Mobilkommunikationsnetze
Vorlesung
1
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
Mobilkommunikationsnetze
- IEEE 802.11 – Security -
Vorlesung
Markus Brückner
Mobilkommunikationsnetze
Vorlesung
2
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
Sicherheitsziele
• Vertraulichkeit
– Schutz gegen unbefugtes Abhören von Nutzertraffic
auch durch authentifizierte Nutzer untereinander!
• Integrität
– Schutz gegen Veränderung der Pakete „in flight“
• Authentizität
– Zugriff nur durch befugte Nutzer
– teilweise: Authentifizierung des Netzes ggü. STA
Mobilkommunikationsnetze
Vorlesung
3
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
Historisch: WEP
• Wired Equivalent Privacy (WEP)
– Verschlüsselung mit RC4-Stromchiffre mit 40 bzw. 104 Bit
Schlüssel
– 24-Bit-Initialisierungsvektor zur Vermeidung von
Schlüsselduplikaten
– CRC32 zur Sicherung gegen Fehler im Paket
– gebrochen in allen praktischen Belangen
Mobilkommunikationsnetze
Vorlesung
4
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
Historisch: Shared Key Authentication
• Nutzerauthentifizierung durch Kenntnis eines geheimen
Schlüssels
– einfaches Challenge-Response-Verfahren
– AP sendet zufällige Zeichenfolge an STA (Challenge Text)
– STA verschlüsselt Zeichenfolge nach WEP mit
gemeinsamem Schlüssel
– AP entschlüsselt erfolgreich STA ist authentifiziert
– basiert auf WEP vergleichbar unsicher
Mobilkommunikationsnetze
Vorlesung
5
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
Aktuell: 802.11i (WPA2)
• Sammlung von (bisher) als sicher geltenden
Authentifizierungs- & Verschlüsselungsverfahren
– Temporal Key Integrity Protocol (TKIP)
• Designziel: ressourcenschonend wie WEP
Upgrademöglichkeit für bestehende Systeme
– CTR with CBC-MAC Protocol (CCMP)
– Broadcast/Multicast Integrity Protocol (BIP)
• Schutz von Managementpaketen gegen Veränderung und
Replay
– Simultaneous Authentication of Equals (SAE)
• Authentifizierung zwischen zwei STA mit gemeinsamem
Passwort
– 802.1X
Mobilkommunikationsnetze
Vorlesung
6
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
CCMP
• bietet Verschlüsselung (Counter Mode, CTR),
Authentifizierung (CBC-MAC) und Replay-Schutz von
Nachrichten
• Basis: CCM (RFC 3610) mit AES mit 128-Bit-Schlüssel
und -Blockgröße
• 48 Bit Paketnummer als Schutz gegen Replay und als
(Teil des) Nonce für Verschlüsselung & Authentifizierung
Mobilkommunikationsnetze
Vorlesung
7
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
CCMP - CBC-MAC
• Sicherstellung der Nachrichtenintegrität & -authentizität
durch kryptografisch sichere Prüfsumme
– Verschlüsseln der Nachricht im CBC-Modus
– Speichern des letzten Blocks als Prüfsumme
(WLAN: 8 von 16 Bytes gespeichert)
E E E
m1 m2 mx
k k k
…
Ergebnis
Nach: http://en.wikipedia.org/wiki/File:CBC-MAC_structure_%28en%29.svg
0
Mobilkommunikationsnetze
Vorlesung
8
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
CCMP - Counter Mode
• Nonce (Flags, Zieladresse, Paketzähler) + Counter
werden mittel AES verschlüsselt Schlüsselstrom
• XOR-Verknüpfung mit Klartextblock Ciphertextblock
Block-Chiffre
Nonce Counter xyz… 00000000
Klartext
Ciphertext
Nach: http://commons.wikimedia.org/wiki/File:CTR_encryption_2.svg
Block-Chiffre
Nonce Counter xyz… 00000001
Klartext
Ciphertext
Block-Chiffre
Nonce Counter xyz… 00000002
Klartext
Ciphertext
Verschlüsselung im Counter (CTR) Mode
Mobilkommunikationsnetze
Vorlesung
9
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
CCMP - Counter Mode
• Vorteile:
– keine Ausbreitung von Übertragungsfehlern (1 Bitfehler im
Ciphertext = 1 Bitfehler im Klartext)
ggf. Fehlerkorrekturmechanismen weiterhin möglich
– wahlfreier Zugriff auf einzelne Blöcke
Pakete teilweise entschlüsselbar
– Ver-/Entschlüsselung parallelisierbar
Skalierbarkeit bei vielen Paketen (bspw. am AP)
Mobilkommunikationsnetze
Vorlesung
10
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
CCMP - Replay-Schutz
• STA hält für jeden Kommunikationspartner einen
Paketzähler
• wenn Paketzähler des empfangenen Pakets <=
vorhandener Zähler Paket verwerfen
• Paketzähler ist Bestandteil des Nonce für CBC-MAC
keine Fälschung möglich
Mobilkommunikationsnetze
Vorlesung
11
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
802.1X
• Infrastruktur zur Kontrolle des Zugriffs auf
Netzwerkendpunkte (Ports)
PAE PAE
EAPOL (bspw.) EAP in RADIUS
Supplicant Authenticator Authentication Server
Mobilkommunikationsnetze
Vorlesung
12
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
802.1X – EAPOL
• Extensible Authentication Protocol over LAN
• Anpassung zur Benutzung von EAP (RFC 3748) über
LAN-Verbindungen
• EAP:
– Framework zur flexiblen Authentifizierung von Endgeräten
– Flexible Verwendung verschiedener Authentifizierungs-
methoden im Protokollablauf keine vorherige
Aushandlung nötig
– Einbindung zusätzlicher Methoden über Backend-Server
(Passthrough)
Mobilkommunikationsnetze
Vorlesung
13
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
802.1X – EAP
• Protokollablauf
Peer/Supplicant Authenticator
Request
Response
Request
Response
EAP Success/Failure
ggf. abhängig von Methode weitere Schritte
Mobilkommunikationsnetze
Vorlesung
14
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
802.1X – EAP-MD5
• Challenge Handshake Authentication Protocol mit MD5-
Hash
Peer/Supplicant Authenticator
EAP-MD5-Challenge(N)
Response(User, MD5(…))
EAP Success/Failure
Zufallszahl N
MD5(id, secret, challenge)
MD5(id, secret, challenge) ==
Response?
Mobilkommunikationsnetze
Vorlesung
15
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
802.1X – EAP-TLS
• EAP Transport Layer Security
– Authentifizierung mit X.509-Zertifikaten auf beiden Seiten
Peer/Supplicant Authenticator
EAP-TLS-Start
EAP Success
Authentication Server
EAP-TLS client_hello
EAP-TLS server_hello, certificate, server_key_exchange, certificate request
EAP-TLS certificate, client_key_exchange, certificate_verify, change_cipher_spec
EAP-TLS change_cipher_spec
EAP-TLS Response
TLS Handshake
Verifikation Server-
Zertifikat Verifikation Client-
Zertifikat
Mobilkommunikationsnetze
Vorlesung
16
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
802.1X - EAP-TTLS
• EAP Tunneled TLS Benutzung von anderen EAP-
Methoden via TLS-Tunnel
• Phase 1: TLS-Handshake zum Aufbau eines Tunnels
zwischen Supplicant & Server
• Phase 2: Nutzung weiterer Authentifizierungsmethoden
via Tunnel (bspw. Password Authentication Protocol,
PAP)
geschützt durch verschlüsselten Tunnel
• Typisch: Tunnel nur mit Server-Authentifizierung, Client
anonym, Client-Authentifizierung in Phase 2 (Beispiel:
eduroam)
Mobilkommunikationsnetze
Vorlesung
17
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
802.1X - Schlüsselableitung
• Authentifizierungsvorgang liefert Pairwise Master Key
(PMK)
• 4-Wege-Handshake zur Ableitung von Pairwise
Transient Key (Schutz von Unicastverkehr) und Group
Temporal Key (Verschlüsselung von Broadcastverkehr)
• Ableitung PTK aus Nonce von STA und AP, MAC-
Adressen von STA und AP und Pairwise Master Key
durch Password-Based Key Derivation Function 2
(PBKDF2) 64 Byte PTK
• Aufteilung PTK in verschiedene Teilschlüssel für
Anwendungen wichtig: Temporal Key für
Verschlüsselung Unicast-Traffic (128 Bit)
Mobilkommunikationsnetze
Vorlesung
18
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
802.1X - Schlüsselableitung
STA AP
AP-Nonce
STA-Nonce
GTK
Ableitung PTK aus AP- & STA-Nonce
Ableitung PTK aus AP- & STA-Nonce
ACK
Mobilkommunikationsnetze
Vorlesung
19
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel
Fachgebiet Integrierte Kommunikationssysteme
www.tu-ilmenau.de/iks
Kontakt
Besucheradresse:
Technische Universität Ilmenau Helmholtzplatz 5 Zusebau, Raum 1034 D-98693 Ilmenau
fon: +49 (0)3677 69 4125 fax: +49 (0)3677 69 1226 e-mail: [email protected]
www.tu-ilmenau.de/iks
Fachgebiet Integrierte Kommunikationssysteme Technische Universität Ilmenau
Dipl.-Inf. Markus Brückner
Top Related