Seminar: Sicherheit im WLAN * Folie 1 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays...

Seminar: Sicherheit im WLAN

*

Folie 1LS KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays

stud.-Ing. Martin Karger

IEEE 802.11 - WEP: Sicherheit von WLAN, Funktion und Designschwächen

Fakultät für Elektrotechnik und Informationstechnik

Lehrstuhl für KommunikationstechnikProf. Dr.-Ing. Rüdiger Kays

stud. ing. Martin [email protected]


*


stud.-Ing. Martin KargerVorschau

• Funktion– Wofür braucht man eine Verschlüsselung?– Was ist WEP? Wie funktioniert es?– Ver- und Entschlüsselung mit WEP

• Designschwächen– einige prinzipielle Schwächen– Angriffsmöglichkeiten

• Keystream Reuse• Message Modification• FMS Attacke• Wörterbuchattacke

• Fazit


*



Funktion


*


stud.-Ing. Martin KargerWofür Verschlüsselung im WLAN?

Wofür Verschlüsselung im WLAN?


*



Wofür Verschlüsselung im WLAN?


*



•Vertraulichkeit der Daten

•Zugangskontrolle

•Datenintegrität

Wired Equivalent Privacy Protocol


*


stud.-Ing. Martin KargerWas ist WEP?

• benutzt RC4-Cipher• 40/104 Bit Static-Key (SK) +

24bit Initialisierungsvektor (IV)

Keystream K = RC4(IV,SK)

M: MessageXOR

C: CiphertextIV

CRC

TransmittedData

Was ist WEP?


*



Empfänger

Ver- und Entschlüsselung mit WEP

K=IV.SK KSA(K) PRGA(K)

Message XOR

Sender

K=IV.SK

Message

KSA(K) PRGA(K)

XOR

CiphertextVer- und Entschlüsselung mit WEP


*



Designschwächen


*


stud.-Ing. Martin KargerGrundlegende Designschwächen

• Im Standard 802.11b sind nur 40bit lange Schlüssel spezifiziert. Bei dieser Länge genügen bereits Bruteforce-Attacken

• Es wird nur ein Schlüssel pro Netz verwendet• Kurzer IV, daraus folgt eine häufige Wiederholung des

Schlüsselstroms.• Weak IVs

Prinzipille Designschwächen


*


stud.-Ing. Martin KargerRisiko des Keystream Reuse

C1 = P

1 xor RC4(IV,SK)

C2 = P

2 xor RC4(IV,SK)

C1 xor C

2 = (P

1 xor RC4(IV,SK)) xor (P

2 xor RC4(IV,SK))

= P

1 xor P

2.

xor verknüpfte Plaintexte: Problem der Tiefe n.

Für C1 bis C

n mit RC4(IV,SK) wird es einfacher das Problem zu lösen.

P xor C = RC4(IV,SK)

Risiko des Keystream Reuse


*


stud.-Ing. Martin KargerKeystream Reuse

Ein IV besteht aus 24bit.Damit können 224 bzw. 16 777 216 Werte dargestellt werden.

Annahme: konstanter Datenstrom von 11Mbps; MTU 1500 Byte

11Mbps / (1500 Byte pro Paket x 8 bit pro Byte) = 916,67 Pakete / Sek.

16 777 216 IVs / 916,67 Pakete / Sek. = 18 302,42 Sek

18 302,42 Sek. / 60 Sek. / 60 Min. = 5.08 Stunden

bis zur ersten IV-Kollision

Rechenbeispiel zum Keystream Reuse


*


stud.-Ing. Martin KargerAngriffsmöglichkeiten

Angriffsmöglichkeiten Keystream Reuse

•Mit statistischen Methoden können die Plaintextnachrichten getrennet werden.


*


stud.-Ing. Martin KargerMessage Modification

C = RC4(IV,SK) xor <M,c(M)>

wir wollen aus C einen neuen Ciphertext C' erzeugen mit Plaintext M' = M xor ∆

C' = C xor <∆,c(∆)>

= RC4(IV,SK) xor <M,c(M)> xor <∆, c(∆)> = RC4(IV,SK) xor <M xor ∆,c(M) xor c(∆)>

= RC4(IV,SK) xor <M', c(M xor ∆)>= RC4(IV,SK) xor <M', c(M')>

Message Modification


*


stud.-Ing. Martin KargerWeakness of RC4

• Sourcecode nur unter Non-Disclosure Agreement verfügbar von RSA Data Security. Wurde jedoch 1995 anonym in die Cypherpunks-Mailingliste gepostet

• Analysen des Sourcecodes ergaben Schwächen im Key-Scheduling-Algoritmus (KSA), zuerst von David Wagner, Andrew Roos beschrieben

• Fluhrer, Mantin, and Shamir haben als erste eine Attacke auf WEP beschrieben, die auf Weak-Keys basiert

FMS Attacke / Weakness of RC4


*


stud.-Ing. Martin KargerKey Scheduling Algorithm

KSA(K)Initialization:1 for i = 0 ... N - 12 S[i] = i3 j=0Scrambling:4 for i = 0 ... N - 15 j = j + S[i] + K[i mod l]6 Swap(S[i], S[j])

l ist die Anzahl der Wörter von K (also l = 128 oder 64bit)

Key Scheduling Algorithm


*


stud.-Ing. Martin KargerStatetable

.......210 255

.......23425 6

Initialisation:

Scrambling:

Das heißt:


*


stud.-Ing. Martin KargerKey Scheduling Algorithm

Scrambling:

4 for i = 0 ... N - 15 j = j + S[i] + K[i mod l]6 Swap(S[i], S[j])

Die Wahrscheinlichkeit, dass ein Element von j indiziert wird ist:

P = 1 – (255/256)255= 0.631

Bei einem Key von K Bytes, und E < K, existiert eine 37%ige Wahrscheinlichkeit, dass das Element E der Statetable nur von den Elementen 0 ... E abhängt.


*



Das heißt:

Es gibt eine relativ große Anzahl von Schlüsseln, bei denen eine hohe Anzahl von Bits im Anfang des Keystreams von nur wenigen Bits des geheimen Schlüssels abhängen.

Man kann also von dem Keystream auf den Schlüssel schließen.Der Keystream ist jedoch noch xor mit dem Plaintext verknüpft.Wenn Teile des Plaintextes bekannt sind kann man dieses Problem lösen.


*


stud.-Ing. Martin KargerWörterbuchattacke

Notwendige Teile des Datenpakets:• IV•Schlüsselindex (KeyID)•verschlüsselte Daten

Duration / ID

Address1

Address2

Address3

SequenceControl

Address4

FrameBody

FCSFrameControl

Encrypted DataKeyI

DIV

DataSNAP ICV

SNAP-Header:enthält für Pakete vom Typ IP und ARP den Wert: 0xAAAA03000000

Wörterbuchattacke


*


stud.-Ing. Martin KargerWörterbuchattacke

Überprüfung des Passworts:

Nur das erste Byte der Encrypted Data (der SNAP-Header) wird mit dem Schlüssel versucht zu decodieren. Das Ergebnis sollte 0xAA sein. Falls richtig entschlüsselt wurde wird ein zweiter Test mit dem Schlüssel auf das gesamte angewendet und anschließend mit dem CRC überprüft.


*


stud.-Ing. Martin KargerGegenüberstellung

Keystreamreuse•Kann verhältnismäßig lange dauern bis sich IVs wiederholen•man braucht mehrere Pakete •Berechnung startet erst, sobald genügend Daten vorhanden sind

Message Modification:•Aktive Attacke•Realisierung relativ umständlich•Nutzen eher gering•keine Implementierung bekannt


*


stud.-Ing. Martin KargerGegenüberstellung

Weak IV / FMS•100 – 1000MB Daten•Berechnung startet erst, sobald genügend Daten vorhanden sind

Wörterbuchattacke:•1 Paket nötig•Attacke kann sofort gestartet werden•Dictionary ist nötig


*


stud.-Ing. Martin KargerFazit

Fazit

WEP ist offensichtlich unsicher.

Wie bekomme ich es sicher?•VPN•auf Nachbesserungen (Verbesserungen?) des Standards warten (WPA, ...)

ansonsten alles aus WEP/AP herausholen was drin ist:•104 Bit Verschlüsselung•keine SSID broadcasten•keine Passwortgenerierung nutzen•oft WEP-Keys wechseln•Mac Filter

Seminar: Sicherheit im WLAN * Folie 1 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays...

Documents

Transcript of Seminar: Sicherheit im WLAN * Folie 1 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays...