|
|
|
|
 |
|
 |
| · · · · · · · · · · · · · · · · · · · · · · · |
|
| · · · · · · · · · · · · · · · · · · · · · · · |
|
| · · · · · · · · · · · · · · · · · · · · · · · |
|
| · · · · · · · · · · · · · · · · · · · · · · · |
|
| · · · · · · · · · · · · · · · · · · · · · · · |
|
|
|
|
|
 |
|
|
|
 |
|
|
 WPA und 802.11i
| IPSec
|
WEP |
| |
|
|
Wireless Equivalent Privacy |
...or how not to use Cryptography!
802.11 definiert Verschlüsselung für Wireless LAN und spezifiziert mit WEP den Einsatz eines Stromchiffre
, konkret RC4. Die Basis ist ein allen gemeinsam bekannter Schlüssel (Pre Shared Key - PSK) von 40 oder 104 Bit Länge. Zusätzlich wird ein 24 Bit langer Initialisierungsvektor verwendet. Als Prüfsumme wird CRC
verwendet.
Zur Verschlüsselung wird der zufällig gewählte Initialisierungsvektor mit dem gemeinsamen Schlüssel verknüpft und damit der RC4 Schlüsselstrom errechnet. Dieser Schlüsselstrom wird mit dem Klartext inklusive CRC einer XOR-Verknüpfung unterzogen, der so entstandene Chiffretext wird mit dem Initialisierungsvektor versendet. Der Empfänger kann mit dem verwendeten Initialisierungsvektor und dem gemeinsamen Schlüssel denselben Schlüsselstrom herstellen und den Chiffretext entschlüsseln.
|
|
|
|
Neben der Eigenschaft, dass Bitfehler einen Stromchiffre wie RC4 desynchronisieren können, was die Wahl eines Stromchiffre ungeeignet für fehleranfällige Funkstrecken erscheinen lässt, ist die Besonderheit,
dass diese Art Stromchiffre anfällig für Known-Plaintext und Chosen-Ciphertext Angriffe sind, die einfach durchzuführen sind, wodurch man einen Schlüssel nie zweimal verwenden sollte. WEP begegnet dieser Tatsache mit dem Initialisierungsvektor, der für jedes Packet neu gewählt wird.
|
Schwächen |
 |
Der mit 24 Bit viel zu kleine Initialisierungsvektor garantiert die Wiederverwendung ein und desselben kryptographischen Schlüssels bereits nach wenigen Betriebsstunden. Es existiert kein Schlüsselmanagement. |
|
Ein Angriff auf den verwendeten Betriebsmodus des RC4-Algorithmus ermöglicht das Brechen des Schlüssels bei Kenntnis von ca. 4-6 Mio. Datenpaketen. Denn jeder 256. RC4-Schlüssel gilt als schwacher Schlüssel, der Initialisierungsvektor am Anfang lässt diese "schwachen" Pakete erkennen. |
|
Die Verwendung einer Stromchiffre mit einer linearen CRC-Prüfsumme ermöglicht die Veränderung der Nutzdaten samt Checksumme auch im chiffrierten Zustand. Die Datenintegrität wird durch dieses Schema nicht gewährleistet. |
|
Einige Produkte implementieren das WEP-Protokoll mit weiteren Unsicherheiten. Bsp. initialisieren den IV immer mit 0 und inkrementieren den IV weiter, oder verwenden lediglich fälschbare MAC-Adressen zur Authentifizierung. |
|
Angriffe auf WEP |
Der Initialisierungsvektor kann 2 hoch 24 mögliche Ausprägungen haben, konkret sind das 16 777 216 verschiedene Initialisierungsvektoren. Je nach Auslastung hat man binnen kurzer Zeit 2 Pakete die denselben IV aufweisen und 'gleich' verschlüsselt wurden, dann müsste eine Änderung des PSK erfolgen.
Zusätzlich ist hier das Birthday-Paradoxon
zu beachten. Die Wahrscheinlichkeit, dass 2 beliebige Pakete denselben IV aufweisen sinkt bei 4823 Paketen auf 50 %, bei 1881 Paketen erst auf 10 %. Um einen Sicherheitslevel von einer Kollisionswahrscheinlichkeit 0,000001 % zu erhalten, müsste nach 6 Paketen der Schlüssel gewechselt werden.
Neben dem Angriff über die Schwachen Schlüssel kann man versuchen, bekannten Klartext, etwa Protokolldaten wie DHCP, TCP-ACK, oder die übertragene SSID, zu identifizieren oder andere Daten, z.B. ein (Spam) Mail über die Luftschnittstelle verschlüsseln zu lassen. Anhand des bekannten Klar- und dann auch Chiffretextes ist die Offenlegung des Schlüssels kein Problem mehr.
|
Linktipps |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
|
|
