Hallo,
eines gleich mal vorab: Dieser Thread soll weder die Entwicklung einer Angriffsmöglichkeit auf WPA(CCMP/AES) geschützte Netzwerke zum Ziel haben noch eine Diskussion über die allgemein Sicherheit auslösen. Ich bitte wirklich nur um konstruktive Beiträge von Leuten, die sich damit auskennen.
Und noch ein kleines Vorwort: Warum will ich das wissen? Ganz einfach. Ich bin grade dabei, mein Abschlussprojekt für meine Ausbildung zum Fachinformatiker/Systemingegration vorzubereiten. Das ganze soll ne Infoveranstaltung zum Thema "Sicherheit in kabellosen Netzwerken" werden. Ich hab mich in letzter Zeit durch haufenweise Material zu WEP und TKIP gekämpft und bin jetzt bei CCMP angelangt. Vielen ist CCMP wohl besser als WPA/AES bekannt, auch wenn terminologisch korrekt eigentlich nur CCMP ist.
Zum Thema:
Die Unsicherheit von WEP ist klar und soll auch hier keine Rolle mehr spielen. Die Probleme mit TKIP sind aber relevant, da sie eigentlich ein allgemeines Problem von WPA/RSN bzw. 802.11i darstellen. WPA definiert bei statischen Preshared Keys (im folgenden korrekter Weise als Paiwise Master Key PMK bezeichnet) einen Four Way Handshake, welcher die Errechnung eines PTK (Pairwise Transient Key) zum Ziel hat. Dazu tauschen Client (S) und Basisstation (A) diverse Informationen aus. Am wichtigsten dabei sind 2 Nonces (Zufallswerte). Aus diesen Nonces sowie den MAC Adressen von A und S und der ESSID des Netzwerks und des geheimgehaltenen PMK können A und S unabhängig voneinander denselben PTK berechnen. Zur Integritätsprüfung wird ein MIC (Message Integrity Code) erzeugt und an 3 der 4 Nachrichten angehängt.
Die Schwäche in TKIP, bzw. meiner Meinung nach in WPA allgemein, besteht nun darin, dass ein Angreifer diesen Handshake verfolgen kann. Er erhält dabei folgende Informationen:
- MAC Adressen von A und S
- beide Nonces
- 3 gültige MICs (einer reicht)
- 3 Nachrichten, über die ein MIC erzeugt wurde (eine reicht)
Zusätzlich ist es bekanntlicher Weise ein Kinderspiel, an die ESSID eines WLANs zu kommen. Bis auf den PMK hat also der Angreifer ALLE Informationen. Nun, um jetzt eine Offline Dictionary Attacke auf den PMK zu starten, kann ein Angreifer aus nem Wörterbuch einen beliebigen Eintrag verwenden und einen möglichen PTK erzeugen:
PTK = (Nonce A, Nonce S, MAC A, MAC S, ESSID)
Aus diesem eventuellen PTK bekommt der Angreifer auch den Schlüssel, der zur Errechnung des MICs verwendet wurde (den EAPoL Integrity Key). Mit dessen Hilfe kann er nun über eine der drei EAPoL Nachrichten, welche einen MIC beinhalten, selbst einen MIC erzeugen und seinen MIC mit dem mitgelieferten vergleichen. Stimmen die MICs überein, hat der Angreifer den richtigen PMK aus dem Wörterbuch gewählt. Ansonsten sucht er sich den nächsten Eintrag und probiert es wieder.
Bis hierhin habe ich mich durch Bücher und durchs Internet gekämpft. Dabei hat sich diese Angriffsform ausschließlich auf TKIP bezogen. Was ist jetzt aber mit CCMP? CCMP verwendet doch denselben Four Way Handshake. Verwendet CCMP ebenfalls den Algorthmus Michael zur Berechnung des MIC? Falls ja, muss der oben beschrieben Ansatz auf CCMP übertragbar sein.
Falls CCMP während des Four Way Handshakes ein alternatives Integritätsprotokoll einsetzt (bei der Verschlüsselung tut es das), dann müsste der Ansatz trotzdem noch übertragbar sein. Es sind ja schließlich alle Infos da.
Daher jetzt meine Frage an alle die noch lesen: Stimmt es, was ich da schreibe oder habe ich bei CCMP was übersehen? Falls ich recht habe, ist CCMP genauso sicher oder unsicher wie TKIP (mal abgesehen davon, dass die Verschlüsselung von CCMP stärker ist).
eines gleich mal vorab: Dieser Thread soll weder die Entwicklung einer Angriffsmöglichkeit auf WPA(CCMP/AES) geschützte Netzwerke zum Ziel haben noch eine Diskussion über die allgemein Sicherheit auslösen. Ich bitte wirklich nur um konstruktive Beiträge von Leuten, die sich damit auskennen.
Und noch ein kleines Vorwort: Warum will ich das wissen? Ganz einfach. Ich bin grade dabei, mein Abschlussprojekt für meine Ausbildung zum Fachinformatiker/Systemingegration vorzubereiten. Das ganze soll ne Infoveranstaltung zum Thema "Sicherheit in kabellosen Netzwerken" werden. Ich hab mich in letzter Zeit durch haufenweise Material zu WEP und TKIP gekämpft und bin jetzt bei CCMP angelangt. Vielen ist CCMP wohl besser als WPA/AES bekannt, auch wenn terminologisch korrekt eigentlich nur CCMP ist.
Zum Thema:
Die Unsicherheit von WEP ist klar und soll auch hier keine Rolle mehr spielen. Die Probleme mit TKIP sind aber relevant, da sie eigentlich ein allgemeines Problem von WPA/RSN bzw. 802.11i darstellen. WPA definiert bei statischen Preshared Keys (im folgenden korrekter Weise als Paiwise Master Key PMK bezeichnet) einen Four Way Handshake, welcher die Errechnung eines PTK (Pairwise Transient Key) zum Ziel hat. Dazu tauschen Client (S) und Basisstation (A) diverse Informationen aus. Am wichtigsten dabei sind 2 Nonces (Zufallswerte). Aus diesen Nonces sowie den MAC Adressen von A und S und der ESSID des Netzwerks und des geheimgehaltenen PMK können A und S unabhängig voneinander denselben PTK berechnen. Zur Integritätsprüfung wird ein MIC (Message Integrity Code) erzeugt und an 3 der 4 Nachrichten angehängt.
Die Schwäche in TKIP, bzw. meiner Meinung nach in WPA allgemein, besteht nun darin, dass ein Angreifer diesen Handshake verfolgen kann. Er erhält dabei folgende Informationen:
- MAC Adressen von A und S
- beide Nonces
- 3 gültige MICs (einer reicht)
- 3 Nachrichten, über die ein MIC erzeugt wurde (eine reicht)
Zusätzlich ist es bekanntlicher Weise ein Kinderspiel, an die ESSID eines WLANs zu kommen. Bis auf den PMK hat also der Angreifer ALLE Informationen. Nun, um jetzt eine Offline Dictionary Attacke auf den PMK zu starten, kann ein Angreifer aus nem Wörterbuch einen beliebigen Eintrag verwenden und einen möglichen PTK erzeugen:
PTK = (Nonce A, Nonce S, MAC A, MAC S, ESSID)
Aus diesem eventuellen PTK bekommt der Angreifer auch den Schlüssel, der zur Errechnung des MICs verwendet wurde (den EAPoL Integrity Key). Mit dessen Hilfe kann er nun über eine der drei EAPoL Nachrichten, welche einen MIC beinhalten, selbst einen MIC erzeugen und seinen MIC mit dem mitgelieferten vergleichen. Stimmen die MICs überein, hat der Angreifer den richtigen PMK aus dem Wörterbuch gewählt. Ansonsten sucht er sich den nächsten Eintrag und probiert es wieder.
Bis hierhin habe ich mich durch Bücher und durchs Internet gekämpft. Dabei hat sich diese Angriffsform ausschließlich auf TKIP bezogen. Was ist jetzt aber mit CCMP? CCMP verwendet doch denselben Four Way Handshake. Verwendet CCMP ebenfalls den Algorthmus Michael zur Berechnung des MIC? Falls ja, muss der oben beschrieben Ansatz auf CCMP übertragbar sein.
Falls CCMP während des Four Way Handshakes ein alternatives Integritätsprotokoll einsetzt (bei der Verschlüsselung tut es das), dann müsste der Ansatz trotzdem noch übertragbar sein. Es sind ja schließlich alle Infos da.
Daher jetzt meine Frage an alle die noch lesen: Stimmt es, was ich da schreibe oder habe ich bei CCMP was übersehen? Falls ich recht habe, ist CCMP genauso sicher oder unsicher wie TKIP (mal abgesehen davon, dass die Verschlüsselung von CCMP stärker ist).
Zuletzt bearbeitet: