Bezprzewodowe sieci transmisyjne Bezpiecze«stwo w sieci bezprzewodowej 27 lutego 2015 1
Literatura [1] IEEE Std 802.11-1997 Information Technology- telecommunications And Information exchange Between Systems-Local And Metropolitan Area Networks-specic Requirements-part 11: Wireless Lan Medium Access Control (MAC) And Physical Layer (PHY) Specications. 1997. [2] http://standards.ieee.org/getieee802/download/802.11i-2004.pdf [3] "Security Weaknesses in Bluetooth". RSA Security Conf. Cryptographer's Track. 2
Bezpiecze«stwo sieci bezprzewodowej 802.11 Sieci bezprzewodowe z natury oferuj du»o ni»szy poziom bezpiecze«stwa od przewodowej (monitorowanie i wykradanie informacji w sieci bezprzewodowej jest o wiele ªatwiejsze) WEP wykorzystuje algorytm RC4, b d cy szyfrem strumieniowym. Szyfr strumieniowy rozwija krótki klucz na niesko«czony pseudolosowy klucz strumie«. Nadawca wykorzystuje ten strumie«xor-uj c go tekstem prostej wiadomo±ci w celu wyprodukowania zaszyfrowanego tekstu zwanego chipertekstem. 3
WEP - (Wired Equivalent Privacy) Protokóª bezpiecze«stwa stosowany w bezprzewodowych sieciach WLAN standardu 802.11. Zostaª zaprojektowany do ochrony przed nieuprawnionym podsªuchem i ograniczeniem dost pu do sieci bezprzewodowej. Opiera si na tajno±ci klucza prywatnego. Algorytm pozwala na cz st zmian klucza K i wektora inicjalizuj cego IV co czyni go bardziej odpornym na atak typu brute-force. Jest samosynchronizuj cy. Wªa±ciwo± jest wa»na gdy» straty pakietów mog by cz ste. Jest wydajny. Mo»e by implementowany zarówno w sprz t i programowo Mo»e by exportowany z USA Jest opcjonalny w 802.11 4
Model OSI WEP jest u»yty w dwóch najni»szych warstwach modelu OSI. 5
Sie bezprzewodowa WEP opiera si na 40 lub 104-bitowym kluczu sprawdzanie integralno±ci w celu zapewnienia,»e pakiety nie s modykowane w czasie transportu. 6
Protokóª szyfruj cy WEP Klucze 40 i 104-bitowe. W procesie wysyªania do kluczy doª czany jest wektor inicjuj cy IV o dªugo±ci 24 bitów. W efekcie daje to dªugo± klucza odpowiednio 64 i 128 bitowy. 7
RC4 - historia Zaprojektowany przez Rona Rivest'a (RSA) 1987 r. Pocz tkowo tajny ale anonimowo dodany do listy dyskusyjnej 1994 r. Pó¹niej ju» szeroko omawiany chocia»by na wielu stronach internetowych Nazwa zostaªa opatentowana, nie mo»na jej nielegalnie u»ywa, sam algorytm jednak mo»e by wykorzystywany Unika si problemów z odno±nikami stosuj c powszechnie naw ARCFOUR Staª si powszechnie stosowany ( WEP, WPA, SSL) 8
Budowa pakietu WEP szyfruje tylko pakiety danych, nie szyfruje pakietow zarzadzajacych siecia (management frames) tylko dane sa zaszyfrowane 9
Enkapsuªowanie 10
Dekapsuªowanie 11
RC4 - opis Generujemy z klucza pseudolosowy ci g bitów Przygotowanie losowej permutacji S[256] Wygenerowanie za pomoc S dowolnej dªugo±ci losowego ci gu bitów Traktujemy ci g jako klucz w szyfrze Vernama, czyli XOR z wiadomo±ci daje szyfrogram 12
Algorytm RC4 13
Algorytm RC4 14
Algorytm RC4 15
Algorytm RC4 16
Algorytm RC4 17
Algorytm RC4 18
Atak na sie WiFi IV jest za krotki aby byc unikatowy dla kazdego pakietu brak zabezpieczenia przed powtornym wyslaniem 'tego samego' pakietu brak mozliwosci zmiany klucza "w locie" W sieci lokalnej zazwyczaj ka»dy u»ytkownik korzysta z tego samego klucza. Algorytm RC4 rozwija klucz na niesko«czony pseudolosowy strumie«kluczy. Aby wyeliminowa szyfrowanie pakietów tym samym kluczem RC4 (generowanym losowo na podstawie identycznego klucza WEP), uzytkownicy wykorzystuj ró»ne wektory inicjuj ce IV. Przed wysªaniem pakietu obliczane jest CRC. Sªabo± WEP spowodowana jest zª implementacj wektora inicjuj cego. Je»eli haker zgromadzi dwa pakiety posiadaj ce identyczny wektor IV wówczas wykonuj c operacje XOR b dzie w stanie odgadn klucz. Przeprowadzanie ataku na sie 19
4 kwietnia 2007 r. naukowcom z Politechniki w Darmstadt udaªo si pobi rekord w szybko- ±ci ªamania zabezpieczenia WEP. Andrei Pychkine, Erik Tews oraz Ralf-Philipp Weinmann (atak 'PTW' - nazwany od pierwszych liter ich nazwisk) zredukowali liczb przechwyconych pakietów wymaganych do skutecznego przeprowadzenia ataku do okoªo 40 tysi cy (wcze±niej trzeba byªo 20
przechwyci od 500 tysi cy do dwóch milionów pakietów). Jak zapewniaj odkrywcy, sie bezprzewodowa szyfrowana 104-bitowym kluczem mo»e zosta rozszyfrowana w czasie nie przekraczaj cym minuty[1]. W nowej metodzie po przechwyceniu 40 tysi cy pakietów istnieje 50-procentowe prawdopodobie«stwo odkrycia klucza. Po przechwyceniu 85 tysi cy pakietów prawdopodobie«stwo to wzrasta ju» do 95 procent. 21
Man in the Middle klient nie jest w stanie potwierdzi to»samo±ci AP wykradanie danych uwierzytelniaj cych u»ytkownika wykradanie informacji poufnych u»ytkownika 22
Bit Flipping Modykacja danych bez rozszyfrowania 23
Algorytmy sprawdzania autentyczno±ci w 802.11 Metody uwierzytelniania w standardzie 802.11: Open System authentication (uwierzytelnienie otwarte) Punkt dost pu pozytywnie rozpatruje ka»de» danie uwierzytelnienia [KLIENT] wysyla ramke Auth Request, uwierzytelnianie otwarte, czyli kazdy moze dodac sie do listy i komunikowac z AP. AP udziela odpowiedzi i odsyla do klienta AUTH RESPONSE Klient podrzebuje SSID do skojarzenia Shared Key (uwierzytelnianie ze wspóªdzielonym kluczem) STACJA -AUTH REQUEST-> AP, wysyla zadanie auth do access ponit'a STACJA <AUTH CHALLENGE AP - ok przyjalem informacje, ale najpierw wysyªa tzw 'challenge text' 24
STACJA -CHALLENGE-> AP stacja odbiera dane i je szyfruje, nastepnie wysyla taki pakiet do ap STACJA <-AUTH SUCCESS OR NOT AP, AP odszyfruje ten pakiet i sprawdza poprawno± 25
Sªabo±ci WEP: zbyt krótki wektor inicjuj cy IV i dopuszczalne powtórne wykorzystanie tego samego wektora IV, brak metod aktualizacji kluczy brak bezpiecznego sprawdzania integralno±ci - algorytm CRC32 nadaje si do wykrywania bª dów, ale nie jest kryptogracznie bezpieczny ze wzgl du na sw liniowo± brak jakiegokolwiek uwierzytelnienia ¹ródªa danych 26
Rozwój protokoªów 27
WPA Dane szyfrowane s przez RC4 wykorzystuj c 128 bitowy klucz oraz 48 bitowy IV TKIP (Temporal Key Integrity Protocol) usuwa problemy zwi zane z WEP, bez wymiany sprz tu Protokóª TKIP skªada si z trzech protokoªów: kryptogracznego algorytmu integralno±ci komunikatów MIC (Message Integrity Check) Michael, algorytmu mieszania kluczy rozszerzenia wektora pocz tkowego. 28
wykorzystuje algorytm RC4, modykowanie podstawowego klucza WEP dla ka»dego pakietu danych, zamiast CRC-32 nowy kod integralno±ci MIC (Message Integrity Check - kontrola integralno±ci komunikatów) o nazwie Michael. Algorytm ten wykorzystuje unikatowy klucz, który jest mieszany ze ¹ródªowym i docelowym adresem MAC, a tak»e caªym fragmentem pakietu zawieraj cym niezaszyfrowane dane. 29
Schemat tworzenia klucza 30
Szyfrowanie szyfrem strumieniowym 31
Kompatybilno± z WEP (24 bity nieszyfrowane) Sprawdzanie integralno±ci MIC (Michael) 32
WPA v2 (802.11i) Wykorzystuje szyfr AES Zast puje TKIP oraz MIC Uwa»any jest za w peªni bezpieczny Dwa tryby pracy: WPA2-PSK (Personal) WPA2-Enterprise wykorzystuje 128-bitowe klucze wykorzystuje dynamiczne klucze (na poziomie u»ytkownika, sesji, klucza pakietów) automatycznie dystrybuuje klucze posiada wzmocnione bezpiecze«stwo uwierzytelniania u»ytkownika (przy u»yciu 802.1x oraz EAP) 33
802.11i Radius uwierzytelnianie systemu i u»ytkowników 34
Podczas podª czania do sieci AP wysyªa» danie identykacji. Tworzony jest bezpieczny tunel. Serwer uwierzytelnia si gdy klient»ada. 35
Serwer sprawdza to»samo± u»ytkownika. Je»eli u»ytkownik ma prawo dost pu serwer generuje klucz WEP. 36
Standard 802.11i - fazy dziaªania 37
1. Uzgodnienie polityki bezpiecze«stwa 38
2. Sprawdzanie autentyczno±ci (uwierzytelnianie) Po próbie zalogowania si do sieci punkt dost powy generuje zapytanie o dane u»ytkownika, w tym jego identykator i hasªo. Po wprowadzeniu tych danych z poziomu terminala u»ytkownika, jego identykator wraz z zakodowanym hasªem zostaj wysªane do serwera RADIUS-a. Po przej±ciu z sukcesem etapu uwierzytelniania, serwer RADIUS sprawdza w bazach autoryzacji, jakie usªugi s dost pne dla danego u»ytkownika 39
Hierarchia kluczy Generowane s dwa zestawy kluczy. Pierwszy zestaw tworz klucze sparowane. Klucze te s unikalne dla ka»dego poª czenia klienta z punktem dost powym. Klucze sesji zapewniaj prywatno± poª czenia oraz usuwaj problem jednego klucza WEP dla wszystkich. Drugi zestaw tworz klucze grupowe, które s wspóªdzielone przez wszystkie komputery pracuj ce w jednej komórce sieci 802.11, a wykorzystywane s do szyfrowania ruchu typu multicast. Oba rodzaje kluczy maj wielko± 128 bitów. Klucze sparowane tworzy si na podstawie sparowanego klucza gªównego PMK (Pairwise Master Key) o wielko±ci 256 bitów. Klucz PMK ka»de urz dzenie otrzymuje z serwera RADIUS. W podobny sposób na podstawie gªównego klucza GMK (Group Master Key) tworzone s klucze zgrupowane. 40
Negocjacja czteroetapowa Proces negocjacji inicjowany przez punkt dost powy ma na celu: potwierdzenie,»e klient faktycznie zna klucz PMK (pojedynczy klucz gªówny), wygenerowanie nowego klucza PTK (pojedynczy klucz szyfruj cy), instalacj kluczy szyfrowania i integralno±ci, szyfrowanie transportu klucza GTK (Group Transient Key), potwierdzenie wyboru zestawu szyfrów. 41
Poziom zabezpiecze«42
Porównanie parametrów 43
AES historia W 1997 roku NIST (National Institute of Standards and Technology) próbowaª zast pi szyfr DES przez nowocze±niejszy. Ogªosiª swego rodzaju konkurs "Call for Algorithms" gdzie wyªoniono 5 kandydatów: Nowy szyfr z rmy IBM - MARS Szyfr Ronalda Rivest'a - RC6 Rijandel - autorstwa dwu Belgów (Joan Daemen i Vincent Rijmen) SERPENT - szyfr mi dzynarodowego zespoªu z Anglii, Izraela i Norwegii TwoFish - Bruce'a Schneiera (twórca BlowFish) Wygraª Rijndael i nazwano go AES 44
Opis dziaªania szyfru AES Szyfr AES mo»e operowa na bloku o ró»nej dªugo±ci, u»ywaj c kluczy ró»nej dªugo±ci. Ocjalna specykacja dopuszcza u»ycie bloków danych 128-, 192- lub 256-cio bitowych, szyfrowanych kluczami 128-, 192- lub 256-cio bitowymi. Dopuszczalne s wszystkie z 9 kombinacji. Rijndael jest "iterowanym szyfrem blokowym", co oznacza,»e blok wej±ciowy oraz klucz przechodz wielokrotne RUNDY transformacji, zanim wyprodukuj wynik. Po ka»dej rundzie, powstaje szyfr po±redni, zwany STANEM (State). 45
Liczba rund Liczba rund (Nr) Liczba bitów klucza Liczba bitów bloku 128 Ns=4 192 Ns=6 256 Ns=8 128 Nk=4 10 12 14 192 Nk=6 12 12 14 256 Nk=8 14 14 14 W standardzie AES wersji szyfru Rijndael, ograniczono t ró»norodno± do mo»liwo±ci wyst powania zmiennej liczby kluczy, ale ustalono staª wielko± bloku na 128 bitów. Wersje z ró»nymi dªugo±ciami kluczy nawano AES-128, AES-192 oraz AES-256. Parametry szyfru, Ns, Nk oraz Nr przedstawia tabela: Parametr Variant Ns Nk Nr AES-128 4 4 10 AES-192 4 6 12 AES-256 4 8 14 46
AES AES wykonuje 10 (klucz 128 bitów), 12 (klucz 192 bity) lub 14 (klucz 256 bitów) rund szyfruj cych. Skªadaj si one z substytucji wst pnej, permutacji macierzowej (mieszanie wierszy, mieszanie kolumn) i modykacji za pomoc klucza. Initial Round AddRoundKey (transformacja klucza) Nr rund 1. SubBytesbajt jest zamieniany zgodnie z LUT 2. ShiftRowska»dy wiersz jest przesuwany. 3. MixColumnsmno»enie kolumny przez wielomian 4. AddRoundKeyka»dy bajt jest xor'owany. Runda naªowa (no MixColumns) 1. SubBytes 2. ShiftRows 3. AddRoundKey 47
Szyfrowanie AES 48
Krok SubBytes Transformacja "podstawienie bajtów" (substitute bytes) operuje na ka»dym bajcie stanu niezale»nie i zmienia warto± tego bajtu. S-box (tabela podstawie«- substitution box) kontroluje caª transformacj. S-box to macierz 16*16. Bajt wynikowy odnajdywany jest pod adresem wiersza i kolumny uzyskanym za pomoc 4-bitowego adresu (mªodsza i starsza poªówka bajtu). 49
Tabela podstawie«je»eli np. bajt a 2,2 = 0x53 to po operacji podstawienia warto± wynienie 0xED (5-wiersz, 3- kolumna) 50
Krok ShiftRows Transformacja ShiftRows przesuwa cyklicznie bajty w 3 dolnych wierszach macierzy Stanu. 51
Krok MixColumns Operacja ta polega na przemno»eniu wielomianu utworzonego z bajtów kolumny, np. W (X) = a 0,1 x 3 + a 1,1 x 2 + a 2,1 x 1 + a 3,1 przez staªy wielomian: C(X) = 03 x 3 + 01 x 2 + 01 x 1 + 02 Mno»enie to wykonywane jest modulo X 4 + 1 52
W praktyce, operacja mno»enia wielomianów zostaªa zaimplementowana jako mno»enie macierzy A przez macierz C 53
Krok AddRoundKey Operacja AddRoundKey polega na wykonaniu operacji XOR w ka»dej rundzie pomi dzy caªym blokiem a kluczem rundy. Animacja AES 54
Liczba deszyfrowa«55