Podstawy bezpieczeństwa w sieciach bezprzewodowych

Transkrypt

1 1 Podstawy bezpieczeństwa w sieciach bezprzewodowych Protokół WEP - sposób działania, możliwe ataki, możliwe usprawnienia, następcy Filip Piękniewski, Wydział Matematyki i Informatyki UMK, członek IEEE

2 2 Sieci bezprzewodowe X X X X

3 2 Sieci bezprzewodowe X X X X ) ( ha ha!

4 2 Sieci bezprzewodowe X X X X ) ( ha ha!

5 3 WEP - historia WEP - Wired Equivalent Privacy - jest częścią standardu IEEE

6 3 WEP - historia WEP - Wired Equivalent Privacy - jest częścią standardu IEEE Został ratyfikowany w 1999 roku

7 3 WEP - historia WEP - Wired Equivalent Privacy - jest częścią standardu IEEE Został ratyfikowany w 1999 roku W 2001 roku wykazano słabości algorytmu RC4 używanego przez WEP [Scott R. Fluhrer, Itsik Mantin, Adi Shamir, "Weaknesses in the Key Scheduling Algorithm of RC4". Selected Areas in Cryptography 2001: pp1 24.]

8 3 WEP - historia WEP - Wired Equivalent Privacy - jest częścią standardu IEEE Został ratyfikowany w 1999 roku W 2001 roku wykazano słabości algorytmu RC4 używanego przez WEP [Scott R. Fluhrer, Itsik Mantin, Adi Shamir, "Weaknesses in the Key Scheduling Algorithm of RC4". Selected Areas in Cryptography 2001: pp1 24.] W 2003 wskazano na liczne słabości samego WEP [Nancy Cam- Winget, Russell Housley, David Wagner, Jesse Walker: Security flaws in data link protocols. Communications of the ACM 46(5): (2003)]

9 3 WEP - historia WEP - Wired Equivalent Privacy - jest częścią standardu IEEE Został ratyfikowany w 1999 roku W 2001 roku wykazano słabości algorytmu RC4 używanego przez WEP [Scott R. Fluhrer, Itsik Mantin, Adi Shamir, "Weaknesses in the Key Scheduling Algorithm of RC4". Selected Areas in Cryptography 2001: pp1 24.] W 2003 wskazano na liczne słabości samego WEP [Nancy Cam- Winget, Russell Housley, David Wagner, Jesse Walker: Security flaws in data link protocols. Communications of the ACM 46(5): (2003)] W 2005 zademonstrowano złamanie klucza WEP publicznie dostępnymi narzędziami

10 4 Schemat WEP - szyfrowanie Initialization Vector (24 bit) Key (40 or 104 bit) DATA + CRC32 IV + Key (64 or 128 bit) XOR Encrypted DATA Key Scheduling Algorithm RC4 Cipher Pseudo Random Number Genrator Initialization Vector Encrypted DATA Output

11 4 Schemat WEP - szyfrowanie Initialization Vector (24 bit) Key (40 or 104 bit) DATA + CRC32 IV + Key (64 or 128 bit) XOR Encrypted DATA Key Scheduling Algorithm RC4 Cipher Pseudo Random Number Genrator Initialization Vector Encrypted DATA Output

12 4 Schemat WEP - szyfrowanie Initialization Vector (24 bit) Key (40 or 104 bit) DATA + CRC32 IV + Key (64 or 128 bit) XOR Encrypted DATA Key Scheduling Algorithm RC4 Cipher Pseudo Random Number Genrator Initialization Vector Encrypted DATA Output

13 4 Schemat WEP - szyfrowanie Initialization Vector (24 bit) Key (40 or 104 bit) DATA + CRC32 IV + Key (64 or 128 bit) XOR Encrypted DATA Key Scheduling Algorithm RC4 Cipher Pseudo Random Number Genrator Initialization Vector Encrypted DATA Output

14 4 Schemat WEP - szyfrowanie Initialization Vector (24 bit) Key (40 or 104 bit) DATA + CRC32 IV + Key (64 or 128 bit) XOR Encrypted DATA Key Scheduling Algorithm RC4 Cipher Pseudo Random Number Genrator Initialization Vector Encrypted DATA Output

15 4 Schemat WEP - szyfrowanie Initialization Vector (24 bit) Key (40 or 104 bit) DATA + CRC32 IV + Key (64 or 128 bit) XOR Encrypted DATA Key Scheduling Algorithm RC4 Cipher Pseudo Random Number Genrator Initialization Vector Encrypted DATA Output

16 4 Schemat WEP - szyfrowanie Initialization Vector (24 bit) Key (40 or 104 bit) DATA + CRC32 IV + Key (64 or 128 bit) XOR Encrypted DATA Key Scheduling Algorithm RC4 Cipher Pseudo Random Number Genrator Initialization Vector Encrypted DATA Output

17 4 Schemat WEP - szyfrowanie Initialization Vector (24 bit) Key (40 or 104 bit) DATA + CRC32 IV + Key (64 or 128 bit) XOR Encrypted DATA Key Scheduling Algorithm RC4 Cipher Pseudo Random Number Genrator Initialization Vector Encrypted DATA Output

18 5 Schemat WEP - deszyfrowanie Initialization Vector Encrypted DATA Input Encrypted DATA Initialization Vector Key IV + Key (64 or 128 bit) XOR DATA + CRC32 Key Scheduling Algorithm Pseudo Random Number Genrator GOOD DATA CRC OK? BAD DATA RC4 Cipher

19 5 Schemat WEP - deszyfrowanie Initialization Vector Encrypted DATA Input Encrypted DATA Initialization Vector Key IV + Key (64 or 128 bit) XOR DATA + CRC32 Key Scheduling Algorithm Pseudo Random Number Genrator GOOD DATA CRC OK? BAD DATA RC4 Cipher

20 5 Schemat WEP - deszyfrowanie Initialization Vector Encrypted DATA Input Encrypted DATA Initialization Vector Key IV + Key (64 or 128 bit) XOR DATA + CRC32 Key Scheduling Algorithm Pseudo Random Number Genrator GOOD DATA CRC OK? BAD DATA RC4 Cipher

21 5 Schemat WEP - deszyfrowanie Initialization Vector Encrypted DATA Input Encrypted DATA Initialization Vector Key IV + Key (64 or 128 bit) XOR DATA + CRC32 Key Scheduling Algorithm Pseudo Random Number Genrator GOOD DATA CRC OK? BAD DATA RC4 Cipher

22 5 Schemat WEP - deszyfrowanie Initialization Vector Encrypted DATA Input Encrypted DATA Initialization Vector Key IV + Key (64 or 128 bit) XOR DATA + CRC32 Key Scheduling Algorithm Pseudo Random Number Genrator GOOD DATA CRC OK? BAD DATA RC4 Cipher

23 5 Schemat WEP - deszyfrowanie Initialization Vector Encrypted DATA Input Encrypted DATA Initialization Vector Key IV + Key (64 or 128 bit) XOR DATA + CRC32 Key Scheduling Algorithm Pseudo Random Number Genrator GOOD DATA CRC OK? BAD DATA RC4 Cipher

24 5 Schemat WEP - deszyfrowanie Initialization Vector Encrypted DATA Input Encrypted DATA Initialization Vector Key IV + Key (64 or 128 bit) XOR DATA + CRC32 Key Scheduling Algorithm Pseudo Random Number Genrator GOOD DATA CRC OK? BAD DATA RC4 Cipher

25 6 Algorytm RC4 KSA for i from 0 to 255 S[i] := i j := 0 for i from 0 to 255 j := (j + S[i] + key[i mod keylength]) mod 256 swap(s[i],s[j]) PRNG i := 0 j := 0 while GeneratingOutput: i := (i + 1) mod 256 j := (j + S[i]) mod 256 swap(s[i],s[j]) output S[(S[i] + S[j]) mod 256]

26 7 Algorytm RC4 i := (i + 1) mod 256 j := (j + S[i]) mod S[i]+S[j] i j S output=s[s[i]+s[j] mod 256]

27 8 Problemy z WEPem Klucz jest jednakowy dla wszystkich użytkowników

28 Problemy z WEPem Klucz jest jednakowy dla wszystkich użytkowników Wektor inicjujący powinien być inny dla każdego pakietu, powinien mieć w miarę losowe bity. Wiele urządzeń te zalecenia ignoruje, karty sieciowe często inkrementują wartości wektora zaczynając od zera po każdym zresetowaniu karty Filip Piękniewski

29 Problemy z WEPem Klucz jest jednakowy dla wszystkich użytkowników Wektor inicjujący powinien być inny dla każdego pakietu, powinien mieć w miarę losowe bity. Wiele urządzeń te zalecenia ignoruje, karty sieciowe często inkrementują wartości wektora zaczynając od zera po każdym zresetowaniu karty Nawet gdyby wektor inicjujący był wyznaczany losowo dla każdego pakietu, to średnio po 5000 pakietów powinien się powtórzyć (paradoks dnia narodzin) Filip Piękniewski

30 Problemy z WEPem Klucz jest jednakowy dla wszystkich użytkowników Wektor inicjujący powinien być inny dla każdego pakietu, powinien mieć w miarę losowe bity. Wiele urządzeń te zalecenia ignoruje, karty sieciowe często inkrementują wartości wektora zaczynając od zera po każdym zresetowaniu karty Nawet gdyby wektor inicjujący był wyznaczany losowo dla każdego pakietu, to średnio po 5000 pakietów powinien się powtórzyć (paradoks dnia narodzin) Posiadanie dwóch pakietów zakodowanych tą samą sekwencją kluczową pozwala poznać ich różnicę symetryczną. Mając kolekcję takich pakietów, można je poddać analizie statystycznej Filip Piękniewski

31 Problemy z WEPem Klucz jest jednakowy dla wszystkich użytkowników Wektor inicjujący powinien być inny dla każdego pakietu, powinien mieć w miarę losowe bity. Wiele urządzeń te zalecenia ignoruje, karty sieciowe często inkrementują wartości wektora zaczynając od zera po każdym zresetowaniu karty Nawet gdyby wektor inicjujący był wyznaczany losowo dla każdego pakietu, to średnio po 5000 pakietów powinien się powtórzyć (paradoks dnia narodzin) Posiadanie dwóch pakietów zakodowanych tą samą sekwencją kluczową pozwala poznać ich różnicę symetryczną. Mając kolekcję takich pakietów, można je poddać analizie statystycznej CRC32 jest kodem liniowym. Atakujący może negować bity w zaszyfrowanym tekście, jednocześnie odpowiednio modyfikować zaszyfrowaną sumę kontrolną Filip Piękniewski

32 9 Pasywny atak na WEP KSA w algorytmie RC4 posiada wiele słabości

33 9 Pasywny atak na WEP KSA w algorytmie RC4 posiada wiele słabości Znając początkowy fragment sekwencji kluczowej można wiele wywnioskować na temat początkowej permutacji

34 9 Pasywny atak na WEP KSA w algorytmie RC4 posiada wiele słabości Znając początkowy fragment sekwencji kluczowej można wiele wywnioskować na temat początkowej permutacji Odkrycie początkowej permutacji jest jeszcze łatwiejsze gdy znamy fragment klucza (wektor inicjujący)

35 9 Pasywny atak na WEP KSA w algorytmie RC4 posiada wiele słabości Znając początkowy fragment sekwencji kluczowej można wiele wywnioskować na temat początkowej permutacji Odkrycie początkowej permutacji jest jeszcze łatwiejsze gdy znamy fragment klucza (wektor inicjujący) Mając zestaw informacji o początkowej permutacji dla kilku znanych fragmentów klucza pozwala wydobyć informację o kolejnych bajtach klucza

36 9 Pasywny atak na WEP KSA w algorytmie RC4 posiada wiele słabości Znając początkowy fragment sekwencji kluczowej można wiele wywnioskować na temat początkowej permutacji Odkrycie początkowej permutacji jest jeszcze łatwiejsze gdy znamy fragment klucza (wektor inicjujący) Mając zestaw informacji o początkowej permutacji dla kilku znanych fragmentów klucza pozwala wydobyć informację o kolejnych bajtach klucza Im więcej bajtów klucza znamy, tym łatwiej wydobyć następne!!!

37 10 Pasywny atak na WEP Zbieramy dużą ilość pakietów (szczególnie interesujące są kolizje wektorów IV)

38 10 Pasywny atak na WEP Zbieramy dużą ilość pakietów (szczególnie interesujące są kolizje wektorów IV) Poddajemy zebrany materiał analizie statystycznej, wydobywamy początkowe fragmenty strumienia szyfrującego dla różnych IV

39 10 Pasywny atak na WEP Zbieramy dużą ilość pakietów (szczególnie interesujące są kolizje wektorów IV) Poddajemy zebrany materiał analizie statystycznej, wydobywamy początkowe fragmenty strumienia szyfrującego dla różnych IV Odtwarzamy kolejne fragmenty klucza WEP na podstawie wczesnych stanów permutacji

40 10 Pasywny atak na WEP Zbieramy dużą ilość pakietów (szczególnie interesujące są kolizje wektorów IV) BANALNE Poddajemy zebrany materiał analizie statystycznej, wydobywamy początkowe fragmenty strumienia szyfrującego dla różnych IV Odtwarzamy kolejne fragmenty klucza WEP na podstawie wczesnych stanów permutacji

41 10 Pasywny atak na WEP Zbieramy dużą ilość pakietów (szczególnie interesujące są kolizje wektorów IV) BANALNE Poddajemy zebrany materiał analizie statystycznej, wydobywamy początkowe fragmenty strumienia szyfrującego dla różnych IV PROSTE Odtwarzamy kolejne fragmenty klucza WEP na podstawie wczesnych stanów permutacji

42 10 Pasywny atak na WEP Zbieramy dużą ilość pakietów (szczególnie interesujące są kolizje wektorów IV) BANALNE Poddajemy zebrany materiał analizie statystycznej, wydobywamy początkowe fragmenty strumienia szyfrującego dla różnych IV PROSTE Odtwarzamy kolejne fragmenty klucza WEP na podstawie wczesnych stanów permutacji ELEMENTARNE

43 Pasywny atak na WEP Wymaga zdobycia średnio rzędu kilku milionów pakietów (co odpowiada zaledwie parunastu minutom nasłuchiwania obciążonego AP) Filip Piękniewski

44 Pasywny atak na WEP Wymaga zdobycia średnio rzędu kilku milionów pakietów (co odpowiada zaledwie parunastu minutom nasłuchiwania obciążonego AP) Często klucz można odkryć znacznie wcześniej jeśli jest on jednym ze słabych kluczy, które inicjują zbyt prostą permutację początkową Filip Piękniewski

45 Pasywny atak na WEP Wymaga zdobycia średnio rzędu kilku milionów pakietów (co odpowiada zaledwie parunastu minutom nasłuchiwania obciążonego AP) Często klucz można odkryć znacznie wcześniej jeśli jest on jednym ze słabych kluczy, które inicjują zbyt prostą permutację początkową Złożoność algorytmu odtwarzania klucza jest liniowa ze względu na jego długość, zatem zwiększanie długości klucza nie wpływa jakościowo na bezpieczeństwo Filip Piękniewski

46 12 Aktywny atak na WEP Atakujący 1 Internet Atakujący 2

47 12 Aktywny atak na WEP Atakujący 1 Internet Atakujący 2

48 12 Aktywny atak na WEP Atakujący 1 Internet Atakujący zna całe sekwencje kodujące, może pominąć analizę statystyczną! Atakujący 2

49 12 Aktywny atak na WEP Atakujący 1 Internet Atakujący zna całe sekwencje kodujące, może pominąć analizę statystyczną! Atakujący 2

50 Aktywny atak na WEP Atakujący 1 Internet Atakujący zna całe sekwencje kodujące, może pominąć analizę statystyczną! Sieci radiowe muszą być za firewallem!!! Atakujący 2 Filip Piękniewski

51 13 Atak na WEP I jeszcze jeden sposób ataku...

52 13 Atak na WEP I jeszcze jeden sposób ataku... Słownikowy...

53 Atak na WEP I jeszcze jeden sposób ataku... Słownikowy... Zaskakująco często klucz WEP=SSID, lub proste i krótkie słowo... Filip Piękniewski

54 Atak na WEP I jeszcze jeden sposób ataku... Słownikowy... Zaskakująco często klucz WEP=SSID, lub proste i krótkie słowo... Filip Piękniewski

55 14 Praktyka?

56 14 Praktyka?

57 14 Praktyka?

58 Praktyka? Jeśli zobaczysz na chodniku przed swoją firmą znak ) ( znaczy, że jest źle! Filip Piękniewski

59 15 IEEE 802.1X - EAPol Bezpieczna sieć musi mieć mechanizm uwierzytelniania użytkownika Użytkownik powinien móc zweryfikować autentyczność sieci Cały proces musi przebiec w sposób bezpieczny w kanale który może być podsłuchiwany Autentykacja powinna przebiec w jak najniższej warstwie modelu OSI, szyfrowanie musi być szybkie

60 15 IEEE 802.1X - EAPol Bezpieczna sieć musi mieć mechanizm uwierzytelniania użytkownika Użytkownik powinien móc zweryfikować autentyczność sieci Cały proces musi przebiec w sposób bezpieczny w kanale który może być podsłuchiwany Autentykacja powinna przebiec w jak najniższej warstwie modelu OSI, szyfrowanie musi być szybkie EAP over LAN (EAPol) EAP over RADIUS Supplicant Access Point/ Switch RADIUS

61 16 IEEE 802.1X - EAPol EAP - Extensible Authentication Protocol - protokół transportowy na potrzeby uwierzytelniania EAP nie jest konkretnym protokołem uwierzytelniania ale raczej ogólnym schematem w którym, mogą być implementowane na różne sposoby np: EAP-SIM, EAP-TLS, EAP-TTLS, EAP-MD5 EAPol - EAP over LAN EAP over LAN (EAPol) EAP over RADIUS Supplicant Access Point/ Switch RADIUS

62 17 IEEE 802.1X schemat Zapoznanie Uwierzytelnienie Dystrybucja kluczy Bezpieczna Transmisja Dystrybucja kluczy CZAS CZAS CZAS CZAS Supplicant EAP Access Point / Switch RADIUS RADIUS

63 18 Dynamiczny WEP EAP-TLS lub EAP-TTLS pozwala na bezpieczne uwierzytelnienie i przesłanie do klienta oraz do AP materiału kryptograficznego (klucza) AP co pewien krótki czas (parę minut) generuje nowy klucz WEP i przesyła go do klienta szyfrując starym Mechanizm taki w oparciu o WEP nosi nazwę dynamiczny WEP Czy to rozwiązuje problemy?

64 19 Dynamiczny WEP Częsta zmiana klucza praktycznie uniemożliwia analizę statystyczną. Kolizje IV zdarzają się zbyt rzadko...

65 19 Dynamiczny WEP Częsta zmiana klucza praktycznie uniemożliwia analizę statystyczną. Kolizje IV zdarzają się zbyt rzadko... Ale system pozostaje podatny na atak aktywny!

66 19 Dynamiczny WEP Częsta zmiana klucza praktycznie uniemożliwia analizę statystyczną. Kolizje IV zdarzają się zbyt rzadko... Ale system pozostaje podatny na atak aktywny! Tym niemniej atakujący praktycznie nie ma szans poznać zawartości transmisji przed kolejną zmianą klucza...

67 19 Dynamiczny WEP Częsta zmiana klucza praktycznie uniemożliwia analizę statystyczną. Kolizje IV zdarzają się zbyt rzadko... Ale system pozostaje podatny na atak aktywny! Tym niemniej atakujący praktycznie nie ma szans poznać zawartości transmisji przed kolejną zmianą klucza... Ale nadal możliwe są zamiany bitów uzupełniające CRC32 (fałszowanie pakietów)!!

68 19 Dynamiczny WEP Częsta zmiana klucza praktycznie uniemożliwia analizę statystyczną. Kolizje IV zdarzają się zbyt rzadko... Ale system pozostaje podatny na atak aktywny! Tym niemniej atakujący praktycznie nie ma szans poznać zawartości transmisji przed kolejną zmianą klucza... Ale nadal możliwe są zamiany bitów uzupełniające CRC32 (fałszowanie pakietów)!! W praktyce zamiany bitów są trudne do wykonania technicznie a bez znajomości treści transmisji dość bezużyteczne...

69 19 Dynamiczny WEP Częsta zmiana klucza praktycznie uniemożliwia analizę statystyczną. Kolizje IV zdarzają się zbyt rzadko... Ale system pozostaje podatny na atak aktywny! Tym niemniej atakujący praktycznie nie ma szans poznać zawartości transmisji przed kolejną zmianą klucza... Ale nadal możliwe są zamiany bitów uzupełniające CRC32 (fałszowanie pakietów)!! W praktyce zamiany bitów są trudne do wykonania technicznie a bez znajomości treści transmisji dość bezużyteczne... Ale rejestrując transmisję i realizując atak aktywny można poznać treść transmisji post-factum!!!

70 Dynamiczny WEP Częsta zmiana klucza praktycznie uniemożliwia analizę statystyczną. Kolizje IV zdarzają się zbyt rzadko... Ale system pozostaje podatny na atak aktywny! Tym niemniej atakujący praktycznie nie ma szans poznać zawartości transmisji przed kolejną zmianą klucza... Ale nadal możliwe są zamiany bitów uzupełniające CRC32 (fałszowanie pakietów)!! W praktyce zamiany bitów są trudne do wykonania technicznie a bez znajomości treści transmisji dość bezużyteczne... Ale rejestrując transmisję i realizując atak aktywny można poznać treść transmisji post-factum!!! Ale atak aktywny jest łatwo wykrywalny (zatem ryzykowny)... Przez krótki okres między zamianami klucza trzeba przepchnąć sporo danych... Filip Piękniewski

71 Dynamiczny WEP Częsta zmiana klucza praktycznie uniemożliwia analizę statystyczną. Kolizje IV zdarzają się zbyt rzadko... Ale system pozostaje podatny na atak aktywny! Dynamiczny WEP na dzień dzisiejszy Tym zapewnia niemniej atakujący rozsądny praktycznie poziom nie ma bezpieczeństwa szans poznać zawartości transmisji przed kolejną zmianą klucza... dla znacznej większości normalnych zastosowań. Należy jednak uważać ten mechanizm za przejściowy. Ale nadal możliwe są zamiany bitów uzupełniające CRC32 (fałszowanie pakietów)!! W praktyce zamiany bitów są trudne do wykonania technicznie a bez znajomości treści transmisji dość bezużyteczne... Mechanizm ten jest zdecydowanie Ale niewystarczający rejestrując transmisję i realizując dla systemów atak aktywny w można których poznać treść transmisji post-factum!!! bezpieczeństwo jest czynnikiem krytycznym. Ale atak aktywny jest łatwo wykrywalny (zatem ryzykowny)... Przez krótki okres między zamianami klucza trzeba przepchnąć sporo danych... Filip Piękniewski

72 WPA WPA - Wi Fi Protected Access - część standardu i wprowadzona (listopad 2003) jako odpowiedź na wykryte ułomności systemu WEP, do czasu opracowania pełnej specyfikacji i. Filip Piękniewski

73 WPA WPA - Wi Fi Protected Access - część standardu i wprowadzona (listopad 2003) jako odpowiedź na wykryte ułomności systemu WEP, do czasu opracowania pełnej specyfikacji i. WPA to zespół mechanizmów zwiększających bezpieczeństwo sieci, bez potrzeby nagłej wymiany całego sprzętu. Filip Piękniewski

74 WPA WPA - Wi Fi Protected Access - część standardu i wprowadzona (listopad 2003) jako odpowiedź na wykryte ułomności systemu WEP, do czasu opracowania pełnej specyfikacji i. WPA to zespół mechanizmów zwiększających bezpieczeństwo sieci, bez potrzeby nagłej wymiany całego sprzętu. Standard IEEE i został ratyfikowany w czerwcu 2004 roku, dzisiaj implementacje tego standardu spotyka się pod nazwą WPA2. Filip Piękniewski

75 21 WPA - szczegóły WPA

76 21 WPA - szczegóły WPA WPA Personal WPA Enterprise

77 WPA - szczegóły WPA WPA Personal WPA Enterprise WPA -PSK Pre Shared Key Filip Piękniewski

78 WPA - szczegóły WPA WPA Personal WPA Enterprise WPA -PSK Pre Shared Key Zastosowanie w domach i małych firmach, mniejsze bezpieczeństwo Filip Piękniewski

79 WPA - szczegóły WPA WPA Personal WPA Enterprise WPA -PSK Pre Shared Key RADIUS + EAP Zastosowanie w domach i małych firmach, mniejsze bezpieczeństwo Filip Piękniewski

80 WPA - szczegóły WPA WPA Personal WPA Enterprise WPA -PSK Pre Shared Key Zastosowanie w domach i małych firmach, mniejsze bezpieczeństwo RADIUS + EAP Dystrybucja kluczy Filip Piękniewski

81 WPA - szczegóły WPA WPA Personal WPA Enterprise WPA -PSK Pre Shared Key Zastosowanie w domach i małych firmach, mniejsze bezpieczeństwo RADIUS + EAP Dystrybucja kluczy Zastosowanie tam gdzie dostępna jest infrastruktura RADIUS Filip Piękniewski

82 22 Usprawnienia w WPA TKIP - Temporal Key Integrity Protocol - protokół dynamicznego zarządzania kluczami w oparciu o mechanizmy WEP (algorytm RC4) AES - Advanced Encryption Standard - blokowy algorytm szyfrowania oparty na algorytmie Rijndael CCMP - Counter Mode with Cipher Block Chaining Message Authentication Code Protocol - mechanizm dostępny w WPA2, oparty o AES pozwalający jednocześnie stwierdzić integralność wiadomości

83 23 TKIP Temporal Key Integrity Protocol

84 23 TKIP Temporal Key Integrity Protocol Podstawowa metoda szyfrowania informacji w WPA, wypierana obecnie przez AES i CCMP (WPA2)

85 23 TKIP Temporal Key Integrity Protocol Podstawowa metoda szyfrowania informacji w WPA, wypierana obecnie przez AES i CCMP (WPA2) Zaprojektowany tak aby był szybki, dzięki temu może być wspierany na istniejącym sprzęcie

86 23 TKIP Temporal Key Integrity Protocol Podstawowa metoda szyfrowania informacji w WPA, wypierana obecnie przez AES i CCMP (WPA2) Zaprojektowany tak aby był szybki, dzięki temu może być wspierany na istniejącym sprzęcie Wykorzystuje WEP, starając się jednocześnie załatać jego słabości

87 24 TKIP - Szyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing Intermediate Key Phase2 Key mixing WEP IV WEP RC4 KEY Data integrity Key (64 bit) TKIP sequence counters DATA + MIC Fragments WEP encapsulation Message Integrity Code (Michael) DATA + MIC Fragmentation DATA + MIC Fragments Encrypted Data DATA

88 24 TKIP - Szyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing Intermediate Key Phase2 Key mixing WEP IV WEP RC4 KEY Data integrity Key (64 bit) TKIP sequence counters DATA + MIC Fragments WEP encapsulation Message Integrity Code (Michael) DATA + MIC Fragmentation DATA + MIC Fragments Encrypted Data DATA

89 24 TKIP - Szyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing Intermediate Key Phase2 Key mixing WEP IV WEP RC4 KEY Data integrity Key (64 bit) TKIP sequence counters DATA + MIC Fragments WEP encapsulation Message Integrity Code (Michael) DATA + MIC Fragmentation DATA + MIC Fragments Encrypted Data DATA

90 24 TKIP - Szyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing Intermediate Key Phase2 Key mixing WEP IV WEP RC4 KEY Data integrity Key (64 bit) TKIP sequence counters DATA + MIC Fragments WEP encapsulation Message Integrity Code (Michael) DATA + MIC Fragmentation DATA + MIC Fragments Encrypted Data DATA

91 24 TKIP - Szyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing Intermediate Key Phase2 Key mixing WEP IV WEP RC4 KEY Data integrity Key (64 bit) TKIP sequence counters DATA + MIC Fragments WEP encapsulation Message Integrity Code (Michael) DATA + MIC Fragmentation DATA + MIC Fragments Encrypted Data DATA

92 24 TKIP - Szyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing Intermediate Key Phase2 Key mixing WEP IV WEP RC4 KEY Data integrity Key (64 bit) TKIP sequence counters DATA + MIC Fragments WEP encapsulation Message Integrity Code (Michael) DATA + MIC Fragmentation DATA + MIC Fragments Encrypted Data DATA

93 24 TKIP - Szyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing Intermediate Key Phase2 Key mixing WEP IV WEP RC4 KEY Data integrity Key (64 bit) TKIP sequence counters DATA + MIC Fragments WEP encapsulation Message Integrity Code (Michael) DATA + MIC Fragmentation DATA + MIC Fragments Encrypted Data DATA

94 25 TKIP - deszyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing TKIP sequence counters Intermediate Key TKIP Countermeasures Phase2 Key mixing Possibly under attack! MIC=MIC' Good DATA MIC OK? WEP RC4 KEY MIC WEP IV MIC' WEP IV Encrypted Data In seq? In sequence WEP decapsulation DATA + MIC Fragments Reassemble Out of Sequence BAD CRC DATA Message Integrity Code (Michael) Data integrity Key (64 bit)

95 25 TKIP - deszyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing TKIP sequence counters Intermediate Key TKIP Countermeasures Phase2 Key mixing Possibly under attack! MIC=MIC' Good DATA MIC OK? WEP RC4 KEY MIC WEP IV MIC' WEP IV Encrypted Data In seq? In sequence WEP decapsulation DATA + MIC Fragments Reassemble Out of Sequence BAD CRC DATA Message Integrity Code (Michael) Data integrity Key (64 bit)

96 25 TKIP - deszyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing TKIP sequence counters Intermediate Key TKIP Countermeasures Phase2 Key mixing Possibly under attack! MIC=MIC' Good DATA MIC OK? WEP RC4 KEY MIC WEP IV MIC' WEP IV Encrypted Data In seq? In sequence WEP decapsulation DATA + MIC Fragments Reassemble Out of Sequence BAD CRC DATA Message Integrity Code (Michael) Data integrity Key (64 bit)

97 25 TKIP - deszyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing TKIP sequence counters Intermediate Key TKIP Countermeasures Phase2 Key mixing Possibly under attack! MIC=MIC' Good DATA MIC OK? WEP RC4 KEY MIC WEP IV MIC' WEP IV Encrypted Data In seq? In sequence WEP decapsulation DATA + MIC Fragments Reassemble Out of Sequence BAD CRC DATA Message Integrity Code (Michael) Data integrity Key (64 bit)

98 25 TKIP - deszyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing TKIP sequence counters Intermediate Key TKIP Countermeasures Phase2 Key mixing Possibly under attack! MIC=MIC' Good DATA MIC OK? WEP RC4 KEY MIC WEP IV MIC' WEP IV Encrypted Data In seq? In sequence WEP decapsulation DATA + MIC Fragments Reassemble Out of Sequence BAD CRC DATA Message Integrity Code (Michael) Data integrity Key (64 bit)

99 25 TKIP - deszyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing TKIP sequence counters Intermediate Key TKIP Countermeasures Phase2 Key mixing Possibly under attack! MIC=MIC' Good DATA MIC OK? WEP RC4 KEY MIC WEP IV MIC' WEP IV Encrypted Data In seq? In sequence WEP decapsulation DATA + MIC Fragments Reassemble Out of Sequence BAD CRC DATA Message Integrity Code (Michael) Data integrity Key (64 bit)

100 25 TKIP - deszyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing TKIP sequence counters Intermediate Key TKIP Countermeasures Phase2 Key mixing Possibly under attack! MIC=MIC' Good DATA MIC OK? WEP RC4 KEY MIC WEP IV MIC' WEP IV Encrypted Data In seq? In sequence WEP decapsulation DATA + MIC Fragments Reassemble Out of Sequence BAD CRC DATA Message Integrity Code (Michael) Data integrity Key (64 bit)

101 25 TKIP - deszyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing TKIP sequence counters Intermediate Key TKIP Countermeasures Phase2 Key mixing Possibly under attack! MIC=MIC' Good DATA MIC OK? WEP RC4 KEY MIC WEP IV MIC' WEP IV Encrypted Data In seq? In sequence WEP decapsulation DATA + MIC Fragments Reassemble Out of Sequence BAD CRC DATA Message Integrity Code (Michael) Data integrity Key (64 bit)

102 25 TKIP - deszyfrowanie Temporal Key (128 bit) Station MAC Phase1 Key mixing TKIP sequence counters Intermediate Key TKIP Countermeasures Phase2 Key mixing Possibly under attack! MIC=MIC' Good DATA MIC OK? WEP RC4 KEY MIC WEP IV MIC' WEP IV Encrypted Data In seq? In sequence WEP decapsulation DATA + MIC Fragments Reassemble Out of Sequence BAD CRC DATA Message Integrity Code (Michael) Data integrity Key (64 bit)

103 26 Cechy TKIP Do każdej transmisji używane są 4 klucze, po dwa dla każdego kierunku

104 26 Cechy TKIP Do każdej transmisji używane są 4 klucze, po dwa dla każdego kierunku Klucze temporalne są zmieniane co ściśle określoną ilość pakietów

105 Cechy TKIP Do każdej transmisji używane są 4 klucze, po dwa dla każdego kierunku Klucze temporalne są zmieniane co ściśle określoną ilość pakietów TKIP wykrywa potencjalne ataki, gdy ilość błędów MIC przekroczy pewien próg następuje minutowa deasocjacja Filip Piękniewski

106 Cechy TKIP Do każdej transmisji używane są 4 klucze, po dwa dla każdego kierunku Klucze temporalne są zmieniane co ściśle określoną ilość pakietów TKIP wykrywa potencjalne ataki, gdy ilość błędów MIC przekroczy pewien próg następuje minutowa deasocjacja Mechanizm miksujący (2 faza) dekoreluje klucz RC4 z wektorem inicjalizującym (który jednocześnie numeruje pakiet) Filip Piękniewski

107 27 AES AES - Advanced Encryption Standard - wersja algorytmu Rijndael Skonstruowany przez dwóch belgijskich kryptologów (Joan Daemen, Vincent Rijmen), został uznany przez rząd USA jako standardowy algorytm szyfrowania używany w administracji AES wykorzystuje operacje na macierzy 8 x 8 bajtów, nad ciałem Galois GF (2 8 ) wielomianów nad ciałem Z 2 modulo wielomian x 8 + x 4 + x 3 + x + 1

108 Cechy AES Jest znacznie bardziej skomplikowany niż RC4 Wygląda na znacznie bezpieczniejszy (najlepsze znane ataki na AES są praktycznie niemożliwe do zrealizowania przy obecnych środkach) Wymaga znacznie większej mocy obliczeniowej AP i karty (wymiana sprzętu) Filip Piękniewski

109 i Porządny system autoryzacji/szyfrowania transmisji Poprawione zarządzanie kluczami Obligatoryjne stosowanie mechanizmów szyfrowania TKIP/AES/CCMP i nareszcie spełnia oczekiwania w sprawie bezpieczeństwa sieci bezprzewodowych!

110 i - klucze Master Key Key Confirmation Key Pairwise Master Key Key Ecryption Key Pairwise Transient Key Temporal Key Group Transient Key

111 i - klucze Reprezentuje udane uwierzytelnienie, posiada go klient i serwer uwierzytelniający Master Key Key Confirmation Key Pairwise Master Key Key Ecryption Key Pairwise Transient Key Temporal Key Group Transient Key

112 i - klucze Master Key Pairwise Master Key Tworzony na podstawie MK. Serwer uwierzytelniający dostarcza go do AP. Key Confirmation Key Key Ecryption Key Pairwise Transient Key Temporal Key Group Transient Key

113 i - klucze Master Key Key Confirmation Key Pairwise Master Key Pairwise Transient Key Tworzony na podstawie PMK oraz informacji wymienianych przez ramki EAPol Key Key Ecryption Key Temporal Key Group Transient Key

114 i - klucze Master Key Zaraz po utworzeniu PTK, klient udowadnia AP, że jest w posiadaniu PMK używając KCK do zaszyfrowania sumy kontrolnej. Key Confirmation Key Pairwise Master Key Key Ecryption Key Pairwise Transient Key Temporal Key Group Transient Key

115 i - klucze Master Key Pairwise Master Key Ten klucz jest używany do szyfrowania przy dostarczaniu klucza grupowego (GTK) do klienta Key Confirmation Key Key Ecryption Key Pairwise Transient Key Temporal Key Group Transient Key

116 i - klucze Master Key Pairwise Master Key Pairwise Transient Key Key Confirmation Key Ten klucz jest używany do szyfrowania faktycznego ruchu między klientem a AP. Key Ecryption Key Temporal Key Group Transient Key

117 i - klucze Master Key Key Confirmation Key Pairwise Master Key Key Ecryption Key Pairwise Transient Key Ten klucz jest używany do szyfrowania ruchu rozgłaszanego w obrębie AP Temporal Key Group Transient Key

118 i - klucze Master Key Key Confirmation Key Pairwise Master Key Key Ecryption Key Pairwise Transient Key Temporal Key Group Transient Key

119 i - wymiana kluczy PMK PMK SNonce PTK=EAPoL-PRF(PMK, ANonce SNonce AP MACAddr STA MACAddr) EAPol-Key(Reply-Required Unicast, ANonce) ANonce PTK EAPoL-Key(Unicast, SNonce, MIC, STA RSN IE) PTK EAPoL-Key(Reply Required, Install PTK, Unicast,ANonce, MIC, AP RSN IE) Install TK EAPoL-Key(Unicast, MIC) Install TK

120 i - wymiana kluczy PMK PMK AP generuje losowy ciąg bitów (ANonce) i wysyła go do klienta SNonce PTK=EAPoL-PRF(PMK, ANonce SNonce AP MACAddr STA MACAddr) EAPol-Key(Reply-Required Unicast, ANonce) ANonce PTK EAPoL-Key(Unicast, SNonce, MIC, STA RSN IE) PTK EAPoL-Key(Reply Required, Install PTK, Unicast,ANonce, MIC, AP RSN IE) Install TK EAPoL-Key(Unicast, MIC) Install TK

121 i - wymiana kluczy PMK SNonce Klient generuje własny losowy ciąg bitów (SNonce) i używa go wraz z PMK do wytworzenia PTK EAPol-Key(Reply-Required Unicast, ANonce) ANonce PMK PTK=EAPoL-PRF(PMK, ANonce SNonce AP MACAddr STA MACAddr) PTK EAPoL-Key(Unicast, SNonce, MIC, STA RSN IE) PTK EAPoL-Key(Reply Required, Install PTK, Unicast,ANonce, MIC, AP RSN IE) EAPoL-Key(Unicast, MIC) Install TK Install TK

122 i - wymiana kluczy PMK PMK SNonce PTK=EAPoL-PRF(PMK, ANonce SNonce AP MACAddr STA MACAddr) PTK EAPol-Key(Reply-Required Unicast, ANonce) EAPoL-Key(Unicast, SNonce, MIC, STA RSN IE) ANonce Klient wysyła SNonce do AP wraz z sumą kontrolną zaszyfrowaną za pomocą nowo wytworzonego PTK (KCK) PTK EAPoL-Key(Reply Required, Install PTK, Unicast,ANonce, MIC, AP RSN IE) Install TK EAPoL-Key(Unicast, MIC) Install TK

123 i - wymiana kluczy PMK PMK SNonce PTK=EAPoL-PRF(PMK, ANonce SNonce AP MACAddr STA MACAddr) PTK EAPol-Key(Reply-Required Unicast, ANonce) EAPoL-Key(Unicast, SNonce, MIC, STA RSN IE) ANonce AP tworzy PTK i weryfikuje autentyczność ramki otrzymanej od klienta PTK EAPoL-Key(Reply Required, Install PTK, Unicast,ANonce, MIC, AP RSN IE) Install TK EAPoL-Key(Unicast, MIC) Install TK

124 i - wymiana kluczy PMK PMK SNonce PTK=EAPoL-PRF(PMK, ANonce SNonce AP MACAddr STA MACAddr) EAPol-Key(Reply-Required Unicast, ANonce) ANonce PTK EAPoL-Key(Unicast, SNonce, MIC, STA RSN IE) Jeśli wszystko przebiegło dobrze, AP odsyła wiadomość o możliwości zainstalowania TK. Wiadomość ta posiada zaszyfrowaną za pomocą KCK sumę PTK kontrolną EAPoL-Key(Reply Required, Install PTK, Unicast,ANonce, MIC, AP RSN IE) EAPoL-Key(Unicast, MIC) Install TK Install TK

125 i - wymiana kluczy PMK PMK SNonce PTK=EAPoL-PRF(PMK, ANonce SNonce AP MACAddr STA MACAddr) EAPol-Key(Reply-Required Unicast, ANonce) ANonce PTK EAPoL-Key(Unicast, SNonce, MIC, STA RSN IE) Klient odsyła podpisane KCK potwierdzenie i instaluje klucz temporalny EAPoL-Key(Reply Required, Install PTK, Unicast,ANonce, MIC, AP RSN IE) EAPoL-Key(Unicast, MIC) PTK Install TK Install TK

126 i - wymiana kluczy PMK PMK SNonce PTK=EAPoL-PRF(PMK, ANonce SNonce AP MACAddr STA MACAddr) EAPol-Key(Reply-Required Unicast, ANonce) ANonce PTK EAPoL-Key(Unicast, SNonce, MIC, STA RSN IE) PTK EAPoL-Key(Reply Required, Install PTK, Unicast,ANonce, MIC, AP RSN IE) Install TK EAPoL-Key(Unicast, MIC) Install TK

127 32 Podsumowanie Niebezpiecznie Bezpiecznie

128 32 Podsumowanie Niebezpiecznie Brak szyfrowania Bezpiecznie

129 32 Podsumowanie Niebezpiecznie Brak szyfrowania Statyczny WEP Bezpiecznie

130 32 Podsumowanie Niebezpiecznie Brak szyfrowania Statyczny WEP WPA - PSK (TKIP) Bezpiecznie

131 32 Podsumowanie Niebezpiecznie Brak szyfrowania Statyczny WEP WPA - PSK (TKIP) 802.1x + dynamiczny WEP Bezpiecznie

132 32 Podsumowanie Niebezpiecznie Brak szyfrowania Statyczny WEP WPA - PSK (TKIP) WPA2 - PSK (AES) 802.1x + dynamiczny WEP Bezpiecznie

133 32 Podsumowanie Niebezpiecznie Brak szyfrowania Statyczny WEP WPA - PSK (TKIP) WPA2 - PSK (AES) 802.1x + dynamiczny WEP i (TKIP) Bezpiecznie

134 32 Podsumowanie Niebezpiecznie Brak szyfrowania Statyczny WEP WPA - PSK (TKIP) WPA2 - PSK (AES) 802.1x + dynamiczny WEP i (TKIP) i (AES) Bezpiecznie

135 32 Podsumowanie Niebezpiecznie Brak szyfrowania Statyczny WEP WPA - PSK (TKIP) WPA2 - PSK (AES) 802.1x + dynamiczny WEP i (TKIP) Bezpiecznie i (AES) i ( CCMP )

136 32 Podsumowanie Niebezpiecznie Brak szyfrowania Statyczny WEP WPA - PSK (TKIP) WPA2 - PSK (AES) 802.1x + dynamiczny WEP i (TKIP) Bezpiecznie i (AES) i ( CCMP )

137 33 Koniec Dyskusja