Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen...

Humboldt University

Computer Science Department Systems Architecture Group http://sar.informatik.hu-berlin.de

IT-SicherheitGrundlagen

Sichere Implementierung

Netzwerksicherheit II:

Drahtlos


Aktuell: http://heise.de/-1629687

Drohne durch GPS-Spoofing ferngesteuert

Studenten der University of Texas in Austin unter Leitung von Professor Todd Humphreys haben gezeigt, dass man ein unbemanntes Flugobjekt auf einen neuen Kurs bringen kann, indem man es mit gefälschten GPS-Daten verwirrt. Dass das wirklich funktioniert, und zwar aus einer Entfernung von über einem Kilometer, haben sie dem US-Heimatschutzministerium kürzlich in einem Stadion in White Sands (New Mexico) vorgeführt und mit einem Video dokumentiert. Darin wird die Position eines Modellbauhelikopters, der eigentlich permanent auf der Stelle schweben sollte, mehrmals wie von Geisterhand verschoben. Im kommenden Jahr wollen die Studenten die Vorführung aus einer Entfernung von 10 Kilometern wiederholen.

Dr. Wolf Müller2

http://heise.de/-1629687


Spektrum


Standards für drahtlose Netzwerke:

• GSM / UMTS 900, 1800, 1900 MHz ≤ 10 km• UMTS Pico-Zellen 50m

• WLAN 802.11, 2.4 GHz, 150 m, ≤ 3 km• HIPERLAN• WiMAX 3.5 GHz, 2.3/2.5 GHz, oder 5 GHz freies Spektrum

• DECT, 1880-1900 MHz in EU, 1920-1930MHz in US, ≤ 300 m

• Bluetooth 2.4 GHz 10-100 m (V. 2.0)

• Sensornetzwerke cm – km range

• RFID 1-10 m

• IRDA• …. http://de.wikipedia.org/wiki/Frequenzband

http://en.wikipedia.org/wiki/Image:Bluetooth-logo.svg

http://en.wikipedia.org/wiki/Image:EPC-RFID-TAG.jpg


Klassifikation drahtloser Netzwerke

Drahtlose Kommunikationssysteme

MobiltelefonieDrahtlose lokale

NetzwerkePAN

Zellularer Mobilfunk

Mobilfunk Funk IR

- DECT- GSM- EDGE- GPRS- imode- UMTS- cdma

- Bluetooth - IrDA- HiperLAN- Wireless ATM- HomeRF- WLAN, 802.11


Herausforderungen: Sicherheit drahtlos

• Kein physischer Schutz– Physische Verbindungen ersetzt durch logische Verbindung– Zum Senden und Empfangen von Nachrichten ist kein physischer Zugang

zur Netzwerkinfrastruktur nötig (Kabel, Switch, Router, …)

• Broadcast Kommunikation– Mit drahtlos im Allgemeinen Funk gemeint Broadcast-Natur– Jeder im Bereich kann mithören– Jeder kann Daten / Pakete / Nachrichten senden,

die durch andere Geräte im Sendebereich empfangen werden, die mit anderen Transmissionen in der Nähe interferieren und den korrekten

Empfang verhindern (Jamming)

Abhören Einschleusen manipulierter / gefälschter Nachrichten ins Netzwerk Wiedereinspielen aufgezeichneter Nachrichten Unberechtigter Zugriff zum Netzwerk und seinen Diensten DoS durch Jamming


Anforderungen: Sicherheit drahtlos

• Vertraulichkeit– Nachrichten über drahtloses Medium müssen verschlüsselt werden.

• Authentizität– Ursprung der drahtlos empfangenen Nachrichten muss überprüft werden.

• Erkennung von Wiedereinspielungen– Frische der drahtlos empfangenen Nachrichten muss überprüft werden.

• Integrität– Veränderung von Nachrichten „on-the-fly“ (während Funkübertragung) nicht

einfach, aber möglich.– Integrität der drahtlos empfangenen Nachrichten muss überprüft werden.

• Zugriffskontrolle– Zugriff auf Netzwerke und dessen Dienste sollte nur berechtigten Nutzern

möglich sein.– Andauernde Zugriffskontrolle

Nicht ausreichend nur bei Eintritt ins Netzwerk und Herstellung der logischen Verbindung (Assoziierung) Zulässigkeit zu prüfen, da diese Verbindungen übernommen werden können.

• Schutz vor Jamming (schwer, nur durch Policy, lizenziertes Band)


WLAN Standards

• 802.11i RSN, WPA2 (2004)• IEEE 802.11n – Höherer Durchsatz durch MIMO

(multiple input, multiple output antennas)• IEEE 802.11ac – bis brutto 1 GBit/s, Frequenzband: geplant < 6 GHz

http://de.wikipedia.org/wiki/IEEE_802.11

Standard 802.11 802.11a 802.11b 802.11g 802.11hfrequency 2.4 GHz 5 GHz 2.4 GHz 2.4 GHz 5 GHz

data rategross

2 Mb/s 54 Mb/s 5.5 – 11 Mb/s 22 – 54 Mb/s 54 Mb/s

data ratenet

32 Mb/s 4 – 6 Mb/s 15 – 19 Mb/s

transmission power

100 mW 30 mW 100 mW 100 mW 200 mW

location (RegTP)

indoor in/outdoor in/outdoor indoor

compatible to

802.11b - 802.11g 802.11b 802.11a

released 1997 1999 1999 06/2003 09/2003




Wie sind Netwerke gesichert? WLAN (1)

• Sicherheit von WiFi Netzwerken von Beginn an als wichtig erachtet.

• Frühe Versionen: IEEE 802.11 Sicherheitsarchitektur: WEP– WEP Wired Equivalent Privacy

Ziel: Mindestens, so sicher wie LAN. LAN: Angreifer braucht physischen Zugang (abgeschlossener Raum) Drahtlos ist ungeschützt:

– Einfacher Zugang, – schwer zu begrenzen, – Broadcast Medium

– WEP machte Angriffe weniger schwer als erhofft! Automatisierte „cracking-Werkzeuge“

– aircrack– aircrack-ng– Weplab

• IEEE: Neue Sicherheitsarchitektur für WLAN: 802.11i


WEP: Zu lösende Probleme

• Broadcast-Natur der RF-Kommunikation– Abhören,– Verschlüsseln der Nachrichten nötig.

• Keine physische Zugriffskontrolle zum Netzwerk des Access Point (AP)– Erfordert Authentifizierung der mobilen Geräte Stations (STA)

Challenge-Response (wie GSM) Wenn authentifiziert AP STA, dann verschlüsselte Nachrichten.

– Encryption Key ´ Authentication Key– Verschlüsselungsalgorithmus: RC4-Stromchiffre

Erzeugt langen Pseudozufallsstrom aus einem kurzen Seed. Sender: Nachricht M K … pseudo random sequence Receiver: M = ( M K ) K Problem: Immer gleicher Pseudozufallsstrom K.

– Angreifer fängt 2 Nachrichten ab: M1 K und M2 K

– XOR liefert: M1 M2 was äquivalent dazu ist, M2 als pseudo Pseudozufallsstrom zu nehmen.

– M2 ist Klartext, kein Zufall! Schwache Verschlüsselung!


WEP: RC4

• Verschlüsselungsalgorithmus: RC4-Stromchiffre– Erzeugt langen Pseudozufallsstrom aus einem kurzen Seed.– Sender: Nachricht M K … pseudo random sequence– Receiver: M = ( M K ) K – Problem: Immer gleicher Pseudozufallsstrom K.

Angreifer fängt 2 Nachrichten ab: M1 K und M2 K

XOR liefert: M1 M2 was äquivalent dazu ist, M2 als pseudo Pseudozufallsstrom zu nehmen

M2 ist Klartext, kein Zufall! Schwache Verschlüsselung!

• Lösung:– WEP hängt IV (Initialisierungsvektor) an geheimen Schlüssel zur

Initialisierung des RC4-Algorithmus an,– IV’s werden für jede Nachricht gewechselt. Verschiedene PRS für jeden IV. Empfänger benötigt IV zum Entschlüsseln, – IV wird im Klartext mit jeder Nachricht mitgeschickt.

Prinzipiell kein Problem (IV nicht ausreichend, um M zu entschlüsseln), aber– 128-Bit Sicherheit (Hersteller) 104-Bit + 24-Bit IV


WEP: Ver-/Entschlüsselung

© http://secowinet.epfl.ch


WEP: Integrität

• Sender hängt „integrity check value” (ICV) an Nachricht M an.

• Können bösartige Modifikationen erkannt werden?• ICV = CRC (M) verschlüsselt.

– Ohne Verschlüsselung würde Angreifer einfach CRC neu berechnen.

– Angreifer muss geheimen Schlüssel kennen, um CRC (M) zu berechnen.


WEP: Key Handling

• 802.11 einen Schlüssel pro STA (nur STA und AP bekannt)– Schlüsselmanagement kompliziert, wenn jede Station

eigenen Schlüssel besitzt.– Implementierungen unterstützen diese Option in der Regel nicht!

• 802.11 unterstützt Defaultschlüssel (jeder STA und dem AP bekannt)– Gedacht für Broadcast-Nachrichten.– Die meisten WEP-Implementierungen unterstützen nur diesen

Defaultschlüssel! – Die meisten WLAN’s nutzen einen einzigen gemeinsamen

Schlüssel! Nur Schutz der Kommunikation vor Angreifer von außen. Maskierung, sowie Entschlüsselung von Innen ist leicht möglich!


WEP: Designziele (1) (Keines wurde erreicht.)

• Authentifizierung– Nicht wechselseitig (AP authentifiziert sich nicht gegenüber STA)– Gleicher Schlüssel für Authentifizierung und Verschlüsselung

verwendetAngreifer kann Schwäche beider ausnutzen

– STA authentifiziert sich nur einmal (für gesamten Zeitraum) Danach ist „Spoofing (MAC Adresse)“ einfach Angreifer muss gefälschte Nachrichten korrekt verschlüsseln, sonst

werden sie vom AP verworfen Oft nutzen alle STA den selben Schlüssel

– WEP nutzt RC4 im Authentifizierungsprotokoll, um eine zufällige Challenge zu verschlüsseln.

Challenge C and Response R = C K können leicht erhalten werden. Können Pseudozufallssequenz: C R = C C K = K berechnen. Anschließend können wir R’ = C’ K, C’ berechnen.

– IV hilft nicht, da er vom Sender gewählt wird!– In Praxis nutzt jede STA den selben Schlüssel.Angreifer kann Identität beliebiger Stationen annehmen!


WEP: Designziele (2a)

• Integrität– Verschlüsselte CRC als ICV (M || CRC(M)) K– CRC ist linear bezüglich XOR.

CRC(X Y) = CRC(X ) CRC(Y) – Angreifer kann WEP-geschützte Nachrichten um M ohne Kenntnis des

Schlüssels K verändern!

gggggghallo

KMMCRCMM

KMCRCMCRCMM

MCRCMKMCRCM

)(

)()(

)()(

ICV (M’=M M)

Kann berechnet werden.

Abgehört


WEP: Designziele (2b)

• Erkennung wiedereingespielter Nachrichten– Vergessen, gibt es nicht!– Angreifer kann aufgezeichnete Nachrichten

wiedereinspielen, und diese werden vom AP akzeptiert!

aircack arp-replay


WEP: Design Goals (3)

• Vertraulichkeit– Stromchiffre mit unterschiedlichen „pseudo-

random sequences“ pro Nachricht wird verwendet.

– WEP: IV (24 bit) ist zu kurz! Nur 17 Millionen verschiedene IV’s. WiFi-Gerät sendet etwa 500 Pakete / s Innerhalb weniger Stunden müssen IV’s erneut

verwendet werden. Wiederholung der Pseudozufallssequenz für Verschlüsselung.

Wenn mehrere STA den selben Schlüssel verwenden, geschieht dies auch viel schneller.

Einige Implementierungen: IV mit 0 initialisiert, anschließend jeweils um 1 erhöht. Angreifer braucht nicht zu warten.


WEP: Verwendung von RC4

• WEP verwendet ungeeignete RC4-Chiffre!– Bekannt: Es gibt schwache RC4-Schlüssel!

Solche schwachen Schlüssel als Seed erzeugen einen Output, der nicht zufällig aussieht! (Keine hohe Entropie.)

Die ersten durch den Algorithmus generierten Bits lassen einen Rückschluss auf Bits des Seeds zu.

Die ersten 256 Bytes von RC4 sollten verworfen werden!– Einfach, aber in WEP nicht implementiert.

Schwache Schlüssel kommen früher oder später (induziert durch Wechsel des IV) vor.

– Angreifer kann leicht herausfinden, dass ein schwacher Schlüssel verwendet wird, da der IV im Klartext übertragen wird.

– Kryptoanalyse: Gesamter 104-bit geheimer Schlüssel durch Mitschneiden von etwa 300 000 Paketen.

– [61] R. Chaabouni. Breaking wep faster with statistical analysis. Technical report, LASEC, June 2006.

– Verwendung automatischer Werkzeuge ist möglich!– http://www.forinsect.de/wlan/wlan-tools.html

http://www.forinsect.de/wlan/wlan-tools.html


WEP: Tools

• WEP Angriffswerkzeuge:– Airsnort: a wireless LAN tool which recovers WEP encryption keys. Uses the well-

known FMS attack. – aircrack-ng: the new version of the famous aircrack tool after Christine Devine quit

the aircrack development. A very fast/advanced WEP cracking program. The included aireplay tool allows to reinject traffic (similar to reinj for *BSD from h1kari). Aircrack now also implements the very efficient statistical attack from KoreK.

– WepAttack: a WLAN open source Linux tool for breaking 802.11 WEP keys with a dictionary attack. Supports different modes for ASCII mapping and hashed password generation in APs.

– WepLab: a tool to review the security of WEP encryption in wireless networks. Implements many different attacks like FMS, improved FMS and the new statistical KoreK attack.

– • Injection tools:

– WEPWedgie: a toolkit for determining 802.11 WEP keystreams and injecting traffic with known keystreams

– libwlan: a tool for 802.11 frame injection which uses the hostap driver. – airpwn: a platform for injection of application layer data on a 802.11b network – Airjack: a Linux device driver API for 802.11 cards which supports raw 802.11 traffic

injection. This currently only works with linux kernels 2.4. The Wi-Foo Team ported the driver for Linux Kernel 2.6

Fluhrer, Mantin and Shamir attack, 2001

http://airsnort.shmoo.com/

http://www.aircrack-ng.org/

http://wepattack.sourceforge.net/

http://sourceforge.net/projects/weplab

http://sourceforge.net/projects/wepwedgie/

http://libwlan.tuxfamily.org/libwlan-0.1.tar.gz

http://www.evilscheme.org/defcon/

http://sourceforge.net/projects/airjack/


Wie sind Netzwerke gesichert? WLAN (2)

802.11i• Schwachstellen in WEP → Neue Sicherheitsarchitektur für WLAN.• Konzept: „RSN (Robust Security Network)”

– Sorgfältigeres Design.– Enthält neue Methode zur Authentifizierung und Zugriffskontrolle auf Basis des 802.1X

Standards.– Schutz von Integrität und Vertraulichkeit durch AES (Advanced Encryption Standard)

• Problem: Migration von WEP => RSN– Verschlüsselung in Hardware, nicht ausreichend den Treiber und Firmware zu

modifizieren.– IEEE: optionales Protocol in 802.11i:

RC4-Chiffre aber mit Vermeidung der Schwächen von WEP.= TKIP (Temporary Key Integrity Protocol)

– Unmittelbarer Übergang möglich, Hersteller warteten nicht bis zur Fertigstellung von 802.11i.

– WPA (WiFi Protected Access): Spezifikation der Hersteller basierend auf TKIP. Teilmenge von RSN. Läuft auf bestehender Hardware. RSN wird von Herstellern WPA2 genannt.

– Unterschiede im Mechanismus, der für Integrität und Vertraulichkeit verwendet wird.


802.11i: Authentifizierung & Zugriffskontrolle (1)

• Basiert auf 802.1X Standard (Drahtgebundenes LAN)– Supplicant (Mobiles Gerät)

Will sich mit Netzwerk verbinden, authentifiziert sich selbst.– Authentifikator (AP)

Kontrolliert Zugang zum Netzwerk (Modell: Öffnen/Schließen von Ports).

Default-Zustand: geschlossen. Port wird geöffnet, wenn Autorisierung durch Authentifizierungsserver

erfolgt ist.– Authentifizierungsserver (Prozeß)

Supplicant authentifiziert sich tatsächlich gegenüber dem Authentifizierungsserver.

Server gestattet / verweigert Zugriff, indem er den Authentifikator anweist, einen Port zu öffnen oder auch nicht.

– Authentifizierungsserver kann auf AP laufen für kleine Netzwerke.



• Drahtgebundenes LAN: – Gerät authentifiziert sich selbst einmal, wenn es (physisch) mit

Netzwerk verbunden wird.– Kein Bedarf für wiederholte Authentifizierung.

Eingesteckter Port kann durch keinen Anderen verwendet werden. Trennung von diesem Port wird von Hardware des Authentifikators

erkannt, der sofort den Port schließt.

• WiFi:– Keine physische Verbindung zwischen STA ↔AP – Wenn STA sich authentifiziert und mit AP assoziiert, kann Angreifer

versuchen, die Session zu übernehmen, indem er die MAC-Adresse fälscht.

– 802.11i erweitert 802.X um das Setup eines Sitzungsschlüssels zwischen STA ↔ AP

Session-Key wird verwendet, um weitere Kommunikation zwischen STA ↔ AP zu authentifizieren.

– Unterschiedlich für verschiedene STA.



• 802.11i verwendet EAP (Extensible Authentication Protokoll)– EAP ist Nachrichtenträger zwischen STA ↔ Authentifizierungsserver.– EAP Nachrichten werden in höher Protokollschicht spezifiziert.– Beispiele:

TLS Handshake GSM Authentifizierungsprotokoll CHAP

– 4 Nachrichtentypen: Request, Response (STA ↔ Authentifizierungsserver) Success, Failure (Ergebnis der Authentifizierung)

– AP leitet Nachrichten ohne Interpretierung weiter.– AP versteht nur Success- / Failure-Nachrichten

Success → „Lasse STA sich verbinden“– EAP Nachrichten STA ↔ AP:

EAPOL (EAP over LAN) definiert in 802.1X.– EAP Nachrichten AP ↔ Authentifizierungsserver:

Verschiedene Protokolle möglich. WPA: empfiehlt Verwendung von RADIUS. RSN: RADIUS eine Möglichkeit.



• Authentifizierung zwischen mobilem Gerät und Authentifizierungsserver → Sitzungsschlüssel– Wie wird dieser sicher zum AP übertragen?

RADIUS: MS-MPPE-Rec-Key RADIUS Attribut (verschlüsselt)– Erfordert “long term secret” zwischen AP ↔ Authentifizierungsserver– Manuell installiert.


802.11i: Key Management (1)

• Session Key STA ↔ AP (während Authentifizierung etabliert)– „Pair-wise Master Key“ (PMK) genannt.– Wird nicht direkt für Verschlüsselung oder Integritätsschutz

verwandt.

• STA, AP leiten 4 Schlüssel aus PMK ab– Data Encryption Key– Data Integrity Key– Key Encryption Key– Key Integrity Key

– AES-CCMP verwendet gleichen Schlüssel für Verschlüsselung und Integrität.

→ PTK besteht nur aus 3 Schlüsseln.– PTK= PTK (PMK, MAC(STA), MAC(AP), RAND(STA), RAND(AP))

STA ↔ AP übermitteln ihre Zufallszahlen während 4-Wege Handshake Protokoll.

Pair-wiseTransient Key (PTK)



4-Wege Handshake Protokoll– Führt Beweis, dass jede Partei PMK kennt.– Transportiert durch EAPOL.

1. AP → STA: RAND(AP)– STA hat nun alle Informationen für PTK.

2. STA → AP: RAND(STA), MIC – MIC … Message Integrity Code, mit Hilfe von Key-Integrity Key von PTK.– AP hat jetzt nötige Informationen zur Berechnung von PTK.– AP prüft MIC mit Key-Integrity Key.– Wenn OK, AP weiß, dass STA PMK besitzt.

3. AP → STA:– Nachricht mit MIC.– STA überprüft MIC, weiß dann, dass AP ebenfalls PMK kennt.– Nachrichten enthalten Sequenznummern (werden für weitere Datenpakete

benutzt.) Erkennung von „Replay“-Angriffen. Implizite Signalisierung: AP hat Schlüssel installiert.

4. STA → AP:– Ack. der 3. Nachricht, STA bereit für Verschlüsselung.



• Wenn PTK installiert, können Datenpakete zwischen einer STA ↔ AP – Verschlüsselt und– Integrität geschützt werden.

• Schutz von Broadcast– AP erzeugt Group Transient Key (GTK).

Einzeln an jeden Knoten verschickt. Verschlüsselt mit Key Encryption Key.


802.11i: TKIP / AES-CCMP

TKIP und AES-CCMP– TKIP … Temporary Key Integrity Protocol– AES-CCMP … AES-CTR Mode und CBC-MAC Protocol– Data-Encryption und Data-Integrity Keys (von PTK) schützen:

Vertraulichkeit Integrität der Datenpakete

– Unterschied: kryptographische Algorithmen TKIP: RC4

– Verschieden von WEP, mehr Sicherheit.– Auf „Legacy Hardware“ lauffähig nach Firmware-Upgrade.

AES-CCMP– Erfordert neue Hardware (die AES unterstützt.)– Klarere, robustere Lösung als TKIP.


802.11i: TKIP verbessert WEP

• Integrität– Neuer Integritätsschutz-Mechanismus Michael.

Michael arbeitet auf SDU Level (Service Data Unit)– Operiert auf Daten, die durch MAC-Layer von höheren Schichten

empfangen wurden.– Vor Fragmentierung der Daten.

Können im Device-Treiber implementiert werden (Softwareupgrade).– Erkennung von Replay-Angriffen:

TKIP verwendet IV Sequenznummer– Wird mit irgendeinem Wert initialisiert.– Erhöht nach jeder Nachrichtenübertragung.– Empfänger merkt sich kürzlich erhaltene Nachrichten:

» IV ≤ min_stored_IV: Verwerfen der Nachricht.» IV > max_stored_IV: max_stored_IV=IV; Akzeptieren» else if ( IV already stored ? ): Verwerfen, else Akzeptieren;

store new IV


802.11i: TKIP verbessert WEP

• Vertraulichkeit– WEP: Hauptproblem: IV-Größe

zu gering, schwache RC4-Schlüssel.

– TKIP IV Größe 24 Bit → 48 Bit Hardware erwartet immer noch

128-Bit RC4-Seed. Kompression 48-Bit IV +104-

Bit Key → 128 Bits.– Damit Angreifer nicht genügend

Nachrichten verschlüsselt mit einem (möglicher Weise schwachen Schlüssel) beobachten kann: Wird jede Nachricht mit

verschiedenem Schlüssel verschickt.

Nachrichten Schlüssel aus Data-Encryption Key von PTK erzeugt.



802.11i: TKIP / AES-CCMP

• Design in AES-CCMP einfacher.• RC4 → AES Blockchiffre.• Neuer Modus CCM:

– Kombination aus: CTR (Counter) Mode Verschlüsselung CBC-MAC (Cipher Block Chaining – Message Authentication)

– Sender berechnet CBC-MAC(Nachricht) und verschlüsselt alles (Nachricht+MAC) im CTR Modus.

– CBC-MAC umfasst auch Header der Nachricht.– Verschlüsslung wird nur auf Nachrichten-Body angewendet.– CCM garantiert Vertraulichkeit und Integrität.– Erkennung von Replay durch Sequenznummern, die in CBC-MAC

integriert sind, dadurch, dass sie im Initialisierungsblock platziert werden.


Block Operation Modes: CBC

Cipher Block Chaining (CBC)

ci=BA(mici-1), mi=BA-1(ci)ci-1, c0=IV

BAk

m1

c1

IV

BAk

m1

c1

Sender: Verschlüsselung

c1

BA-1k

m1

IV

c2

BA-1k

m2

Empfänger: Entschlüsselung

…

… …

…


Verschlüsselung:

Entschlüsselung:

cj:=EK(tj) xj j>0.

xj:=DK(tj) cj j>0.

EK

t1

c1

x1

EK

t2

c2

x2

EK

t3

c3

x3

EK

tm-1

cm-1

xm-1

EK

tm

cm

xm

EK

t1

x1

c1

EK

t2

x2

c2

EK

t3

x3

c3

EK

tm-1

xm-1

cm-1

EK

tm

xm

cm

Zähler

Zähler

CTR Mode (1)


• Anforderungen für Sicherheit:• Counter t1, t2, t3, … müssen alle über gesamte Lebenszeit des

Schlüssels K verschieden sein.• Verschlüsselungsberechnung:

• Komplett paralellisierbar; • Kein Zugriff zum Klartext nötig.• Vorausberechnung möglich.• Zugriff auf t1, t2, t3, … für Berechnung nötig.

• Entschlüsselung:• Siehe Verschlüsselung.

• Nachrichtengröße• Keine Erweiterung, kein Padding nötig!

(Chiffretext kann auf Länge des Klartexts gekürzt werden).• Implementierung

• Nur eine Verschlüsselungsfunktion EK muss implementiert werden.

CTR Mode (2)

cj:=EK(tj) xj j>0.

xj:=DK(tj) cj j>0.


Internet

WLAN: Öffentliche Hotspots (1)

Mobiles GerätAccess Point Access Point

Controller

RADIUS Server

universal access method

RADIUS Protokoll


WLAN: Öffentliche Hotspots (2)

Bis jetzt „Corporate Environment“, Unterschiede:• Nutzer an öffentlichen Hotspots gehören nicht zu gemeinsamer

Gruppe.– Kein Vertrauen zwischen Nutzern.– Operator nicht vertrauenswürdig.– Sicherheit auf Basis von Gruppenschlüsseln ungeeignet! Kein WEP!

• Keine Langzeitbeziehung zu Operator des Hotspots.– Keine Secret Keys.

• Netzwerk hinter WLAN ist potentiell unsicher.– Nicht nur der drahtlose WiFi-Kanal muss geschützt werden.– Benutzen Sie Sicherheitsdienste höherer Schichten!

VPN, TLS, SSH, HTTPS …• Passwort basierte Authentifikation:

– AP in „Open Mode“ Jeder kann sich verbinden, bekommt IP-Adresse.

– APs routen jedes Paket zu speziellem Gateway „hot spot controller”– HTTP(S) redirect zu Loginseite …,– Nach erfolgreichem Login IP auf Whitelist.– Hotspot Controller kümmert sich um Abrechnung (Verbindungszeit, Verkehr)

Spoofing ??


GSM• Hauptanforderungen

– Subscriber Authentifizierung (für Abrechnung) Challenge-Response Protokoll „long-term secret“ Shared Key zwischen Teilnehmer und

Heimatnetzwerk-Operator Unterstützt Roaming ohne „long-term secret“ gegenüber besuchten

Netzen offenzulegen.

• Weitere Sicherheitsdienste von GSM– Vertraulichkeit der Kommunikation und Signalisierung über

drahtloses Interface. Schlüssel für Verschlüsselung zwischen Teilnehmer und besuchtem

Netzwerk wird mit Hilfe des Heimatnetzwerks als Bestandteil des Subscriber-Authentifizierungsprotokolls vereinbart.

– Schutz der Identität des Teilnehmers vor Abhören auf dem drahtlosen Interface.

Verwendung von „short-term“ temporären Identifikatoren.


SIM-Karte (Subscriber Identity Module)

• Muss tamper-resistent sein.• Geschützt durch PIN (lokal durch SIM überprüft.)• Kann vom Gerät (Terminal) entnommen werden.• Enthält alle für den Teilnehmer spezifischen Daten, die im

mobilen Gerät aufbewahrt werden müssen.– IMSI: International Mobile Subscriber Identity (permanente UserID)– PIN– TMSI (Temporary Mobile Subscriber Identity)– Ki : geheimer Schlüssel des Nutzers – Kc : Ciphering Key – Liste der letzen Call-Versuche.– Liste von bevorzugten Operatoren.– Zusätzliche Servicedaten (Wahlabkürzungen +49, letzte SMS ...)


GSM: Kryptografische Algorithmen

R Ki

A3 A8

R S K c Triplet

Zufallszahl Geheimer Schlüssel des Nutzers

A5 VerschlüsselungsalgorithmusAuthentifizierung

Kc: ciphering keyS : signed resultA3: Subscriber authentication (Operator-abhängiger Algorithmus)A5: ciphering/deciphering (Standardisierter Algorithmus)A8: cipher generation (Operator-abhängiger Algorithmus)

Kc: ciphering keyS : signed resultA3: Subscriber authentication (Operator-abhängiger Algorithmus)A5: ciphering/deciphering (Standardisierter Algorithmus)A8: cipher generation (Operator-abhängiger Algorithmus)


GSM: Authentifizierung eines Prinzipals

Mobile Station Visited Network Home Network

IMSI/TMSI

IMSI (or TMSI)A8 A3

Ki R

Kc S

IMSI

Triplets (Kc, R, S)

TripletsAuthentifiziere (R)

A8 A3

Ki R

Kc S’ Auth-ack(S’)S=S’?


Empfänger(Netzwerk oder Mobiltelefon)

GSM: Verschlüsselung

A5

Verschlüsselungs-sequenz

Klartext-sequenz

Kc Paketnummer

Sender(Mobiltelefon oder Netzwerk)

Chiffretext-sequenz

A5

Verschlüsselungs-sequenz

Klartext-sequenz

Kc Paketnummer


GSM: Chiffren (1)

• A3 (Authentifizierung) und A8 (Schlüsselerzeugung) können geheim zwischen Home-Netzwerkoperator und SIM-Karte sein.– Oft COMP-128 Algorithmus

verwendet.

Probleme:• CK zu klein, zu lange gültig.

– Brute Force• Kurze effektive Schlüssellänge 54 Bit

– “known plaintext” Angriff O(218), basierend auf einseitiger Authentifizierung und physischem Zugriff auf SIM (Lesegerät)

– 150.000 RAND-Queries ausreichend, um K zu ermitteln.(Statistische Kryptoanalyse) 8 h

• IBM 2002: Seitenkanalangriff– Physischer Zugriff, Messung der Strom-

Spannungscharakteristik– Tabellenbasierte Implementierung des

COMP-128– 7 Berechnungen in der Regel ausreichend,

2 min• Kopieren der SIM-Karte möglich

– GSM verhindert gleichzeitige Nutzung zweier SIM-Karten mit gleicher IMSI.

– Kein Schutz vor passiven Angriffen.

COMP-128

SRES CK unused

32 Bit 54 Bit 42 Bit

RAND K

128-Bit Output

Erweitert auf 64 Bit durch Addition 10 zero Bits

64 Bit


GSM: Ciphers (2)

A5 Stromchiffre• A5 Algorithmus war offiziell geheim, aber kam an Öffentlichkeit.• Verschiedene Implementierungen:

– A5/1 sollte starke Verschlüsselung für Sprachkanal gewährleisten.– A5/2 und A5/3 schwächere Varianten für Nutzung außerhalb Europas. – A5/0 überhaupt keine Verschlüsselung.

Nur einige Mobiltelefone zeigen die Nutzung dieser „Chiffre“ an!• Visited Network bestimmt, welche Chiffre benutzt wird.• Ursprüngliche Form des Algorithmus war kryptografisch schwach

O(240).• 2002 neue Version für A5/3 auf KASUMI basierend

– Öffentlich, gut getestet, stark.• Keine Ende-zu-Endeverschlüsselung, Daten offen für Basisstation!

Harald Welte: http://openbsc.osmocom.org/trac/

http://openbsc.osmocom.org/trac/


GSM: IMSI-Catcher

• Fähig IMSI zu lesen.• Lokalisierung des Mobiltelefons in einer Funkzelle.• Modell eines IMSI-Catchers (GA 900) Firma

Rohde & Schwarz. Ca. 20.000-30.000 €– Abhören des Sprachkanals.

• Wie arbeitest IMSI-Catcher?– IMSI-Catcher simuliert Basisstation gegenüber

Mobiltelefon.– Alle Mobiltelefone verbinden sich zu Basisstation mit

höchster Signalstärke.– Daten aller Mobiltelefone in der Nähe werden

eingefangen.

= Klassischer man-in-the-middle Angriff• Problem: Fehlende Authentifizierung der

Basisstation gegenüber Teilnehmer.• Abwehr: Ende-zu-Ende Verschlüsselung des

Sprachkanals http://www.cryptophone.de/

http://www.cryptophone.de/


GSM-Sicherheit: Fazit• Zielt ab auf Schutz der Übertragung durch die Luft.• Kein Schutz des drahtgebundenen Netzwerks

– Weder Schutz der Privatsphäre noch Vertraulichkeit.

• „Visited Network“ hat Zugriff auf alle Daten (außer dem geheimen Schlüssel des Teilnehmers).

• Im Allgemeinen robust, aber einige erfolgreiche Angriffe, veraltet:– Gefälschte Basisstationen.– Kopierte SIM-Karten.

http://laforge.gnumonks.org/weblog/gsm/

OpenBSC

OsmocomBB



http://openbsc.gnumonks.org/

http://bb.osmocom.org/


3G: Sicherheitsprinzipien (1)

• Wiederverwendung der Prinzipien der 2. Generation (GSM):– Entnehmbares Sicherheitsmodul in Hardware.

GSM: SIM-Karte 3GPP: USIM (User Services Identity Module)

– Verschlüsselung des Radio Interfaces.– Begrenztes Vertrauen in „Visited Network“.– Schutz der Identität des Nutzers (insbesondere im drahtlosen

Medium).

• Korrektur folgender Schwachstellen der 2. Generation:– Mögliche Angriffe durch gefälschte Basisstationen.– Verschlüsselungsschlüssel werden im Klartext innerhalb und

zwischen Netzwerken transportiert.– Verzicht auf Verschlüsselung in Netzwerken Vorbereitung von

Betrug.– Keine Integrität.– …


3G: Sicherheitsprinzipien (2)

• Neue Sicherheitsfeatures:– Neue Art von Dienstanbietern

Anbieteren von Content, Excklusiv HLR-Anbieter (Home Location Register)) …

– Mehr Kontrolle der Nutzer über ihr Serviceprofil.– Widerstandsfähiger gegen aktive Angriffe.– Größere Bedeutung von Datendiensten.– …

Problem: Störung auf Funkkanal: 3G GSM


3G: Authentifizierung

Erzeugung desKryptografischen

Materials

Home EnvironmentVisited NetworkMobiltelefonSequenznummer SQN RAND(i)

Authentifizierungs-vektoren

K(secret key)

IMSI/TMSIAuthentifizierungsrequest

(des Nutzers)

Prüfe AUTN(i)Berechne RES(i)

Vergleich RES(i)mit XRES(i)

Wähle CK(i)und IK(i)

Berechne CK(i)und IK(i)

K

K

Authentifizierungsantwort (des Nutzers)

RAND(i)||AUTN(i)


Erzeugung der Authentifizierungsvektoren

Erzeuge SQNErzeuge SQN

Erzeuge RANDErzeuge RAND

f1 f2 f3 f4 f5

K

AMF

MAC (Message Authentication

Code)

XRES(Expected

Result)

CK(Cipher

Key)

IK(Integrity

Key)

AK(Anonymity

Key)

AMF: Authentication und Key Management Field

AUTN: Authentication TokenAV: Authentication Vector

AUTNIKCKXRESRANDAV

MACAMFACKSQNAUTN

||||||||:

||||)(:


Authentifizierung & Schlüsselerzeugung

• Zusätzlich zu f1, f2, f3, f4 und f5, sind 2 weitere Funktionenf1* und f5* definiert, die verwendet werden, wenn Authentifizierungsprozedur desynchronisiert (SQN nicht im richtigen Bereich) ist.

• f1, f1*, f2, f3, f4, f5 und f5*sind operatorspezifisch.• 3GPP stellt definierten Satz von Algorithmen „MILENAGE“

zur Verfügung.• MILENAGE basiert auf Rijndael-Blockchiffre, • Erzeugung aller Funktionen f1…f5* basiert auf Rijndael

Algorithmus.


rotierenum r4

OPc

c4

EK

OPc

rotierenum r2

OPc

c2

EK

OPc

rotierenum r3

OPc

c3

EK

OPc

rotierenum r5

OPc

c5

EK

OPc

rotierenum r1

OPc

c1

EK

OPc

EK

SQN||AMF OPc

EKOP OPc

f1 f1* f5 f2 f3 f4 f5*

RAND

Authentifizierungs- und Schlüsselerzeugungsfunktionen f1…f5*

OP: operatorspezifischer Parameterr1,…, r5: feste Rotationskonstantenc1,…, c5: feste AdditionskonstantenEK: Rijndael-Blockchiffre mit 128 Bit Blockgröße und 128 Bit Schlüssel


Methode zum Schutz der Integrität der Signalisierung

f9

MAC-I

IK

Signalisierungsnachricht

Zähler-I

Nonce

Richtung

Sender(Mobiltelefon oder

Radio Network Controller)

Empfänger(Radio Network Controller

oder Mobiltelefon)

f9

XMAC-I

IK

Signalisierungsnachricht

Zähler-I

Nonce

Richtung


KASUMI KASUMI KASUMI KASUMIKASUMICK KASUMICK KASUMICK KASUMICK

KASUMICK KM

Register

BLKCNT=0 BLKCNT=1 BLKCNT=2 BLKCNT=BLOCKS-1

COUNT || TRÄGER || DIRECTION || 0…0

KM: Key ModifierKS: Keystream

KM: Key ModifierKS: Keystream

Schlüsselstromerzeugung f8 (Counter-Mode)


FL1 FO1

FO2 FL2

FO8 FL8

FO6 FL6

FO4 FL4

FL7 FO7

FL3 FO3

FL5 FO5

KL1

KO2 , KI2

KO3 , KI3

KO5 , KI5

KO6 , KI6

KO4, KI4

KO7 , KI7

KO8 , KI8

KO1 , KI1

KL2

KL3

KL4

KL5

KL6

KL7

KL8

L0

32R0

32

C

Abb. 1 : KASUMI

R8L8

FIi1

FIi2

FIi3

S9

S9

S7

S7

<<<

<<<

Abb. 2 : FO Funktion Abb. 3 : FI Funktion

Zero-extend

truncate

Zero-extend

truncate

Bitweise UND Operation

Bitweise ODER Operation

Rotation 1 Bit nach links<<<Abb. 4 : FL Funktion

KOi,3

KOi,2

KOi,1

KIi,1

KIi,2

KIi,3

KIi,j,1

KIi,j,2

64 32 1616 16 9 7

3216 16

KLi,1

KLi,2

KLi, KOi , KIi : Unterschlüssel der Runde iS7, S9: S-Boxen

KLi, KOi , KIi : Unterschlüssel der Runde iS7, S9: S-BoxenKasumi: Details


3G: Sicherheit: Fazit

• Einige Verbesserungen gegenüber 2. Generation– Kryptografische Algorithmen veröffentlicht.– Integrität der Nachrichten geschützt.

• Relativ konservative Lösung.• Privatsphäre / Anonymität des Nutzers nicht komplett

geschützt.


Absicherung drahtloser Netze? Bluetooth (1)

Bluetooth• „short range“ digitale Funkkommunikation

– Normale Geräte etwa 10m– Version 2.0 100m

• PAN = personal area network• Ziel: Drähte zu Geräten in naher Umgebung ersetzen.

– Mobile Phone ↔ Headset, Laptop ↔ Mouse, …

• Bluetooth Netzwerke = Piconets– Master-Slave Prinzip– Ein Master kann bis zu 7 andere aktive Stationen (Slaves) haben.

• BT Spezifikation definiert Sicherheitsarchitektur, die– Authentifizierung,– Vertraulichkeit

durch Kryptografie realisieren soll.


Bluetooth (2)

• Hürden für Angreifer– Frequenzhopping, um Interferenz mit ISM Band zu vermeiden.

79 Kanäle 1600 Hops pro Minute In pseudo-zufälliger Weise Abhören ist etwas aufwändiger.

– Kleiner Kommunikationsbereich (einige Meter)

• Bluetooth Sicherheitsarchitektur– Um Link zwischen zwei Bluetooth-Geräten aufzubauen:

Gegenseitige Authentifizierung. Setup eines vertraulichen Kanals.


Bluetooth (3)

Verbindungsschlüssel „link key“• Setzen temporären Initialisierungsschlüssel Kinit

– Ein Gerät wählt Zufallszahl IN_RAND.– Sendet diese zum anderen Gerät.– Beide Geräte berechnen:

Kinit ( IN_RAND, shared PIN, L Länge der PIN) L Länge der PIN von 1 – 16 Bytes

– PIN: 4 stellige Zahl Default 0000. Sharing der PIN:

– Beide Geräte haben Input: (freie Wahl, zufällig)– Nur eines hat Input → Verwendung einer Vorkonfigurierten PIN– Kein Input → Kein Pairing.


Bluetooth (4)

Temporärer Initialisierungsschlüssel



Bluetooth (5)

• Wenn ein Gerät A Speicherbeschränkungen hat (kann nur einen Schlüssel speichern):– A sendet „long-term unit key“ KA zu Gerät B Verschlüsselt mit Kinit.– B entschlüsselt KA , KA → link key.

• Keine Speicherbeschränkung– A, B wählen Zufallszahlen RANDA , RANDB.– A berechnet LK_KA ( RANDA, BD_ADDRA eindeutige

Geräteadresse)– B berechnet genauso LK_KB.– A, B tauschen RANDA , RANDB verschlüsselt mit Kinit aus.– A berechnet LK_KB , B berechnet LK_KA.

– LK_KA LK_KB wird Link Key.


Bluetooth (6)

Link Key LK_KA LK_KB



Bluetooth (7)

Gegenseitige Authentifizierung• Einfaches Challenge-Response

Protokoll• (A, B)=(claimant, verifier) • if Erfolg SRES=SRES’:

(B, A)=(claimant, verifier)

• Wenn Protokoll fehlschlägt, wartet überprüfendes Gerät einige Zeit– Wartezeit wächst exponentiell mit

jedem Fehlversuch.– Beugt Brutforce-Angriff vor.



Bluetooth (8)

Verschlüsselung der Daten• Erzeugung des Schlüssels für Verschlüsselung

– Kenc wird in beiden Geräten berechnet als Funktion von: Link Key Klink

Authenticated Cipher Offset ACO erzeugt im Authentifizierungsprotokoll Zufallszahl EN_RAND generiert vom Master-Gerät

• Verschlüsselung: – Stromchiffre E0 in der Bluetooth-Spezifikation

Basiert auf SAFER+ Algorithmus Neben Kenc , gehen eindeutige Geräteadresse BD_ADDRmaster, und

Clock-Wert CLOCKmaster des Master-Geräts in den E0-Algorithmus ein.


Bluetooth (9)

Verschlüsselung



Bluetooth (10)

Probleme• Stärke des System beruht völlig auf der Stärke der PIN.

– 10000 Möglichkeiten.– Ausreichend, einen einzigen Protokolldurchlauf abzuhören.

Für jede PIN’ berechnet Angreifer K’init und K’link, mit den abgehörten Zufallszahlen.

Jedes geratene K’link, wird getestet mit Hilfe des Challenge-Response Paars des abgehörten Authentifizierungsprotokolls.

– PIN offline geknackt, mit nichtexponentiellem Zeitaufwand!– Viel Geräte Nutzen Default-PIN (0000)!

• Angreifer kann leicht „long term unit key“ eines im Speicher begrenzten Geräts A erhalten.– Einfach Link dazu aufbauen: Link Key = Unit Key von A.– Angreifer kann dann Nachrichten zwischen A und allen anderen Geräten B

entschlüsseln.• Privacy-Problem feste eindeutige Geräteadresse• Kryptografen endeckten Schwachstelle in E0.

– Bruteforce-Angriff viel einfacher als O(2128)S


Zusammenfassung;

• Drahtlose Netzwerke bieten zusätzliche Angriffspunkte– Broadcast Medium

Einfach abhörbar. Einfach zu stören. Einfach überzubelasten, kein QoS.

– Nutzer sind gewöhnlich mobil. Lokalisierungsinformation, Privatsphäre werden wichtig.

– Begrenzte Ressourcen (Krypto) müssen berücksichtigt werden.– Fehlen von physischem Schutz.– Sicherheitsarchitektur sollte Roaming unterstützen

• Beispiele:– WiFi LANs– GSM, UMTS– Bluetooth

Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen...

Documents

Transcript of Humboldt University Computer Science Department Systems Architecture Group IT-Sicherheit Grundlagen...