WEP: przykład statystycznego ataku na źle zaprojektowany algorytm szyfrowania

Podobne dokumenty
Podstawy bezpieczeństwa w sieciach bezprzewodowych

Typy zabezpieczeń w sieciach Mariusz Piwiński

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006

2 Kryptografia: algorytmy symetryczne

1.Wprowadzenie WLAN. Bezpieczeństwo w Systemach Komputerowych. Literatura. Wprowadzenie Rodzaje sieci bezprzewodowych.

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Bezpieczeństwo teleinformatyczne

Szyfry strumieniowe RC4. Paweł Burdzy Michał Legumina Sebastian Stawicki

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Zastosowanie teorii liczb w kryptografii na przykładzie szyfru RSA

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 8

WLAN 2: tryb infrastruktury

Kryptografia szyfrowanie i zabezpieczanie danych

0 + 0 = 0, = 1, = 1, = 0.

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 5

RSA. R.L.Rivest A. Shamir L. Adleman. Twórcy algorytmu RSA

Załóżmy, że musimy zapakować plecak na wycieczkę. Plecak ma pojemność S. Przedmioty mają objętości,,...,, których suma jest większa od S.

Zastosowania informatyki w gospodarce Wykład 5

Podstawy bezpieczeństwa w sieciach bezprzewodowych

Podstawy bezpieczeństwa w sieciach bezprzewodowych

Bezpieczeństwo bezprzewodowych sieci LAN

Ataki na RSA. Andrzej Chmielowiec. Centrum Modelowania Matematycznego Sigma. Ataki na RSA p. 1

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Podstawy systemów kryptograficznych z kluczem jawnym RSA

Warstwa łącza danych. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa. Sieciowa.

2 Arytmetyka. d r 2 r + d r 1 2 r 1...d d 0 2 0,

Bezpieczeństwo w

Zarys algorytmów kryptograficznych

WSIZ Copernicus we Wrocławiu

Dr Michał Tanaś(

Wprowadzenie do zagadnień bezpieczeńśtwa i kryptografii

Przesyłania danych przez protokół TCP/IP

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Systemy Mobilne i Bezprzewodowe laboratorium 12. Bezpieczeństwo i prywatność

Sieci Komputerowe Mechanizmy kontroli błędów w sieciach

Określany także terminem warchalking

PRACA DYPLOMOWA INŻYNIERSKA

Bezpieczne Wi-Fi w szkole

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 14, Kryptografia: algorytmy asymetryczne (RSA)

Topologie sieci WLAN. Sieci Bezprzewodowe. Access Point. Access Point. Topologie sieci WLAN. Standard WiFi IEEE Bezpieczeństwo sieci WiFi

Bezpieczeństwo lokalnych sieci bezprzewodowych IEEE

Wykład 2 Hipoteza statystyczna, test statystyczny, poziom istotn. istotności, p-wartość i moc testu

INSTRUKCJA LABORATORYJNA DO PRZEDMIOTU OCHRONA DANYCH W SYSTEMACH I SIECIACH KOMPUTEROWYCH

Kodowanie i kompresja Streszczenie Studia Licencjackie Wykład 15, Kryptografia: algorytmy asymetryczne (RSA)

n = p q, (2.2) przy czym p i q losowe duże liczby pierwsze.

Generowanie liczb o zadanym rozkładzie. ln(1 F (y) λ

Algorytmy asymetryczne

Bezpieczeństwo systemów komputerowych. Metody łamania szyfrów. Kryptoanaliza. Badane własności. Cel. Kryptoanaliza - szyfry przestawieniowe.

Bezpieczeństwo systemów komputerowych. Kryptoanaliza. Metody łamania szyfrów. Cel BSK_2003. Copyright by K.Trybicka-Francik 1

ZESZYTY NAUKOWE WYDZIAŁU ETI POLITECHNIKI GDAŃSKIEJ Nr 4 Seria: Technologie Informacyjne 2006 ANALIZA METODY SZYFROWANIA "ZT-UNITAKOD"

systemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)

Marcin Szeliga Sieć

LICZBY PIERWSZE. 14 marzec Jeśli matematyka jest królową nauk, to królową matematyki jest teoria liczb. C.F.

Szyfry Strumieniowe. Zastosowanie wybranych rozwiąza. zań ECRYPT do zabezpieczenia komunikacji w sieci Ethernet. Opiekun: prof.

Metody statystyczne kontroli jakości i niezawodności Lekcja II: Karty kontrolne.

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci.

Sieci komputerowe. Wykład 11: Kodowanie i szyfrowanie. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Arytmetyka komputera. Na podstawie podręcznika Urządzenia techniki komputerowej Tomasza Marciniuka. Opracował: Kamil Kowalski klasa III TI

(BSS) Bezpieczeństwo w sieciach WiFi szyfrowanie WEP.

Technologie Architectura Elementy sieci Zasada działania Topologie sieci Konfiguracja Zastosowania Bezpieczeństwo Zalety i wady

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 9

Wprowadzenie do zagadnień bezpieczeńśtwa i kryptografii

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA

Kryptologia przykład metody RSA

Authenticated Encryption

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Nowy klucz jest jedynie tak bezpieczny jak klucz stary. Bezpieczeństwo systemów komputerowych

WPS. Typy WPS: Aby odpowiednio skonfigurować WPS należy wykonać poniższe kroki

SSL (Secure Socket Layer)

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Matematyka dyskretna. Wykład 11: Kryptografia z kluczem publicznym. Gniewomir Sarbicki

(Nie)bezpieczeństwo bezprzewodowych sieci lokalnych (WLAN)

Indukcja matematyczna. Zasada minimum. Zastosowania.

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 7

Ochrona Systemów Informacyjnych. Elementy Kryptoanalizy

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Bezpieczeństwo systemów komputerowych. Podpis cyfrowy. Podpisy cyfrowe i inne protokoły pośrednie

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Zadanie 1. Zmiana systemów. Zadanie 2. Szyfr Cezara. Zadanie 3. Czy liczba jest doskonała. Zadanie 4. Rozkład liczby na czynniki pierwsze Zadanie 5.

Bezpiecze nstwo systemów komputerowych Igor T. Podolak

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

Szyfrowanie informacji

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Minisłownik pojęć sieciowych

dr inż. Jarosław Forenc

5. Rozwiązywanie układów równań liniowych

1.1. Standard szyfrowania DES

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Wykład 4. Określimy teraz pewną ważną klasę pierścieni.

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Plan całości wykładu. Ochrona informacji 1

Sieci komputerowe. Wykład 9: Elementy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Bezprzewodowe sieci transmisyjne Bezpiecze«stwo w sieci bezprzewodowej. 27 lutego 2015

Sieci komputerowe. Wykład 2: Sieci LAN w technologii Ethernet. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Statystyka matematyczna dla leśników

Przewodnik użytkownika

Wykład Centralne twierdzenie graniczne. Statystyka matematyczna: Estymacja parametrów rozkładu

Statystyka. Rozkład prawdopodobieństwa Testowanie hipotez. Wykład III ( )

Transkrypt:

WEP: przykład statystycznego ataku na źle zaprojektowany algorytm szyfrowania Mateusz Kwaśnicki Politechnika Wrocławska Wykład habilitacyjny Warszawa, 25 października 2012

Plan wykładu: Słabości standardu WEP Opis WEP i algorytmu RC4 Statystyczne łamanie algorytmu RC4

Czym jest WEP W komputerowej lokalnej sieci kablowej wiadomości słyszą wszyscy użytkownicy podłączeni do sieci. W nowszych instalacjach: (teoretycznie) wyłącznie nadawca, odbiorca i urządzenie pośredniczące. W sieciach bezprzewodowych wiadomości podsłuchać może każdy. W 1999 roku ustalono standard WEP (ang. Wired Equivalent Privacy), który miał zapewnić poufność na poziomie sieci kablowych. Przy projektowaniu tego standardu popełniono wiele błędów. Obecnie standardem jest WPA2 (ang. Wi-Fi Protected Access 2), uznawany za bezpieczny.

Idea WEP (1) Wiadomości są szyfrowane za pomocą sekretnego klucza, znanego tylko osobom uprawnionym. Ten sam klucz jest wykorzystywany do uwierzytelnienia oraz szyfrowania. Szyfrowanie (algorytm RC4) jest symetryczne. Powód: względy wydajnościowe.

Pierwsza słabość Problem 1 Wszystkie osoby znające sekretny klucz (wszyscy użytkownicy sieci) są w stanie odszyfrować wiadomości. Ten sam problem występuje w sieciach kablowych. Rozwiązanie: wykorzystać szyfrowanie asymetryczne lub tymczasowym kluczem.

Idea WEP (2) Na podstawie klucza generowany jest ciąg bitów X. Szyfrogramem wiadomości M jest M X ( oznacza sumę dwójkową). Suma dwójkowa ma dużo własności algebraicznych. Do wiadomości zawsze jest dołączana suma kontrolna CRC32. Urządzenia sieciowe zwykle informują o wiadomościach ze złą sumą kontrolną.

Druga słabość Problem 2 Można bajt po bajcie interakcyjnie odszyfrować wiadomość (atak chop-chop ). Ten problem jest niezależny od sposobu generowania X (tj. algorytmu RC4). Rozwiązanie: stosować inny algorytm wyznaczania sumy kontrolnej.

Trzecia słabość Problem 3 Algorytm RC4 nie jest bezpieczny! Rozwiązanie: stosować inny algorytm szyfrowania. Wszystkie trzy kwestie są rozwiązane w WPA2 (częściowo w WPA).

Historia ataków na WEP 2001: FMS Scott R. Fluhrer, Itsik Mantin oraz Adi Shamir wskazują błąd w RC4, który pozwala odtworzyć klucz WEP. 2004: KoreK Anonimowy autor KoreK istotnie usprawnia powyższą technikę. 2004: chop-chop KoreK ujawnia metodę chop-chop. 2007: PTW Erik Tews, Ralf-Philipp Weinmann oraz Andrei Pyshkin jeszcze usprawniają atak FMS.

Standard WEP Oznaczenia: Wiadomość to ciąg bitów M. Szyfrogram to M X. X to klucz. X = RC4(IV RK). ( suma dwójkowa) ( połączenie ciągów) IV to wektor inicjalizujący (24 bity), generowany dowolnie dla każdej wiadomości. RK to sekretny klucz główny (104 bity) Algorytm: Nadawca wybiera IV, oblicza X = RC4(IV RK) i przesyła (IV, M X). Odbiorca wyznacza X = RC4(IV RK) i oblicza M = (M X) X.

Obserwacja Jeśli znamy część wiadomości M i podsłuchamy M X, to możemy odtworzyć część X. Większość wiadomości ma ustaloną strukturę i możemy odgadnąć pierwsze bity M. Wszystkie wiadomości protokołów IP oraz ARP zaczynają się od 10101010! Możemy skłonić punkt dostępowy do generowania takich wiadomości! Wniosek Atakujący zna IV oraz pierwszych 8 bitów X dla każdej przesłanej wiadomości.

Algorytm RC4 Przypomnijmy: X = RC4(IV RK). Oznaczmy K = IV RK. Dzielimy K na bajty (bloki 8 bitów) i powtarzamy cyklicznie, aby uzyskać K 0,..., K 255. Przez x oznaczamy resztę z dzielenia x przez 256. Algorytm RC4 składa się z dwóch części. RC4 część I (1) Niech k 0 = 0 oraz σ 0 (i) = i dla i = 0,..., 255. (2) Dla n = 0,..., 255 określamy k n+1 = k n + σ n (n) + K n, σ n+1 (k n+1 ) = σ n (n), σ n+1 (n) = σ n (k n+1 ), σ n+1 (i) = σ n (i) dla pozostałych i.

Algorytm RC4 Po części I: σ 256 jest permutacją {0,..., 255}. RC4 część II (1) Niech j 256 = 0. (2) Dla n = 256, 257,... określamy j n+1 = j n + σ n n + 1, σ n+1 j n+1 = σ n n + 1, σ n+1 n + 1 = σ n j n+1, σ n+1 (i) = σ n (i) dla pozostałych i, X n 256 = σ n+1 σn+1 n + 1 + σ n+1 j n+1.

Przypomnienie Cel Poznanie klucza głównego RK. (Umożliwi to np. rozszyfrowanie wszystkich podsłuchanych wiadomości.) Dla każdej podsłuchanej wiadomości znamy: pierwszy bajt klucza X, tj. X 0, ciąg inicjalizacyjny IV, tj. K 0, K 1, K 2 (bo K = IV RK). Pokażemy, jak odgadnąć pierwszy bajt RK. Wtedy dla każdej wiadomości znać będziemy: pierwszy bajt klucza X, tj. X 0, ciąg inicjalizacyjny IV, tj. K 0, K 1, K 2 (bo K = IV RK), pierwszy bajt RK, tj. K 3 = RK 0 i w analogiczny sposób odgadniemy RK 1, potem RK 2 itd.

Analiza RC4 RC4 część I k 0 = 0, σ 0 (i) = i, k n+1 = k n + σ n (n) + K n, σ n+1 (k n+1 ) = σ n (n), σ n+1 (n) = σ n (k n+1 ), σ n+1 (i) = σ n (i) dla pozostałych i. Umiemy odtworzyć pierwsze trzy kroki, tj. k 3 i σ 3. Pokażemy, że (wśród wybranych wiadomości) ponadprzeciętnie często X 0 = σ 4 (3). Wtedy X 0 = σ 4 (3) = σ 3 (k 4 ). Stąd k 4 = σ 1 3 (X 0). Zatem poznamy RK 0 = K 3 = k 4 k 3 σ 3 (3). Jeśli X 0 = σ 4 (3), to wiadomość nazwiemy istotną.

Analiza RC4 RC4 część I k 0 = 0, σ 0 (i) = i, k n+1 = k n + σ n (n) + K n, σ n+1 (k n+1 ) = σ n (n), σ n+1 (n) = σ n (k n+1 ), σ n+1 (i) = σ n (i) dla pozostałych i. W n-tym kroku σ zmienia się na pozycji n i k n+1. k 4,..., k 256 symulują ciąg losowy. Załóżmy, że są losowe. Dla i 0 {0, 1, 2, 3}: P(σ 256 (i 0 ) = σ 4 (i 0 )) = (1 1 256 )252 1 e.

Analiza RC4 RC4 część I k 0 = 0, σ 0 (i) = i, k n+1 = k n + σ n (n) + K n, σ n+1 (k n+1 ) = σ n (n), σ n+1 (n) = σ n (k n+1 ), σ n+1 (i) = σ n (i) dla pozostałych i. Odrzucamy wiadomość, jeśli j := σ 3 (1) / {0, 1, 2}. Ponadto odrzucamy wiadomość, jeśli σ 3 (j) + j = 3. Zostaje przeciętnie 3 256 1 256 45 1 000 000 wiadomości. P σ 256 (i) = σ 4 (i) dla i = 1, 3, j ( 1 e )3 5%. P(σ 3 (1) = σ 4 (1) oraz σ 3 (j) = σ 4 (j)) = 254 256.

Analiza RC4 Podsumujmy: nie odrzuciliśmy ok. j := σ 3 (1) {0, 1, 2}; σ 3 (j) + j = 3; 45 1 000 000 wiadomości; z prawdopodobieństwem ok. 4,9%: σ 256 (1) = σ 4 (1) = σ 3 (1) = j, σ 256 (j) = σ 4 (j) = σ 3 (j), σ 256 (3) = σ 4 (3).

Analiza RC4 Dla ok. 4,9% spośród nieodrzuconych wiadomości: σ 256 (1) = j, σ 256 (j) = σ 3 (j), σ 256 (3) = σ 4 (3) oraz j {0, 1, 2} i σ 3 (j) + j = 3. RC4 część II σ 257 (σ 256 (1)) = σ 256 (1), σ 257 (1) = σ 256 (σ 256 (1)), σ 257 (i) = σ 256 (i) dla pozostałych i. X 0 = σ 257 σ256 (σ 256 (1)) + σ 256 (1). Zatem X 0 = σ 257 σ 3 (j) + j = σ 257 (3). Skoro σ 256 (1) = j = 3, σ 257 (3) = σ 256 (3) = σ 4 (3). Wobec tego wiadomość jest istotna.

Analiza RC4 Wniosek Wśród nieodrzuconych wiadomości istotnych jest ok. 4,9%. Innymi słowy wzór: RK 0 = σ 1 3 (X 0) k 3 σ 3 (3) ( ) zachodzi w ok. 4,9% przypadków. (Nieodrzuconych wiadomości jest ok. 45 1 000 000.) Podobnie uzasadnia się, że dla pozostałych ok. 95,1% nieodrzuconych wiadomości prawa strona ( ) ma mniej więcej równomierny rozkład na {0,..., 255}. Obserwując dostatecznie wiele wiadomości i badając empiryczny rozkład prawej strony ( ), odgadujemy RK 0.

Analiza RC4 Uwagi: Wiadomości wykorzystane do odgadnięcia RK 0 można wykorzystać ponownie do odgadywania RK 1, RK 2 itd. Przy 5 000 000 wiadomości mamy ok. 50% szans powodzenia (wynik eksperymentalny). Ponieważ k 4,..., k 256 nie są losowe, czasem atak zawodzi nawet przy dużej liczbie wiadomości. Usprawnione wersje powyższej techniki wymagają zaledwie ok. 50 000 wiadomości dla 95% szans powodzenia (wynik eksperymentalny). Do przeprowadzenia ataku wystarczy np. telefon z systemem Android i kilkanaście sekund.

Korzystałem z: M. Beck, E. Tews Practical attacks against WEP and WPA Proc. WiSec 09 (2009): 79 86 E. Tews Attacks on the WEP protocol Cryptology eprint Archive, Report 2007/471 (2007)

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres