Kurzfassung

In dieser Diplomarbeit werden die WLAN-Verschl¨ usselungsverfahren des ” Wi-Fi Protected Access“-Industriestandards in ihrer Funktionsweise detailliert erkl¨ art und auf ihre Sicherheit hin untersucht. Zahlreiche teilweise bisher unzureichend oder nur sp¨ arlich dokumentierte Angriffe auf RC4-basierte WLAN-Sicherheitsverfahren werden genau beschrieben. Weiters wird auch ein Ansatz f¨ ur eine neuartige Angriffsstrategie auf WiFi Protected Access pr¨ asentiert, welche mit vorberechneten Tabellen arbeitet. Es fanden sich Methoden, die Gr¨ oße der daf¨ ur notwendigen Wertetabelle stark zu reduzieren und dadurch die theoretische Durchf¨ uhrbarkeit eines derartigen Angriffes zu erleichtern. Die effizientesten der erl¨ auterten Attacken wurden in einer Testumgebung praktisch durchgef¨ uhrt. Abschließend werden verschiedene Vorkehrungen zum Schutz vor Bedrohungen aufgelistet. Die Arbeit richtet sich sowohl an mit der Thematik nur eingeschr¨ ankt vertraute LeserInnen, als auch an IT-SicherheitsexpertInnen.

i

Abstract

In this thesis the security of cryptographic techniques of the WiFi Protected Access industry standard for WLANs is investigated. The functionality of RC4-based security mechanisms is explained in detail. Various vulnerabilites and attacks on these mechanisms are described, some of which could not found to be sufficiently documented before. A theoretical scenario for a novel attack strategy on WiFi Protected Access is presented, which operates with tables of pre-computed values as a base for an attack. Measures were found to reduce the size of charts necessary and thus facilitating the theoretical feasibility of such an attack. The most efficient of the discussed attacks are executed in a test environment. To conclude, different measures for threat protection are specified. The thesis is directed both at readers whose familiarity with the subject area is limited and at IT-security experts.

ii

Abk ¨ urzungsverzeichnis

AAD Additional Authentication Data

ACS AES AP

ARP ASCII BSSID

CBC-MAC Cipher Block Chaining - Message Authentication Code CCMP Counter Mode With Cipher Block Chaining - Message Authentication Code Protocol CHAP Challenge Handshake Authentication Protocol CM Counter Mode

CRC DES DHCP DoS EAP

EAP-FAST EAP-Flexible Authentication via Secure Tunneling EAPoL Extensible Authentication Protocol over Local Area Networks

EIV ESSID FCS FMS

GMK GTK HEX IAS Internet Authentication Service

ICV IDS IPS IEEE IP IPX IV KSA LAN LEAP

iii

MAC Media Access Control

MD5 MIC MPDU

MSB MSDU

NIC NIST PEAP

PMK PN

PPK PPP PRNG Pseudo-Random Number Generator

PSK PTK PTW QoS

RADIUS Remote Authentication Dial-In User Service

RC4 SNAP SSID Service Set Identifier

SSL TCP TID TKIP TLS TMTO TTLS VAP

WEP Wi-Fi WLAN WPA

iv

Schlagw ¨ orter

WLAN-Sicherheit

IT-Security WEP WPA WPA2 802.11i WPA tabellarischer Angriff

v

Inhaltsverzeichnis

1  Einleitung  1

1.1  Einf uhrung in die Thematik  1

1.2  Motivation  2

1.3  Aufbau und Aufgabenstellung  3

1.4  Haftungsausschluss  4

1.5  Ziele und Abgrenzungen  4

2  Theorie der Sicherheitsmechanismen  6

2.1  Vorwort  6

2.2  Der RC4-Algorithmus  6

2.2.1  Das allgemeine Verfahren  6

2.2.2  Das Verfahren mit Salt  8

2.2.3  Sicherheit von RC4  9

2.3  Wired Equivalent Privacy  10

2.3.1  Grundlagen  10

2.3.2  Die Sicherheitsmechanismen von WEP  11

2.3.3  Schw achen und Angriffspunkte  13

2.3.4  Dokumentierte Angriffe auf WEP  15

2.4  WiFi Protected Access  27

2.4.1  Grundlagen  27

2.4.2  Die Sicherheitsmechanismen von WPA  28

2.4.3  Vergleich mit WEP  40

2.4.4  Schwachstellen und Angriffe  41

2.5  Der 802.11i-Standard  47

2.5.1  Grundlagen und Sicherheitsmechanismen  47

2.5.2  M ogliche Angriffspunkte  49

3  Durchf uhrung und Analyse von Angriffen  52

vi

Inhaltsverzeichnis

3.1  Beschreibung der Testumgebung  52

3.1.1  Hardware und Software  52

3.1.2  Rahmenbedingungen und Richtlinien  54

3.1.3  Vorbereitungsmaßnahmen  56

3.2  Angriffe auf WEP  59

3.2.1  Tews-Weinmann-Pyshkin-Attacke  60

3.2.2  KoreK´s “ChopChop“-Attacke und statistischer Angriff  61

3.3  Angriffe auf WPA  64

3.3.1  Angriff auf WPA-PSK  65

3.4  Untersuchungen uber WPA  66

3.4.1  Grundlegendes  66

3.4.2  Beschreibung des Angriffsszenarios  66

3.4.3  Die Grundform der Tabelle  67

3.4.4  Maßnahmen zur Verk urzung der Tabelle  69

3.4.5  Die verk urzte Tabelle  72

3.4.6  Untersuchung von Noncenwerten  73

3.4.7  Vergleich mit Brute Force Attacke  80

3.4.8  Weitere theoretische Problemstellungen beim Wertetabellen-  

Angri  ff  82

3.4.9  Sicherheitsrelevante Bedeutung der neuen Angriffsvariante  83

3.4.10  Schutzmaßnahmen  84

3.5  Neuer Angriff auf WPA  84

3.5.1  Grundlegendes und Voraussetzungen  84

3.5.2  Ablauf des Angriffes  85

3.5.3  Sicherheitsrelevanz  87

3.5.4  Gegenmaßnahmen  87

3.6  Aufgetretene Probleme  88

3.6.1  Umwandlung von Airodump-Dateien  88

3.6.2  Umwandlung der Noncendaten in ein CrypTool-kompatibles  

Datenformat   89

3.6.3  Datenanalyse mit der NIST Statistical Test Suite  90

3.6.4  Probleme beim Sammeln von Noncen  90

4  Auswertung der Ergebnisse  92

4.1  Auswertung und Bewertung  92

4.1.1  Ergebnisse bez uglich WEP  92

vii

Inhaltsverzeichnis

4.1.2  Ergebnisse bez uglich WPA  92

4.1.3  Ergebnisse bez uglich IEEE 802.11i (WPA2)  94

4.2  Fazit und Ausblick  95

5  Zusammenfassung  97

A  Anhang  99

A.1  Testergebnisse  99

A.1.1  Ergebnis des Runs Tests uber die Noncendaten  99

Abbildungsverzeichnis   109

Literaturverzeichnis   

viii

Kapitel 1

Einleitung

1.1 Einf¨ uhrung in die Thematik

Diese Diplomarbeit besch¨ aftigt sich mit der Untersuchung der Verschl¨ usselung des Datenverkehrs in einem drahtlosen Netzwerk in Bezug auf Schwachstellen und darauf basierender Angriffe.

In der heutigen Zeit der Computerkriminalit¨ at und sonstiger Bedrohungen ist es notwendig, dass nicht nur große Firmen, sondern auch Klein- und Mittelbetriebe sowie Privatpersonen sowohl ihre drahtgebundenen, als auch ihre drahtlosen Netzwerke umfassend gegen unbefugte Benutzung absichern. Da diese Zielgruppe oftmals mangels professioneller Erfahrung im IT-Sicherheitsbereich besonders gef¨ ahrdet ist, soll sich diese Arbeit nicht ausschließlich an Experten richten, sondern auch f¨ ur die zuvor erw¨ ahnten Personengruppen klar verst¨ andlich formuliert sein.

Zur Sicherung solcher drahtloser Netzwerke - im Folgenden als Wireless Local Area Networks (WLANs) bezeichnet - wird heutzutage meist eine auf dem RC4-Algorithmus basierende Verschl¨ usselung eingesetzt. Diese Aussage l¨ asst sich mit den Ergebnissen einer Studie des Unternehmens Kaspersky Laboratories ¨ uber

WLANs in Monterrey, Mexiko (siehe [Bes08]) belegen, wonach die g¨ angigsten im Einsatz befindlichen Verfahren Wired Equivalent Privacy (WEP) und Wireless Fidelity (Wi-Fi) Protected Access (WPA) sind. Auch der als WPA-2 bezeichnete IEEE ¹ -Sicherheitsstandard mit der Bezeichnung 802.11i wird eingesetzt, obwohl bei diesem Verfahren allerdings nicht mehr der RC4-Algorithmus verwendet wird.

Das WEP-Verfahren ist mittlerweile bereits als unsicher bekannt, da bereits zahlreiche Angriffsmethoden existieren, die dessen Wirksamkeit innerhalb einer Minute außer Kraft setzen k¨ onnen (siehe Kapitel 2.3.4 in dieser Arbeit). Trotz dieser Unsicherheit wird WEP allerdings immer noch h¨ aufig zur Verschl¨ usselung eingesetzt, wie die Studie von [Bes08] zeigen konnte. In diesem Zusammenhang wird erw¨ ahnt, dass ungef¨ ahr 58 Prozent der untersuchten WLANs mit WEP verschl¨ usselt und 35 Prozent sogar unverschl¨ usselt sind. Lediglich 6 Prozent der Netze waren mit WPA gesch¨ utzt, das verbleibende Prozent entfiel auf WPA2. Eine Studie ¨ uber WLANs in

London (siehe [Gos07]) belegte ebenfalls, dass 35 Prozent der untersuchten draht-

¹ Instituteof Electrical and Electronics Engineers

1

1.2. Motivation Kapitel 1. Einleitung

losen Netze ohne Verschl¨ usselung betrieben wurden. Diese Zahlen sprechen klar f¨ ur die Wichtigkeit der Aufkl¨ arung der Anwender ¨ uber WLAN-Sicherheit, wozu diese Diplomarbeit ebenfalls dienen soll.

WPA gilt im Gegensatz zu WEP allgemein als sicherere L¨ osung. Dabei basiert das WPA-Verfahren allerdings auf der WEP-Hardware und verwendet im Kern auch den gleichen Verschl¨ usselungsalgorithmus. Diese Tatsache gibt Anlass zu der Fragestellung, ob die bei WEP bestehenden Schw¨ achen tats¨ achlich erfolgreich bereinigt wurden und WPA eine so hohe Sicherheit besitzt, dass eine kryptographische Attacke auf dieses Verfahren keine Wirkung zeigt.

Diese Fragestellung, welche sich hierbei insbesondere auf die erste Version von WPA und weniger auf WPA-2 bezieht, soll nun im Rahmen der vorliegenden Arbeit untersucht werden. Eine derartige Untersuchung impliziert gleichzeitig auch eine Ausein-andersetzung mit WEP und den verschiedenen Angriffen auf dieses Verfahren, da zum einen die Hardware und der Verschl¨ usselungsalgorithmus gleich sind und zum anderen WEP trotz dessen Unsicherheit immer noch eines der am h¨ aufigsten eingesetzten Verschl¨ usselungsverfahren f¨ ur drahtlose Netzwerke ist. Dar¨ uberhinaus ist es mitunter ein Problem, dass die verwendeten Angriffstechniken auf WEP teils auf Cracker-Webseiten und Internetforen ungenau definiert, teils in wissenschaftlichen Papers zu kompliziert formuliert sind, um f¨ ur Nicht-Experten klar verst¨ andlich zu sein. Das hat zur Folge, dass sich viele Anwender und Betreiber von WLANs mit diesen Themen nicht eingehend auseinandersetzen, wodurch die Gefahr besteht, dass die Bedrohung durch diese Angriffe untersch¨ atzt oder nicht ernst genommen wird. Dies ist ein weiterer Grund, warum in dieser Arbeit auch auf WEP und die diesbez¨ uglichen Angriffsverfahren eingegangen wird.

Diese Diplomarbeit soll also die verschiedenen m¨ oglichen Angriffe auf die beiden verbreitetsten Sicherungsverfahren WEP und WPA und deren Gef¨ ahrlichkeit objektiv beschreiben und klare Aussagen ¨ uber die sicherheitsrelevante Bedeutung

von Angriffen und die Sicherheit der Verschl¨ usselungsverfahren treffen. Auch soll dem Leser ein umfassender ¨ Uberblick ¨ uber die Techniken der verschiedenen Angriffe gew¨ ahrt werden, was ein besseres Verst¨ andnis f¨ ur Bedrohungen auf dem Gebiet der drahtlosen Netzwerksicherheit f¨ ordern soll. Weiters soll auch nach neuen Ans¨ atzen und Strategien f¨ ur Angriffe auf WPA gesucht werden, um aufzuzeigen, dass die Sicherheit von im Einsatz befindlichen Verfahren kritischer betrachtet werden muss und um die Bildung eines umfassenderen Sicherheitsbewusstseins zu f¨ ordern. Ans¨ atze f¨ ur eine Sicherheitspolitik zum Schutz vor derartigen Angriffen sind als Erg¨ anzung der Arbeit ebenfalls vorgesehen.

1.2 Motivation

Bevor mit den Ausf¨ uhrungen ¨ uber die eigentliche Motivation dieser Diplomarbeit

begonnen werden kann, ist es zun¨ achst wichtig, dem Leser die Gr¨ unde zu erl¨ autern,

warum WLANs ¨ uberhaupt verschl¨ usselt werden sollen. Ohne eine derartige Absicherung eines WLANs k¨ onnen nicht nur die ¨

m¨ oglicherweise vertraulichen - Daten von unerw¨ unschten Personen mitgelesen werden, sondern es ist auch m¨ oglich, dass von einem Angreifer ¨ uber das ungesch¨ utzte

WLAN im Internet ein Computerverbrechen begangen wird, f¨ ur welches schließlich

2

1.3. Aufbau und Aufgabenstellung Kapitel 1. Einleitung

der Betreiber des WLANs haftbar gemacht werden kann. Es sind F¨ alle bekannt, in denen das Gericht gegen den Betreiber eines ungesch¨ utzten WLANs entschied (siehe [LAMP06]).

Themen ¨ uber die Sicherheit von WEP und WPA wurden bereits in zahlreichen Artikeln in Zeitschriften und im Internet behandelt. Das Unternehmen Kaspersky Labs f¨ uhrt in unregelm¨ aßigen Abst¨ anden Untersuchungen ¨ uber drahtlose Netzwerke in verschiedenen St¨ adten der Welt durch, deren Ergebnisse im Internet ² in entsprechenden Artikeln pr¨ asentiert werden. Daraus geht hervor, dass WEP, welches wie bereits erw¨ ahnt mittlerweile allgemein als unsicher gilt, immer noch sehr h¨ aufig zur WLAN Verschl¨ usselung verwendet wird (siehe die zuvor referenzierten Artikel [Gos07] und [Bes08]). WPA ist das insgesamt am zweith¨ aufigsten eingesetzte Verschl¨ usselungsverfahren. Viele WLANs sind allerdings auch ¨ uberhaupt nicht verschl¨ usselt.

Diese Daten sprechen klar f¨ ur die Notwendigkeit der Beendigung der Diskussion ¨ uber die Sicherheit der Verschl¨ usselungsmechanismen WEP und WPA und die Schaffung eines umfassenderen und kritischeren Bewusstseins f¨ ur drahtlose Netzwerksicherheit in der Allgemeinheit. Die Erreichung dieses Zieles im Rahmen eines detaillierten ¨ Uberblicks ¨ uber die Sicherheitsverfahren - und ¨ uber m¨ ogliche Angriffe

darauf - wurde zur Hauptmotivation f¨ ur diese Diplomarbeit.

Die immer weiter voranschreitende Entwicklung der Sicherheitsverfahren und der m¨ oglichen Angriffsmaßnahmen macht es weiters n¨ otig, unter der Leserschaft die Entstehung eines kritischen und sicherheitsbewussten Denkens auch gegen¨ uber bew¨ ahrten und als sicher angepriesenen Methoden zu f¨ ordern. Um dieses Ziel zu erreichen ist es außerdem wichtig, neben den Erkl¨ arungen ¨ uber verschiedene bestehende Angriffsformen auch auf m¨ ogliche noch nicht wissenschaftlich dokumentierte Techniken, welche von Angreifern m¨ oglicherweise verwendet werden k¨ onnten, einzugehen.

1.3 Aufbau und Aufgabenstellung

Diese Diplomarbeit soll dem Leser zum Zwecke des Einstiegs zun¨ achst die kryptographischen Grundlagen f¨ ur die behandelten Verschl¨ usselungsverfahren n¨ aherbringen - dies inkludiert auch die Erl¨ auterung des RC4-Algorithmus.

Im Anschluss daran wird das WEP-Verfahren in seiner Funktionsweise mit besonderem Hinblick auf dessen Schwachstellen und m¨ oglichen Angriffen erkl¨ art.

WPA wird daraufhin thematisch in einer ¨ ahnlichen Weise behandelt und erkl¨ art, allerdings werden auch Ans¨ atze f¨ ur neue Angriffstheorien pr¨ asentiert, was eine detailliertere Auseinandersetzung mit dem Thema WPA n¨ otig macht als dies bei WEP der Fall ist.

Auch auf den Sicherheitsstandard 802.11i wird eingegangen, allerdings liegen diesbez¨ ugliche Angriffe nicht im Rahmen der Hauptthematik und sollen daher lediglich im Sinne einer Erg¨ anzung verstanden werden.

Nach der Erkl¨ arung der Sicherheitsmechanismen und deren Schwachstellen wer-

² Website:http://www.viruslist.com

3

1.4. Haftungsausschluss Kapitel 1. Einleitung

den einige bestehende Angriffe auf die beiden Verfahren WEP und WPA gem¨ aß eigener in einer Testumgebung durchgef¨ uhrter Versuche praktisch beschrieben. Die Fragestellung, ob insbesondere das WPA-Verfahren als sicher einzustufen ist, wird diskutiert und es sollen Ans¨ atze vorgestellt werden, wie gegen die beschriebenen Attacken und Angriffstheorien vorgegangen werden kann.

Abschließend wird auch auf die Zukunft der drahtlosen Netzwerksicherheit eingegangen. Eine Zusammenfassung soll dabei dem Leser noch einmal die wichtigsten Erkenntnisse darlegen.

1.4 Haftungsausschluss

Die in der vorliegenden Arbeit enthaltenen Informationen ¨ uber Angriffe auf WEP

und WPA und insbesondere die Beschreibungen der in der Praxis durchgef¨ uhrten Attacken lassen sich bedauerlicherweise auch f¨ ur kriminelle Zwecke missbrauchen.

Diese Diplomarbeit verfolgt jedoch das Ziel, die Sicherheit in drahtlosen Netzwerken zu erh¨ ohen. Um dieses Ziel zu erreichen ist es notwendig, dem Leser die Vorgangsweise von Angreifern sowohl theoretisch, als auch praktisch detailliert verst¨ andlich zu machen. Zu diesen Themengebieten geh¨ oren auch Kenntnisse dar¨ uber, wie derartige Attacken ¨ uberhaupt durchzuf¨ uhren sind. Nur wenn die Angriffsweise bekannt ist, k¨ onnen Gegenmaßnahmen effizient ergriffen werden und dadurch wird es unumg¨ anglich, unter anderem auch zu beschreiben, wie diese kriminellen Handlungen ¨ uberhaupt durchgef¨ uhrt werden.

Es sei an dieser Stelle ausdr¨ ucklich erw¨ ahnt, dass sich der Verfasser dieser Diplomarbeit von jeglicher Computerkriminalit¨ at distanziert. Die ausgef¨ uhrten Angriffe dienen ausschließlich der Analyse und didaktischen Zwecken. Der Autor ¨ ubernimmt

keine Verantwortung f¨ ur eine missbr¨ auchliche Verwendung dieser Informationen und kann f¨ ur dadurch entstandene Sch¨ aden nicht haftbar gemacht werden.

1.5 Ziele und Abgrenzungen

An dieser Stelle sollen die Ziele und Abgrenzungen dieser Diplomarbeit zur besseren ¨ Ubersicht nochmals in Listenform zusammengefasst werden:

Ziele:

• Vorstellung und Erkl¨ arung der verschiedenen bestehenden Angriffsformen auf WEP und WPA.

• Durchf¨ uhrung einiger exemplarischer Angriffe zur ¨ Uberpr¨ ufung der Machbarkeit.

• Vorstellung neuer Theorien und neuer Ans¨ atze ¨ uber Angriffe auf WPA.

• Treffen einer Aussage ¨ uber die Sicherheit der Verfahren.

• Erstellung eines Maßnahmenkataloges zur Vermeidung solcher Angriffe.

4

1.5. Ziele und Abgrenzungen Kapitel 1. Einleitung

Abgrenzungen:

• Der Leser soll durch diese Diplomarbeit nicht zu kriminellen oder anderen b¨ oswilligen Handlungen im Bereich Sicherheit in der Informationstechnologie ermutigt werden.

• In dieser Arbeit werden keine neuen Angriffsformen auf WEP untersucht.

• Das WPA2-Sicherheitsverfahren nach dem 802.11i-Standard stellt in dieser Diplomarbeit kein Hauptthema dar.

5

Kapitel 2

Theorie der

Sicherheitsmechanismen

2.1 Vorwort

Obwohl diese Diplomarbeit auch f¨ ur Laien gut verst¨ andlich formuliert sein sollte, richtet sie sich in erster Linie an Personen, die in den Themenbereichen Kryptographie, WLAN-Netzwerktechnik und IT-Sicherheit ¨ uber fundierte Grundkenntnisse

verf¨ ugen. Auf das ben¨ otigte Vorwissen soll an dieser Stelle nicht n¨ aher eingegangen werden.

Lediglich die Fragmentierung in drahtlosen Netzen im Zusammenhang mit Media Access Control (MAC) sei erw¨ ahnt. F¨ ur ein umfassendes Verst¨ andnis der in den folgenden Kapiteln angef¨ uhrten Erl¨ auterungen sollte der Leser ¨ uber die

Fragmentierung von Daten in einem WLAN Bescheid wissen. Dazu geh¨ ort insbesondere die Unterscheidung zwischen MAC Service Data Unit (MSDU) und MAC Packet Data Unit (MPDU). Umgangssprachlich formuliert ist dabei die MPDU der Rahmen“ und die MSDU das ” Paket“. MSDUs (Pakete) sind f¨ ur h¨ ohere Anwen-”

dungsschichten bestimmt und k¨ onnen fragmentiert werden und dadurch innerhalb mehrerer MPDUs (Rahmen) ¨ ubertragen werden. Auf MPDU-Ebene durchgef¨ uhrte

Verfahren zur Sicherung und Daten¨ ubermittlung sind auf MSDU-Ebene nicht bemerkbar.

2.2 Der RC4-Algorithmus

2.2.1 Das allgemeine Verfahren

Der auch als ” Ron’s Code 4“ bzw. ” Ron’s Cipher 4“ bezeichnete Algorithmus wurde

im Jahre 1987 von Ronald L. Rivest f¨ ur die Firma RSA Data Security Inc. (heute RSA Security) entwickelt. Das Verfahren blieb zun¨ achst sieben Jahre lang geheim. Im Jahre 1994 wurde schließlich auf einer Mailingliste ¹ im Internet anonym ein Quellcode ver¨ offentlicht, welcher sich als voll kompatibel zum originalen RC4-

¹ Siehehttp://groups.google.com/group/comp.security.misc/msg/10a300c9d21afca0

6

2.2. Der RC4-Algorithmus Kapitel 2. Theorie der Sicherheitsmechanismen

Algorithmus erwies (siehe [Rap98]). Man geht davon aus, dass dies eine Kopie des originalen Quellcode des RC4 darstellt. Der Algorithmus wird heutzutage in zahlreichen Softwareprodukten verwendet, so zum Beispiel bei Secure Sockets Layer (SSL).

Der RC4-Algorithmus erzeugt aus einem Schl¨ ussel einen pseudozuf¨ alligen Strom von Chiffrierbits - es handelt sich dabei also um eine Stromchiffre (Key Stream). Die Schl¨ ussell¨ ange ist variabel und kann nach [Thoe02] bis zu 2048 Bits bzw. 256 Bytes betragen, wobei der kleinstm¨ ogliche g¨ ultige Schl¨ ussel zumindest 1 Byte lang sein muss. Der Algorithmus verschl¨ usselt immer ein Byte auf einmal. Bevor jedoch mit der eigentlichen Verschl¨ usselung begonnen werden kann, wird eine Substitutionstabelle, eine sogenannte S-Box, initialisiert. Im Falle von RC4 sind in dieser die Zahlenwerte 0 bis 255 enthalten.

Zun¨ achst wird die S-Box mit den Zahlen von 0 bis 255 in aufsteigender Reihenfolge geordnet angeschrieben. Anschließend werden die Zahlen innerhalb der Tabelle beliebig vertauscht, um eine zuf¨ allige Anordnung herbeizuf¨ uhren. Dies wird erreicht, indem der Algorithmus eine Schleife durchl¨ auft, welche der Reihe nach ¨ uber die

gesamte Tabelle iteriert und an jeder Stelle anhand des verwendeten Schl¨ ussels die Position eines zweiten Wertes ermittelt und die beiden Werte vertauscht. Der folgende Pseudocode verdeutlicht den Prozess (vgl. [Thoe02]):

f¨ ur i von 0 bis 255

j = (j + S j + K i mod k ) mod 256 vertausche S i und S ^j n¨ achstes i

wobei K den Schl¨ ussel, k die Schl¨ ussell¨ ange und S i die i-te Stelle (das i-te Element) in der S-Box bezeichnet. Die Variable i iteriert ¨ uber alle Positionen in der S-Box,

die Variable j ist dabei die gem¨ aß der im Pseudocode angef¨ uhrten Berechnung ermittelte Nummer der Gegenposition S j , mit der das Element S i vertauscht wird.

An welcher Stelle welche der Zahlen steht, h¨ angt also mit dem Schl¨ ussel zusammen. Dieser ist theoretisch lediglich eine Zahlenreihe, anhand welcher die entsprechenden S-Box-Elemente zum Vertauschen gew¨ ahlt werden. Die Modulo-Operation des Schl¨ ussels mit der Schl¨ ussell¨ ange ist notwendig, da dieser kleiner als 256 Byte sein kann. In solch einem Fall wird der Schl¨ ussel somit einfach wiederholt, damit der Algorithmus ¨ uber die gesamte Tabelle iterieren kann.

Die Initialisierungsphase des RC4 wird auch als Key Scheduling Algorithmus (KSA) bezeichnet.

Das erste Byte der Stromchiffre wird mit dem RC4-Algorithmus nun - im Anschluss an die Initialisierung der S-Box durch den KSA - nach der folgenden Methode erzeugt (vgl. [Thoe02]):

• Erh¨ ohe i um 1

• Addiere S i zu j

• Vertausche S i und S j

7

2.2. Der RC4-Algorithmus Kapitel 2. Theorie der Sicherheitsmechanismen

• Setze die tempor¨ are Variable t auf S i + S j

• Gib S t aus.

Hierbei ist zu beachten, dass jedes der einzelnen Ergebnisse einer Modulo-256-Operation unterzogen werden muss, da die S-Box lediglich 256 Eintr¨ age besitzt. In dem Algorithmus wird also der Index i um 1 erh¨ oht und die Zahl an dieser Position zu j addiert; daraufhin wird die Zahl an der Position j (nach der Addition) mit der Zahl an der Position i vertauscht und die beiden an den Stellen S i und S j stehenden Zahlen werden wiederum addiert und ergeben zusammen die Positionsnummer f¨ ur ein Byte in der S-Box. Mit diesem ” zuf¨ alligen“ Byte (der Wert an

Position t) wird nun weiter gearbeitet. Diese beschriebene Methode ist eigentlich ein Pseudozufallsgenerator (auch als Pseudo-Random Number Generator (PRNG) bezeichnet).

Zur Verschl¨ usselung wird nun das zuvor erzeugte zuf¨ allige Byte S t mit dem ersten Byte des Klartextes XOR-verkn¨ upft (bin¨ are Exklusiv-Oder Operation). Anschließend wird das Verfahren zur Zufallszahlenerzeugung erneut durchlaufen und dessen Ergebnis mit dem n¨ achsten Klartextbyte XOR-verkn¨ upft. Dies wird nacheinander mit allen Klartextbytes und jeweils einer neu erzeugten Zufallszahl durchgef¨ uhrt, um den Chiffretext zu erhalten.

Bei der Entschl¨ usselung verf¨ ahrt der Empf¨ anger laut [Thoe02] nach genau demselben Verfahren, um sich die S-Box mit dem gleichen Schl¨ ussel zu initialisieren und er generiert sich dadurch auch dieselben Zufallszahlen, die er - eigentlich genau wie beim Verschl¨ usseln - mit dem empfangenen Text nochmals byteweise XORverkn¨ upft. Da die XOR-Operation die Eigenschaft hat, selbstinvers zu sein, wobei das Ergebnis der Operation a XOR b nach nochmaliger XOR-Operation mit b wiederum a ergibt, erh¨ alt der Empf¨ anger wieder den Klartext. Sollte dieser jedoch nicht den richtigen Schl¨ ussel besitzen, so wird die Substitutionstabelle (und damit die Zufallszahlen) falsch initialisiert und es entsteht eine im Vergleich zum Klartext v¨ ollig andere Bitfolge als Ergebnis.

2.2.2 Das Verfahren mit Salt

Das allgemeine RC4-Verfahren hat zwar keine Schw¨ achen im Algorithmus, besitzt aber einen großen Risikofaktor: sollte einem Angreifer ein zugeh¨ origes Paar Klar- und Chiffretext in die H¨ ande fallen, so kann dieser sich die Zufallszahlensequenz herausrechnen, indem er die beiden per XOR verkn¨ upft - da sich XOR wie im vorhergehenden Unterkapitel beschrieben verh¨ alt, bleibt in diesem Fall der Schl¨ usselstrom ¨ ubrig. Mit diesem Schl¨ usselstrom w¨ urden sich m¨ oglicherweise andere Chiffretexte entschl¨ usseln lassen, da es unwahrscheinlich ist, dass Sender und Empf¨ anger f¨ ur jeden ¨ ubermittelten Text manuell einen anderen Schl¨ ussel verwenden. Genau diese Prozedur kann durch ein einfaches Verfahren automatisiert werden, indem ein ” Salt“ verwendet wird.

Das Salt ist nach [Thoe02] eigentlich eine Zufallszahlensequenz bestimmter L¨ ange (meistens zwischen 40 und 88 Bit), an die der Schl¨ ussel angeh¨ angt wird. Der eigentliche Wert, mit welchem verschl¨ usselt wird, verl¨ angert sich somit um diese

8

2.2. Der RC4-Algorithmus Kapitel 2. Theorie der Sicherheitsmechanismen

Zufallszahl, wovon der Benutzer selbst jedoch nichts bemerkt. Da diese Bytefolge bei jedem Verschl¨ usselungsvorgang zuf¨ allig gew¨ ahlt wird, ergibt sich f¨ ur jeden Klartext ein anderer Schl¨ ussel.

Es muss allerdings eine Methode existieren, diese Zufallszahl zum Empf¨ anger zu transportieren, damit dieser die Nachricht entschl¨ usseln kann. Eine naheliegende Methode ist es, die Salt-Werte zusammen mit den jeweiligen verschl¨ usselten Texten zu ¨ ubermitteln. In der Informationstechnologie wird der Salt-Wert bei der ¨ Ubertragung von verschl¨ usselten Daten als Initialisierungsvektor (IV) mitgeschickt.

Diese Methode mag sich leichtsinnig anh¨ oren, doch sollte ein Angreifer nun an ein zugeh¨ origes Paar Klartext und Geheimtext kommen, so n¨ utzt ihm das Herausrechnen des Schl¨ ussels nicht viel, da die nachfolgenden Geheimtexte mit hoher Wahrscheinlichkeit mit einem anderen Salt (bzw. IV) und dadurch mit einem anderen Schl¨ ussel chiffriert sein w¨ urden.

Die Verwendung des Verfahrens mit Salt hat allerdings den Nachteil, dass der Algorithmus bei jedem Verschl¨ usseln von Daten mit einer neuen S-Box initialisiert werden muss, jedes Mal mit einem anderen Salt-Wert vor dem Schl¨ ussel. Dieser Nachteil f¨ allt jedoch kaum ins Gewicht, da die Initialisierungsphase bei RC4 bei Verwendung heutiger Systeme sehr kurz ist.

2.2.3 Sicherheit von RC4

Eine interessante Fragestellung ist die nach der Sicherheit von RC4. [Thoe02] erw¨ ahnt diesbez¨ uglich, die Firma RSA Security w¨ urde behaupten, dass der Algorithmus resistent gegen lineare und differentielle Kryptoanalyse sei; außerdem habe er eine Periode von 10 ¹⁰⁰ , somit w¨ urde eine Wiederholung des Schl¨ usselstromes erst nach 10 ¹⁰⁰ Verschl¨ usselungen auftreten, was ebenfalls hohe Sicherheit bedeutet. Eine direkte Quelle von RSA Security, worin diese Aussagen best¨ atigt werden, konnte nicht ermittelt werden.

Es ist allerdings eine Tatsache, dass RC4 laut [Thoe02] eine sehr große Anzahl an m¨ oglichen Zust¨ anden hat, n¨ amlich 2 ¹⁷⁰⁰ (das sind ungef¨ ahr 5.6 · 10 ⁵¹¹ ). Der Algorithmus ist außerdem so konzipiert, dass sich die S-Box nur langsam ver¨ andert und somit eine lange Periode gew¨ ahrleistet ist.

Schon die Grundversion des RC4-Algorithmus hat jedoch bereits eine Schw¨ ache, indem die ersten 256 ausgegebenen Schl¨ usselbytes m¨ oglicherweise R¨ uckschl¨ usse auf den Zustand der S-Box zulassen k¨ onnen. Diese Schwachstelle l¨ asst sich allerdings relativ einfach verhindern, indem diese ersten 256 Bytes bereits in der Generierungsphase verworfen werden.

Nach [Thoe02] wird die um diese Maßnahme erg¨ anzte Variante des RC4 auch als Alleged-RC4“ (ARC4 oder ARCFOUR) bezeichnet. Sie wird heutzutage aufgrund

”

ihrer erh¨ ohten Sicherheit und der Tatsache, dass die urspr¨ ungliche Variante von RC4 patentiert ist und theoretisch nicht verwendet werden darf, in vielen Produkten eingesetzt.

Es existiert weiters eine Vielzahl wissenschaftlicher Publikationen ¨ uber die Kryptoanalyse von RC4 bzw. ARC4. So pr¨ asentierte Golic in [Gol97] beispielsweise einen statistischen Defekt von RC4, welcher es einem Angreifer erlaubte, einen RC4-

9

2.3. Wired Equivalent Privacy Kapitel 2. Theorie der Sicherheitsmechanismen

Outputstream von dem anderer Algorithmen bzw. von zuf¨ alligen Bitstr¨ omen bereits bei einem Datenvolumen von ungef¨ ahr 2 ⁴⁰ Bits zu unterscheiden. In [MiTa99] analysierten Mister und Tavares die Struktur von RC4 und ermittelten dabei einen Weg, den Zustand der Permutation (also der S-Box) herauszufinden, falls nur ein kleiner Teil des Keystreams offengelegt wird; der Zustand der S-Box bei einem 5-Bit Schl¨ ussel kann mit dieser Methode in lediglich 2 ⁴² Rechenschritten herausgefunden werden. Der nominelle Schl¨ usselraum dieses Systems betr¨ agt jedoch eigentlich 2 ¹⁶⁰ , das heißt, es sind grunds¨ atzlich 2 ¹⁶⁰ Schl¨ ussel m¨ oglich. Um den Schl¨ ussel und damit den Zustand der S-Box durch Probieren zu ermitteln, sollten also bedeutend mehr Rechenschritte ben¨ otigt werden.

Fluhrer und McGrew verbesserten die Verfahren von Golic und Mister/Tavares in [FluGre01], sodass bereits der Output von 8-Bit RC4 bei einem Datenvolumen von lediglich 2 ^30.6 Byte eindeutig als RC4-Output ermittelt werden kann. Außerdem werden weiters auch Ans¨ atze f¨ ur eine statistische Attacke geliefert. Dadurch wird das Ermitteln des Zustandes der S-Box wiederum mit einer im Vergleich zu bloßem Probieren geringeren Anzahl von Rechenschritten erm¨ oglicht.

K¨ urzlich wurde von Maximow und Khovratovich ([MaKh08]) eine neue Attacke entdeckt, welche es erm¨ oglicht, den f¨ ur das Ermitteln des inneren Zustandes der S-Box von 256-Bit RC4 notwendigen Aufwand von bisher 2 ⁷⁷⁹ Operationen auf 2 ²⁴¹ zu reduzieren. Diese neue Attacke k¨ onnte mit hoher Wahrscheinlichkeit neue Diskussionen ¨ uber die Sicherheit von RC4 ausl¨ osen. Die weiteren Entwicklungen auf diesem Gebiet werden von IT-Sicherheitsexperten und Interessenten mit Sorgfalt zu verfolgen sein.

2.3 Wired Equivalent Privacy

2.3.1 Grundlagen

Wired Equivalent Privacy (WEP) ist ein im Standard IEEE 802.11 beschriebener Sicherungsmechanismus f¨ ur drahtlose Netzwerke, womit sowohl die Vertraulichkeit und Integrit¨ at - die daf¨ ur verwendete Checksumme wird mitverschl¨ usselt - der ubertragenen Daten, als auch die Authentifizierung von Benutzern an einem Access ¨

Point (AP) gew¨ ahrleistet werden sollen. Das WEP-Verfahren wurde heutzutage allerdings bereits auf mehrere Arten gebrochen und wird mittlerweile in zahlreichen Artikeln in Computerzeitschriften und im Internet als unsicher bezeichnet.

Als eine der Hauptursachen f¨ ur das Versagen von WEP k¨ onnte die Tatsache angesehen werden, dass das Verfahren laut [Hof05] vor dessen Implementierung nicht von unabh¨ angigen Sicherheitsexperten getestet werden konnte.

Im folgenden Abschnitt sollen nun zun¨ achst die Verschl¨ usselungs- und Authentifizierungsverfahren von WEP an sich erkl¨ art und danach die zahlreichen bereits bestehenden Angriffe auf diese Verfahren vorgestellt werden.

10

2.3. Wired Equivalent Privacy Kapitel 2. Theorie der Sicherheitsmechanismen

2.3.2 Die Sicherheitsmechanismen von WEP

Verschl¨ usselung

Die Verschl¨ usselung beim WEP-Verfahren erfolgt zwischen dem Client und dem Access Point. Bei jedem Paket wird der gesamte Datenteil inklusive der Pr¨ ufsumme (Checksum) mit dem RC4-Algorithmus verschl¨ usselt. Die ¨

vom Access Point ¨ uber das angeschlossene drahtgebundenene Netzwerk erfolgt wieder unverschl¨ usselt (vgl. [Hof05]). Bevor ¨ uberhaupt ver- und entschl¨ usselt werden kann, wird zun¨ achst ein Schl¨ ussel ben¨ otigt. Dieser kann im Falle von WEP 40 oder 104 Bits lang sein. Zwar ist die Gesamtl¨ ange des Schl¨ ussels, mit dem das WEP-Verfahren arbeitet, 64 bzw. 128 Bits, doch dabei wird der Initialisierungsvektor (IV, siehe Kapitel 2.2.2) mit einer L¨ ange von 24 Bits mitgez¨ ahlt. Da dieser IV der Gegenstelle beim Entschl¨ usseln allerdings bekannt sein muss, wird er mit dem Chiffretext unverschl¨ usselt mitgeschickt und ist somit frei zug¨ anglich. Somit sprechen Sicherheitsexperten bei WEP nur von 40- bzw. 104-Bit Verschl¨ usselung, da die 24 Bits des IV nicht zum Schl¨ ussel dazugez¨ ahlt werden k¨ onnen. Mit welcher Schl¨ ussell¨ ange ein Paket chiffriert ist, wird durch zwei Key-ID Bits angegeben (vgl. [Hag03).

Die Generierung eines Schl¨ ussels kann ¨ Zahlen oder ¨ uber die Eingabe von ASCII-Zeichen erfolgen, welche im Anschluss in Hexadezimalzahlen umgewandelt werden. Außerdem gibt es noch die M¨ oglichkeit einer funktionsbasierten Schl¨ usselgenerierung, welche beispielsweise aus einem eingegebenen Passwort durch mathematische Funktionen mehrere WEP-Schl¨ ussel ableiten kann (siehe [Rec04]).

Der Verschl¨ usselungsprozess wird nach [Hof05] und [Rec04] wie folgt beschrieben:

Zu Beginn der Prozedur liegt das zu sendende Paket im Klartext vor. Zun¨ achst wird eine Pr¨ ufsumme ¨ uber die gesamten Bits des Datenpakets ermittelt - der

sogenannte Integrity Check Value (ICV) - und daran angeh¨ angt. Erst im Anschluss daran beginnt der eigentliche Verschl¨ usselungsprozess.

Client und Access Point besitzen beide einen zuvor ausgetauschten Schl¨ ussel zum symmetrischen Ver- und Entschl¨ usseln der Kommunikation. Aus diesem Schl¨ ussel wird zun¨ achst eine Bitfolge (auch ” Seed“ genannt) gebildet. Aus diesem Seed erzeugt nun ein Pseudozufallszahlengenerator mittels des RC4-Algorithmus einen pseudozuf¨ alligen Strom von Chiffrierbits, die zur eigentlichen Verschl¨ usselung der Nutzdaten verwendet werden. An diesen Bitstrom wird noch eine 3 Bytes lange Zufallskomponente, welche als ” Initialization Vector“ (IV) bezeichnet wird, an-

geh¨ angt, um zu verhindern, dass bei zwei identischen Klartexten ein identischer Chiffretext entsteht.

Erg¨ anzung: Damit an dieser Stelle kein Missverst¨ andnis entsteht, sei erw¨ ahnt, dass der Initialisierungsvektor (IV) bereits dem Seed vorangestellt wird, um in den Pseudozufallsgenerator einzufließen, der die Chiffrierbits erzeugt. Dies geschieht, um zu verhindern, dass bei zwei identischen Klartexten ein identischer Chiffretext entsteht (dies w¨ are der Fall, da der aus dem Schl¨ ussel gebildete Seed immer derselbe ist!). Erst die so entstandene Bitfolge bildet die Eingabe f¨ ur den RC4-Algorithmus, welcher die Substitutionstabelle gem¨ aß den Werten dieser Bitfolge initialisiert. Da

11

2.3. Wired Equivalent Privacy Kapitel 2. Theorie der Sicherheitsmechanismen

der IV sich st¨ andig ¨ andert, ¨ andert sich auch die Substitutionstabelle und somit wird jedes Paket mit einem anderen RC4-Schl¨ ussel chiffriert. Nat¨ urlich muss der IV anschließend auch im Klartext an den Chiffretext angeh¨ angt werden, damit der Empf¨ anger die Nachricht entschl¨ usseln kann.

So entsteht schließlich ein Schl¨ usselstrom, der genauso groß wie das Datenpaket ist

und der ein sogenannter ” f¨ ur genau eine ¨ Ubertragung. Der Klartext wird mit diesem Schl¨ usselstrom XOR (exklusives Oder) verkn¨ upft, womit man den Chiffretext erh¨ alt.

Erg¨ anzung: Der kryptographische Begriff ” One Time Pad“ bedeutet, dass jedes

Paket mit einem anderen (einzigartigen) Schl¨ ussel chiffriert wird, der genauso lang wie das Datenpaket ist. Warum der geplante ” One Time Pad“-Ansatz bei WEP

praktisch nicht funktioniert, wird anhand der im folgenden Kapitel beschriebenen Angriffsmethoden erl¨ autert.

Die Entschl¨ usselung des Chiffretextes erfolgt umgekehrt. Aus dem empfangenen Paket wird zun¨ achst der IV extrahiert und mit dem gemeinsamen Schl¨ ussel kombiniert, wodurch der gleiche Schl¨ usselstrom entsteht, mit dem vorher verschl¨ usselt wurde. Dieser Schl¨ usselstrom wird nun mit dem Chiffretext nochmals XOR-verkn¨ upft. Dadurch hebt sich diese Operation auf und der Klartext ist lesbar. Schließlich wird noch die Checksum extrahiert und erneut gebildet. Nur wenn diese beiden Pr¨ ufsummen ¨ ubereinstimmen, wird das Paket weiter bearbeitet.

Abschließend ist noch zu erw¨ ahnen, wie ein WEP-Paket aufgebaut ist. Bei WEP wird ein gesamtes Datenpaket eines h¨ oheren Layers (beispielsweise ein IP-Paket) zun¨ achst mit einem ICV versehen und anschließend mitsamt diesem verschl¨ usselt. An diese verschl¨ usselte Nachricht aus Datenpaket und ICV werden ein Key-ID Byte (die Key-ID betr¨ agt lediglich zwei Bits, doch der Wert wird auf 1 Byte erg¨ anzt) und ein Initialisierungsvektor angeh¨ angt. Diese Komponenten bilden den WEP Frame Body, welchem schließlich noch ein MAC-Header vorangestellt und eine Frame

Check Sequence (FCS) - eine nochmalige ICV-Pr¨ ufsumme ¨ zum Schutz vor ¨ Ubertragungsfehlern - angeh¨ angt wird. In Abb. 2.1 sei der Aufbau eines WEP-Frames skizziert.

2.3. Wired Equivalent Privacy Kapitel 2. Theorie der Sicherheitsmechanismen

Authentifizierung

WEP-Authentifizierung wird eingesetzt um sicherzustellen, dass kein Client ohne Berechtigung - das heißt ohne g¨ ultigen Schl¨ ussel - Daten ¨ uber das Netzwerk

senden kann. Allerdings ist die Authentifizierung mit WEP im 802.11 Standard optional und damit in vielen Ger¨ aten auf dem Markt im Auslieferungszustand nicht aktiviert.

Im Laufe des Authentifizierungsverfahrens werden drei Phasen durchlaufen (siehe [Hof05]):

1. In der ersten Phase ist der Client weder authentifiziert, noch am Access Point angemeldet. Er sendet eine ” Authentication Request“-Nachricht an den Access Point und wird von diesem authentifiziert.

2. In dieser Phase ist der Client bereits authentifiziert, aber noch nicht am Access Point angemeldet. Er sendet eine ” Association Request“-Message und meldet sich damit am Access Point an.

3. Der Client ist authentifiziert und angemeldet. Er kann nun Daten ¨ uber den Access Point ¨ ubertragen.

Es gibt zwei Authentifizierungsarten bei der Verwendung von WEP: ” Authentication“ und ”

gar nicht mit WEP in Zusammenhang, sondern sie ist einfach das ” rungsverfahren“ unverschl¨ usselter WLANs und ist daher eigentlich gar keine Authentifizierung. Bei ” Open System Authentication“ wird in der ersten Phase jeder Authentication Request am Access Point automatisch zugelassen; dies geschieht ohne jegliche weitere Sicherheitspr¨ ufung!

Nur die ” Shared Key Authentication“ sichert die Authentifizierungsphase mit einem Challenge-Response-Verfahren ab, indem der Access Point dem Client eine Zufallszahl schickt (Challenge), die der Client mit seinem WEP Schl¨ ussel chiffriert und an den Access Point zur¨ uckschickt (Response). Der Access Point verschl¨ usselt die Challenge lokal ebenfalls mit seinem WEP-Schl¨ ussel und kann anschließend die empfangene Response mit dem Ergebnis der lokalen Berechnung vergleichen. Somit kann ¨ uberpr¨ uft werden, ob der Client den entsprechenden WEP-Schl¨ ussel besitztin diesem Fall stimmen die beiden Werte ¨ uberein - und berechtigt ist, Daten ¨ uber das Netzwerk zu senden.

2.3.3 Schw¨ achen und Angriffspunkte

Bevor die einelnen Angriffe auf das WEP-Verfahren vorgestellt werden, erscheint es zweckm¨ aßig, die verschiedenen sicherheitsrelevanten Schwachpunkte im Design von WEP zun¨ achst zentral in Form einer Liste zuammenzufassen:

• Mit lediglich 40 Bits ist die Schl¨ ussell¨ ange zu kurz. Das macht es einem Angreifer einfach, durch bloßes Probieren im Rahmen einer Brute-Force Attacke den Schl¨ ussel zu knacken. Ein Schl¨ ussel mit einer L¨ ange von 104 Bits

13

2.3. Wired Equivalent Privacy Kapitel 2. Theorie der Sicherheitsmechanismen

ist zwar weniger anf¨ allig gegen¨ uber Brute Force, doch in diesem Fall kann der Schl¨ ussel m¨ oglicherweise mit einem umfangreichen W¨ orterbuchangriff ermittelt werden.

• Der IV ist 3 Bytes (24 Bits) lang. Somit kann der IV lediglich 2 ²⁴ (16,777,216) Werte annehmen. Statistisch gesehen ist laut [Hof05] zu erwarten, dass nach 5000 gesendeten Paketen eine Wiederholung des IV - Kollision genannt - auftreten wird. Im Falle einer solchen Kollision k¨ onnen durch Einsetzen von bestimmten bekannten Teilen der Nachricht (IP-Adressen, Protokollfelder usw.) unter Umst¨ anden einige Teile des Schl¨ usselstroms berechnet werden.

• Der ICV ist keine kryptographische Pr¨ ufsumme, sondern das Ergebnis eines einfachen 32-Bit Cyclic Redundancy Checks (CRC) und damit leicht von einem Angreifer manipulierbar, da der CRC-Algorithmus allgemein bekannt ist. Der Angreifer muss in diesem Fall nicht einmal den WEP-Schl¨ ussel kennen, da der CRC-Algorithmus und der RC4-Algorithmus linear sind, das heißt, trotz Verschl¨ usselung ist Datenmanipulation m¨ oglich. Somit kann ein derartiger Angriff jederzeit und ohne Wissen von Sender und Empf¨ anger durchgef¨ uhrt werden!

• Eine Re-Injizierung von Paketen durch das bloße Aufzeichnen und Wiedereinspielen von bestimmten Teilen der Kommunikation ist aufgrund fehlender Anti-Replay-Mechanismen (wie beispielsweise Sequenznummern) gegen derartige Szenarien leicht durchf¨ uhrbar.

• Bei der Authentifizierung wird nur der Client, nicht aber der Access Point authentifiziert. Das erm¨ oglicht einem Angreifer, sich als Access Point auszugeben. Damit werden sogenannte ” Man In The Middle“-Attacken einfach gemacht.

• F¨ ur die Authentifizierung und die Verschl¨ usselung werden dieselben Schl¨ ussel verwendet.

• Ein Access Point kann lediglich vier WEP-Schl¨ ussel verwalten und es sind keine Funktionen f¨ ur das Schl¨ usselmanagement zur Verteilung der geheimen WEP-Schl¨ ussel vorhanden. In einem großen Netzwerk bedeutet das, dass viele Clients den gleichen Schl¨ ussel besitzen. In diesem Zusammenhang soll auch auf ein weiteres Problem hingewiesen werden: Da WLAN auch f¨ ur kleine mobile Devices ausgelegt ist, welche leicht verloren gehen k¨ onnen, gehen mit dem Verlust dieser Ger¨ ate durch Diebstahl oder Unachtsamkeit auch WEP-Schl¨ ussel verloren. Dies macht in solchen F¨ allen das Versorgen aller Ger¨ ate im Netzwerk mit neuen Schl¨ usseln notwendig.

• Bestimmte Schl¨ ussel eignen sich nicht gut f¨ ur eine RC4-Verschl¨ usselung. Diese Schl¨ ussel werden oft als sogenannte ” schwache Schl¨ ussel“ bezeichnet (siehe

[FMS01]). Da die Industrie den ohnehin schon kleinen Schl¨ usselraum nicht noch weiter einschr¨ anken wollte, wurden diese Werte ebenfalls zugelassen. Da der IV sich st¨ andig ¨ andert, tritt ¨ uber kurz oder lang solch ein schwacher

Schl¨ ussel auf. Wird dieser allerdings verwendet, ist es f¨ ur einen Angreifer m¨ oglich, Byte f¨ ur Byte Teile des WEP-Schl¨ ussels zu ermitteln. F¨ ur weitere

14

2.3. Wired Equivalent Privacy Kapitel 2. Theorie der Sicherheitsmechanismen

Erl¨ auterungen sei der Leser auf den Fluhrer-Mantin-Shamir Angriff in Kapitel 2.3.4 verwiesen.

2.3.4 Dokumentierte Angriffe auf WEP

Um die WEP-Verschl¨ usselung zu brechen existiert nun eine Vielzahl von Angriffen in den unterschiedlichsten Variationen. Eine WEP-Attacke muss weiters nicht immer zwangsl¨ aufig auf das Brechen der Verschl¨ usselung ausgelegt sein - auch die Authentizit¨ at oder die Integrit¨ at der Daten kann ein Angriffsziel darstellen. Außerdem existieren auch andere Angriffsmethoden, um an die gew¨ unschten Schl¨ ussel zu kommen, welche nicht direkt in den Bereich dieser Diplomarbeit fallen. Es sei daher erw¨ ahnt, dass die unterschiedlichen Angriffsmethoden auf das WEP-Verfahren im Folgenden eher aus kryptographischer Sicht vorgestellt werden.

Brute Force Attacke

Die einfachste Form eines Angriffes ist das Ausprobieren aller m¨ oglichen WEP-Schl¨ ussel an einem abgefangenen verschl¨ usselten Paket aus dem WLAN.

Diese Methode ben¨ otigt in der Regel jedoch eine sehr lange Zeit. Da der Schl¨ usselraum entweder 40 oder 104 Bits groß sein kann, sind entweder 2 ⁴⁰ oder 2 ¹⁰⁴ unterschiedliche Schl¨ ussel m¨ oglich. 2 ¹⁰⁴ ergibt ungef¨ ahr 2 · 10 ³¹ ; das ist ein so hoher Wert, dass es bei 100,000 Versuchen pro Sekunde ungef¨ ahr 6.4 Trillionen Jahre ben¨ otigen w¨ urde, bis man die letzte Bitkombination durchprobiert h¨ atte. Somit ist ein derartiger Brute Force Angriff auf einen WEP-Schl¨ ussel praktisch nicht durchf¨ uhrbar und außerdem nicht zweckm¨ aßig, zumal es bedeutend effizientere Methoden gibt, um diese Verschl¨ usselung zu brechen.

Allerdings existiert noch ein weiterer Erleichterungsfaktor f¨ ur derartige Angriffe. In einem WLAN basieren die meisten Protokolle auf dem Transmission Control Protocol (TCP) bzw. Internet Protocol (IP). Aus diesem Grund ist es laut [Rec04] voraussetzbar, dass sich im Datenteil eines Paketes am Anfang der Header des Subnetwork Access Protokolls (SNAP), welches f¨ ur das Enkapsulieren von IP Paketen in IEEE-Netzwerken ¨ ublicherweise verwendet wird, befindet. Dieser Header

liefert im Klartext immer die gleichen Anfangswerte, n¨ amlich 0xAAAA030000 (in Hexadezimalschreibweise); sollte ein anderes Protokoll als TCP/IP zur prim¨ aren Daten¨ ubertragung verwendet werden (wie beispielsweise Internetwork Packet Exchange (IPX)), so ist der Wert entsprechend anders, aber dennoch nicht unbekannt. Das macht die ¨

Uberpr¨ ufung der vielen WEP-Schl¨ ussel wesentlich einfacher, da nicht das gesamte Paket ¨ Anfang. Das Tool ” um Rechenzeit zu sparen. Dadurch kann die Zeit f¨ ur Brute Force Angriffe drastisch verk¨ urzt werden. Sollte lediglich 64-Bit WEP eingesetzt werden und rechnet man dabei den IV weg, so braucht man bei einem 40-Bit Schl¨ ussel mit dem Brute Force Verfahren und dieser Methode bei 100,000 Versuchen pro Sekunde lediglich ungef¨ ahr 127.25 Tage, um alle Bitkombinationen durchzuprobieren. Das Kriterium der vorhersehbaren Werte in

² Webseite des Projektes: http://sourceforge.net/projects/wepattack

15

2.3. Wired Equivalent Privacy Kapitel 2. Theorie der Sicherheitsmechanismen

Paketen, egal welcher Art diese auch sein m¨ ogen, l¨ aßt sich weiters auch anwenden, um an Teile des Schl¨ usselstromes f¨ ur ” Known Plaintext“ Angriffe und statistische

Attacken (dazu siehe Erl¨ auterungen zum Fluhrer-Mantin-Shamir Angriff in diesem Kapitel) zu kommen.

An dieser Stelle erscheint es auch wichtig, darauf hinzuweisen, dass die Brute Force Attacke die einzige Angriffsform ist, gegen¨ uber welcher jedes Sicherheitsverfahren, das auf Schl¨ usseln bzw. Passw¨ ortern basiert, verwundbar ist. Bei jedem Sicherheitsverfahren kann durch ausdauerndes Probieren versucht werden, an den Schl¨ ussel zu kommen. Der einzige Schutz gegen dieses Verfahren ist, eine maximale Anzahl von m¨ oglichen Versuchen festzulegen und so den Angreifer daran zu hindern, beliebig viele Kombinationen durchzuprobieren (diese Sicherheitsstrategie wird beispielsweise bei der Bankomatkarte angewandt - dreimaliges falsches Eintippen der Kombination sperrt automatisch die Karte).

W¨ orterbuchattacke

Es gibt eine Angriffsvariante, die dem Brute Force ¨ ahnlich ist: der W¨ orterbuchangriff. Dabei werden nacheinander Begriffe aus einem W¨ orterbuch als Schl¨ ussel eingesetzt. Dies ist nach [Rec04] bei einer Schl¨ usselgenerierung durch ASCII-Mapping (dabei wird aus einer ASCII-Zeichenfolge durch mathematische Funktionen eine Zahlenfolge erzeugt) m¨ oglich, da der Schl¨ ussel in diesem Fall ein Passwort ist. In großen Netzwerken ist es naheliegend, dass der Einfachheit halber diese Form der Schl¨ usselgenerierung eingesetzt wird. Der Angreifer wandelt selbst jedes ausprobierte Wort aus dem W¨ orterbuch durch einen ASCII-Mapper (das Verfahren des ASCII-Mappings ist allgemein bekannt) in einen WEP-Schl¨ ussel um und uberpr¨ uft, ob es der richtige ist. Es wird also wie bei Brute Force durch ausdauern¨

des Probieren versucht, irgendwann den richtigen Schl¨ ussel zu treffen, wobei bei der W¨ orterbuchattacke allerdings nur in einer W¨ orterbuchdatei aufgelistete Eintr¨ age durchprobiert werden und nicht der gesamte Schl¨ usselraum.

Diese Variante hat durchaus ihre Berechtigung, da WEP wie erw¨ ahnt kein effizientes Schl¨ usselmanagement bietet - in einem großen Netzwerk m¨ ussen die Schl¨ ussel alle h¨ andisch an den Ger¨ aten eingegeben werden und daher relativ leicht zu merken sein. Weiters ist diese Variante in mit schwachen Schl¨ usseln unzureichend gesicherten Netzwerken zeitsparender als reines Brute Force, da nicht der gesamte Schl¨ usselraum ¨ uberpr¨ uft wird. Allerdings k¨ onnte sie durch geschicktes Einf¨ ugen von Zahlen und Sonderzeichen im Schl¨ ussel leicht unterbunden werden, was dazu f¨ uhrt, dass dieser in keinem normalen W¨ orterbuch mehr gefunden werden kann.

Derartige Schutzmaßnahmen k¨ onnen auch von nicht mit der Thematik vertrauten Anwendern relativ einfach ergriffen werden. Da außerdem bereits effizientere Angriffsformen bestehen, bleibt die W¨ orterbuchattacke bei WEP lediglich eine Alternative in Ausnahmef¨ allen.

Unbefugte Entschl¨ usselung im Falle von IV-Kollisionen

Im Falle einer Kollision verwenden zwei unterschiedliche Klartextnachrichten den gleichen Initialisierungsvektor und werden deshalb mit demselben Schl¨ usselstrom

16