Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών. Περιεχόμενα. Εισαγωγή /1. Ασύρματες Επικοινωνίες Μέρος IV IEEE ΑΣΦΑΛΕΙΑ IEEE 802.

Transcript

1 Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών Ασύρματες Επικοινωνίες Μέρος IV Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιώς Slide: 1/68 Περιεχόμενα IEEE ΑΣΦΑΛΕΙΑ IEEE i (RSNA) Γενικά Βασικά χαρακτηριστικά Συσχετισμοί ασφαλείας ιαδικασία εγκαθίδρυσης RSN συσχέτισης Αμοιβαία πιστοποίηση ταυτότητας ιαχείριση κλειδιών Slide: 2/68 Εισαγωγή /1 Το αρχικό πρότυπο IEEE παρείχε τα ακόλουθα μέτρα ασφαλείας : ύο διαφορετικές μεθόδους πιστοποίησης ταυτότητας: Open system and shared key. Το μηχανισμό WEP για την προστασία της εμπιστευτικότητας. Μια κρυπτογραφημένη από το WEP τιμή ελέγχου ακεραιότητας (ICV) για την εξασφάλιση της ακεραιότητας των μηνυμάτων. Εξαιτίας όμως των πολλών αδυναμιών στην ασφάλεια του WEP Η ομάδα αναγκάστηκε να ξεκινήσει την ανάπτυξη μιας νέας περισσότερο αξιόπιστης λύσης. Slide: 3/68 1

2 Εισαγωγή /2 Τον Οκτώβριο του 2002, η Wi-Fi Alliance συμφώνησε σε ένα διαλειτουργικό προσωρινό πρότυπο: Γνωστό ως WPA (Wi-Fi Protected Access) Το WPA αποτελεί υποσύνολο του προτύπου i Τέθηκε δε σε ισχύ πριν από το i, (απρίλιος 2003) Το i αντικαθιστά το WEP Η Wi-Fi Alliance ανακοίνωσε τη δημιουργία του WPA2 Για την κάλυψη των νέων προδιαγραφών που υπαγόρευε το πρότυπο i Πιστοποιεί ότι μια συσκευή ενός κατασκευαστή είναι συμβατή με το πρότυπο i. Slide: 4/68 Εισαγωγή /3 Το i ορίζει μια ρωμαλέα από πλευράς ασφαλείας συσχέτιση δικτύου, γνωστή με το όνομα Robust Security Network Association (RSNA). Σύμφωνα με το RSNA, το πρότυπο IEEE i είναι υπεύθυνο για την προστασία των πλαισίων δδ δεδομένων το πρότυπο 802.1X παρέχει υπηρεσίες πιστοποίησης ταυτότητας μέσω της ελεγχόμενης πρόσβασης στις θύρες του δικτύου ενώ και τα δύο μαζί συνεργάζονται για τη σωστή διαχείριση των κλειδιών (key management) Slide: 5/68 Εισαγωγή /4 Συνοπτικά, τo i ορίζει μια σειρά βελτιώσεων των χαρακτηριστικών ασφαλείας : Μηχανισμούς πιστοποίησης ταυτότητας για τις συσκευές του δικτύου. Αλγορίθμους διαχείρισης των κλειδιών. Μεθόδους συμφωνίας του κλειδιού συνόδου για την εξασφάλιση της εμπιστευτικότητας. Μηχανισμό ενθυλάκωσης, δηλαδή το πρωτόκολλο CCMP. Προαιρετικά, το πρωτόκολλο TKIP. Slide: 6/68 2

3 Βασικά χαρακτηριστικά i /1 Πιστοποίηση ταυτότητας: Τρεις μεθόδους: Open System, Shared Key RSNA. Η RSNA βασίζεται στο πλαίσιο 802.1X ή σε προ-συμφωνημένα μυστικά κλειδιά (PSK) Το 802.1X χρησιμοποιεί τις υπηρεσίες του πρωτοκόλλου EAP Πιστοποιεί την ταυτότητα των σταθμών και του εξυπηρετητή αυθεντικοποίησης (AS). Slide: 7/68 Βασικά χαρακτηριστικά i /2 Εμπιστευτικότητα: Τρεις διαφορετικούς κρυπτογραφικούς αλγόριθμους WEP, TKIP και CCMP. Τα WEP και TKIP χρησιμοποιούν την κρυπτογραφική μηχανή του RC4 Το CCMP βασίζεται στον AES. Slide: 8/68 Βασικά χαρακτηριστικά i /3 ιαχείριση κλειδιών: Οι βελτιωμένοι μηχανισμοί πιστοποίησης ταυτότητας, εμπιστευτικότητας, και προστασίας από επανεκπομπή (replay) απαιτούν ευέλικτη και αξιόπιστη διαχείριση κλειδιών Τα κλειδιά διανέμονται στα εμπλεκόμενα στοιχεία του δικτύου βάσει μιας χειραψίας τεσσάρων δρόμων (4-Way handshake / exchange) Με χρήση κατάλληλων πρωτοκόλλων διαχείρισης κλειδιού ομάδας (group key handshake protocols). Slide: 9/68 3

4 Βασικά χαρακτηριστικά i /4 Αυθεντικότητα προέλευσης δεδομένων (Data Origin authenticity): Οι πληροφορίες (MPDUs) που λαμβάνει ένας σταθμός προέρχονται από το σταθμό που πραγματικά τις απέστειλε. Εξουδετερώνει επιθέσεις πλαστοπροσωπίας, υπόδησης της ταυτότητας (masquerading attacks) άλλων σταθμών. H υπηρεσία παρέχεται από το πρωτόκολλο CCMP ή το TKIP. Τα ίδια πρωτόκολλα χρησιμοποιούνται για την αντιμετώπιση επιθέσεων επανεκπομπής παλαιότερων δεδομένων (replay attacks). Slide: 10/68 Βασικά χαρακτηριστικά i / X & EAP παροχή υπηρεσιών πιστοποίησης ταυτότητας Μπορεί να υποστηρίξει πολλές διαφορετικές μεθόδους EAP Για την αυθεντικοποίηση του AS στους σταθμούς των χρηστών μέσω ψηφιακών πιστοποιητικών EAP-TLS, TTLS και PEAP. Η πιστοποίηση των σταθμών μπορεί επίσης να βασίζεται σε ψηφιακά πιστοποιητικά μέσω της μεθόδου EAP-TLS Για διαφορετικά διαπιστευτήρια (credentials) χρήση μεθόδων, όπως η EAP-PSK, EAP-AKA, κλπ. Slide: 11/68 Βασικά χαρακτηριστικά i /6 Προστασία από επιθέσεις υποβίβασης (downgrade attacks): Η διαδικασία διαπραγμάτευσης (negotiation) των παραμέτρων RSNΑ χρησιμοποιεί μη-ασφαλή πρωτόκολλα του ένας επιτιθέμενος είναι δυνατόν να «αναγκάσει» τα εμπλεκόμενα μέρη να χρησιμοποιήσουν αδύνατες (weak) κρυπτογραφικές σουίτες ή αλγορίθμους. Π.χ., ο επιτιθέμενος μπορεί να μεταβάλει τα μηνύματα που κατευθύνονται από ένα AP στο STA το STA νομίζει ότι το AP υποστηρίζει μόνο WEP. Το RSNΑ θα πρέπει να διασφαλίζει κρυπτογραφικά τις διαδικασίες διαπραγμάτευσης. Slide: 12/68 4

5 RSNA και συσχετισμοί ασφαλείας /1 Τρεις διαφορετικές καταστάσεις λειτουργίας στο ESS mode του Αμφίδρομη, ένα-προς-ένα επικοινωνία μεταξύ STAs και APs. Μονόδρομη, ένα-προς-πολλά επικοινωνία από ένα AP σε πολλά STAs στα πλαίσια μιας ορισμένης ασφαλούς ομάδας Π.χ., η αποστολή ζωντανής εικόνας στα μέλη μιας ομάδας. Αμφίδρομη ένα-προς-ένα ευθεία επικοινωνία μεταξύ δύο STAs που έχουν συσχετιστεί με το ίδιο AP. Για εφαρμογές πραγματικού χρόνου, όπως το Voice over IP (VoIP), εν συμβαίνουν καθυστερήσεις και δεν καταναλώνονται οι πόροι των APs. Slide: 13/68 RSNA και συσχετισμοί ασφαλείας /2 Όλες οι παραπάνω καταστάσεις απαιτούν τις ίδιες διαδικασίες πιστοποίησης ταυτότητας μεταξύ STA και AP. Το RSNA υποστηρίζει: a) ασφαλή πρόσβαση για ένα σταθμό στο σύστημα διανομής (DS) μέσω ενός AP b) μονόδρομη ασφαλή επικοινωνία ομάδας από ένα AP σε δύο ή περισσότερους STAs c) ασφαλή απευθείας επικοινωνία μεταξύ δύο σταθμών που έχουν συσχετισθεί με το ίδιο AP. Slide: 14/68 RSNA και συσχετισμοί ασφαλείας /3 Το RSNA ορίζει τέσσερις διαφορετικούς συσχετισμούς ασφαλείας (Security Associations, SA): Pairwise Master Key SA (PMKSA), Pairwise Transient Key SA (PTKSA) Group Transient Key Security Association (GTKSA) Station key SA (STAkeySA). Slide: 15/68 5

6 RSNA και συσχετισμοί ασφαλείας /4 Μια SA ορίζει τις παραμέτρους αλγορίθμους, κλειδιά, πολιτικές, κλπ Στην περίπτωση των PMKSA και PTKSA, οι συσχετισμοί ασφαλείας εγκαθιδρύονται από σχετικές μεθόδους που περιλαμβάνουν τη δημιουργία κλειδιών Στην περίπτωση των GTKSA & STAkeySA το υπεύθυνο AP αποστέλλει τα κλειδιά στους εμπλεκόμενους σταθμούς. Slide: 16/68 RSNA και συσχετισμοί ασφαλείας /5 Το πρώτο και σημαντικότερο βήμα για την εγκαθίδρυση του RSNA είναι η διαπραγμάτευση των παραμέτρων μιας SA Μέσω των μυνημάτων beacon ή απαντήσεων σε διερευνητικά μηνύματα probes που αποστέλλουν οι σταθμοί Υπάρχουν δύο κύριες μέθοδοι για την εγκαθίδρυση μιας PMKSA. Πρώτη μέθοδο (1 η ) Τα AP και STA έχουν διαμορφωθεί με ένα PSK λειτουργεί ως PMK Η γνώση του PSK κατά τη διάρκεια μιας διαδικασίας 4-way exchange αυθεντικοποιεί αμοιβαία STA και AP. Slide: 17/68 RSNA και συσχετισμοί ασφαλείας /6 Η (2 η ) πιο διαδεδομένη μέθοδος για την εγκαθίδρυση μιας PMKSA Η εμπλοκή των δύο μερών σε μια διαδικασία ταυτοποίησης ταυτότητας 802.1X με τη βοήθεια AS. Το κλειδί PMK που δημιουργείται αποστέλλεται στο AP και χρησιμοποιείται σε μια διαδικασία 4-way exchange Περαιτέρω αμοιβαία αυθεντικοποίηση των μερών ημιουργία του κλειδιού PTKSA. Κάθε PTKSA αναφέρεται σε προσωρινά κλειδιά για την προστασία της εκάστοτε συνόδου. Slide: 18/68 6

7 RSNA και συσχετισμοί ασφαλείας /7 Η διαδικασία 4-way exchange εμπεριέχει: ανταλλαγή (ψευδο)τυχαίων αριθμών μιας χρήσης (nonces) σε μορφή αρχικού κειμένου προστατευμένα ως προς την ακεραιότητά τους πληροφοριακά στοιχεία RNSA για τη διαπραγμάτευση των παραμέτρων μιας SA Επιπλέον, όπου αυτό απαιτείται, περιλαμβάνει την προστατευμένη κρυπτογραφικά παράδοση προσωρινών κλειδιών (GTK) στα μέλη μιας ομάδας. Μόλις ολοκληρωθεί η διαδικασία εγκαθίδρυσης μιας PTKSA Το AP επιτρέπει στο STA να επικοινωνήσει κρυπτογραφημένα με το σύστημα διανομής (DS). Slide: 19/68 RSNA και συσχετισμοί ασφαλείας /8 Slide: 20/68 ιαδικασία εγκαθίδρυσης RSN συσχέτισης /1 Για την εγκαθίδρυσης συσχέτισης RSN (RSNA) απαιτούνται διαφορετικού τύπου μηνύματα εμπλέκονται αρκετά πρωτόκολλα. Μηνύματα beacons και probe: Τα APs ανακοινώνουν τις δυνατότητες RSN που διαθέτουν Ένας σταθμός μπορεί να στείλει ένα μήνυμα probe Το AP απαντά με ένα μήνυμα probe response που περιλαμβάνει ένα RSN IE. Slide: 21/68 7

8 ιαδικασία εγκαθίδρυσης RSN συσχέτισης /2 Συσχέτιση : ιαπραγμάτευση των παραμέτρων ενός σταθμού με ένα δεδομένο AP. Το STA επιλέγει τις παραμέτρους ασφαλείας που είναι κοινές με αυτές του AP. μία κρυπτογραφική σουίτα (pairwise is key cipher suite), ένας μηχανισμός πιστοποίησης ταυτότητας μια κρυπτογραφική σουίτα ομάδας (group key cipher suite) (optional). Το STA δημιουργεί ένα RSN IE με τις επιλεγείσες παραμέτρους και το αποστέλλει στο ΑΡ ( association request) Slide: 22/68 ιαδικασία εγκαθίδρυσης RSN συσχέτισης /3 Αμοιβαία πιστοποίηση ταυτότητας (Mutual authentication): ύο μεθόδους πιστοποίησης ταυτότητας: PSK και 802.1Χ Στην περίπτωση του 802.1X το AP διαβιβάζει τα μηνύματα EAP μεταξύ του STA και AS. το STA και ο AS δημιουργούν ένα PMK το ΡΜΚ στέλνεται από τον AS στο AP. Η κατοχής ενός PMK ή PSK κατά τη διάρκεια της διαδικασίας 4-way exchange αποτελεί απόδειξη πιστοποίησης ταυτότητας. Slide: 23/68 ιαδικασία εγκαθίδρυσης RSN συσχέτισης /4 Slide: 24/68 8

9 ιαδικασία εγκαθίδρυσης RSN συσχέτισης /5 4-way exchange: Το τελευταίο βήμα για την εγκαθίδρυση μιας RSNA ημιουργεί (προσωρινό ή μεταβατικό) κλειδί συνόδου (PTK) για την προστασία των δεδομένων Αυθεντικοποιείται η προηγούμενη διαδικασία διαπραγμάτευσης Το AP ξεκινά τη σχετική διαδικασία Το κλειδιά PMK & PTK χρησιμοποιούνται για την αυτοπροστασία της φάσης από τυχόν επιθέσεις. Slide: 25/68 ιαδικασία εγκαθίδρυσης RSN συσχέτισης /6 Ανταλλαγή κλειδιού ομάδας (Group key exchange): το AP μπορεί επίσης να αποστείλει ένα κρυπτογραφημένο GTK μέρος μιας ξεχωριστής ανταλλαγής δύο μηνυμάτων (2-way group key exchange). η εγκαθίδρυση μιας GTKSA, είναι προαιρετική. Slide: 26/68 ιαδικασία εγκαθίδρυσης RSN συσχέτισης /7 Εγκαθίδρυση STAkeySA: Μετά την ολοκλήρωση μιας διαδικασίας 4-way exchange ένα STA μπορεί να ζητήσει από το AP την εγκαθίδρυση μιας συσχέτισης ασφαλείας με ένα άλλο STA, STAkeySA ανεξάρτητα από ανταλλαγή κλειδιού ομάδας και οι δυο σταθμοί είναι συσχετισμένοι με το ίδιο ΑΡ Slide: 27/68 9

10 Αμοιβαία πιστοποίηση ταυτότητας RSNA /1 Το i συνιστά τη χρήση ασύμμετρων μεθόδων EAP Αμοιβαία αυθεντικοποίηση Τη δημιουργία κλειδιού PMK PEAP, TTLS. Η επικοινωνία μεταξύ AP και AS διασφαλίζεται από εξωτερικούς μηχανισμούς τα πρωτόκολλα IPsec και SSL. Slide: 28/68 Αμοιβαία πιστοποίηση ταυτότητας RSNA /2 Για να αποφύγουμε τη συχνή δημιουργία ασφαλών σηράγγων / καναλιών προσωρινή αποθήκευση (caching) και επαναχρησιμοποίηση μιας PMKSA ο σταθμός μπορεί να επαναχρησιμοποιήσει μια PMKSA κάθε PMKSA έχει μια μοναδική ταυτότητα PMKID Η ταυτότητα είναι το αποτέλεσμα της ακόλουθης σχέσης: PMKID = HMAC-SHA1-128(PMK, PMK Name AA SPA) όπου AA = MAC διεύθυνση του AP SPA = ΜΑC διεύθυνση του STA Slide: 29/68 Αμοιβαία πιστοποίηση ταυτότητας RSNA /3 Η διαδικασία της προ-αυθεντικοποίησης διευκολύνει τις περιαγωγές Πριν την περιαγωγή ενός σταθμού σε μια άλλη κυψέλη Η προ-αυθεντικοποίησης εγκαθιδρύει μια νέα PMKSA μεταξύ του STA και του (νέου) AP. Tο τρέχονap λειτουργεί ως διαμεσολαβητής (proxy/relay) Όταν τελικά ο STA περιάγετε στην κυψέλη του νέου AP συσχετίζεται με το νέο AP και αμέσως προχωρά στη διαδικασία 4-way exchange. Slide: 30/68 10

11 Αμοιβαία πιστοποίηση ταυτότητας RSNA /4 Το πλαίσιο 802.1Χ δεν είναι εύκολα υλοποιήσιμο για μικρής κλίμακας περιβάλλοντα. (Small Office Home Office) κόστος & διαδικασίες Μια λύση το ίδιο το AP να προσφέρει υπηρεσίες AS. Όπου το παραπάνω δεν είναι δυνατό!!! ένα προ-συμφωνημένο μυστικό κλειδί (PSK) Εγκαθίσταται τόσο στο STA όσο και στο AP. Tο PSK λειτουργεί ως PMK. Slide: 31/68 Αμοιβαία πιστοποίηση ταυτότητας RSNA / 5 Oι μέθοδοι που βασίζονται σε κλειδιά PSK παρουσιάζουν διάφορες αδυναμίες. Το PSK είναι μια (τυχαία) τιμή μήκους 256 bits δημιουργείται από ένα συνθηματικό (password / passphrase) p Επεκτείνεται απότοσύστημαώστενα έχει το απαιτούμενο μήκος. Έτσι το PSK/PMK είναι ευπαθές σε επιθέσεις λεξικών (dictionary attacks). Slide: 32/68 ιαχείριση κλειδιών σε RSNs /1 Τα μηνύματα διαχείρισης κλειδιών RSNA Ανταλλάσσονται μεταξύ STA και APs Αποστέλλονται ενθυλακωμένα σε πλαίσια 802.1Χ EAPOL- Key. Με χρήση μηνυμάτων μ EAPOL-Key υλοποιούνται οι διαδικασίες: a) 4-Way exchange/handshake, b) Group Key Handshake, για την ανανέωση του κλειδιού GTK στο σταθμό, c) STAKey Handshake, για την παράδοση του κλειδιού STAKey στους δύο εμπλεκόμενους σταθμούς. Slide: 33/68 11

12 ιαχείριση κλειδιών σε RSNs /2 Slide: 34/68 Ιεραρχία κλειδιών RSN Ένα RSNA ορίζει δύο ειδών ιεραρχίες κλειδιών: Ιεραρχία κλειδιών «ζευγαρώματος» (pairwise key hierarchy), Σκοπός: η προστασία των δεδομένων αποκλειστικής διανομής (unicast traffic) Ιεραρχία κλειδιών GTK, Αποτελείται από ένα μοναδικό κλειδί προστασία των δεδομένων πολυδιανομής και εκπομπής (multicast and broadcast traffic). Slide: 35/68 Ιεραρχία κλειδιών Pairwise /1 Η ιεραρχία κλειδιών «ζευγαρώματος» (pairwise key hierarchy) χρησιμοποιεί συναρτήσεις ή γεννήτριες (ψευδο)τυχαίων τιμών (Pseudo Random Functions, PRFs), PRF-n n το πλήθος των bits στην έξοδο Το κλειδί PMK πρέπει να έχει μήκος 256 bits. Το παραγόμενο κλειδί PTK είναι μοναδικό για κέθε ζεύγος supplicant / authenticator και τεμαχίζεται στα κλειδιά: EAPOL-Key confirmation keys (KCK) Key Encryption Key (KEK) Temporary Keys (TKs) Slide: 36/68 12

13 Ιεραρχία κλειδιών Pairwise /2 Slide: 37/68 Ιεραρχία κλειδιών Pairwise /3 Ένα κλειδί PTK παράγεται με βάση την παρακάτω σχέση: PTK PRF-X(PMK, Pairwise key expansion, Min(AA,SPA) Max(AA,SPA) Min(ANonce,SNonce) Max(ANonce,SNonce)) εισόδους το κλειδί PMK, τις MAC διευθύνσεις του authenticator (AA) και supplicant (SPA), τις δύο τιμές nonce που δημιουργούν Authenticator Nonce (ANonce) και Supplicant Nonce (SNonce) Slide: 38/68 Ιεραρχία κλειδιών Pairwise /4 Το πρωτόκολλο TKIP απαιτεί X = 512 (για συσκευές που το υλικό τους υποστηρίζει τον αλγόριθμο RC4), Ενώ το CCMP χρειάζεται X = 384 (για συσκευές που το υλικό τους υποστηρίζει τον αλγόριθμο AES). Το κλειδί KCK θα παραχθεί από τα πρώτα 128 bits (bits 0 127) του κλειδιού PTK: KCK L(PTK, 0, 128). Τo κλειδί KCK χρησιμοποιείται από το πλαίσιο 802.1X για την παροχή υπηρεσιών αυθεντικοποίησης προέλευσης δεδομένων (data origin authenticity) ακεραιότητας των μηνυμάτων (EAPOL-Key frames) Ανταλλάσσεται κατά τη διαδικασία 4-Way exchange και Group Key Handshake. Slide: 39/68 13

14 Ιεραρχία κλειδιών Pairwise /5 Το κλειδί KEK θα παραχθεί από τα επόμενα 128 bits ( ) του κλειδιού PTK: KEK L(PTK, 128, 128). Το KEK χρησιμοποιείται για την παροχή υπηρεσιών εμπιστευτικότητας στα μηνύματα (EAPOL-Key frames) Το προσωρινό κλειδί Temporal Key (TK) θα παραχθεί από τα bits ή από τα bits για το πρωτόκολλο CCMP και TKIP αντίστοιχα του κλειδιού PTK: TKCCMP L(PTK, 256, 128) ή TKTKIP L(PTK, 256, 256). Slide: 40/68 Ιεραρχία κλειδιών ομάδας (group keys) /1 Το κλειδί GTK είναι ένας τυχαίος αριθμός Αποθηκεύεται στο AP Η ιεραρχία κλειδιών ομάδας χρησιμοποιεί συναρτήσεις PRF-128 (CCMP) ή PRF-256 (TKIP) Slide: 41/68 Ιεραρχία κλειδιών ομάδας (group keys) /2 Slide: 42/68 14

15 Ιεραρχία κλειδιών ομάδας (group keys) /3 Το κλειδί GTK τεμαχίζεται σε προσωρινά κλειδιά (temporal keys) Xρησιμοποιούνται πάντοτε μεταξύ ενός AP και όλων των STAs Το κλειδί GTK παράγεται έχοντας ως εισόδους το κλειδί GMK, μια (ψευδο)τυχαία τιμή (GNonce) που παράγεται από τον authenticator τη διεύθυνση MAC του authenticator (AA) Slide: 43/68 Ιεραρχία κλειδιών ομάδας (group keys) /4 Το πρωτόκολλο WEP χρειάζεται X = 40 ή X= 104, το CCMP χρησιμοποιεί X = 128 TKIP απαιτεί X = 256. Το προσωρινό κλειδί (TK) θα είναι : TKWEP40 L(GTK, 0, 40) ή TKWEP128 L(GTK, 0, 104) ή TKCCMP L(GTK, 0, 128) ή TKTKIP L(GTK, 0, 256). GTK PRF-X(GMK, Group key expansion AA GNonce) Slide: 44/68 Χειραψία 4-way /1 Η διαδικασία 4-way exchange ή handshake εκτελείται μεταξύ AP και STA με σκοπό : Να επιβεβαιώσει ότι τα δύο μέρη έχουν στην κατοχή τους το PMK Να συνεισφέρει στη δημιουργία κλειδιού PTK. Η διαδικασία 4-way exchange ακολουθεί: την επιτυχή (επανα)συσχέτιση του STA με ένα AP, όταν χρέη κλειδιού PMK εκτελεί ένα κλειδί PSK τη διαδικασία αυθεντικοποίησης 802.1X EAP Μόλις το AP παραλάβει το δημιουργηθέν κλειδί PMK από τον AS. Επίσης, η διαδικασία 4-way exchange μπορεί να εκτελεστεί για την ανανέωση ενός κλειδιού PTK, όταν αυτό παύσει να ισχύει (expire). Slide: 45/68 15

16 Χειραψία 4-way /2 Χρησιμοποιούμε τον εξής συμβολισμό για όλα τα μηνύματα της διαδικασίας 4-way exchange: EAPOL-Key(Ctr, S, M, A, I, K, KeyRSC, ANonce/SNonce, MIC, RSNIE, GTK[N]) Slide: 46/68 Χειραψία 4-way /3 Όπου: Ctr: Key replay counter S: Secure flag M: Key MIC flag A: Key ACK field I: Install/Not install for the pairwise key K: Key type: P (Pairwise), i G (Group/STAKey). KeyRSC: Key RSC field. ANonce/SNonce: Key Nonce field (Authenticator/Supplicant nonce) MIC: Key MIC field RSNIE: Key Data field (RSN information element) GTK: Key Data field (το ενθυλακωμένο κλειδί GTK) N: Προσδιοριστής κλειδιού GTK (key IDentifier) Slide: 47/68 Χειραψία 4-way /4 Slide: 48/68 16

17 Χειραψία 4-way /5 Μήνυμα 1: A S: EAPOL-Key(Ctr,0,0,1,0,P,0,ANonce,0,0,0). Το συγκεκριμένο μήνυμα περιέχει: το μετρητή μηνυμάτων (key replay counter, Ctr), τη nonce του AP την ταυτότητα του κλειδιού PMK (PMKID). Το μήνυμα 1 είναι σε μορφή αρχικού κειμένου δεν προστατεύεται από ακεραιότητα. Slide: 49/68 Χειραψία 4-way /6 Κατά τη λήψη του μηνύματος 1, ο σταθμός ελέγχει αν η τιμή του πεδίου Ctr έχει ήδη χρησιμοποιηθεί στο παρελθόν με την τρέχουσα PMKSA. Αν η τιμή του Ctr είναι μικρότερη ρη ή ίση με την τρέχουσα τοπική τιμή, ο σταθμός απορρίπτει το μήνυμα ιαφορετικά δημιουργεί μια νέα nonce (SNonce), παράγει το κλειδί PTK συνθέτει το μήνυμα 2. Slide: 50/68 Μήνυμα 2: S A: Χειραψία 4-way /7 EAPOL-Key(Ctr,0,1,0,0,P,0,SNonce,MIC,RSNIE,0). Αποστέλλεται επίσης σε μορφή αρχικού κειμένου, αλλά αυτή τη φορά η ακεραιότητά του προστατεύεται. Το μήνυμα περιέχει: την ίδια τιμή Ctr με το μήνυμα 1, την τιμή nonce του σταθμού (SNonce) το RSN IE που περιέχει τις παραμέτρους ασφαλείας, είχαν σταλεί κατά τη διαδικασία επανασυσχέτισης του σταθμού με το AP. Τα δύο RSN IE (αρχικό και τρέχον) πρέπει να ταυτίζονται, αλλιώς η διαδικασία αποτυγχάνει. Slide: 51/68 17

18 Χειραψία 4-way /8 Η διαδικασία παραγωγής του MIC έχει ως εξής: ημιουργείται το πλαίσιο EAPOL-Key, Υπολογίζεται το MIC κάνοντας χρήση του κλειδιού EAPOL-Key confirmation key (KCK) και του αλγορίθμου MD5 ή SHA1-128 Η παραγόμενη τιμή μήκους 128 bits τοποθετείται ως περιεχόμενο του πεδίου MIC. Slide: 52/68 Χειραψία 4-way /9 Κατά τη λήψη του μηνύματος 2, το AP ελέγχει εάν ανέμενε ένα μήνυμα 2 (πεδίο Ctr) Εάν όχι, απορρίπτει σιωπηλά το μήνυμα. παράγει το PTK, εξάγει το KCK και επαληθεύει το MIC επαληθεύει ότι το RSN IE είναι όμοιο με αυτό που έλαβε από το STA κατά τη διάρκεια (επανα)συσχέτισης προστατεύει την διαδικασία από επιθέσεις υποβίβασης (downgrade attacks) Slide: 53/68 Χειραψία 4-way /10 Μήνυμα 3: A S: EAPOL-Key(Ctr,1,1,1,1,P,KeyRSC,ANonce,MIC,RSNIE, GTK[N]). Αυξάνεται η τιμή του μετρητή Ctr κατά 1 Ο υπολογισμός του MIC είναι παρόμοιος με αυτόν του 2 ου μηνύματος. Το πεδίο key data κρυπτογραφείται με το κλειδί KEK. Το AP είναι έτοιμο να δεχθεί κρυπτογραφημένα MPDUs από το σταθμό. Slide: 54/68 18

19 Χειραψία 4-way /11 Με τη λήψη του 3 ου μηνύματος το STA ελέγχει : η τιμή Ctr είναι μεγαλύτερη από αυτή του μηνύματος 1, η τιμή του ANonce είναι ίδια με το πρώτο μήνυμα Μετά ο σταθμός επαληθεύει το RSN IE το MIC Σε περίπτωση που το 3 ο μήνυμα περιέχει ένα νέο RSN IE Το STA ελέγχει εάν μπορεί να υποστηρίξει τις παραμέτρους ασφαλείας που αυτό ορίζει. Τέλος, το STA αυξάνει την τιμή του μετρητή Ctr κατά 1 και δημιουργεί το 4 ο μήνυμα Slide: 55/68 Χειραψία 4-way /12 Μήνυμα 4: S A: EAPOL-Key(Ctr,1,1,0,0,P,0,0,MIC,0,0). λειτουργεί ως επιβεβαίωση του 3 ου μηνύματος προστατεύεται από MIC Το πεδίο key data δεν μεταφέρει καμία πληροφορία. Στη συνέχεια το STA είναι έτοιμο: να αποστείλει και να δεχθεί μηνύματα unicast, (χρήση της PTKSA) να δεχθεί κρυπτογραφημένα MPDUs πολυδιανομής, εκμεταλλευόμενος τη σχηματισθείσα GTKSA. Slide: 56/68 Ανταλλαγή κλειδιού ομάδας (GTK) /1 Η διαδικασία εγκαθίδρυσης μιας GTKSA αποτελεί τμήμα της χειραψίας 4-way. Στο 3 ο μήνυμα το AP αποστέλλει στο STA το GTK κρυπτογραφημένο H διαδικασία ανταλλαγής κλειδιού ομάδας (Group Key Handshake), αποτελείται από δύο μηνύματα Slide: 57/68 19

20 Ανταλλαγή κλειδιού ομάδας (GTK) /2 Slide: 58/68 Ανταλλαγή κλειδιού ομάδας (GTK) /3 Μήνυμα 1: A S: EAPOL-Key(Ctr,1,1,1,0,G,Key RSC,0,MIC,0,GTK[N]). Το πρώτο μήνυμα απαιτεί επιβεβαίωση λήψης (ACK), περιέχει MIC είναι κρυπτογραφημένο Η τιμή του μετρητή Ctr έχει ενημερωθεί (+2) Οι τιμές των κλειδιών KCK και KEK παραμένουν ίδιες Slide: 59/68 Ανταλλαγή κλειδιού ομάδας (GTK) /4 Με τη λήψη του μηνύματος 1 ο σταθμός ελέγχει: την τιμή του πεδίου Ctr την ακεραιότητα του μηνύματος υπολογίζοντας το MIC με τη βοήθεια του κλειδιού KCK. Τέλος, εγκαθιστά το νέο GTK Slide: 60/68 20

21 Ανταλλαγή κλειδιού ομάδας (GTK) /5 Μήνυμα 2: S A: EAPOL-Key(Ctr,1,1,0,0,G, 0,0,MIC,0,0). Λειτουργεί ως επιβεβαίωση του μηνύματος 1 & περιέχει το σχετικό MIC, Με την παραλαβή του 2 ου μηνύματος το AP: ελέγχει την τιμή του μετρητή Ctr (ίδια με αυτή του 1 ου ) επαληθεύει το MIC. αυξάνει την τιμή του μετρητή Ctr για μελλοντική χρήση. Mόλις το AP λάβει μηνύματα επιβεβαίωσης από όλους τους σταθμούς που ανήκουν στην ομάδα εγκαθιστά και χρησιμοποιεί το νέο GTK Slide: 61/68 Ανταλλαγή κλειδιού για ευθεία επικοινωνία μεταξύ δύο σταθμών (STAkey) /1 Η διαδικασία STAKey Handshake ξεκινάει από το ενδιαφερόμενο STA Ζητά από το AP την εγκαθίδρυση μιας STAkeySA μεταξύ του ίδιου και ενός άλλου peer STA έχουν συσχετιστεί με το ίδιο AP. Η αίτηση (STAKey Request message) προστατεύεται από το μετρητή προστασίας από επανεκπομπή (EAPOL-Key request replay counter) του ίδιου του σταθμού. Slide: 62/68 Ανταλλαγή κλειδιού για ευθεία επικοινωνία μεταξύ δύο σταθμών (STAkey) /2 Μήνυμα αίτησης: STAKey Request: Initiating S A: EAPOL-Key(1,1,0,0,G/0, 0,0, MIC, 0, Peer MAC KDE). Προστατευμένο μήνυμα αίτησης στο AP περικλείει τη διεύθυνση MAC του peer STA. Με τη λήψη του μηνύματος το AP Ελέγχει την τιμή του πεδίου Key Replay Counter επαληθεύει την τιμή του MIC εξισώνει την τιμή του τοπικού μετρητή Key Replay Counter field με αυτή που έλαβε από το initiating STA. Slide: 63/68 21

22 Ανταλλαγή κλειδιού για ευθεία επικοινωνία μεταξύ δύο σταθμών (STAkey) /3 Μήνυμα 1: STAkey Message 1: A Peer STA: EAPOL-Key(1,1,1,0,G/0, 0,0,MIC,0, Initiator MAC KDE,STAKey). Το AP αποστέλλει ένα μήνυμα STAKey Message 1 στο peer STA Κατά την παραλαβή του μηνύματος το peer STA επαληθεύει ότι η τιμή του ληφθέντος μετρητή Key Replay Counter field είναι καινούργια (fresh), Ελέγχει το σχετικό MIC Αναπροσαρμόζει την τιμή του τοπικού μετρητή Key Replay Counter field ώστε να είναι ίση με αυτή που περιείχε το STAKey Message 1. Ακολούθως, το peer STA επιλέγει το STAKey για απευθείας επικοινωνία με τον initiating STA αποστέλλει το STAKey μήνυμα 2 στο AP. Slide: 64/68 Ανταλλαγή κλειδιού για ευθεία επικοινωνία μεταξύ δύο σταθμών (STAkey) /4 Μήνυμα 2: STAKey Message 2: Peer S A: EAPOL-Key(1,1,0,0,G/0, 0,0,MIC,0, Initiator MAC KDE, STAKey). Αποτελεί μια προστατευμένη από ακεραιότητα και επανεκπομπή επιβεβαίωση (ACK) του μηνύματος STAKey Message 1. Με τη λήψη του παρόντος μηνύματος το AP ασκεί έλεγχο της τιμής του μετρητή Key Replay Counter, πρέπει να ισούται με αυτόν του μηνύματος STAKey Message 1. Επιβεβαιώνει το MIC Αυξάνει την τιμή του μετρητή Key Replay Counter field για το peer STA. Slide: 65/68 Ανταλλαγή κλειδιού για ευθεία επικοινωνία μεταξύ δύο σταθμών (STAkey) /5 Μετά την ολοκλήρωση της διαδικασίας ανταλλαγής μηνυμάτων STAKey με το peer STA, Το AP ξεκινά την ίδια διαδικασία ανταλλαγής μηνυμάτων STAKey Message 1 και Message 2 με το initiating STA. Μήνυμα 1: A Initiating STA: EAPOL-Key(1,1,1,0,G/0,0,0,MIC,0,Peer (1110G/000MIC0P MAC KDE, STAKey) Μήνυμα 2: Initiating STA A: EAPOL-Key(1,1,0,0,G/0,0, 0,MIC,0,Peer MAC KDE, STAKey). Επιτυγχάνεται η διανομή του ίδιου κλειδιού STAKey και στο initiating STA οι δύο σταθμοί να μπορούν να επικοινωνήσουν με ασφάλεια. Slide: 66/68 22

23 Σύνοψη /1 Τα ασύρματα δίκτυα που ακολουθούν το (υπο)πρότυπο i διαθέτουν: ισχυρούς μηχανισμούς διαπραγμάτευσης και εγκαθίδρυσης παραμέτρων συσχετισμών ασφαλείας για την προστασία των επικοινωνιών μεταξύ σταθμών και ασύρματων σημείων πρόσβασης (STA-to-AP), μεταξύ των ίδιων των σταθμών (STA-to-STA) χωρίς τη μεσολάβηση AP, αλλά και μεταξύ των σταθμών μελών της ίδιας ομάδας και ενός AP (AP-to-STA). Slide: 67/68 Σύνοψη /2 Τα βήματα που ολοκληρώνουν ένα πλαίσιο ασφαλείας RSN είναι: (α) ιαπραγμάτευση παραμέτρων ασφαλείας, (β) αμοιβαία πιστοποίηση ταυτοτήτων βασισμένη στο σχήμα 802.1Χ και στις αντίστοιχες μεθόδους του πρωτοκόλλου EAP Εκτός της περίπτωσης που τα δύο μέρη κάνουν χρήση κλειδιού PSK, (γ) Συμφωνία κλειδιού PMK, (δ) Αξιοποίηση της διαδικασίας 4-way exchange για τη δημιουργία μιας PTKSA Για την προστασία των πλαισίων διαχείρισης, των MPDUs δεδομένων, του κλειδιού GTK, καθώς επίσης και των κλειδιών STAkeys. Slide: 68/68 23