zapory ogniowej kradzież informacji i, WPA, WPA2 12.6

7 Wired Equivalency Protocol oryginalnie zdefiniowany w 1997 roku, jako standard w 1999 nie był zaprojektowany przez specjalistów kryptografii 4 dzielone klucze musza być zdefiniowane, ale moga być identyczne fazy uwierzytelniania i kodowania szyfr strumieniowy RC4 64- lub 128-bitowy klucz 40/108 bitów klucza dzielonego plus 24 bity wektora inicjalizujacego IV IV zbyt krótki wciaż sa generowane kolizje wektor inicjalizujacy musi być przesyłany w każdej ramce w jawnej postaci powinien się zwiększać w każdej ramce, ale standard nie wymusza tego (opcjonalne) pakiet składa się z i, WPA, WPA2 {IV numer klucza zaszyfrowane dane ICV } zaszyfrowane dane = {dane ICV (dane)} {RC4(klucz) IV } 12.7

8 schemat szyfrowania i, WPA, WPA2 {IV numer klucza zaszyfrowane dane ICV } zaszyfrowane dane = {dane ICV (dane)} {RC4(klucz) IV } 12.8

9 uwierzytelnianie i szyfrowanie sprawdzenie, czy klient posiada tajemnicę (klucz) Klient AP żadanie uwierzytelnienia AP Klient 128 bajtowy challenge Klient AP odpowiedź zakodowana posiadanym kluczem ten sam klucz służy do uwierzytelniania i późniejszego szyfrowania niedobre rozwiazanie i, WPA, WPA2 dane XOR-owane z wygenerowanym przez PRGA łańcuchem bajtów 12.9

10 słabości słabość generatora RC4 dzielenie kluczy i postać klucza przy odejściu użytkownika praktycznie trzeba zredefiniować klucze klucz jest zbyt krótki (zaszłości ze względu na ograniczenia eksportowe z USA) ten sam klucz przy uwierzytelnianiu i szyfrowaniu podsłuchanie niedużej liczby pakietów wystarcza do kryptoanalizy słabości algorytmu obliczania sumy kontrolnej ICV zwykły algorytm CRC-32 algorytm jest w rzeczywistości linearny zbyt krótki IV i, WPA, WPA

11 Ataki możliwe podejście atakujacego podsłuchuje wymianę pakietów między AP a klientami zapamiętuje kilkaset pakietów retransmituje je aż któryś generuje odpowiedź (ARP, ping, SYN ACK, etc.) zalewa AP aż zbierze wystarczajaco dużo pakietów dla złamania klucza wybiera ten sam komunikat, np. żadanie ARP o znanej długości i postaci w krótkim czasie dostaje ten sam komunikat zaszyfrowany przy pomocy różnych IV konieczna ochrona przed odgrywaniem aircrack, airsnort, kismet i, WPA, WPA

12 i ma wiele słabości nie zabezpiecza przed fałszowaniem pakietów słaby ICV brak zabezpieczeń przez odgrywaniem (replay) pakietów RC4 użyty w sposób umożliwiajacy wykorzystanie słabych kluczy wektory inicjalizacyjne powtarzaja się oprogramowanie nie może być zbyt złożone ze względu na sprzęt RC4 jest zwykle implementowany sprzętowo i łata wiele dziur MIC zamiast CRC algorytm wybierania wektorów inicjalizacyjnych wstępnie dzielony klucz dla generacji kluczy dla każdego pakietu wymiana kluczy zamiana RC4 na / AES bezpieczniejsze użycie IV definiuje przejściowa architekturę dla koegzystencji i nowego systemu dla swobodnej wymiany sprzętu i, WPA, WPA

13 802.1X i, WPA, WPA

14 WPA2 1 supplicant AP: ustalenie zasad bezpieczeństwa czy klucz przez 802.1X czy dzielony (PSK, Pre-Shared Key) protokół bezpieczeństwa dla wymiany komunikatów (, inne) 2 supplicant serwer: uwierzytelnianie 802.1x wymiana komunikatów uwierzytelniania wstęp dla wygenerowania klucza głównego (MK, Master Key) 3a supplicant AP: wygenerowanie klucza i instalacja 3b AP serwer: instalacja klucza przez serwer 4-way handshake dla generacji klucza głównego (Master) z frazy zdaniowej jeśli użyty klucz wstępny (Pre-Shared Key) z klucza głównego serwera uwierzytelniania, jeśli uwierzytelnianie 802.1X generacja klucza ulotnego (Pairwise Transient Key) generacja 4 kluczy właściwych kluczy i ich instalacja 4 supplicant AP: wymiana danych i ich potwierdzenie wykorzystanie odpowiedniego protokołu dla szyfrowania i kontroli integralności (Temporal Key Integrity Protocol), lub CCMP (Counter mode/cipher block Message authentication Protocol), lub WRAP (Wireless Robust Authentication Protocol) i, WPA, WPA

15 Generacja kluczy i, WPA, WPA

16 four way handshake przed wymiana kluczy konieczne zapoznanie klienta z AP przez EAP (Extensible Authentication Protocol) AP klient APnonce nie szyfrowane kolejna wiadomość zależy od niej klient AP Cnonce nonce klienta wysyłany w ramce z MIC obliczonym na podstawie także APnonce wykorzystywany także PMK uwierzytelnia klienta AP klient potwierdzenie AP po odczytaniu poprzedniej ramki generuje klucze tymczasowe uwierzytelnia AP przed klientem klient AP potwierdzenie instalacji kluczy klient instaluje wygenerowane klucze wysyła potwierdzenie i, WPA, WPA2 po otrzymaniu komunikatu AP też instaluje klucze 12.16

17 Pairwise Master Key PMK klucz główny 256 bitowy wstępnie dzielony wprowadzany bezpieczna droga (Pre-Shared), albo generowany przez serwer 802.1X nigdy nie wykorzystywany bezpośrednio do szyfrowania czy kontroli integralności z PMK tworzony klucz ulotny Pairwise Transient Key (PTK) do szyfrowania kodów MIC szyfrowania danych kontroli integralności protokółu Extensible Authentication EAP szyfrowania informacji EAP dla niepowtarzalności algorytm generowania kluczy wykorzystuje nonce i, WPA, WPA2 także Group Transient Keys GTK dla informacji typu broadcast AP generuje Group Master Key GMK wykorzystujac funkcje haszujace z GMK generuje klucze GTK klucze GTK rozsyła do stacji podpisane starym kluczem 12.17

18 Temporal Key Integrity Protocol lepszy algorytm kontroli integralności kontrola wyboru IV, IV jako licznik pakietów, kontrola modyfikacji IV mieszanie kluczy pomiedzy pakietami przy każdym połaczeniu generowany jest nowy klucz bazowy czasowy klucz (temporal) zastępuje klucz ma ograniczony czas życia z klucza czasowego generowany jest inny klucz dla każdego pakietu faza 1: klucz szyfrowania + MAC klienta + 32 wyższe bity IV faza 2: wyjście z fazy 1 + niższe 16 bitów IV i, WPA, WPA2 łaczy MAC klienta i klucz czasowy poprzez XOR i mieszanie tworzac klucz tymczasowy klucz tymczasowy jest kodowany struktura typu Feistela (L, R) (R, f (L)) wygenerowane 128 bitów może być użyte przez istniejacy sprzęt wyklucza bity słabych kluczy wszystkie operacje możliwe do wykonania przez rotacje, przesuniecia, etc. brak dowodów, ale bliższy optymalnemu 12.18

19 lepszy kod kontrolny dla Message Integrity Code MIC zamiast ICV algorytm Michael depełnienie tekstu do wielokrotności 32 bitów i podział na n słów klucz 64-bitowy (K0, K1) (L, R) <- (K0, K1); for(i = 1; i <= n; i++) { L <- L xor M_i; (L, R) <- b(l, R); } return (L, R) b() jest prosta funkcja rotacji i wymian bitów zmiana jednego bitu danych powoduje zmianę wielu MIC (lawinowość) Michael wymaga 2 20 obliczeń dla złamania bardzo wydajny obliczeniowo jeśli więcej niż 2 błędy na minutę (np. powtarzajacych się MIC) 60 sekund wyłaczenia systemu ( blackout ) wymuszenie utworzenia nowych kluczy PTK i, WPA, WPA

20 wymuszanie sekwencji wektorów inicjalizacyjnych MIC nie wykryje odgrywania pakietów standardowa strategia zwiazać numer sekwencyjny pakietu z wartościa MIC reinicjalizować numery sekwencji przy zmianie klucza MIC konieczne akcje przy powtórzeniu numeru sekwencyjnego zmiana klucza MIC, albo zakończenie transmisji używa 56-bitowego IV jako numeru sekwencji dodane 32 bity pierwszy bajt pominięty ze względu na możliwość ataku efektywnie 48 bitów potrzebne lata na powtórzenie IV inicjalizowany na 0 przy nowym kluczu IV inkrementowany przy każdym nowym pakiecie odebrany pakiet z numerem nie w sekwencji jest traktowany jako odegrany i odrzucany każdy klucz jest różny ze względu na użycie numeru sekwencyjnego jako IV i, WPA, WPA

21 wymiana kluczy klucze musza być wymieniane co ok pakietów miedzy klientem a AP w infrastrukturze sa 3 typy kluczy klucze tymczasowe (temporal) klucze kodujace klucze klucze główne (master) i, WPA, WPA2 co ustalona liczbę pakietów rozsyłane sa informacje potrzebne do generacji kolejnych kluczy za pomoca specjalnych komunikatów klucz główny jest dzielony między AP a stacja uwierzytelniajac a klucz główny jest ustalany przy uwierzytelnianiu 12.21

22 Protokoły CCMP i WRAP CCMP Counter mode / Cipher block chaining Message authentication Protocol oparty na AES ten sam klucz do szyfrowania i uwierzytelniania ale różne wektory inicjalizacyjne tryb licznikowy CBC dla wygenerowania MIC WRAP Wireless Robust Authentication Protocol też AES wykorzystuje tryb OCB (Offset Codebook Mode) szyfrowanie i generowanie MIC w jednym przebiegu pierwszy wybór grupy i porzucony ze względu na prawa autorskie i, WPA, WPA