6/1/2010. Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών. Περιεχόμενα. Εισαγωγή /1 IEEE

Transcript

1 Ασφάλεια Ασύρματων & Κινητών Επικοινωνιών Ασύρματες Επικοινωνίες Μέρος III Χρήστος Ξενάκης Τμήμα Ψηφιακών Συστημάτων Πανεπιστήμιο Πειραιώς Slide: 1/42 Περιεχόμενα IEEE WIRED EQUIVALENT PRIVACY (WEP) Εισαγωγή Πιστοποίηση ταυτότητας Υπηρεσία εμπιστευτικότητας Αδυναμίες Slide: 2/42 Εισαγωγή /1 WEP αρχικός μηχανισμός ασφαλείας του IEEE Στόχος του WEP υπηρεσίες εμπιστευτικότητας Wired Equivalent Privacy Το WEP αποτελείται λί από δύο τμήματα: Το πρωτόκολλο πιστοποίησης ταυτότητας, Το μηχανισμό παροχής υπηρεσιών εμπιστευτικότητας (αλγόριθμος RC4) Slide: 3/42 1

2 Εισαγωγή /2 To πρωτόκολλο αυθεντικοποίησης διατίθεται σε δύο καταστάσεις (modes) : open system shared-key ή WEP Η πρώτη δεν είναι ασφαλής (απλή χειραψία δύο μηνυμάτων) Η δεύτερη υλοποιεί μια χειραψία 4 μηνυμάτων Χρήση πρωτοκόλλου πρόκλησης απάντησης (challenge response) Αποδεικνύει την κατοχή ενός κοινού μυστικού (κλειδιού). Η διαδικασία πιστοποίησης ταυτότητας στο WEP είναι μονόδρομη Η οντότητα που ζητάει την υπηρεσία αυθεντικοποιείται στο δίκτυο (AP) όχι το αντίστροφο Slide: 4/42 Εισαγωγή /3 Αίτηση αυθεντικοποίησης Open system Authentication Επιτυχία αυθεντικοποίησης Αίτηση αυθεντικοποίησης Πρόκληση WEP Authentication Απάντηση Επιτυχία αυθεντικοποίησης Slide: 5/42 Εισαγωγή /4 Tο WEP έχει σοβαρές αδυναμίες έγιναν γνωστές το 2000 το 2001 υπήρχαν αρκετά εργαλεία για το «σπάσιμο» του WEP Το 2003 το WEP αντικαταστάθηκε από το Wi-Fi Protected Access (WPA) Το 2004 από το πλήρες πρότυπο IEEE i (γνωστό και ως WPA2). Ακόμη και σήμερα πολλές εγκατεστημένες συσκευές υποστηρίζουν το WEP Slide: 6/42 2

3 Πιστοποίηση ταυτότητας WEP /1 Τα μηνύματα αυθεντικοποίησης περιέχουν τα ακόλουθα πεδία: Αλγόριθμος αυθεντικοποίησης 0 για open system authentication 1 για WEP. Ταυτότητα του STA (STA ID) Η MAC διεύθυνση προορισμού Αριθμός σειράς (sequence) Αρχικοποιείται με την τιμή 1 και αυξάνεται κατά 1 για κάθε μήνυμα αυθεντικοποίησης που ακολουθεί. Το πεδίο αυτό μπορεί να λάβει τιμές από 1 έως και 4. Slide: 7/42 Πιστοποίηση ταυτότητας WEP /2 Κωδικός κατάστασης Αποστέλλεται στο τελικό μήνυμα ηλώνει την επιτυχία ή την αποτυχία της διαδικασίας πιστοποίησης Πληροφορίες ανάλογα με τον αλγόριθμο εν απαιτείται για διαδικασία open system authentication Στην περίπτωση WEP περιέχει το κείμενο πρόκλησης (challenge text). Slide: 8/42 Πιστοποίηση ταυτότητας WEP /3 ιαδικασία open system authentication Ο χρήστης στέλνει ένα μήνυμα με τη MAC διεύθυνση της συσκευής του Το AP απαντάει με ένα μήνυμα επιτυχίας. Αντίθετα, απαντάει με ένα μήνυμα αποτυχίας (unsuccessful) Αν το AP δεν υποστηρίζει την εν λόγω μέθοδο Η ληφθείσα MAC δεν υπάρχει στη λίστα Slide: 9/42 3

4 Πιστοποίηση ταυτότητας WEP /4 H διαδικασία shared key απαιτεί την ύπαρξη WEP. το STA αποστέλλει ένα μήνυμα με τη MAC διεύθυνσή του το AP απαντάει με ένα μήνυμα πρόκλησης (τυχαίος αριθμός μήκος 128 bits) το STA απαντάει προκειμένου να αποδείξει ότι γνωρίζει το κοινό μυστικό κλειδί. Slide: 10/42 Πιστοποίηση ταυτότητας WEP /5 Η διαδικασία δεν εξασφαλίζει στο STA ότι το AP γνωρίζει επίσης το μυστικό κλειδί. Είναι εύκολο να υλοποιηθούν επιθέσεις του τύπου rogue AP Ένας επιτιθέμενος μπορεί να παρακολουθήσει τη διαδικασία και την ανταλλαγή δεδομένων Αποκτά εύκολα ένα ζεύγος {κείμενο πρόκλησης, κρυπτογράφημα του κειμένου πρόκλησης} Με την κατάλληλη ανάλυση αποκαλύπτεται το μυστικό κλειδί Slide: 11/42 Υπηρεσία εμπιστευτικότητας WEP /1 Χρησιμοποιείται ο γνωστός συμμετρικός αλγόριθμος κωδικοποίησης ροής (stream ciphering) RC4. Επιλέχθηκε από τους σχεδιαστές του WEP γιατί είναι ελεύθερα διαθέσιμος εύκολος να υλοποιηθεί σχετικά πολύ γρήγορος και πολύ αποτελεσματικός αν φυσικά χρησιμοποιηθεί με το σωστό τρόπο Slide: 12/42 4

5 Υπηρεσία εμπιστευτικότητας WEP /2 Ο RC4 αποτελείται από δύο κύριες φάσεις Η πρώτη φάση ονομάζεται αρχικοποίηση ημιουργούνται ορισμένοι εσωτερικοί πίνακες λειτουργίας με βάση το μυστικό κλειδί. Η δεύτερη φάση είναι υπεύθυνη για την κρυπτογράφηση Στο WEP και οι δύο φάσεις εκτελούνται για καθένα πακέτο Αν κάποιο πακέτο χαθεί κατά τη μετάδοση τα επόμενα μπορούν να αποκρυπτογραφηθούν χωρίς πρόβλημα. Slide: 13/42 Υπηρεσία εμπιστευτικότητας WEP /3 Το αρχικό μήκος κλειδιού WEP ήταν 40 bits εξαιρετικά αδύνατο σε επιθέσεις τύπου εξαντλητικής αναζήτησης (brute force attacks). Αύξηση του μήκος του κλειδιού WEP σε 104 bits Γνωστό και ως WEP Plus κλειδί (128 bits) Τα 24 bits ( ) σχετίζεται με το διάνυσμα αρχικοποίησης (Initialization Vector, IV) Ένα βασικό πρόβλημα της χρήσης σταθερού (μη μεταβαλλόμενου) κλειδιού κρυπτογράφησης είναι Το ίδιο αρχικό κείμενο (plaintext) οδηγεί στο ίδιο ακριβώς κρυπτογράφημα. Slide: 14/42 Υπηρεσία εμπιστευτικότητας WEP /4 Λύση στο παραπάνω πρόβλημα προσφέρει η χρήση IV Ο συνδυασμός (concatenation) Του μήκους 104 bits κλειδιού Και ενός διαρκώς μεταβαλλόμενου μ για κάθε πακέτο IV μήκους 24 bits δημιουργεί ένα μεταβλητό κλειδί κρυπτογράφησης μήκους 128 bits. Έτσι ίδια αρχικά κείμενα παράγουν διαφορετικά κρυπτογραφήματα. Slide: 15/42 5

6 Υπηρεσία εμπιστευτικότητας WEP /5 Το IV δεν είναι μυστικό!!! Αποστέλλεται με μορφή αρχικού κειμένου στο κρυπτογραφημένο πλαίσιο Ο δέκτης γνωρίζει ρζ ποιο IV θα χρησιμοποιήσει κατά την αποκρυπτογράφηση. Ένας επιτιθέμενος γνωρίζει το IV Παρακολουθώντας απλώς τα μεταδιδόμενα πακέτα Slide: 16/42 Υπηρεσία εμπιστευτικότητας WEP /6 Slide: 17/42 Υπηρεσία εμπιστευτικότητας WEP /7 Θεωρητικά, ηγνώσητου IV δεν αποτελεί απειλή χωρίς τη γνώση του μυστικού κλειδιού Ωστόσο ένα IV θα πρέπει να μη χρησιμοποιείται πάνω από μια φορά σε συνδυασμό με το ίδιο (σταθερό) μυστικό κλειδί. Το μήκος του IV είναι 24 bits 17 εκατομμύρια διαφορετικά IVs Ένα AP αποστέλλει/λαμβάνει ~ πακέτα/sec Αν για κάθε πακέτο χρησιμοποιείται διαφορετικό IV Τα διαθέσιμα IV θα καταναλώνονται σε διάστημα λίγων ωρών Slide: 18/42 6

7 Υπηρεσία εμπιστευτικότητας WEP /8 Αλλά το δεν ορίζει μηχανισμό αυτόματης ανανέωσης κλειδιών (re-keying). Ελάχιστοι διαχειριστές/χρήστες ανανεώνουν τα κλειδιά τους κάθε μέρα Είναι βέβαιο ότι τα ίδια IV θα επαναχρησιμοποιηθούν αρκετές φορές Το WEP επίσης δεν ορίζει κάποια μέθοδο επιλογής IV Κατά τη φάση εκκίνησης πολλά συστήματα χρησιμοποιούν πάντα το ίδιο IV Ακολούθως, το μεταβάλλουν διαρκώς με τον ίδιο τρόπο ή ακόμα και (ψευδο)τυχαία προβλέψιμα. Slide: 19/42 Υπηρεσία εμπιστευτικότητας WEP /9 Αν το IV επιλέγεται για κάθε πακέτο (ψευδο)τυχαία Έχουμε επανάληψη του ίδιου IV σε ~ 2 23 πακέτα. Η επαναχρησιμοποίηση του ίδιου IV στην παραγωγή ίδιας μάσκας προστατεύει δύο διαφορετικά αρχικά κείμενα. Αν εφαρμόσουμε τη συνάρτηση XOR (i) στα δύο αρχικά κείμενα (ii) στα κρυπτογραφημένα κείμενα προκύπτει το ίδιο ακριβώς αποτέλεσμα Slide: 20/42 Υπηρεσία εμπιστευτικότητας WEP /10 Slide: 21/42 7

8 Υπηρεσία εμπιστευτικότητας WEP /11 Ένας επιτιθέμενος, που παρατηρεί τα δεδομένα που μεταδίδονται στη ραδιο-ζεύξη. Γνωρίζοντας ότι: Αποτέλεσμα ΙΙ = Αποτέλεσμα Ι Είναι σε θέση να αποκαλύψει το περιεχόμενο των Plaintext I & II Η διαδικασία κρυπτογράφησης είναι ανεπαρκής. Η επίθεση αυτή είναι γνωστή και ως collision attack. Slide: 22/42 Υπηρεσία εμπιστευτικότητας WEP ( ιαχείριση κλειδιών) /1 Το προσδιορίζει για το WEP δύο είδη κλειδιών: Default Keys: Όλα τα STAs και APs χρησιμοποιούν το ίδιο κλειδί. Key Mapping Keys: Κάθε STA διαθέτει το δικό του μοναδικό κλειδί Το AP γνωρίζει όλα τα διαφορετικά κλειδιά Τα κλειδιά αυτά είναι στατικά (static) Το μήκος τους μπορεί να είναι 40 ή 104 bits. Συμμετρικά (κρυπτογράφηση αποκρυπτογράφηση) Slide: 23/42 Υπηρεσία εμπιστευτικότητας WEP ( ιαχείριση κλειδιών) /2 Default key υσκολία στη διαχείριση του κλειδιού (αλλαγές) Παράδειγμα: ίκτυο αποτελείται από 4 APs και 30 χρήστες Εύκολες οι αλλαγές στα APs. Πρόβλημα στους χρήστες που δεν έχουν ενημερώσει τις συσκευές τους με το νέο κλειδί εν θα έχουν τη δυνατότητα να επικοινωνήσουν με τα APs Slide: 24/42 8

9 Υπηρεσία εμπιστευτικότητας WEP ( ιαχείριση κλειδιών) /3 Λύση η χρήση 2 default κλειδιών την ίδια στιγμή Μπορούμε να έχουμε μέχρι 4 διαφορετικά default κλειδιά σε κάθε συσκευή. Κάθε φορά το ενεργό κλειδί γνωστοποιείται στον παραλήπτη με ένα αριθμό 0, 1, 2 ή 3 στη WEP κεφαλίδα κάθε πακέτου, (KeyID). Η χρήση default κλειδιών εξυπηρετεί σε μικρά τοπικά δίκτυα Προβλήματα στη διαχείριση των κλειδιών όταν έχουμε: μεγάλο πλήθος χρηστών (STAs) και APs Slide: 25/42 Υπηρεσία εμπιστευτικότητας WEP ( ιαχείριση κλειδιών) /4 Κey mapping Το κλειδί είναι μοναδικό για κάθε χρήστη εν υποστηρίζεται από όλους τους κατασκευαστές Wi-Fi. Με ποιο κλειδί θα μεταδίδονται μηνύματα broadcast!!!! Θα πρέπει να υπάρχει ένα default κλειδί Σημαντικός φόρτος στα APs, διαθέτουν πίνακα με ιεύθυνση MAC κλειδί Υβριδικού τύπου λύσεις Το δίκτυο διαιρείται σε λογικές ενότητες ή οι χρήστες σε ομάδες Slide: 26/42 Υπηρεσία εμπιστευτικότητας WEP (Υπολογισμός αθροίσματος ελέγχου )/1 Το WEP ορίζει τον αλγόριθμο CRC-32 για υπηρεσίες ακεραιότητας. Άθροισμα ελέγχου μήκους τεσσάρων bytes Πληροφορία άθροισμα ελέγχου κρυπτογραφούνται με τον RC4. Ο παραλήπτης ακολουθεί την αντίστροφη διαδικασία Συγκρίνει το Integrity Check Value (ICV) που έλαβε με αυτό που υπολόγισε ο ίδιος Slide: 27/42 9

10 Υπηρεσία εμπιστευτικότητας WEP (Υπολογισμός αθροίσματος ελέγχου )/2 Slide: 28/42 Υπηρεσία εμπιστευτικότητας WEP (Ενθυλάκωση πακέτου) ημιουργία του τελικού πλαισίου προς αποστολή H κεφαλίδα WEP, αποτελείται από το IV και ένα byte, (Pad + 2 bits 0 και 1 που αντιπροσωπεύουν το KeyID) Η WEP κεφαλίδα προσθέτει άλλα 4 bytes στο προς μετάδοση MPDU. Το IV και το KeyID μεταδίδονται σε μορφή αρχικού κειμένου Κρυπτογραφημένο MAC επικεφαλίδα 30 bytes IV 3 bytes Pad 6 bits KeyID 2 bits Frame body 1 byte ICV 4 bytes Επικεφαλίδα WEP Slide: 29/42 Πρόσβαση στο δίκτυο Αδυναμίες WEP /1 Το δεν ορίζει συγκεκριμένη πολιτική πρόσβασης στο δίκτυο. Οι συσκευές αναγνωρίζονται με τη MAC διεύθυνσή τους Το δίκτυο διατηρεί μια λίστα των επιτρεπόμενων MACs. Αναποτελεσματική πολιτική Η MAC διεύθυνση μιας συσκευής αλλάζει εύκολα Έλεγχος πρόσβασης μέσω WEP Αν ένας επιτιθέμενος δεν γνωρίζει το μυστικό κλειδί τότε: τα πλαίσια που στέλνει περιέχουν λάθος ICV το AP τα απορρίπτει Slide: 30/42 10

11 Πιστοποίηση ταυτότητας Αδυναμίες WEP /2 Χρήση κοινού μυστικού κλειδιού (WEP αυθεντικοποίηση) To δίκτυο αυθεντικοποιεί το STA, όχι το αντίστροφο. Οποιαδήποτε συσκευή μπορεί να υποδυθεί ένα στοιχείο του δικτύου Το STA δεν είναι σε θέση να το αντιληφθεί. Ένας που παρακολουθεί τη διαδικασία πιστοποίησης ταυτότητας μπορεί να αποκτήσει τον τυχαίο αριθμό 128 bits (Plaintext, P) το κρυπτογραφημένο από το STA αντίστοιχό του (Ciphertext, C) Slide: 31/42 Αδυναμίες WEP /3 Εφαρμόζοντας τη συνάρτηση XOR στις τιμές (Plaintext, P) & (Ciphertext, C). Έχει στη διάθεσή του τη μάσκα RC4 (keystream, R) εδομένου ότι P R = C τότε C R = P και C P = R Αμέσως μετά ο επιτιθέμενος αιτείται αυθεντικοποίησης Αναμένει για το μήνυμα πρόκλησης P από το AP Ο επιτιθέμενος επιστρέφει το αποτέλεσμα C = P R στο AP Πρέπει να στείλει και το IV που αντιστοιχεί στη μάσκα που χρησιμοποίησε (αρχική αυθεντικοποίηση). Slide: 32/42 Αδυναμίες WEP /4 O επιτιθέμενος πιστοποίησε την ταυτότητά του χωρίς να γνωρίζει το μυστικό κλειδί Αλλά δεν μπορεί να συνεχίσει να επικοινωνεί Πρέπει να βρει τρόπο να σπάσει το WEP Έχει ένα ζεύγος (αρχικού κειμένου, κρυπτογραφήματος) Ενδέχεται να οδηγήσει στην αποκάλυψη του μυστικού κλειδιού Slide: 33/42 11

12 Αδυναμίες WEP /5 ιαχείριση κλειδιών: Το μήκος του IV είναι μόνο 24 bits. Απαιτείται η αλλαγή του μυστικού κλειδιού όταν όλες οι δυνατές τιμές τουiv εξαντληθούν, 2 24 Το δεν υποστηρίζει κάποιο αυτόματο και δυναμικό μηχανισμό ανανέωσης κλειδιών Slide: 34/42 Αδυναμίες WEP /6 Προστασία Ακεραιότητας: Το WEP χρησιμοποιεί τον αλγόριθμο CRC-32, εν υπάρχει ξεχωριστό κλειδί ακεραιότητας Είναι επιρρεπής σε συγκρούσεις (collisions) Μια απλή επίθεση Ο επιτιθέμενος δημιουργεί μια τυχαία ακολουθία δυαδικών ψηφίων (ίδιο μήκος με το αρχικό MPDU) Υπολογίζει το ICV της τυχαίας ακολουθίας (CRC-32) Τέλος, εφαρμόζει τη συνάρτηση XOR (τυχαία ακολουθία με το + ICV = κρυπτογραφημένο μήνυμα Slide: 35/42 Αδυναμίες WEP /7 Γενικά ισχύει: c(x y) = c(x) c(y), όπου c = CRC checksum Ο επιτιθέμενος υποκλέπτει μήνυμα A B: (u, C), όπου u = IV, C = ciphertext Το C αντιστοιχεί σε κάποιο άγνωστο Μ (message), άρα: C = RC4(u, k) (M, c(m)) Ερώτημα: Μπορούμε να βρούμε ένα νέο ciphertext C, το οποίο αποκρυπτογραφείται σε M, όπου M = M και το μπορεί να επιλεγεί τυχαία από τον επιτιθέμενο; Αν ναι τότε ο επιτιθέμενος είναι ικανός να αλλάξει τα περιεχόμενα του μηνύματος ως εξής: A B: (u, C ) και να μη γίνει αντιληπτός από το δέκτη αφού αυτός θα αποκρυπτογραφήσει το C σε M με επαληθεύσιμο checksum. Slide: 36/42 12

13 C = C (, c( )) Αδυναμίες WEP /8 = RC4(u, k) (M, c(m)) (, c( )) = RC4(u, k) (M, c(m) c( )) = RC4(u, k) (M, c(m) c( )) = RC4(u, k) (M, c(m )) Αφού: c(m) c( ) = c(m ) Slide: 37/42 Αδυναμίες WEP /9 Τα δύο ICVs θα είναι όμοια!!!! Αλλά το παραληφθέν MPDU δεν είναι ίδιο με αυτό που αρχικά εστάλη. Καμία μέθοδος προστασίας της ακεραιότητας δεν μπορεί να είναι αποτελεσματική με τον RC4, Εκτός εάν το άθροισμα ελέγχου παράγεται από αλγόριθμο που χρησιμοποιεί ανεξάρτητο κλειδί ακεραιότητας (keyed integrity algorithm). Slide: 38/42 Αδυναμίες WEP /10 Λανθασμένη εφαρμογή του RC4: Ο RC4 είναι κωδικοποιητής ροής Άρα κάθε κλειδί πρέπει να χρησιμοποιείται μόνο μια φορά. Στην πράξη συζητήθηκε ότι κάτι τέτοιο δεν ισχύει. Επιπλέον, ο RC4 χαρακτηρίζεται από δύο σοβαρές αδυναμίες που μπορεί να οδηγήσουν στην αποκάλυψη του μυστικού κλειδιού από τα κρυπτογραφημένα πλαίσια. 1. Υπάρχουν αρκετά αδύναμα κλειδιά 2. Η στατιστική ανάλυση των πρώτων bytes που περιέχονται στα πλαίσια μπορεί να αποκαλύψει το μυστικό κλειδί. Οι επιθέσεις αυτού του τύπου είναι γνωστές με το όνομα Fluhrer-Mantin-Shamir (FMS) attacks. Slide: 39/42 13

14 Αδυναμίες WEP /11 Παράλληλα, όσο αφορά τη χρήση IVs είδαμε ότι : a) η χρήση ενός ακολουθιακά μεταβαλλόμενου IV οδηγεί μετά από αρκετά σύντομο χρονικό διάστημα στην επαναχρησιμοποίηση των ίδιων IVs b) η εντελώς τυχαία παραγωγή IV αυξάνει στατιστικά την πιθανότητα συγκρούσεων (παραγωγής ίδιων IVs). c) Εξαιτίας δε του γνωστού Birthday paradox ( Birthday_paradox) υπάρχει 50% πιθανότητα συγκρούσεων IVs μετά από 24 περίπου 1,2 Χ 2 ή ενθυλακώσεις MPDUs με χρήση τυχαίου IV. Slide: 40/42 Αδυναμίες WEP /12 Προστασία από επανεκπομπή μηνυμάτων: Το WEP δεν παρέχει προστασία από επανεκπομπή παλαιότερων μηνυμάτων (replay protection). Ακόμα και αν οι υπηρεσίες εμπιστευτικότητας και ακεραιότητας ήταν αποτελεσματικές οι επιτιθέμενοι είναι σε θέση να επανεκπέμψουν παλαιότερα μηνύματα χωρίς παράλληλα ο παραλήπτης να είναι σε θέση να το αντιληφθεί. Π.χ., σκεφθείτε την περίπτωση όπου ο επιτιθέμενος καταγράφει τα μηνύματα πρόσβασης στο δίκτυο και πιστοποίησης ταυτότητας ενός νόμιμου χρήστη. Slide: 41/42 Αδυναμίες WEP /13 Ακολούθως αναμένει μέχρι ο συγκεκριμένος χρήστης αποσυνδεθεί. Αμέσως μετά αλλάζει κατάλληλα τη MAC διεύθυνσή του και επανεκπέμπει τα μηνύματα που έχει καταγράψει προηγουμένως. Αν όλα πάνε καλά, το AP θα τον αυθεντικοποιήσει με επιτυχία. Υπάρχει ένας αριθμός ακολουθίας στα MAC πλαίσια που πρέπει να μεταβάλλεται σειριακά. Αλλά, το συγκεκριμένο πεδίο δεν τυγχάνει προστασίας από το WEP και έτσι μπορεί εύκολα να αλλαχθεί από τον επιτιθέμενο. Slide: 42/42 14