Seminar: Sicherheit im WLAN * Folie 1 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays...
-
Upload
hraban-kesten -
Category
Documents
-
view
107 -
download
0
Transcript of Seminar: Sicherheit im WLAN * Folie 1 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays...
Seminar: Sicherheit im WLAN
*
Folie 1LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin Karger
IEEE 802.11 - WEP: Sicherheit von WLAN, Funktion und Designschwächen
Fakultät für Elektrotechnik und Informationstechnik
Lehrstuhl für KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud. ing. Martin [email protected]
Seminar: Sicherheit im WLAN
*
Folie 2LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerVorschau
• Funktion– Wofür braucht man eine Verschlüsselung?– Was ist WEP? Wie funktioniert es?– Ver- und Entschlüsselung mit WEP
• Designschwächen– einige prinzipielle Schwächen– Angriffsmöglichkeiten
• Keystream Reuse• Message Modification• FMS Attacke• Wörterbuchattacke
• Fazit
Seminar: Sicherheit im WLAN
*
Folie 3LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin Karger
Funktion
Seminar: Sicherheit im WLAN
*
Folie 4LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerWofür Verschlüsselung im WLAN?
Wofür Verschlüsselung im WLAN?
Seminar: Sicherheit im WLAN
*
Folie 5LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerWofür Verschlüsselung im WLAN?
Wofür Verschlüsselung im WLAN?
Seminar: Sicherheit im WLAN
*
Folie 6LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerWofür Verschlüsselung im WLAN?
•Vertraulichkeit der Daten
•Zugangskontrolle
•Datenintegrität
Wired Equivalent Privacy Protocol
Seminar: Sicherheit im WLAN
*
Folie 7LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerWas ist WEP?
• benutzt RC4-Cipher• 40/104 Bit Static-Key (SK) +
24bit Initialisierungsvektor (IV)
Keystream K = RC4(IV,SK)
M: MessageXOR
C: CiphertextIV
CRC
TransmittedData
Was ist WEP?
Seminar: Sicherheit im WLAN
*
Folie 8LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin Karger
Empfänger
Ver- und Entschlüsselung mit WEP
K=IV.SK KSA(K) PRGA(K)
Message XOR
Sender
K=IV.SK
Message
KSA(K) PRGA(K)
XOR
CiphertextVer- und Entschlüsselung mit WEP
Seminar: Sicherheit im WLAN
*
Folie 9LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin Karger
Designschwächen
Seminar: Sicherheit im WLAN
*
Folie 10LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerGrundlegende Designschwächen
• Im Standard 802.11b sind nur 40bit lange Schlüssel spezifiziert. Bei dieser Länge genügen bereits Bruteforce-Attacken
• Es wird nur ein Schlüssel pro Netz verwendet• Kurzer IV, daraus folgt eine häufige Wiederholung des
Schlüsselstroms.• Weak IVs
Prinzipille Designschwächen
Seminar: Sicherheit im WLAN
*
Folie 11LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerRisiko des Keystream Reuse
C1 = P
1 xor RC4(IV,SK)
C2 = P
2 xor RC4(IV,SK)
C1 xor C
2 = (P
1 xor RC4(IV,SK)) xor (P
2 xor RC4(IV,SK))
= P
1 xor P
2.
xor verknüpfte Plaintexte: Problem der Tiefe n.
Für C1 bis C
n mit RC4(IV,SK) wird es einfacher das Problem zu lösen.
P xor C = RC4(IV,SK)
Risiko des Keystream Reuse
Seminar: Sicherheit im WLAN
*
Folie 12LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerKeystream Reuse
Ein IV besteht aus 24bit.Damit können 224 bzw. 16 777 216 Werte dargestellt werden.
Annahme: konstanter Datenstrom von 11Mbps; MTU 1500 Byte
11Mbps / (1500 Byte pro Paket x 8 bit pro Byte) = 916,67 Pakete / Sek.
16 777 216 IVs / 916,67 Pakete / Sek. = 18 302,42 Sek
18 302,42 Sek. / 60 Sek. / 60 Min. = 5.08 Stunden
bis zur ersten IV-Kollision
Rechenbeispiel zum Keystream Reuse
Seminar: Sicherheit im WLAN
*
Folie 13LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerAngriffsmöglichkeiten
Angriffsmöglichkeiten Keystream Reuse
•Mit statistischen Methoden können die Plaintextnachrichten getrennet werden.
Seminar: Sicherheit im WLAN
*
Folie 14LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerMessage Modification
C = RC4(IV,SK) xor <M,c(M)>
wir wollen aus C einen neuen Ciphertext C' erzeugen mit Plaintext M' = M xor ∆
C' = C xor <∆,c(∆)>
= RC4(IV,SK) xor <M,c(M)> xor <∆, c(∆)> = RC4(IV,SK) xor <M xor ∆,c(M) xor c(∆)>
= RC4(IV,SK) xor <M', c(M xor ∆)>= RC4(IV,SK) xor <M', c(M')>
Message Modification
Seminar: Sicherheit im WLAN
*
Folie 15LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerWeakness of RC4
• Sourcecode nur unter Non-Disclosure Agreement verfügbar von RSA Data Security. Wurde jedoch 1995 anonym in die Cypherpunks-Mailingliste gepostet
• Analysen des Sourcecodes ergaben Schwächen im Key-Scheduling-Algoritmus (KSA), zuerst von David Wagner, Andrew Roos beschrieben
• Fluhrer, Mantin, and Shamir haben als erste eine Attacke auf WEP beschrieben, die auf Weak-Keys basiert
FMS Attacke / Weakness of RC4
Seminar: Sicherheit im WLAN
*
Folie 16LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerKey Scheduling Algorithm
KSA(K)Initialization:1 for i = 0 ... N - 12 S[i] = i3 j=0Scrambling:4 for i = 0 ... N - 15 j = j + S[i] + K[i mod l]6 Swap(S[i], S[j])
l ist die Anzahl der Wörter von K (also l = 128 oder 64bit)
Key Scheduling Algorithm
Seminar: Sicherheit im WLAN
*
Folie 17LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerStatetable
.......210 255
.......23425 6
Initialisation:
Scrambling:
Das heißt:
Seminar: Sicherheit im WLAN
*
Folie 18LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerKey Scheduling Algorithm
Scrambling:
4 for i = 0 ... N - 15 j = j + S[i] + K[i mod l]6 Swap(S[i], S[j])
Die Wahrscheinlichkeit, dass ein Element von j indiziert wird ist:
P = 1 – (255/256)255= 0.631
Bei einem Key von K Bytes, und E < K, existiert eine 37%ige Wahrscheinlichkeit, dass das Element E der Statetable nur von den Elementen 0 ... E abhängt.
Seminar: Sicherheit im WLAN
*
Folie 19LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin Karger
Das heißt:
Es gibt eine relativ große Anzahl von Schlüsseln, bei denen eine hohe Anzahl von Bits im Anfang des Keystreams von nur wenigen Bits des geheimen Schlüssels abhängen.
Man kann also von dem Keystream auf den Schlüssel schließen.Der Keystream ist jedoch noch xor mit dem Plaintext verknüpft.Wenn Teile des Plaintextes bekannt sind kann man dieses Problem lösen.
Seminar: Sicherheit im WLAN
*
Folie 20LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerWörterbuchattacke
Notwendige Teile des Datenpakets:• IV•Schlüsselindex (KeyID)•verschlüsselte Daten
Duration / ID
Address1
Address2
Address3
SequenceControl
Address4
FrameBody
FCSFrameControl
Encrypted DataKeyI
DIV
DataSNAP ICV
SNAP-Header:enthält für Pakete vom Typ IP und ARP den Wert: 0xAAAA03000000
Wörterbuchattacke
Seminar: Sicherheit im WLAN
*
Folie 21LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerWörterbuchattacke
Überprüfung des Passworts:
Nur das erste Byte der Encrypted Data (der SNAP-Header) wird mit dem Schlüssel versucht zu decodieren. Das Ergebnis sollte 0xAA sein. Falls richtig entschlüsselt wurde wird ein zweiter Test mit dem Schlüssel auf das gesamte angewendet und anschließend mit dem CRC überprüft.
Seminar: Sicherheit im WLAN
*
Folie 22LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerGegenüberstellung
Keystreamreuse•Kann verhältnismäßig lange dauern bis sich IVs wiederholen•man braucht mehrere Pakete •Berechnung startet erst, sobald genügend Daten vorhanden sind
Message Modification:•Aktive Attacke•Realisierung relativ umständlich•Nutzen eher gering•keine Implementierung bekannt
Seminar: Sicherheit im WLAN
*
Folie 23LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerGegenüberstellung
Weak IV / FMS•100 – 1000MB Daten•Berechnung startet erst, sobald genügend Daten vorhanden sind
Wörterbuchattacke:•1 Paket nötig•Attacke kann sofort gestartet werden•Dictionary ist nötig
Seminar: Sicherheit im WLAN
*
Folie 24LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays
stud.-Ing. Martin KargerFazit
Fazit
WEP ist offensichtlich unsicher.
Wie bekomme ich es sicher?•VPN•auf Nachbesserungen (Verbesserungen?) des Standards warten (WPA, ...)
ansonsten alles aus WEP/AP herausholen was drin ist:•104 Bit Verschlüsselung•keine SSID broadcasten•keine Passwortgenerierung nutzen•oft WEP-Keys wechseln•Mac Filter