Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Seminar: Sicherheit im WLAN * Folie 1 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger IEEE 802.11 - WEP: Sicherheit von.

Ähnliche Präsentationen


Präsentation zum Thema: "Seminar: Sicherheit im WLAN * Folie 1 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger IEEE 802.11 - WEP: Sicherheit von."—  Präsentation transkript:

1

2 Seminar: Sicherheit im WLAN * Folie 1 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger IEEE WEP: Sicherheit von WLAN, Funktion und Designschwächen Fakultät für Elektrotechnik und Informationstechnik Lehrstuhl für Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud. ing. Martin Karger

3 Seminar: Sicherheit im WLAN * Folie 2 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Vorschau Funktion –Wofür braucht man eine Verschlüsselung? –Was ist WEP? Wie funktioniert es? –Ver- und Entschlüsselung mit WEP Designschwächen –einige prinzipielle Schwächen –Angriffsmöglichkeiten Keystream Reuse Message Modification FMS Attacke Wörterbuchattacke Fazit

4 Seminar: Sicherheit im WLAN * Folie 3 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Funktion

5 Seminar: Sicherheit im WLAN * Folie 4 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Wofür Verschlüsselung im WLAN?

6 Seminar: Sicherheit im WLAN * Folie 5 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Wofür Verschlüsselung im WLAN?

7 Seminar: Sicherheit im WLAN * Folie 6 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Wofür Verschlüsselung im WLAN? Vertraulichkeit der Daten Zugangskontrolle Datenintegrität Wired Equivalent Privacy Protocol

8 Seminar: Sicherheit im WLAN * Folie 7 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Was ist WEP? benutzt RC4-Cipher 40/104 Bit Static-Key (SK) + 24bit Initialisierungsvektor (IV) Keystream K = RC4(IV,SK) M: Message XOR C: CiphertextIV CRC Transmitted Data Was ist WEP?

9 Seminar: Sicherheit im WLAN * Folie 8 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Empfänger Ver- und Entschlüsselung mit WEP K=IV.SKKSA(K)PRGA(K) Message XOR Sender K=IV.SK Message KSA(K)PRGA(K) XOR Ciphertext Ver- und Entschlüsselung mit WEP

10 Seminar: Sicherheit im WLAN * Folie 9 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Designschwächen

11 Seminar: Sicherheit im WLAN * Folie 10 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Grundlegende Designschwächen Im Standard b sind nur 40bit lange Schlüssel spezifiziert. Bei dieser Länge genügen bereits Bruteforce- Attacken Es wird nur ein Schlüssel pro Netz verwendet Kurzer IV, daraus folgt eine häufige Wiederholung des Schlüsselstroms. Weak IVs Prinzipille Designschwächen

12 Seminar: Sicherheit im WLAN * Folie 11 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Risiko des Keystream Reuse C 1 = P 1 xor RC4(IV,SK) C 2 = P 2 xor RC4(IV,SK) C 1 xor C 2 = (P 1 xor RC4(IV,SK)) xor (P 2 xor RC4(IV,SK)) = P 1 xor P 2. xor verknüpfte Plaintexte: Problem der Tiefe n. Für C 1 bis C n mit RC4(IV,SK) wird es einfacher das Problem zu lösen. P xor C = RC4(IV,SK) Risiko des Keystream Reuse

13 Seminar: Sicherheit im WLAN * Folie 12 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Keystream Reuse Ein IV besteht aus 24bit. Damit können 2 24 bzw Werte dargestellt werden. Annahme: konstanter Datenstrom von 11Mbps; MTU 1500 Byte 11Mbps / (1500 Byte pro Paket x 8 bit pro Byte) = 916,67 Pakete / Sek IVs / 916,67 Pakete / Sek. = ,42 Sek ,42 Sek. / 60 Sek. / 60 Min. = 5.08 Stunden bis zur ersten IV-Kollision Rechenbeispiel zum Keystream Reuse

14 Seminar: Sicherheit im WLAN * Folie 13 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Angriffsmöglichkeiten Angriffsmöglichkeiten Keystream Reuse Mit statistischen Methoden können die Plaintextnachrichten getrennet werden.

15 Seminar: Sicherheit im WLAN * Folie 14 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Message Modification C = RC4(IV,SK) xor wir wollen aus C einen neuen Ciphertext C' erzeugen mit Plaintext M' = M xor C' = C xor = RC4(IV,SK) xor xor = RC4(IV,SK) xor Message Modification

16 Seminar: Sicherheit im WLAN * Folie 15 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Weakness of RC4 Sourcecode nur unter Non-Disclosure Agreement verfügbar von RSA Data Security. Wurde jedoch 1995 anonym in die Cypherpunks-Mailingliste gepostet Analysen des Sourcecodes ergaben Schwächen im Key- Scheduling-Algoritmus (KSA), zuerst von David Wagner, Andrew Roos beschrieben Fluhrer, Mantin, and Shamir haben als erste eine Attacke auf WEP beschrieben, die auf Weak-Keys basiert FMS Attacke / Weakness of RC4

17 Seminar: Sicherheit im WLAN * Folie 16 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Key Scheduling Algorithm KSA(K) Initialization: 1for i = 0... N - 1 2S[i] = i 3j=0 Scrambling: 4for i = 0... N - 1 5j = j + S[i] + K[i mod l] 6Swap(S[i], S[j]) l ist die Anzahl der Wörter von K (also l = 128 oder 64bit) Key Scheduling Algorithm

18 Seminar: Sicherheit im WLAN * Folie 17 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Statetable Initialisation: Scrambling: Das heißt:

19 Seminar: Sicherheit im WLAN * Folie 18 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Key Scheduling Algorithm Scrambling: 4for i = 0... N - 1 5j = j + S[i] + K[i mod l] 6Swap(S[i], S[j]) Die Wahrscheinlichkeit, dass ein Element von j indiziert wird ist: P = 1 – (255/256) 255 = Bei einem Key von K Bytes, und E < K, existiert eine 37%ige Wahrscheinlichkeit, dass das Element E der Statetable nur von den Elementen 0... E abhängt.

20 Seminar: Sicherheit im WLAN * Folie 19 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Das heißt: Es gibt eine relativ große Anzahl von Schlüsseln, bei denen eine hohe Anzahl von Bits im Anfang des Keystreams von nur wenigen Bits des geheimen Schlüssels abhängen. Man kann also von dem Keystream auf den Schlüssel schließen. Der Keystream ist jedoch noch xor mit dem Plaintext verknüpft. Wenn Teile des Plaintextes bekannt sind kann man dieses Problem lösen.

21 Seminar: Sicherheit im WLAN * Folie 20 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Wörterbuchattacke Notwendige Teile des Datenpakets: IV Schlüsselindex (KeyID) verschlüsselte Daten Duration / ID Address 1 Address 2 Address 3 Sequence Control Address 4 Frame Body FCS Frame Control Encrypted Data KeyI D IV DataSNAPICV SNAP-Header: enthält für Pakete vom Typ IP und ARP den Wert: 0xAAAA Wörterbuchattacke

22 Seminar: Sicherheit im WLAN * Folie 21 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Wörterbuchattacke Überprüfung des Passworts: Nur das erste Byte der Encrypted Data (der SNAP-Header) wird mit dem Schlüssel versucht zu decodieren. Das Ergebnis sollte 0xAA sein. Falls richtig entschlüsselt wurde wird ein zweiter Test mit dem Schlüssel auf das gesamte angewendet und anschließend mit dem CRC überprüft.

23 Seminar: Sicherheit im WLAN * Folie 22 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Gegenüberstellung Keystreamreuse Kann verhältnismäßig lange dauern bis sich IVs wiederholen man braucht mehrere Pakete Berechnung startet erst, sobald genügend Daten vorhanden sind Message Modification: Aktive Attacke Realisierung relativ umständlich Nutzen eher gering keine Implementierung bekannt

24 Seminar: Sicherheit im WLAN * Folie 23 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Gegenüberstellung Weak IV / FMS 100 – 1000MB Daten Berechnung startet erst, sobald genügend Daten vorhanden sind Wörterbuchattacke: 1 Paket nötig Attacke kann sofort gestartet werden Dictionary ist nötig

25 Seminar: Sicherheit im WLAN * Folie 24 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger Fazit WEP ist offensichtlich unsicher. Wie bekomme ich es sicher? VPN auf Nachbesserungen (Verbesserungen?) des Standards warten (WPA,...) ansonsten alles aus WEP/AP herausholen was drin ist: 104 Bit Verschlüsselung keine SSID broadcasten keine Passwortgenerierung nutzen oft WEP-Keys wechseln Mac Filter


Herunterladen ppt "Seminar: Sicherheit im WLAN * Folie 1 LS Kommunikationstechnik Prof. Dr.-Ing. Rüdiger Kays stud.-Ing. Martin Karger IEEE 802.11 - WEP: Sicherheit von."

Ähnliche Präsentationen


Google-Anzeigen