Attacken auf die Sicherheitsmechanismen des Wi-Fi Protected Access Industriestandards

Inhaltsverzeichnis

1 Einleitung
1.1 Einführung in die Thematik
1.2 Motivation
1.3 Aufbau und Aufgabenstellung
1.4 Haftungsausschluss
1.5 Ziele und Abgrenzungen

2 Theorie der Sicherheitsmechanismen
2.1 Vorwort
2.2 Der RC4-Algorithmus
2.2.1 Das allgemeine Verfahren
2.2.2 Das Verfahren mit Salt
2.2.3 Sicherheit von RC4
2.3 Wired Equivalent Privacy
2.3.1 Grundlagen
2.3.2 Die Sicherheitsmechanismen von WEP
2.3.3 Schwächen und Angriffspunkte
2.3.4 Dokumentierte Angriffe auf WEP
2.4 WiFi Protected Access
2.4.1 Grundlagen
2.4.2 Die Sicherheitsmechanismen von WPA
2.4.3 Vergleich mit WEP
2.4.4 Schwachstellen und Angriffe
2.5 Der 802.11i-Standard
2.5.1 Grundlagen und Sicherheitsmechanismen
2.5.2 Mögliche Angriffspunkte

3 Durchführung und Analyse von Angriffen
3.1 Beschreibung der Testumgebung
3.1.1 Hardware und Software
3.1.2 Rahmenbedingungen und Richtlinien
3.1.3 Vorbereitungsmaf3nahmen
3.2 Angriffe auf WEP
3.2.1 Tews-Weinmann-Pyshkin-Attacke
3.2.2 KoreK´s “ChopChop“-Attacke und statistischer Angriff . .
3.3 Angriffe auf WPA
3.3.1 Angriff auf WPA-PSK
3.4 Untersuchungen über WPA
3.4.1 Grundlegendes
3.4.2 Beschreibung des Angriffsszenarios
3.4.3 Die Grundform der Tabelle
3.4.4 Maf3nahmen zur Verkürzung der Tabelle
3.4.5 Die verkürzte Tabelle
3.4.6 Untersuchung von Noncenwerten
3.4.7 Vergleich mit Brute Force Attacke
3.4.8 Weitere theoretische Problemstellungen beim Wertetabellen- Angriff
3.4.9 Sicherheitsrelevante Bedeutung der neuen Angriffsvariante
3.4.10 Schutzmaf3nahmen
3.5 Neuer Angriff auf WPA
3.5.1 Grundlegendes und Voraussetzungen
3.5.2 Ablauf des Angriffes
3.5.3 Sicherheitsrelevanz
3.5.4 Gegenmaf3nahmen
3.6 Aufgetretene Probleme
3.6.1 Umwandlung von Airodump-Dateien
3.6.2 Umwandlung der Noncendaten in ein CrypTool-kompatibles Datenformat
3.6.3 Datenanalyse mit der NIST Statistical Test Suite
3.6.4 Probleme beim Sammeln von Noncen

4 Auswertung der Ergebnisse
4.1 Auswertung und Bewertung
4.1.1 Ergebnisse bezüglich WEP
4.1.2 Ergebnisse bezüglich WPA
4.1.3 Ergebnisse bezüglich IEEE 802.11i (WPA2)
4.2 Fazit und Ausblick

5 Zusammenfassung

A Anhang
A.1 Testergebnisse
A.1.1 Ergebnis des Runs Tests über die Noncendaten

Abbildungsverzeichnis

Literaturverzeichnis

Kapitel 1

Einleitung

1.1 Einführung in die Thematik

Diese Diplomarbeit beschäftigt sich mit der Untersuchung der Verschlüsselung des Datenverkehrs in einem drahtlosen Netzwerk in Bezug auf Schwachstellen und dar-auf basierender Angriffe.

In der heutigen Zeit der Computerkriminalität und sonstiger Bedrohungen ist es notwendig, dass nicht nur grof3e Firmen, sondern auch Klein- und Mittelbetrie-be sowie Privatpersonen sowohl ihre drahtgebundenen, als auch ihre drahtlosen Netzwerke umfassend gegen unbefugte Benutzung absichern. Da diese Zielgrup-pe oftmals mangels professioneller Erfahrung im IT-Sicherheitsbereich besonders gefährdet ist, soll sich diese Arbeit nicht ausschlief3lich an Experten richten, son-dern auch für die zuvor erwähnten Personengruppen klar verständlich formuliert sein.

Zur Sicherung solcher drahtloser Netzwerke – im Folgenden als Wireless Local Area Networks (WLANs) bezeichnet – wird heutzutage meist eine auf dem RC4-Algorithmus basierende Verschlüsselung eingesetzt. Diese Aussage l¨asst sich mit den Ergebnissen einer Studie des Unternehmens Kaspersky Laboratories über WLANs in Monterrey, Mexiko (siehe [Bes08]) belegen, wonach die gängigsten im Einsatz befindlichen Verfahren Wired Equivalent Privacy (WEP) und Wireless Fi­delity (Wi-Fi) Protected Access (WPA) sind. Auch der als WPA-2 bezeichnete IEEE^[1]-Sicherheitsstandard mit der Bezeichnung 802.11i wird eingesetzt, obwohl bei diesem Verfahren allerdings nicht mehr der RC4-Algorithmus verwendet wird.

Das WEP-Verfahren ist mittlerweile bereits als unsicher bekannt, da bereits zahl-reiche Angriffsmethoden existieren, die dessen Wirksamkeit innerhalb einer Minute auf3er Kraft setzen können (siehe Kapitel 2.3.4 in dieser Arbeit). Trotz dieser Un-sicherheit wird WEP allerdings immer noch häufig zur Verschlüsselung eingesetzt, wie die Studie von [Bes08] zeigen konnte. In diesem Zusammenhang wird erwähnt, dass ungefähr 58 Prozent der untersuchten WLANs mit WEP verschlüsselt und 35 Prozent sogar unverschlüsselt sind. Lediglich 6 Prozent der Netze waren mit WPA geschützt, das verbleibende Prozent entfiel auf WPA2. Eine Studie über WLANs in London (siehe [Gos07]) belegte ebenfalls, dass 35 Prozent der untersuchten draht- losen Netze ohne Verschlüsselung betrieben wurden. Diese Zahlen sprechen klar für die Wichtigkeit der Aufklärung der Anwender über WLAN-Sicherheit, wozu diese Diplomarbeit ebenfalls dienen soll.

WPA gilt im Gegensatz zu WEP allgemein als sicherere Losung. Dabei basiert das WPA-Verfahren allerdings auf der WEP-Hardware und verwendet im Kern auch den gleichen Verschlüsselungsalgorithmus. Diese Tatsache gibt Anlass zu der Frage-stellung, ob die bei WEP bestehenden Schwächen tatsächlich erfolgreich bereinigt wurden und WPA eine so hohe Sicherheit besitzt, dass eine kryptographische At-tacke auf dieses Verfahren keine Wirkung zeigt.

Diese Fragestellung, welche sich hierbei insbesondere auf die erste Version von WPA und weniger auf WPA-2 bezieht, soll nun im Rahmen der vorliegenden Arbeit unter-sucht werden. Eine derartige Untersuchung impliziert gleichzeitig auch eine Ausein-andersetzung mit WEP und den verschiedenen Angriffen auf dieses Verfahren, da zum einen die Hardware und der Verschlüsselungsalgorithmus gleich sind und zum anderen WEP trotz dessen Unsicherheit immer noch eines der am häufigsten ein-gesetzten Verschlüsselungsverfahren für drahtlose Netzwerke ist. Darüberhinaus ist es mitunter ein Problem, dass die verwendeten Angriffstechniken auf WEP teils auf Cracker-Webseiten und Internetforen ungenau definiert, teils in wissenschaftlichen Papers zu kompliziert formuliert sind, um für Nicht-Experten klar verständlich zu sein. Das hat zur Folge, dass sich viele Anwender und Betreiber von WLANs mit diesen Themen nicht eingehend auseinandersetzen, wodurch die Gefahr besteht, dass die Bedrohung durch diese Angriffe unterschätzt oder nicht ernst genommen wird. Dies ist ein weiterer Grund, warum in dieser Arbeit auch auf WEP und die diesbezüglichen Angriffsverfahren eingegangen wird.

Diese Diplomarbeit soll also die verschiedenen moglichen Angriffe auf die beiden verbreitetsten Sicherungsverfahren WEP und WPA und deren Gefährlichkeit ob-jektiv beschreiben und klare Aussagen über die sicherheitsrelevante Bedeutung von Angriffen und die Sicherheit der Verschlüsselungsverfahren treffen. Auch soll dem Leser ein umfassender ¨Uberblick über die Techniken der verschiedenen An-griffe gewährt werden, was ein besseres Verständnis für Bedrohungen auf dem Ge-biet der drahtlosen Netzwerksicherheit fordern soll. Weiters soll auch nach neuen Ansätzen und Strategien für Angriffe auf WPA gesucht werden, um aufzuzeigen, dass die Sicherheit von im Einsatz befindlichen Verfahren kritischer betrachtet werden muss und um die Bildung eines umfassenderen Sicherheitsbewusstseins zu fordern. Ansätze für eine Sicherheitspolitik zum Schutz vor derartigen Angriffen sind als Ergänzung der Arbeit ebenfalls vorgesehen.

1.2 Motivation

Bevor mit den Ausführungen über die eigentliche Motivation dieser Diplomarbeit begonnen werden kann, ist es zunächst wichtig, dem Leser die Gründe zu erläutern, warum WLANs überhaupt verschlüsselt werden sollen. Ohne eine derartige Absi-cherung eines WLANs konnen nicht nur die über das Netzwerk übermittelten – moglicherweise vertraulichen – Daten von unerwünschten Personen mitgelesen wer-den, sondern es ist auch moglich, dass von einem Angreifer über das ungeschützte WLAN im Internet ein Computerverbrechen begangen wird, für welches schließlich der Betreiber des WLANs haftbar gemacht werden kann. Es sind Fälle bekannt, in denen das Gericht gegen den Betreiber eines ungeschützten WLANs entschied (siehe [LAMP06]).

Themen über die Sicherheit von WEP und WPA wurden bereits in zahlreichen Artikeln in Zeitschriften und im Internet behandelt. Das Unternehmen Kaspersky Labs führt in unregelmäf3igen Abständen Untersuchungen über drahtlose Netz-werke in verschiedenen Städten der Welt durch, deren Ergebnisse im Internet^[2] in entsprechenden Artikeln pr¨asentiert werden. Daraus geht hervor, dass WEP, wel-ches wie bereits erwähnt mittlerweile allge]mein als unsicher gilt, immer noch sehr häufig zur WLAN Verschlüsselung verwendet wird (siehe die zuvor referenzierten Artikel [Gos07] und [Bes08]). WPA ist das insgesamt am zweithäufigsten eingesetz-te Verschlüsselungsverfahren. Viele WLANs sind allerdings auch überhaupt nicht verschlüsselt.

Diese Daten sprechen klar für die Notwendigkeit der Beendigung der Diskussi-on über die Sicherheit der Verschlüsselungsmechanismen WEP und WPA und die Schaffung eines umfassenderen und kritischeren Bewusstseins für drahtlose Netz-werksicherheit in der Allgemeinheit. Die Erreichung dieses Zieles im Rahmen eines detaillierten ¨Uberblicks über die Sicherheitsverfahren – und über mogliche Angriffe darauf – wurde zur Hauptmotivation für diese Diplomarbeit.

Die immer weiter voranschreitende Entwicklung der Sicherheitsverfahren und der moglichen Angriffsmaf3nahmen macht es weiters notig, unter der Leserschaft die Entstehung eines kritischen und sicherheitsbewussten Denkens auch gegenüber bewährten und als sicher angepriesenen Methoden zu fordern. Um dieses Ziel zu erreichen ist es auf3erdem wichtig, neben den Erklärungen über verschiedene beste-hende Angriffsformen auch auf mogliche noch nicht wissenschaftlich dokumentierte Techniken, welche von Angreifern moglicherweise verwendet werden konnten, ein-zugehen.

1.3 Aufbau und Aufgabenstellung

Diese Diplomarbeit soll dem Leser zum Zwecke des Einstiegs zunächst die kryptographischen Grundlagen für die behandelten Verschlüsselungsverfahren näherbringen – dies inkludiert auch die Erläuterung des RC4-Algorithmus.

Im Anschluss daran wird das WEP-Verfahren in seiner Funktionsweise mit beson-derem Hinblick auf dessen Schwachstellen und moglichen Angriffen erklärt.

WPA wird daraufhin thematisch in einer ähnlichen Weise behandelt und erklärt, allerdings werden auch Ansätze für neue Angriffstheorien pr¨asentiert, was eine detailliertere Auseinandersetzung mit dem Thema WPA notig macht als dies bei WEP der Fall ist.

Auch auf den Sicherheitsstandard 802.11i wird eingegangen, allerdings liegen dies-bezügliche Angriffe nicht im Rahmen der Hauptthematik und sollen daher lediglich im Sinne einer Ergänzung verstanden werden.

Nach der Erklärung der Sicherheitsmechanismen und deren Schwachstellen wer- den einige bestehende Angriffe auf die beiden Verfahren WEP und WPA gemäf3 eigener in einer Testumgebung durchgeführter Versuche praktisch beschrieben. Die Fragestellung, ob insbesondere das WPA-Verfahren als sicher einzustufen ist, wird diskutiert und es sollen Ansätze vorgestellt werden, wie gegen die beschriebenen Attacken und Angriffstheorien vorgegangen werden kann.

Abschlief3end wird auch auf die Zukunft der drahtlosen Netzwerksicherheit einge-gangen. Eine Zusammenfassung soll dabei dem Leser noch einmal die wichtigsten Erkenntnisse darlegen.

1.4 Haftungsausschluss

Die in der vorliegenden Arbeit enthaltenen Informationen über Angriffe auf WEP und WPA und insbesondere die Beschreibungen der in der Praxis durchgeführten Attacken lassen sich bedauerlicherweise auch für kriminelle Zwecke missbrauchen.

Diese Diplomarbeit verfolgt jedoch das Ziel, die Sicherheit in drahtlosen Netz-werken zu erhöhen. Um dieses Ziel zu erreichen ist es notwendig, dem Leser die Vorgangsweise von Angreifern sowohl theoretisch, als auch praktisch detail-liert verständlich zu machen. Zu diesen Themengebieten gehören auch Kenntnisse darüber, wie derartige Attacken überhaupt durchzuführen sind. Nur wenn die An-griffsweise bekannt ist, können Gegenmaf3nahmen effizient ergriffen werden und dadurch wird es unumgänglich, unter anderem auch zu beschreiben, wie diese kri-minellen Handlungen überhaupt durchgeführt werden.

Es sei an dieser Stelle ausdrücklich erwähnt, dass sich der Verfasser dieser Diplom-arbeit von jeglicher Computerkriminalität distanziert. Die ausgeführten Angriffe dienen ausschlief3lich der Analyse und didaktischen Zwecken. Der Autor übernimmt keine Verantwortung für eine missbräuchliche Verwendung dieser Informationen und kann für dadurch entstandene Schäden nicht haftbar gemacht werden.

1.5 Ziele und Abgrenzungen

An dieser Stelle sollen die Ziele und Abgrenzungen dieser Diplomarbeit zur besseren ¨Ubersicht nochmals in Listenform zusammengefasst werden:

Ziele:

- Vorstellung und Erklärung der verschiedenen bestehenden Angriffsformen auf WEP und WPA.
- Durchführung einiger exemplarischer Angriffe zur ¨Uberprüfung der Machbar-keit.
- Vorstellung neuer Theorien und neuer Ansätze über Angriffe auf WPA.
- Treffen einer Aussage über die Sicherheit der Verfahren.
- Erstellung eines Maf3nahmenkataloges zur Vermeidung solcher Angriffe.

Abgrenzungen:

- Der Leser soll durch diese Diplomarbeit nicht zu kriminellen oder anderen böswilligen Handlungen im Bereich Sicherheit in der Informationstechnologie ermutigt werden.

- In dieser Arbeit werden keine neuen Angriffsformen auf WEP untersucht.
- Das WPA2-Sicherheitsverfahren nach dem 802.11i-Standard stellt in dieser Diplomarbeit kein Hauptthema dar.

Kapitel 2

2. Theorie der Sicherheitsmechanismen

2.1 Vorwort

Obwohl diese Diplomarbeit auch für Laien gut verständlich formuliert sein sollte, richtet sie sich in erster Linie an Personen, die in den Themenbereichen Kryptogra-phie, WLAN-Netzwerktechnik und IT-Sicherheit über fundierte Grundkenntnisse verfügen. Auf das benötigte Vorwissen soll an dieser Stelle nicht näher eingegangen werden.

Lediglich die Fragmentierung in drahtlosen Netzen im Zusammenhang mit Media Access Control (MAC) sei erwähnt. Für ein umfassendes Verständnis der in den folgenden Kapiteln angeführten Erläuterungen sollte der Leser über die Fragmentierung von Daten in einem WLAN Bescheid wissen. Dazu gehört insbe-sondere die Unterscheidung zwischen MAC Service Data Unit (MSDU) und MAC Packet Data Unit (MPDU). Umgangssprachlich formuliert ist dabei die MPDU der ”Rahmen“ und die MSDU das ”Paket“. MSDUs (Pakete) sind für höhere Anwen-dungsschichten bestimmt und können fragmentiert werden und dadurch innerhalb mehrerer MPDUs (Rahmen) übertragen werden. Auf MPDU-Ebene durchgeführte Verfahren zur Sicherung und Datenübermittlung sind auf MSDU-Ebene nicht be-merkbar.

2.2 Der RC4-Algorithmus

2.2.1 Das allgemeine Verfahren

Der auch als ”Ron’s Code 4“ bzw. ”Ron’s Cipher 4“ bezeichnete Algorithmus wurde im Jahre 1987 von Ronald L. Rivest für die Firma RSA Data Security Inc. (heu-te RSA Security) entwickelt. Das Verfahren blieb zunächst sieben Jahre lang ge-heim. Im Jahre 1994 wurde schließlich auf einer Mailingliste^[1] im Internet anonym ein Quellcode veröffentlicht, welcher sich als voll kompatibel zum originalen RC4- Algorithmus erwies (siehe [Rap98]). Man geht davon aus, dass dies eine Kopie des originalen Quellcode des RC4 darstellt. Der Algorithmus wird heutzutage in zahl-reichen Softwareprodukten verwendet, so zum Beispiel bei Secure Sockets Layer (SSL).

Der RC4-Algorithmus erzeugt aus einem Schlüssel einen pseudozufälligen Strom von Chiffrierbits – es handelt sich dabei also um eine Stromchiffre (Key Stream). Die Schlüssellänge ist variabel und kann nach [Thoe02] bis zu 2048 Bits bzw. 256 Bytes betragen, wobei der kleinstmögliche gültige Schlüssel zumindest 1 Byte lang sein muss. Der Algorithmus verschlüsselt immer ein Byte auf einmal. Bevor jedoch mit der eigentlichen Verschlüsselung begonnen werden kann, wird eine Substituti-onstabelle, eine sogenannte S-Box, initialisiert. Im Falle von RC4 sind in dieser die Zahlenwerte 0 bis 255 enthalten.

Zunächst wird die S-Box mit den Zahlen von 0 bis 255 in aufsteigender Reihenfolge geordnet angeschrieben. Anschlief3end werden die Zahlen innerhalb der Tabelle be-liebig vertauscht, um eine zufällige Anordnung herbeizuführen. Dies wird erreicht, indem der Algorithmus eine Schleife durchläuft, welche der Reihe nach über die gesamte Tabelle iteriert und an jeder Stelle anhand des verwendeten Schlüssels die Position eines zweiten Wertes ermittelt und die beiden Werte vertauscht. Der folgende Pseudocode verdeutlicht den Prozess (vgl. [Thoe02]):

Abbildung in dieser Leseprobe nicht enthalten

wobei K den Schlüssel, k die Schlüssellänge und Si die i-te Stelle (das i-te Element) in der S-Box bezeichnet. Die Variable i iteriert über alle Positionen in der S-Box, die Variable j ist dabei die gemäf3 der im Pseudocode angeführten Berechnung ermittelte Nummer der Gegenposition Sj, mit der das Element Si vertauscht wird.

An welcher Stelle welche der Zahlen steht, hängt also mit dem Schlüssel zusammen. Dieser ist theoretisch lediglich eine Zahlenreihe, anhand welcher die entsprechen-den S-Box-Elemente zum Vertauschen gewählt werden. Die Modulo-Operation des Schlüssels mit der Schlüssellänge ist notwendig, da dieser kleiner als 256 Byte sein kann. In solch einem Fall wird der Schlüssel somit einfach wiederholt, damit der Algorithmus über die gesamte Tabelle iterieren kann.

Die Initialisierungsphase des RC4 wird auch als Key Scheduling Algorithmus (KSA) bezeichnet.

Das erste Byte der Stromchiffre wird mit dem RC4-Algorithmus nun – im Anschluss an die Initialisierung der S-Box durch den KSA – nach der folgenden Methode erzeugt (vgl. [Thoe02]):

- Erhöhe i um 1
- Addiere Si zu j
- Vertausche Si und Sj
- Setze die temporäre Variable t auf S i + S j
- Gib S t aus.

Hierbei ist zu beachten, dass jedes der einzelnen Ergebnisse einer Modulo-256-Operation unterzogen werden muss, da die S-Box lediglich 256 Einträge besitzt. In dem Algorithmus wird also der Index i um 1 erhoht und die Zahl an dieser Posi­tion zu j addiert; daraufhin wird die Zahl an der Position j (nach der Addition) mit der Zahl an der Position i vertauscht und die beiden an den Stellen S i und S j stehenden Zahlen werden wiederum addiert und ergeben zusammen die Positi-onsnummer für ein Byte in der S-Box. Mit diesem ”zufälligen“ Byte (der Wert an Position t) wird nun weiter gearbeitet. Diese beschriebene Methode ist eigentlich ein Pseudozufallsgenerator (auch als Pseudo-Random Number Generator (PRNG) bezeichnet).

Zur Verschlüsselung wird nun das zuvor erzeugte zufällige Byte S t mit dem ersten Byte des Klartextes XOR-verknüpft (binäre Exklusiv-Oder Operation). Anschlie-ßend wird das Verfahren zur Zufallszahlenerzeugung erneut durchlaufen und dessen Ergebnis mit dem nächsten Klartextbyte XOR-verknüpft. Dies wird nacheinander mit allen Klartextbytes und jeweils einer neu erzeugten Zufallszahl durchgeführt, um den Chiffretext zu erhalten.

Bei der Entschlüsselung verfährt der Empfänger laut [Thoe02] nach genau demsel-ben Verfahren, um sich die S-Box mit dem gleichen Schlüssel zu initialisieren und er generiert sich dadurch auch dieselben Zufallszahlen, die er – eigentlich genau wie beim Verschlüsseln – mit dem empfangenen Text nochmals byteweise XOR-verknüpft. Da die XOR-Operation die Eigenschaft hat, selbstinvers zu sein, wobei das Ergebnis der Operation a XOR b nach nochmaliger XOR-Operation mit b wiederum a ergibt, erhält der Empfänger wieder den Klartext. Sollte dieser jedoch nicht den richtigen Schlüssel besitzen, so wird die Substitutionstabelle (und damit die Zufallszahlen) falsch initialisiert und es entsteht eine im Vergleich zum Klartext vollig andere Bitfolge als Ergebnis.

2.2.2 Das Verfahren mit Salt

Das allgemeine RC4-Verfahren hat zwar keine Schwächen im Algorithmus, be-sitzt aber einen großen Risikofaktor: sollte einem Angreifer ein zugehoriges Paar Klar- und Chiffretext in die Hände fallen, so kann dieser sich die Zufallszahlen-sequenz herausrechnen, indem er die beiden per XOR verknüpft – da sich XOR wie im vorhergehenden Unterkapitel beschrieben verhält, bleibt in diesem Fall der Schlüsselstrom übrig. Mit diesem Schlüsselstrom würden sich moglicherweise an-dere Chiffretexte entschlüsseln lassen, da es unwahrscheinlich ist, dass Sender und Empfänger für jeden übermittelten Text manuell einen anderen Schlüssel verwen-den. Genau diese Prozedur kann durch ein einfaches Verfahren automatisiert wer-den, indem ein ”Salt“ verwendet wird.

Das Salt ist nach [Thoe02] eigentlich eine Zufallszahlensequenz bestimmter Länge (meistens zwischen 40 und 88 Bit), an die der Schlüssel angehängt wird. Der ei-gentliche Wert, mit welchem verschlüsselt wird, verlängert sich somit um diese Zufallszahl, wovon der Benutzer selbst jedoch nichts bemerkt. Da diese Bytefol-ge bei jedem Verschlüsselungsvorgang zufällig gewählt wird, ergibt sich für jeden Klartext ein anderer Schlüssel.

Es muss allerdings eine Methode existieren, diese Zufallszahl zum Empfänger zu transportieren, damit dieser die Nachricht entschlüsseln kann. Eine naheliegen-de Methode ist es, die Salt-Werte zusammen mit den jeweiligen verschlüsselten Texten zu übermitteln. In der Informationstechnologie wird der Salt-Wert bei der ¨Ubertragung von verschlüsselten Daten als Initialisierungsvektor (IV) mitgeschickt.

Diese Methode mag sich leichtsinnig anhören, doch sollte ein Angreifer nun an ein zugehöriges Paar Klartext und Geheimtext kommen, so nützt ihm das Herausrech-nen des Schlüssels nicht viel, da die nachfolgenden Geheimtexte mit hoher Wahr-scheinlichkeit mit einem anderen Salt (bzw. IV) und dadurch mit einem anderen Schlüssel chiffriert sein würden.

Die Verwendung des Verfahrens mit Salt hat allerdings den Nachteil, dass der Algorithmus bei jedem Verschlüsseln von Daten mit einer neuen S-Box initialisiert werden muss, jedes Mal mit einem anderen Salt-Wert vor dem Schlüssel. Dieser Nachteil fällt jedoch kaum ins Gewicht, da die Initialisierungsphase bei RC4 bei Verwendung heutiger Systeme sehr kurz ist.

2.2.3 Sicherheit von RC4

Eine interessante Fragestellung ist die nach der Sicherheit von RC4. [Thoe02] erwähnt diesbezüglich, die Firma RSA Security würde behaupten, dass der Algo-rithmus resistent gegen lineare und differentielle Kryptoanalyse sei; auf3erdem habe er eine Periode von 10100, somit würde eine Wiederholung des Schlüsselstromes erst nach 10100 Verschlüsselungen auftreten, was ebenfalls hohe Sicherheit bedeutet. Ei-ne direkte Quelle von RSA Security, worin diese Aussagen bestätigt werden, konnte nicht ermittelt werden.

Es ist allerdings eine Tatsache, dass RC4 laut [Thoe02] eine sehr grof3e Anzahl an möglichen Zuständen hat, nämlich 21700 (das sind ungefähr 5.6 · 10511). Der Algorithmus ist auf3erdem so konzipiert, dass sich die S-Box nur langsam verändert und somit eine lange Periode gewährleistet ist.

Schon die Grundversion des RC4-Algorithmus hat jedoch bereits eine Schwäche, indem die ersten 256 ausgegebenen Schlüsselbytes möglicherweise Rückschlüsse auf den Zustand der S-Box zulassen können. Diese Schwachstelle l¨asst sich allerdings relativ einfach verhindern, indem diese ersten 256 Bytes bereits in der Generie-rungsphase verworfen werden.

Nach [Thoe02] wird die um diese Maf3nahme ergänzte Variante des RC4 auch als ”Alleged-RC4“ (ARC4 oder ARCFOUR) bezeichnet. Sie wird heutzutage aufgrund ihrer erhöhten Sicherheit und der Tatsache, dass die ursprüngliche Variante von RC4 patentiert ist und theoretisch nicht verwendet werden darf, in vielen Produk-ten eingesetzt.

Es existiert weiters eine Vielzahl wissenschaftlicher Publikationen über die Krypto-analyse von RC4 bzw. ARC4. So pr¨asentierte Golic in [Gol97] beispielsweise einen statistischen Defekt von RC4, welcher es einem Angreifer erlaubte, einen RC4- Outputstream von dem anderer Algorithmen bzw. von zufälligen Bitströmen be-reits bei einem Datenvolumen von ungefähr 240 Bits zu unterscheiden. In [MiTa99] analysierten Mister und Tavares die Struktur von RC4 und ermittelten dabei einen Weg, den Zustand der Permutation (also der S-Box) herauszufinden, falls nur ein kleiner Teil des Keystreams offengelegt wird; der Zustand der S-Box bei einem 5-Bit Schlüssel kann mit dieser Methode in lediglich 242 Rechenschritten herausgefunden werden. Der nominelle Schlüsselraum dieses Systems beträgt jedoch eigentlich 2160, das heif3t, es sind grundsätzlich 2160 Schlüssel möglich. Um den Schlüssel und damit den Zustand der S-Box durch Probieren zu ermitteln, sollten also bedeutend mehr Rechenschritte benötigt werden.

Fluhrer und McGrew verbesserten die Verfahren von Golic und Mister/Tavares in [FluGre01], sodass bereits der Output von 8-Bit RC4 bei einem Datenvolumen von lediglich 230.6 Byte eindeutig als RC4-Output ermittelt werden kann. Auf3erdem werden weiters auch Ansätze für eine statistische Attacke geliefert. Dadurch wird das Ermitteln des Zustandes der S-Box wiederum mit einer im Vergleich zu blof3em Probieren geringeren Anzahl von Rechenschritten ermöglicht.

Kürzlich wurde von Maximow und Khovratovich ([MaKh08]) eine neue Attacke entdeckt, welche es ermöglicht, den für das Ermitteln des inneren Zustandes der S-Box von 256-Bit RC4 notwendigen Aufwand von bisher 2779 Operationen auf 2241 zu reduzieren. Diese neue Attacke könnte mit hoher Wahrscheinlichkeit neue Diskussionen über die Sicherheit von RC4 auslösen. Die weiteren Entwicklungen auf diesem Gebiet werden von IT-Sicherheitsexperten und Interessenten mit Sorgfalt zu verfolgen sein.

2.3 Wired Equivalent Privacy

2.3.1 Grundlagen

Wired Equivalent Privacy (WEP) ist ein im Standard IEEE 802.11 beschriebener Sicherungsmechanismus für drahtlose Netzwerke, womit sowohl die Vertraulichkeit und Integrität – die dafür verwendete Checksumme wird mitverschlüsselt – der übertragenen Daten, als auch die Authentifizierung von Benutzern an einem Access Point (AP) gewährleistet werden sollen. Das WEP-Verfahren wurde heutzutage allerdings bereits auf mehrere Arten gebrochen und wird mittlerweile in zahlreichen Artikeln in Computerzeitschriften und im Internet als unsicher bezeichnet.

Als eine der Hauptursachen für das Versagen von WEP könnte die Tatsache ange-sehen werden, dass das Verfahren laut [Hof05] vor dessen Implementierung nicht von unabhängigen Sicherheitsexperten getestet werden konnte.

Im folgenden Abschnitt sollen nun zunächst die Verschlüsselungs- und Authenti-fizierungsverfahren von WEP an sich erklärt und danach die zahlreichen bereits bestehenden Angriffe auf diese Verfahren vorgestellt werden.

2.3.2 Die Sicherheitsmechanismen von WEP

Verschlüsselung

Die Verschlüsselung beim WEP-Verfahren erfolgt zwischen dem Client und dem Access Point. Bei jedem Paket wird der gesamte Datenteil inklusive der Prüfsumme (Checksum) mit dem RC4-Algorithmus verschlüsselt. Die ¨Ubertragung der Daten vom Access Point über das angeschlossene drahtgebundenene Netzwerk erfolgt wie-der unverschlüsselt (vgl. [Hof05]).

Bevor überhaupt ver- und entschlüsselt werden kann, wird zunächst ein Schlüssel benotigt. Dieser kann im Falle von WEP 40 oder 104 Bits lang sein. Zwar ist die Gesamtlänge des Schlüssels, mit dem das WEP-Verfahren arbeitet, 64 bzw. 128 Bits, doch dabei wird der Initialisierungsvektor (IV, siehe Kapitel 2.2.2) mit einer Länge von 24 Bits mitgezählt. Da dieser IV der Gegenstelle beim Entschlüsseln allerdings bekannt sein muss, wird er mit dem Chiffretext unverschlüsselt mitge-schickt und ist somit frei zugänglich. Somit sprechen Sicherheitsexperten bei WEP nur von 40- bzw. 104-Bit Verschlüsselung, da die 24 Bits des IV nicht zum Schlüssel dazugezählt werden konnen. Mit welcher Schlüssellänge ein Paket chiffriert ist, wird durch zwei Key-ID Bits angegeben (vgl. [Hag03).

Die Generierung eines Schlüssels kann über die direkte Eingabe von hexadezimalen Zahlen oder über die Eingabe von ASCII-Zeichen erfolgen, welche im Anschluss in Hexadezimalzahlen umgewandelt werden. Außerdem gibt es noch die Moglichkeit einer funktionsbasierten Schlüsselgenerierung, welche beispielsweise aus einem ein-gegebenen Passwort durch mathematische Funktionen mehrere WEP-Schlüssel ab-leiten kann (siehe [Rec04]).

Der Verschlüsselungsprozess wird nach [Hof05] und [Rec04] wie folgt beschrieben:

Zu Beginn der Prozedur liegt das zu sendende Paket im Klartext vor. Zunächst wird eine Prüfsumme über die gesamten Bits des Datenpakets ermittelt – der sogenannte Integrity Check Value (ICV) – und daran angehängt. Erst im Anschluss daran beginnt der eigentliche Verschlüsselungsprozess.

Client und Access Point besitzen beide einen zuvor ausgetauschten Schlüssel zum symmetrischen Ver- und Entschlüsseln der Kommunikation. Aus diesem Schlüssel wird zunächst eine Bitfolge (auch ”Seed“ genannt) gebildet. Aus diesem Seed er-zeugt nun ein Pseudozufallszahlengenerator mittels des RC4-Algorithmus einen pseudozufälligen Strom von Chiffrierbits, die zur eigentlichen Verschlüsselung der Nutzdaten verwendet werden. An diesen Bitstrom wird noch eine 3 Bytes lange Zufallskomponente, welche als ”Initialization Vector“ (IV) bezeichnet wird, an-gehängt, um zu verhindern, dass bei zwei identischen Klartexten ein identischer Chiffretext entsteht.

Ergänzung: Damit an dieser Stelle kein Missverständnis entsteht, sei erwähnt, dass der Initialisierungsvektor (IV) bereits dem Seed vorangestellt wird, um in den Pseudozufallsgenerator einzufließen, der die Chiffrierbits erzeugt. Dies geschieht, um zu verhindern, dass bei zwei identischen Klartexten ein identischer Chiffretext entsteht (dies wäre der Fall, da der aus dem Schlüssel gebildete Seed immer derselbe ist!). Erst die so entstandene Bitfolge bildet die Eingabe für den RC4-Algorithmus, welcher die Substitutionstabelle gemäß den Werten dieser Bitfolge initialisiert. Da der IV sich stdndig dndert, dndert sich auch die Substitutionstabelle und somit wird jedes Paket mit einem anderen RC4-Schlüssel chiffriert. Natürlich muss der IV anschließend auch im Klartext an den Chiffretext angehdngt werden, damit der Empfdnger die Nachricht entschlüsseln kann.

So entsteht schlief3lich ein Schlüsselstrom, der genauso grof3 wie das Datenpaket ist und der ein sogenannter ”One Time Pad“ sein soll - ein einzigartiger Schlüsselstrom für genau eine ¨Ubertragung. Der Klartext wird mit diesem Schlüsselstrom XOR (exklusives Oder) verknüpft, womit man den Chiffretext erhält.

Ergänzung: Der kryptographische Begriff ”One Time Pad“ bedeutet, dass jedes Paket mit einem anderen (einzigartigen) Schlüssel chiffriert wird, der genauso lang wie das Datenpaket ist. Warum der geplante ”One Time Pad“-Ansatz bei WEP praktisch nicht funktioniert, wird anhand der im folgenden Kapitel beschriebenen Angriffsmethoden erldutert.

Die Entschlüsselung des Chiffretextes erfolgt umgekehrt. Aus dem empfange-nen Paket wird zunächst der IV extrahiert und mit dem gemeinsamen Schlüssel kombiniert, wodurch der gleiche Schlüsselstrom entsteht, mit dem vorher ver-schlüsselt wurde. Dieser Schlüsselstrom wird nun mit dem Chiffretext nochmals XOR-verknüpft. Dadurch hebt sich diese Operation auf und der Klartext ist les-bar. Schlief3lich wird noch die Checksum extrahiert und erneut gebildet. Nur wenn diese beiden Prüfsummen übereinstimmen, wird das Paket weiter bearbeitet.

Abschlief3end ist noch zu erwähnen, wie ein WEP-Paket aufgebaut ist. Bei WEP wird ein gesamtes Datenpaket eines höheren Layers (beispielsweise ein IP-Paket) zunächst mit einem ICV versehen und anschlief3end mitsamt diesem verschlüsselt. An diese verschlüsselte Nachricht aus Datenpaket und ICV werden ein Key-ID Byte (die Key -ID beträgt lediglich zwei Bits, doch der Wert wird auf 1 Byte ergänzt) und ein Initialisierungsvektor angehängt. Diese Komponenten bilden den WEP Frame Body, welchem schlief3lich noch ein MAC-Header vorangestellt und eine Frame Check Sequence (FCS) – eine nochmalige ICV-Prüfsumme über das gesamte Paket zum Schutz vor ¨Ubertragungsfehlern – angehängt wird. In Abb. 2.1 sei der Aufbau eines WEP-Frames skizziert.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.1: Aufbau eines WEP-Frames (vgl. [Hag03])

Authentifizierung

WEP-Authentifizierung wird eingesetzt um sicherzustellen, dass kein Client oh-ne Berechtigung – das heif3t ohne gültigen Schlüssel – Daten über das Netzwerk senden kann. Allerdings ist die Authentifizierung mit WEP im 802.11 Standard op­tional und damit in vielen Geräten auf dem Markt im Auslieferungszustand nicht aktiviert.

Im Laufe des Authentifizierungsverfahrens werden drei Phasen durchlaufen (siehe [Hof05]):

1. In der ersten Phase ist der Client weder authentifiziert, noch am Access Point angemeldet. Er sendet eine ”Authentication Request“-Nachricht an den Access Point und wird von diesem authentifiziert.
2. In dieser Phase ist der Client bereits authentifiziert, aber noch nicht am Access Point angemeldet. Er sendet eine ”Association Request“-Message und meldet sich damit am Access Point an.
3. Der Client ist authentifiziert und angemeldet. Er kann nun Daten über den Access Point übertragen.

Es gibt zwei Authentifizierungsarten bei der Verwendung von WEP: ”Open System Authentication“ und ”Shared Key Authentication“. Die erstere Art steht jedoch gar nicht mit WEP in Zusammenhang, sondern sie ist einfach das ”Authentifizie-rungsverfahren“ unverschlüsselter WLANs und ist daher eigentlich gar keine Au-thentifizierung. Bei ”Open System Authentication“ wird in der ersten Phase jeder Authentication Request am Access Point automatisch zugelassen; dies geschieht ohne jegliche weitere Sicherheitsprüfung!

Nur die ”Shared Key Authentication“ sichert die Authentifizierungsphase mit ei-nem Challenge-Response-Verfahren ab, indem der Access Point dem Client eine Zufallszahl schickt (Challenge), die der Client mit seinem WEP Schlüssel chiffriert und an den Access Point zurückschickt (Response). Der Access Point verschlüsselt die Challenge lokal ebenfalls mit seinem WEP-Schlüssel und kann anschlief3end die empfangene Response mit dem Ergebnis der lokalen Berechnung vergleichen. Somit kann überprüft werden, ob der Client den entsprechenden WEP-Schlüssel besitzt – in diesem Fall stimmen die beiden Werte überein – und berechtigt ist, Daten über das Netzwerk zu senden.

2.3.3 Schwächen und Angriffspunkte

Bevor die einelnen Angriffe auf das WEP-Verfahren vorgestellt werden, erscheint es zweckmäf3ig, die verschiedenen sicherheitsrelevanten Schwachpunkte im Design von WEP zunächst zentral in Form einer Liste zuammenzufassen:

- Mit lediglich 40 Bits ist die Schlüssellänge zu kurz. Das macht es einem Angreifer einfach, durch blof3es Probieren im Rahmen einer Brute-Force At-tacke den Schlüssel zu knacken. Ein Schlüssel mit einer Länge von 104 Bits ist zwar weniger anfällig gegenüber Brute Force, doch in diesem Fall kann der Schlüssel moglicherweise mit einem umfangreichen Worterbuchangriff er-mittelt werden.
- Der IV ist 3 Bytes (24 Bits) lang. Somit kann der IV lediglich 224 (16,777,216) Werte annehmen. Statistisch gesehen ist laut [Hof05] zu erwarten, dass nach 5000 gesendeten Paketen eine Wiederholung des IV – Kollision genannt – auf- treten wird. Im Falle einer solchen Kollision konnen durch Einsetzen von be-stimmten bekannten Teilen der Nachricht (IP-Adressen, Protokollfelder usw.) unter Umständen einige Teile des Schlüsselstroms berechnet werden.
- Der ICV ist keine kryptographische Prüfsumme, sondern das Ergebnis eines einfachen 32-Bit Cyclic Redundancy Checks (CRC) und damit leicht von ei-nem Angreifer manipulierbar, da der CRC-Algorithmus allgemein bekannt ist. Der Angreifer muss in diesem Fall nicht einmal den WEP-Schlüssel ken-nen, da der CRC-Algorithmus und der RC4-Algorithmus linear sind, das heif3t, trotz Verschlüsselung ist Datenmanipulation moglich. Somit kann ein derartiger Angriff jederzeit und ohne Wissen von Sender und Empfänger durchgeführt werden!
- Eine Re-Injizierung von Paketen durch das blof3e Aufzeichnen und Wieder-einspielen von bestimmten Teilen der Kommunikation ist aufgrund fehlender Anti-Replay-Mechanismen (wie beispielsweise Sequenznummern) gegen der-artige Szenarien leicht durchführbar.
- Bei der Authentifizierung wird nur der Client, nicht aber der Access Point authentifiziert. Das ermoglicht einem Angreifer, sich als Access Point aus-zugeben. Damit werden sogenannte ”Man In The Middle“-Attacken einfach gemacht.
- Für die Authentifizierung und die Verschlüsselung werden dieselben Schlüssel verwendet.
- Ein Access Point kann lediglich vier WEP-Schlüssel verwalten und es sind keine Funktionen für das Schlüsselmanagement zur Verteilung der geheimen WEP-Schlüssel vorhanden. In einem grof3en Netzwerk bedeutet das, dass viele Clients den gleichen Schlüssel besitzen. In diesem Zusammenhang soll auch auf ein weiteres Problem hingewiesen werden: Da WLAN auch für kleine mobile Devices ausgelegt ist, welche leicht verloren gehen konnen, gehen mit dem Verlust dieser Geräte durch Diebstahl oder Unachtsamkeit auch WEP-Schlüssel verloren. Dies macht in solchen Fällen das Versorgen aller Geräte im Netzwerk mit neuen Schlüsseln notwendig.
- Bestimmte Schlüssel eignen sich nicht gut für eine RC4-Verschlüsselung. Die-se Schlüssel werden oft als sogenannte ”schwache Schlüssel“ bezeichnet (siehe [FMS01]). Da die Industrie den ohnehin schon kleinen Schlüsselraum nicht noch weiter einschränken wollte, wurden diese Werte ebenfalls zugelassen. Da der IV sich ständig ändert, tritt über kurz oder lang solch ein schwacher Schlüssel auf. Wird dieser allerdings verwendet, ist es für einen Angreifer moglich, Byte für Byte Teile des WEP-Schlüssels zu ermitteln. Für weitere

Erläuterungen sei der Leser auf den Fluhrer-Mantin-Shamir Angriff in Kapi-tel 2.3.4 verwiesen.

2.3.4 Dokumentierte Angriffe auf WEP

Um die WEP-Verschlüsselung zu brechen existiert nun eine Vielzahl von Angrif-fen in den unterschiedlichsten Variationen. Eine WEP-Attacke muss weiters nicht immer zwangsläufig auf das Brechen der Verschlüsselung ausgelegt sein – auch die Authentizität oder die Integrität der Daten kann ein Angriffsziel darstellen. Auf3er-dem existieren auch andere Angriffsmethoden, um an die gewünschten Schlüssel zu kommen, welche nicht direkt in den Bereich dieser Diplomarbeit fallen. Es sei daher erwähnt, dass die unterschiedlichen Angriffsmethoden auf das WEP-Verfahren im Folgenden eher aus kryptographischer Sicht vorgestellt werden.

Brute Force Attacke

Die einfachste Form eines Angriffes ist das Ausprobieren aller möglichen WEP-Schlüssel an einem abgefangenen verschlüsselten Paket aus dem WLAN.

Diese Methode benötigt in der Regel jedoch eine sehr lange Zeit. Da der Schlüsselraum entweder 40 oder 104 Bits grof3 sein kann, sind entweder 240 oder 2104 unterschiedliche Schlüssel möglich. 2104 ergibt ungefähr 2 · 1031; das ist ein so hoher Wert, dass es bei 100,000 Versuchen pro Sekunde ungefähr 6.4 Trillionen Jahre benötigen würde, bis man die letzte Bitkombination durchprobiert hätte. Somit ist ein derartiger Brute Force Angriff auf einen WEP-Schlüssel praktisch nicht durchführbar und auf3erdem nicht zweckmäf3ig, zumal es bedeutend effizien-tere Methoden gibt, um diese Verschlüsselung zu brechen.

Allerdings existiert noch ein weiterer Erleichterungsfaktor für derartige Angriffe. In einem WLAN basieren die meisten Protokolle auf dem Transmission Control Protocol (TCP) bzw. Internet Protocol (IP). Aus diesem Grund ist es laut [Rec04] voraussetzbar, dass sich im Datenteil eines Paketes am Anfang der Header des Subnetwork Access Protokolls (SNAP), welches für das Enkapsulieren von IP Pa-keten in IEEE-Netzwerken üblicherweise verwendet wird, befindet. Dieser Header liefert im Klartext immer die gleichen Anfangswerte, nämlich 0xAAAA030000 (in Hexadezimalschreibweise); sollte ein anderes Protokoll als TCP/IP zur primären Datenübertragung verwendet werden (wie beispielsweise Internetwork Packet Ex­change (IPX)), so ist der Wert entsprechend anders, aber dennoch nicht unbekannt. Das macht die ¨Uberprüfung der vielen WEP-Schlüssel wesentlich einfacher, da nicht das gesamte Paket überprüft werden muss, sondern nur mehr die ersten 5 Bytes am Anfang. Das Tool ”WepAttack^[2]“ überprüft lediglich das erste Byte eines Pakets, um Rechenzeit zu sparen.

Dadurch kann die Zeit für Brute Force Angriffe drastisch verkürzt werden. Sollte lediglich 64-Bit WEP eingesetzt werden und rechnet man dabei den IV weg, so braucht man bei einem 40-Bit Schlüssel mit dem Brute Force Verfahren und dieser Methode bei 100,000 Versuchen pro Sekunde lediglich ungefähr 127.25 Tage, um al-le Bitkombinationen durchzuprobieren. Das Kriterium der vorhersehbaren Werte in Paketen, egal welcher Art diese auch sein mögen, läf3t sich weiters auch anwenden, um an Teile des Schlüsselstromes für ”Known Plaintext“ Angriffe und statistische Attacken (dazu siehe Erläuterungen zum Fluhrer-Mantin-Shamir Angriff in diesem Kapitel) zu kommen.

An dieser Stelle erscheint es auch wichtig, darauf hinzuweisen, dass die Brute Force Attacke die einzige Angriffsform ist, gegenüber welcher jedes Sicherheitsverfahren, das auf Schlüsseln bzw. Passwörtern basiert, verwundbar ist. Bei jedem Sicherheits-verfahren kann durch ausdauerndes Probieren versucht werden, an den Schlüssel zu kommen. Der einzige Schutz gegen dieses Verfahren ist, eine maximale Anzahl von möglichen Versuchen festzulegen und so den Angreifer daran zu hindern, be-liebig viele Kombinationen durchzuprobieren (diese Sicherheitsstrategie wird bei-spielsweise bei der Bankomatkarte angewandt – dreimaliges falsches Eintippen der Kombination sperrt automatisch die Karte).

Wörterbuchattacke

Es gibt eine Angriffsvariante, die dem Brute Force ähnlich ist: der Wörterbuch-angriff. Dabei werden nacheinander Begriffe aus einem Wörterbuch als Schlüssel eingesetzt. Dies ist nach [Rec04] bei einer Schlüsselgenerierung durch ASCII-Mapping (dabei wird aus einer ASCII-Zeichenfolge durch mathematische Funktio-nen eine Zahlenfolge erzeugt) möglich, da der Schlüssel in diesem Fall ein Passwort ist. In grof3en Netzwerken ist es naheliegend, dass der Einfachheit halber diese Form der Schlüsselgenerierung eingesetzt wird. Der Angreifer wandelt selbst jedes ausprobierte Wort aus dem Wörterbuch durch einen ASCII-Mapper (das Verfah-ren des ASCII-Mappings ist allgemein bekannt) in einen WEP-Schlüssel um und überprüft, ob es der richtige ist. Es wird also wie bei Brute Force durch ausdauern-des Probieren versucht, irgendwann den richtigen Schlüssel zu treffen, wobei bei der Wörterbuchattacke allerdings nur in einer Wörterbuchdatei aufgelistete Einträge durchprobiert werden und nicht der gesamte Schlüsselraum.

Diese Variante hat durchaus ihre Berechtigung, da WEP wie erwähnt kein effizien-tes Schlüsselmanagement bietet – in einem grof3en Netzwerk müssen die Schlüssel alle händisch an den Geräten eingegeben werden und daher relativ leicht zu mer-ken sein. Weiters ist diese Variante in mit schwachen Schlüsseln unzureichend ge-sicherten Netzwerken zeitsparender als reines Brute Force, da nicht der gesamte Schlüsselraum überprüft wird. Allerdings könnte sie durch geschicktes Einfügen von Zahlen und Sonderzeichen im Schlüssel leicht unterbunden werden, was dazu führt, dass dieser in keinem normalen Wörterbuch mehr gefunden werden kann.

Derartige Schutzmaf3nahmen können auch von nicht mit der Thematik vertrau-ten Anwendern relativ einfach ergriffen werden. Da auf3erdem bereits effizientere Angriffsformen bestehen, bleibt die Wörterbuchattacke bei WEP lediglich eine Al­ternative in Ausnahmefällen.

Unbefugte Entschlüsselung im Falle von IV-Kollisionen

Im Falle einer Kollision verwenden zwei unterschiedliche Klartextnachrichten den gleichen Initialisierungsvektor und werden deshalb mit demselben Schlüsselstrom chiffriert. Dadurch ist es für einen Angreifer mittels einfacher mathematischer Ver-fahren moglich, diesen Schlüsselstrom zu berechnen. Dies ist durchführbar, da sich bei einer XOR-Operation der beiden chiffrierten Texte – welche jeweils ein mit dem (bei beiden gleichen) Schlüsselstrom XOR-verknüpfter Klartext sind – der Schlüsselstrom durch eine zweimalige XOR-Operation mit sich selbst heraushebt. Die folgenden in [Rec04] angeführten Berechnungen sollen dies verdeutlichen, wo-bei c1 und c2 für die verschlüsselten Texte, p1 und p2 für die Klartexte und s für den Schlüsselstrom steht:

Abbildung in dieser Leseprobe nicht enthalten

Man erhält als Endergebnis nach dieser Berechnung eine XOR-Verknüpfung der zwei Klartexte. Auch wenn diese zwei Klartexte in der Regel beide verschieden und beide dem Angreifer unbekannt sind, lässt sich ebenso einfach jeder einzelne von ihnen berechnen:

Abbildung in dieser Leseprobe nicht enthalten

Somit kennt der Angreifer den Klartext und damit auch den geheimen Schlüssel, denn er kann ihn im Anschluß aus Klartext und Chiffretext berechnen.

Das Kernproblem bei dieser Attacke ist, dass zunächst eine Kollision beobachtet werden muss. Da der IV 24 Bits lang ist, gibt es über 16.5 Millionen verschiedene Werte für denselben.

Obwohl die Vermutung naheliegend ist, dass einige Millionen abgefangener Pakete notwendig sind, bis wieder dieselben Initialisierungsvektoren verwendet werden, so sind es in der Realität bedeutend weniger. Yannick Von Arx erwähnt in seinem Artikel [Yan07] (allerdings ohne Begründung), dass in der Praxis bereits nach 5000 gesendeten Paketen wiederholte IVs auftreten konnen, somit würde eine derartige Attacke in einem Netzwerk mit viel Datenverkehr relativ schnell zum Ziel führen.

Eine Erklärung für die angesichts der vielen moglichen IVs geringe Zahl von 5000 findet sich in [Wei01], da einige Implementierungen den IV mit einem starken Zu-fallsgenerator erzeugen und in diesem Fall ein dem Geburtstagsparadoxon ähnlicher Grundsatz angewendet werden kann, wonach Berechnungen zufolge bereits nach 4096 Paketen Kollisionen auftreten konnen. Genaue Erläuterungen zu dieser Be-rechnung oder praktische Untersuchungsergebnisse konnten im Rahmen der durch-geführten Recherchen jedoch nicht gefunden werden.

Angriff nach Fluhrer, Mantin und Shamir

Da sich einige bestimmte Schlüssel (IV-Werte) nicht gut für eine RC4-Verschlüs-selung eignen, diese jedoch ebenfalls zugelassen wurden und somit in Verwendung sind, gibt es bei WEP einige sogenannte ”schwache Initialisierungsvektoren“.

Durch Abfangen eines mit einem schwachen IV verschlüsselten Pakets und Kennt-nis des ersten Klartextbytes (welches, wie schon im Unterkapitel über die Brute Force Attacke erwähnt, aufgrund des SNAP-Headers meistens den Wert 0xAA be-sitzt) ist es moglich, Rückschlüsse auf den verwendeten geheimen Schlüssel zu ziehen. In diesen Fallen korelliert die erzeugte Sequenz von Chiffrierbits mit dem Schlüssel mehr als eigentlich vorgesehen sein sollte. Scott Fluhrer, Itsik Mantin und Adi Shamir waren die ersten, die diese Schwachstelle in einem Artikel ([FMS01]) beschrieben, aus diesem Grund ist diese Angriffsform als Fluhrer-Mantin-Shamir (FMS) Attacke bekannt geworden.

Der Hauptgrund, warum diese schwachen Initialisierungsvektoren für Angriffe aus-genutzt werden können ist, dass bei der Schlüsselgenerierung von RC4 eine soge-nannte Invarianzschwäche ([FMS01]) besteht. Diese resultiert nach [Log05] darin, dass innerhalb eines Durchlaufs des RC4 Key Scheduling Algorithmus (KSA) ab einer bestimmten Stufe^[3] die Wahrscheinlichkeit, dass eine der inneren Variablen in den weiteren Schritten vom Algorithmus noch verandert wird, nicht echt zufallig ist.

Dadurch ist es für bestimmte Schlüsselwerte möglich, dass Bits in den Anfangs-bytes des Schlüsselstroms von nur ein paar wenigen Bits des geheimen Schlüssels abhangen. Um diese Schwache auszunutzen wird ein Teil des Key Scheduling Algo-rithmus (KSA) auf der Seite des Angreifers mit den bekannten IVs simuliert, wo-durch die Elemente in der S-Permutationstabelle, welche sich weniger oft andern, abgeleitet werden können.

Fluhrer, Mantin und Shamir haben bewiesen, dass die Wahrscheinlichkeit, dass sich diese Elemente nicht mehr andern, 5 Prozent betragt. Eine derartige Situation wird in [FMS01] als Resolved Condition bezeichnet. Die Wahrscheinlichkeit von etwa 5 % für gleich bleibende Werte ist nicht hoch, allerdings steigt sie mit jedem abgefangenen Paket mit schwachem IV. Es werden also so viele IVs überprüft, bis der Wert S[S[1] + S[S[1]]] genügend oft bestimmt werden kann. Dadurch werden Informationen über den Schlüssel offengelegt, denn mit jedem Frame mit einem schwachen Initialisierungsvektor l¨asst sich auf das erste Schlüsselbyte rückschlief3en, welches anschlief3end mit einer Wahrscheinlichkeit von 5 Prozent geschatzt werden kann.

Ein Beispiel nach [Log05] soll nun den zuletzt erklarten Prozess verdeutlichen. Um die Bezeichnungen und Werte in den folgenden Ausführungen detailliert zu verstehen, sei der Leser auf Kapitel 2.2.1 verwiesen.

Seien die ersten A Bytes aus dem Schlüssel K bekannt. Somit lautet der Schlüssel (er beginnt mit dem Index 3, da die Indizes 0 bis 2 zum IV gehören):

Abbildung in dieser Leseprobe nicht enthalten

Das nachste Schlüsselwort, [Abbildung in dieser Leseprobe nicht enthalten], kann nun herausgefunden werden. Dazu wer-den IVs der Bytewerte [Abbildung in dieser Leseprobe nicht enthalten] mit ungefahr 60 verschiedenen Werten für X betrachtet. Der KSA wird ausgeführt. Im ersten Schritt wird [Abbildung in dieser Leseprobe nicht enthalten] erhöht, [Abbildung in dieser Leseprobe nicht enthalten] werden vertauscht und es entsteht das in Abbildung 2.2 gezeigte Key Setup. Im nachsten Schritt erhöht sich i um 1. Der Wert von j bleibt gleich, da S [ j ] den Wert 0 hat. Nach Vertauschen von [Abbildung in dieser Leseprobe nicht enthalten] zeigt Abbildung 2.3 das dabei entstehende Key Setup. Nun wird j um [Abbildung in dieser Leseprobe nicht enthalten] erhöht. Da X um die 60 verschiedene

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.2: Key Setup bei FMS-Angriffsstrategie Teil 1 (siehe [FMS01] und [Log05])

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.3: Key Setup bei FMS-Angriffsstrategie Teil 2 (siehe [FMS01] und [Log05])

Werte annehmen kann, ergeben sich für unterschiedliche IVs somit unterschiedliche Werte für j. Durch Kenntnis von X und des zu Beginn dieses Absatzes erwähnten Schlüssels [Abbildung in dieser Leseprobe nicht enthalten] kann ein Angreifer nun das weitere Key Setup berech-nen. In Schritt [Abbildung in dieser Leseprobe nicht enthalten] kennt dieser [Abbildung in dieser Leseprobe nicht enthalten] und die Permutation ^[4][Abbildung in dieser Leseprobe nicht enthalten]. Für den Fall, dass [Abbildung in dieser Leseprobe nicht enthalten]oder [Abbildung in dieser Leseprobe nicht enthalten] [1] verändert sind, verwirft man den jeweiligen IV; anderenfalls jedoch wird [Abbildung in dieser Leseprobe nicht enthalten] erhöht. Somit ergibt sich das in Abb. 2.4 gezeigte Szenario. Der Wert von S [Abbildung in dieser Leseprobe nicht enthalten] befindet sich dabei an der Stelle [Abbildung in dieser Leseprobe nicht enthalten] in der dem Angreifer bekannten Permutation [Abbildung in dieser Leseprobe nicht enthalten]. Damit kann dieser den Wert für [Abbildung in dieser Leseprobe nicht enthalten] bestimmen. Die Wahrscheinlichkeit, dass dieser bestimmte Wert nun der tatsächliche Wert von [Abbildung in dieser Leseprobe nicht enthalten] ist, liegt im Falle einer Resolved Condition bei 5 Prozent. Eine Resolved Condition liegt nach [FMS01] an dieser Stelle vor.

Bei der klassischen FMS-Attacke wird zunächst lediglich das erste Byte des Schlüssels attackiert. Sollte nach genügend gesammelten Paketen eine eindeuti-ge Schätzung des Schlüsselbytes möglich sein (und dieses dadurch dem Angreifer de facto bekannt sein), wird das nächstfolgende Schlüsselbyte attackiert.

Es läßt sich sagen, dass pro Schlüssel auf etwa alle 256 gebildeten Schlüsselströme ein schwacher IV vorkommt, demnach ist davon auszugehen, dass insgesamt et-wa 5 bis 10 Millionen Pakete abgefangen werden müssen, um einen 40-Bit WEP-Schlüssel zu knacken (vgl. [Rec04]). Fluhrer, Mantin und Shamir erwähnen, dass

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2.4: Key Setup bei FMS-Angriffsstrategie Teil 3 (siehe [FMS01] und [Log05])

ungefähr 4 Millionen Pakete benötigt werden (siehe [FMS01]).

Die Fluhrer-Mantin-Shamir Attacke wurde mittlerweile in zahlreichen Software-Tools wie z. B. Airsnort oder WEPCrack implementiert, was zwar den Angriff erleichtert, jedoch trotzdem nicht sehr praktikabel macht, da viel Zeit benötigt wird.

Dies wird bereits an dem Punkt deutlich, wo bestimmt werden muss, ob ein IV schwach ist oder nicht. Generell gelten IVs der Form (A+3, N -1, X ) als schwach. Allerdings gibt es dazu nach [Hul02] noch einige Berechnungskriterien, die die Werte in der Permutationstabelle, die mit dem jeweiligen IV provisorisch erstellt wurde, untersuchen. Allein dies benötigt einen gewissen Zeit- und Ressourcenauf-wand. Heutzutage existieren effizientere Verfahren, trotzdem war die FMS-Attacke ein erster wichtiger Ansatzpunkt fur zukunftige ¨Uberlegungen bezuglich Angriffe auf WEP.

Einige WLAN-Hersteller wie beispielsweise Agere haben nach der Veröffentlichung dieses Angriffsverfahrens das ursprungliche WEP-Verfahren verbessert, indem die Verwendung solcher schwacher Initialisierungsvektoren bei der Verschlusselung ver-hindert wurde (siehe [You04]).

Diese Implementierung wurde als ”WEPplus“ bezeichnet. Ein großer Vorteil davon ist die Abwärtskompatibilität zum originalen WEP-Verfahren, denn jede WEP-fähige Hardware kann auch mit WEPplus verschlusselte Daten entschlusseln. Aller-dings existieren heutzutage bereits Angriffsstrategien, gegen die auch dieses Verfah-ren keinen Schutz bietet, wodurch zuverl¨assige Netzwerksicherheit durch WEPplus ebenfalls nicht gewährleistet werden kann.

Improved Fluhrer-Mantin-Shamir-Angriff

David Hulton publizierte im Februar 2002 ein Paper ([Hul02]), in dem die ursprungliche Attacke von Fluhrer, Mantin und Shamir einige Verbesserungen erfährt. Die Funktion der schwachen Initialisierungsvektoren, wodurch bei der FMS-Attacke lediglich auf das erste Byte des Schlussels ruckgeschlossen wer-den konnte, wurde nun mittels Analyse anderer geeigneter Initialisierungsvekto-ren, die bei einem klassischen FMS-Angriff verworfen worden wären, auf andere Schlusselbytes ausgeweitet.

[...]

---

^[1] Institute of Electrical and Electronics Engineers

^[2] Website: http://www.viruslist.com

^[1] Siehe http://groups.google.com/group/comp.security.misc/msg/10a300c9d21afca0

^[2] Webseite des Projektes: http://sourceforge.net/projects/wepattack

^[3] Voraussetzungen:[Abbildung in dieser Leseprobe nicht enthalten]dabei bezeichnet ( S[i]) einen Wert in der Substitutionstabelle an der Stelle i und die beiden Variablen X und Y können beliebig gew¨ahlte Indizes in der Substitutionstabelle sein

^[4] bezeichnet die Permutation im Schritt A + 2 an der Stelle 0