IEEE 802.11i-2004 - IEEE 802.11i-2004

IEEE 802.11i-2004 , nebo zkráceně 802.11i , je dodatkem k původnímu standardu IEEE 802.11 implementovanému jako Wi-Fi Protected Access II (WPA2). Návrh normy byl ratifikován dne 24. června 2004. Tato norma specifikuje bezpečnostní mechanismy pro bezdrátové sítě a nahrazuje krátkou doložku o ověření a ochraně soukromí původního standardu podrobnou bezpečnostní doložkou. V procesu novela zastarala nefunkční WEP ( Wired Equivalent Privacy ), později byla začleněna do publikovaného standardu IEEE 802.11-2007 .

Výměna WEP

Rozhraní 802.11i nahrazuje předchozí specifikaci zabezpečení Wired Equivalent Privacy (WEP), u které se ukázalo, že obsahuje chyby zabezpečení. Wi-Fi Protected Access (WPA) předtím představila Wi-Fi Alliance jako přechodné řešení nejistoty WEP. WPA implementovalo podmnožinu konceptu 802.11i. Aliance Wi-Fi označuje jejich schválenou interoperabilní implementaci plné verze 802.11i jako WPA2 , nazývanou také RSN (Robust Security). 802.11i využívá blokovou šifru Advanced Encryption Standard (AES) , zatímco WEP a WPA používají proudovou šifru RC4 .

Provoz protokolu

IEEE 802.11i vylepšuje IEEE 802.11-1999 tím, že poskytuje Robust Security Network (RSN) o dva nové protokoly: čtyřcestné handshake a skupinové klíčové handshake. Používají ověřovací služby a řízení přístupu k portům popsané v IEEE 802.1X k vytvoření a změně příslušných kryptografických klíčů. RSN je bezpečnostní síť, která umožňuje vytváření pouze robustních bezpečnostních síťových přidružení (RSNA), což je typ přidružení používaného dvojicí stanic (STA), pokud postup pro vytvoření autentizace nebo přidružení mezi nimi zahrnuje čtyřcestný Potřesení rukou

Standard také poskytuje dva protokoly o důvěrnosti a integritě dat RSNA, TKIP a CCMP , přičemž implementace CCMP je povinná, protože mechanismy důvěrnosti a integrity TKIP nejsou tak robustní jako mechanismy CCMP. Hlavním účelem implementace TKIP bylo, že algoritmus by měl být implementovatelný v rámci schopností většiny starých zařízení podporujících pouze WEP.

Proces počátečního ověřování se provádí buď pomocí předem sdíleného klíče (PSK), nebo po výměně EAP prostřednictvím protokolu 802.1X (známý jako EAPOL , který vyžaduje přítomnost ověřovacího serveru). Tento proces zajišťuje, že je klientská stanice (STA) autentizována pomocí přístupového bodu (AP). Po ověření PSK nebo 802.1X se vygeneruje sdílený tajný klíč s názvem Pairwise Master Key (PMK). V ověřování PSK je PMK ve skutečnosti PSK, který se obvykle odvozuje od hesla WiFi tím, že se provádí prostřednictvím funkce odvození klíče, která používá SHA-1 jako kryptografickou hashovací funkci . Pokud byla provedena výměna 802.1X EAP, je PMK odvozen z parametrů EAP poskytnutých ověřovacím serverem.

Čtyřsměrné podání ruky

palec v 802.11i

Čtyřcestný handshake je navržen tak, aby si přístupový bod (nebo autentizátor) a bezdrátový klient (nebo žadatel) mohli navzájem nezávisle prokázat, že znají PSK / PMK, aniž by kdykoli zveřejnili klíč. Místo zveřejnění klíče si přístupový bod (AP) a klient navzájem šifrují zprávy - které lze dešifrovat pouze pomocí PMK, které již sdílejí - a pokud bylo dešifrování zpráv úspěšné, prokazuje to znalost PMK. Čtyřcestný handshake je zásadní pro ochranu PMK před škodlivými přístupovými body - například SSID útočníka vydávajícího se za skutečný přístupový bod - aby klient nikdy nemusel říci přístupovému bodu svůj PMK.

PMK je navržen tak, aby vydržel celou relaci a měl by být vystaven co nejméně; proto je třeba odvodit klíče k šifrování provozu. Čtyřcestné podání ruky se používá k vytvoření dalšího klíče, který se nazývá Pairwise Transient Key (PTK). PTK je generován zřetězením následujících atributů: PMK, AP nonce (ANonce), STA nonce (SNonce), AP MAC adresa a MAC adresa STA. Produkt je poté podroben pseudonáhodné funkci . Handshake také poskytuje GTK (Group Temporal Key), který se používá k dešifrování vícesměrového vysílání a vysílání.

Skutečné zprávy vyměňované během handshake jsou znázorněny na obrázku a vysvětleny níže (všechny zprávy jsou odesílány jako EAPOL - klíčové rámce):

  1. AP vysílá nonce hodnotu (ANonce) na STA spolu s Key Replay Counter, což je číslo, které se používá, aby odpovídaly každé dvojice zpráv odeslaných a vyřazení přehrány zpráv. STA má nyní všechny atributy pro konstrukci PTK.
  2. STA odesílá svou vlastní nehodnotu (SNonce) do přístupového bodu společně s kódem integrity zprávy (MIC), včetně ověřování, což je skutečně kód ověřování a integrity zprávy (MAIC), a čítač opakování klíčů, který bude stejný jako Zpráva 1, aby AP mohl odpovídat správné zprávě 1.
  3. AP ověří zprávu 2 tím, že zkontroluje pole MIC, RSN, ANonce a Key Replay Counter Field, a pokud je platné, vytvoří a odešle GTK s jiným MIC.
  4. STA ověří zprávu 3 kontrolou polí MIC a Key Replay Counter Field a pokud je platná, pošle potvrzení AP.

Přechodný klíč Pairwise (64 bajtů) je rozdělen do pěti samostatných klíčů:

  1. 16 bajtů EAPOL-Key Confirmation Key (KCK) - Používá se k výpočtu MIC na WPA EAPOL Key message
  2. 16 bajtů EAPOL-Key Encryption Key (KEK) - AP používá tento klíč k šifrování dalších dat odeslaných (v poli „Key Data“) klientovi (například RSN IE nebo GTK)
  3. 16 bajtů dočasného klíče (TK) - slouží k šifrování / dešifrování datových paketů Unicast
  4. 8 bajtů klíče Michael MIC Authenticator Tx - Používá se k výpočtu MIC na datových paketech unicast přenášených AP
  5. 8 bajtů klíče Michael MIC Authenticator Rx - Používá se k výpočtu MIC na datových paketech unicast přenášených stanicí

Časový klíč skupiny (32 bajtů) je rozdělen do tří samostatných klíčů:

  1. 16 bajtů dočasného šifrovacího klíče skupiny - slouží k šifrování / dešifrování datových paketů vícesměrového vysílání a vysílání
  2. 8 bajtů klíče Michael MIC Authenticator Tx - používá se k výpočtu MIC na paketech Multicast a Broadcast přenášených AP
  3. 8 bajtů klíče Michael MIC Authenticator Rx - aktuálně nevyužito, protože stanice neposílají multicastový provoz

Klíče Michael MIC Authenticator Tx / Rx v PTK i GTK se používají pouze v případě, že síť k šifrování dat používá TKIP.

Ukázalo se, že toto čtyřsměrné podání ruky je zranitelné vůči KRACKovi .

Skupinové potřesení rukou

Skupinový dočasný klíč (GTK) používaný v síti může být nutné aktualizovat z důvodu vypršení platnosti přednastaveného časovače. Když zařízení opustí síť, je také třeba aktualizovat GTK. To zabrání zařízení v přijímání dalších vícesměrových nebo vysílaných zpráv z přístupového bodu.

Pro zpracování aktualizace 802.11i definuje handshake skupinového klíče, který se skládá z obousměrného handshake:

  1. AP odešle nový GTK každému STA v síti. GTK je šifrován pomocí KEK přiřazeného dané STA a chrání data před nedovolenou manipulací pomocí MIC .
  2. STA bere na vědomí nový GTK a odpovídá AP.

Přehled CCMP

CCMP je založen na režimu Counter with CBC-MAC (CCM) šifrovacího algoritmu AES. CCM kombinuje CTR pro zachování důvěrnosti a CBC-MAC pro autentizaci a integritu. CCM chrání integritu datového pole MPDU a vybraných částí hlavičky IEEE 802.11 MPDU.

Klíčová hierarchie

RSNA definuje dvě klíčové hierarchie:

  1. Hierarchie párů klíčů k ochraně jednosměrového provozu
  2. GTK, hierarchie skládající se z jediného klíče k ochraně vícesměrového a vysílacího provozu

Popis klíčových hierarchií používá následující dvě funkce:

  • L (Str, F, L) - Z Str počínaje zleva extrahujte bity F až F + L – 1.
  • PRF-n - Pseudonáhodná funkce produkující n bitů výstupu, existuje 128, 192, 256, 384 a 512 verzí, z nichž každá vydává tento počet bitů.

Hierarchie párových klíčů využívá PRF-384 nebo PRF-512 k odvození klíčů specifických pro relaci z PMK, generování PTK, který se rozdělí na KCK a KEK plus všechny dočasné klíče používané MAC k ochraně unicastové komunikace.

GTK bude náhodné číslo, které se také generuje pomocí PRF-n, obvykle PRF-128 nebo PRF-256, v tomto modelu hierarchie skupinového klíče vezme GMK (Group Master Key) a vygeneruje GTK.

Formáty rámců MAC

Pole ovládání rámu

Pole ovládání rámu
Podpole Verze protokolu Typ Podtyp Do DS Od společnosti DS Další fragmenty Zkuste to znovu Řízení spotřeby Více dat Chráněný rám Objednávky
Bity 2 bity 2 bity 4 bity 1 bit 1 bit 1 bit 1 bit 1 bit 1 bit 1 bit 1 bit

Pole chráněného rámečku

„Pole Chráněný rámec má délku 1 bit. Pole Chráněný rámec je nastaveno na 1, pokud pole Tělo rámce obsahuje informace, které byly zpracovány algoritmem kryptografického zapouzdření. Pole Chráněný rámec je nastaveno na 1 pouze v datových rámcích typu Data a v rámci správy rámce typu Správa, podtyp Ověření. Ve všech ostatních rámcích je pole Chráněný rámec nastaveno na 0. Když je v bitovém poli Chráněný rámec nastaveno na 1 v datovém rámci, je chráněno pole Tělo rámce pomocí kryptografické enkapsulace algoritmus a rozšířený, jak je definováno v kapitole 8. Jako algoritmus kryptografického zapouzdření je povolen pouze WEP pro rámce správy podtypu Ověření. "

Viz také

Reference

Všeobecné

externí odkazy

  • Chyba zabezpečení v protokolu WPA2, hole196 [1] , [2]