Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate,...

19
Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel Fachgebiet Integrierte Kommunikationssysteme www.tu-ilmenau.de/iks Mobilkommunikationsnetze - IEEE 802.11 Security - Vorlesung Markus Brückner

Transcript of Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate,...

Page 1: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

1

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

Mobilkommunikationsnetze

- IEEE 802.11 – Security -

Vorlesung

Markus Brückner

Page 2: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

2

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

Sicherheitsziele

• Vertraulichkeit

– Schutz gegen unbefugtes Abhören von Nutzertraffic

auch durch authentifizierte Nutzer untereinander!

• Integrität

– Schutz gegen Veränderung der Pakete „in flight“

• Authentizität

– Zugriff nur durch befugte Nutzer

– teilweise: Authentifizierung des Netzes ggü. STA

Page 3: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

3

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

Historisch: WEP

• Wired Equivalent Privacy (WEP)

– Verschlüsselung mit RC4-Stromchiffre mit 40 bzw. 104 Bit

Schlüssel

– 24-Bit-Initialisierungsvektor zur Vermeidung von

Schlüsselduplikaten

– CRC32 zur Sicherung gegen Fehler im Paket

– gebrochen in allen praktischen Belangen

Page 4: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

4

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

Historisch: Shared Key Authentication

• Nutzerauthentifizierung durch Kenntnis eines geheimen

Schlüssels

– einfaches Challenge-Response-Verfahren

– AP sendet zufällige Zeichenfolge an STA (Challenge Text)

– STA verschlüsselt Zeichenfolge nach WEP mit

gemeinsamem Schlüssel

– AP entschlüsselt erfolgreich STA ist authentifiziert

– basiert auf WEP vergleichbar unsicher

Page 5: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

5

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

Aktuell: 802.11i (WPA2)

• Sammlung von (bisher) als sicher geltenden

Authentifizierungs- & Verschlüsselungsverfahren

– Temporal Key Integrity Protocol (TKIP)

• Designziel: ressourcenschonend wie WEP

Upgrademöglichkeit für bestehende Systeme

– CTR with CBC-MAC Protocol (CCMP)

– Broadcast/Multicast Integrity Protocol (BIP)

• Schutz von Managementpaketen gegen Veränderung und

Replay

– Simultaneous Authentication of Equals (SAE)

• Authentifizierung zwischen zwei STA mit gemeinsamem

Passwort

– 802.1X

Page 6: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

6

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

CCMP

• bietet Verschlüsselung (Counter Mode, CTR),

Authentifizierung (CBC-MAC) und Replay-Schutz von

Nachrichten

• Basis: CCM (RFC 3610) mit AES mit 128-Bit-Schlüssel

und -Blockgröße

• 48 Bit Paketnummer als Schutz gegen Replay und als

(Teil des) Nonce für Verschlüsselung & Authentifizierung

Page 7: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

7

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

CCMP - CBC-MAC

• Sicherstellung der Nachrichtenintegrität & -authentizität

durch kryptografisch sichere Prüfsumme

– Verschlüsseln der Nachricht im CBC-Modus

– Speichern des letzten Blocks als Prüfsumme

(WLAN: 8 von 16 Bytes gespeichert)

E E E

m1 m2 mx

k k k

Ergebnis

Nach: http://en.wikipedia.org/wiki/File:CBC-MAC_structure_%28en%29.svg

0

Page 8: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

8

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

CCMP - Counter Mode

• Nonce (Flags, Zieladresse, Paketzähler) + Counter

werden mittel AES verschlüsselt Schlüsselstrom

• XOR-Verknüpfung mit Klartextblock Ciphertextblock

Block-Chiffre

Nonce Counter xyz… 00000000

Klartext

Ciphertext

Nach: http://commons.wikimedia.org/wiki/File:CTR_encryption_2.svg

Block-Chiffre

Nonce Counter xyz… 00000001

Klartext

Ciphertext

Block-Chiffre

Nonce Counter xyz… 00000002

Klartext

Ciphertext

Verschlüsselung im Counter (CTR) Mode

Page 9: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

9

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

CCMP - Counter Mode

• Vorteile:

– keine Ausbreitung von Übertragungsfehlern (1 Bitfehler im

Ciphertext = 1 Bitfehler im Klartext)

ggf. Fehlerkorrekturmechanismen weiterhin möglich

– wahlfreier Zugriff auf einzelne Blöcke

Pakete teilweise entschlüsselbar

– Ver-/Entschlüsselung parallelisierbar

Skalierbarkeit bei vielen Paketen (bspw. am AP)

Page 10: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

10

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

CCMP - Replay-Schutz

• STA hält für jeden Kommunikationspartner einen

Paketzähler

• wenn Paketzähler des empfangenen Pakets <=

vorhandener Zähler Paket verwerfen

• Paketzähler ist Bestandteil des Nonce für CBC-MAC

keine Fälschung möglich

Page 11: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

11

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

802.1X

• Infrastruktur zur Kontrolle des Zugriffs auf

Netzwerkendpunkte (Ports)

PAE PAE

EAPOL (bspw.) EAP in RADIUS

Supplicant Authenticator Authentication Server

Page 12: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

12

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

802.1X – EAPOL

• Extensible Authentication Protocol over LAN

• Anpassung zur Benutzung von EAP (RFC 3748) über

LAN-Verbindungen

• EAP:

– Framework zur flexiblen Authentifizierung von Endgeräten

– Flexible Verwendung verschiedener Authentifizierungs-

methoden im Protokollablauf keine vorherige

Aushandlung nötig

– Einbindung zusätzlicher Methoden über Backend-Server

(Passthrough)

Page 13: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

13

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

802.1X – EAP

• Protokollablauf

Peer/Supplicant Authenticator

Request

Response

Request

Response

EAP Success/Failure

ggf. abhängig von Methode weitere Schritte

Page 14: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

14

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

802.1X – EAP-MD5

• Challenge Handshake Authentication Protocol mit MD5-

Hash

Peer/Supplicant Authenticator

EAP-MD5-Challenge(N)

Response(User, MD5(…))

EAP Success/Failure

Zufallszahl N

MD5(id, secret, challenge)

MD5(id, secret, challenge) ==

Response?

Page 15: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

15

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

802.1X – EAP-TLS

• EAP Transport Layer Security

– Authentifizierung mit X.509-Zertifikaten auf beiden Seiten

Peer/Supplicant Authenticator

EAP-TLS-Start

EAP Success

Authentication Server

EAP-TLS client_hello

EAP-TLS server_hello, certificate, server_key_exchange, certificate request

EAP-TLS certificate, client_key_exchange, certificate_verify, change_cipher_spec

EAP-TLS change_cipher_spec

EAP-TLS Response

TLS Handshake

Verifikation Server-

Zertifikat Verifikation Client-

Zertifikat

Page 16: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

16

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

802.1X - EAP-TTLS

• EAP Tunneled TLS Benutzung von anderen EAP-

Methoden via TLS-Tunnel

• Phase 1: TLS-Handshake zum Aufbau eines Tunnels

zwischen Supplicant & Server

• Phase 2: Nutzung weiterer Authentifizierungsmethoden

via Tunnel (bspw. Password Authentication Protocol,

PAP)

geschützt durch verschlüsselten Tunnel

• Typisch: Tunnel nur mit Server-Authentifizierung, Client

anonym, Client-Authentifizierung in Phase 2 (Beispiel:

eduroam)

Page 17: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

17

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

802.1X - Schlüsselableitung

• Authentifizierungsvorgang liefert Pairwise Master Key

(PMK)

• 4-Wege-Handshake zur Ableitung von Pairwise

Transient Key (Schutz von Unicastverkehr) und Group

Temporal Key (Verschlüsselung von Broadcastverkehr)

• Ableitung PTK aus Nonce von STA und AP, MAC-

Adressen von STA und AP und Pairwise Master Key

durch Password-Based Key Derivation Function 2

(PBKDF2) 64 Byte PTK

• Aufteilung PTK in verschiedene Teilschlüssel für

Anwendungen wichtig: Temporal Key für

Verschlüsselung Unicast-Traffic (128 Bit)

Page 18: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

18

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

802.1X - Schlüsselableitung

STA AP

AP-Nonce

STA-Nonce

GTK

Ableitung PTK aus AP- & STA-Nonce

Ableitung PTK aus AP- & STA-Nonce

ACK

Page 19: Mobilkommunikationsnetze - IEEE 802.11 Security€¦ · EAP-TLS server_hello, certificate, server_key_exchange, certificate request EAP-TLS certificate, client_key_exchange, certificate_verify,

Mobilkommunikationsnetze

Vorlesung

19

Prof. Dr.-Ing. habil. Andreas Mitschele-Thiel

Fachgebiet Integrierte Kommunikationssysteme

www.tu-ilmenau.de/iks

Kontakt

Besucheradresse:

Technische Universität Ilmenau Helmholtzplatz 5 Zusebau, Raum 1034 D-98693 Ilmenau

fon: +49 (0)3677 69 4125 fax: +49 (0)3677 69 1226 e-mail: [email protected]

www.tu-ilmenau.de/iks

Fachgebiet Integrierte Kommunikationssysteme Technische Universität Ilmenau

Dipl.-Inf. Markus Brückner