Безопасность Wi-Fi

Размещено на http://www.allbest.ru/

Введение

На сегодняшний день, беспроводные сети используют практически во всем мире. Связана такая популярность с их удобством, гибкостью и сравнительно невысокой стоимость.

Такие сети должны удовлетворять требования по качеству, скорости передачи данных, а также радиусу покрытия и защищенности, причем последнее часто является самым важным фактором.

Сложности, связанные с обеспечением безопасности такой сети, очевидны и связаны напрямую со средой передачи данных.

Однако, обеспечение безопасности беспроводных сетей и проводных - идентичен, несмотря их на различия. Существуют аналогичные требования к обеспечению конфиденциальности и целостности передаваемых данных и, конечно же, к проверке подлинности, как пользователей, так и точек доступа.

Набор стандартов связи для коммуникации в беспроводной локальной сети - IEEE 802.11, как и все стандарты IEEE 802, работает на нижних двух уровнях модели ISO/OSI - физическом и канальном.

В наборе на сегодняшний день насчитывается более 30 стандартов, различающихся рабочей частотой, шириной полосы передачи данных, защищенностью и, как следствие, скоростью передачи данных и областью применения.

1. Механизмы защиты стандарта 802.11

На начальной стадии развития беспроводных технологий типа Wi-Fi, разработчики не занимались их безопасностью.

На протяжении семи лет (с 1990 по 1997 год) главные вопросы стандарта касались методов передачи данных, увеличения пропускной способности канала, а также совместимости оборудования.

На тот момент, единственной защитой системный идентификатор (SSID), который, для удобства пользователей, передавался в открытом виде с помощью широковещания.

Так же использовалась фильтрация доступа по MAC-адресам, список которых можно создать на устройстве. Данная информация так же передавалась в открытом виде.

Следующей ступенью безопасности Wi-Fi, стал протокол WEP (Wired Equivalent Privacy), и был одобрен комитетом IEEE в 1997 году.

В его основе лежит поточный шифр RC4, разработанный Рональдом Райвестом в 1987 году.

Этот шифр был выбран из-за своей высокой скорости работы и возможности использования переменной длины ключа.

Данный алгоритм является симметричным, то есть, для шифрования и расшифровки используется один и тот же ключ, который передается по защищенным каналам связи.

В момент расшифровки данных автоматически выполняется аутентификация, поскольку предполагается, что ключ шифрования известен лишь отправителю и получателю.

Достоинствами такого типа шифрования является скорость, недостатком - низкая криптостойкость. Что бы убедиться в этом, рассмотрим подробнее алгоритм RC4.

Рис. 1. - Алгоритм шифрования данных в протоколе WEP (RC4):

Алгоритм использует перемножение блоков нешифрованных исходных данных на псевдослучайную последовательность такой же длины, которая соответствует кадру МАС-уровя.

Инициализация генератора ПСП происходит с помощью 64-разрядного числа (seed), состоящего из 24-разрядного вектора инициализации (IV - initialization vector) и 40-разрядного секретного ключа.

Важен тот факт, что если секретный ключ неизменен, то вектора инициализации IV может изменяться с течением пакетов. В качестве защиты от изменения передаваемой информации, каждый незашифрованный пакет защищается 32-разрядной контрольной суммой CRC-32, ее значение отражает параметр ICV (integrity check value).

Таким образом, при использовании шифрования RC4 к передаваемым данным добавляется 8 байт: 4 для ICV, 3 для IV, и еще 1 байт содержит информацию о номере используемого секретного ключа (одного из четырех). Отметим, что ключ может быть не только 64, но и 128 бит. В последнем случае под пароль отводится не 40, а 104 бита.

Для введения ключа существует 2 метода. В первом используются HEX-числа длинной в 10 знаков для 40-битного ключа и 26 знаков для 104-битного ключа. Второй метод предполагает применение ASCII-символы, таким образом, используя 5 символов для 40-битного ключа и 13 знаков для 104-битного. В последнее время все чаще реализуется поддержка ключей с длиной до 256 бит, однако это не сильно повышает стойкость алгоритма, так как длина ключа увеличивается за счет статической части.

Используемый для шифрования ключ может быть назначенным ключом или ключом по умолчанию. Назначенный ключ соответствует определенной паре отправитель-получатель и может иметь любое, заранее оговоренное сторонами значение. В случае, если стороны не используют назначенный ключ, то им выдается ключ по умолчанию.

Всего таких ключей 4 и они находятся в специальной таблице. Информация о выбранном ключе по умолчанию находится в заголовке WEP-кадра. Таким образом, для каждого кадра данных создается seed, который состоит из ключа и вектора инициализации.

Рис. 2. - Формат кадра WEP:

Рассмотрим сам процесс шифрования. Для начала вычисляется контрольная сумма исходного сообщения ICV, затем, как видно из формата WEP кадра, она добавляется к самому сообщению. Обозначим исходно сообщение как M, тогда контрольная сумма будет обозначаться c(M). Получаем исходные данные для следующего этапа P = (M, c(M)). Необходимо отметить, что полученные на первом этапе данные никак не зависят от ключа k. Далее, происходит сам процесс шифрования сообщения P по алгоритму RC4. Пусть стартовый вектор будет (IV). Алгоритм RC4 генерирует keystream - последовательность случайных байт зависящих от IV v и ключа k. Обозначим этот keystream как RC4(v,k). Затем сообщение по методу XOR накладывается на keystream, и получаем зашифрованное сообщение. Этот процесс можно выразить с помощью формулы:

C = P xor RC4 * (v, k)

Далее происходит передача IV и зашифрованного сообщения по сети:

A - B : v

P xor RC4 * (v, k)

P = (M, c * (M))

Для декодирования полученных данных необходимо провести обратные действия.

Во-первых: генерируется keystream RC4 и с помощью операции XOR превращает кадр в текст:

P' = C xor RC4 * (v, k) = (P xor RC4 * (v, k)) xor RC4 * (v, k) = P

Затем необходимо проверить контрольную сумму декодированного текста P', исходя из (M', c'), пересчитывая ее c (M'), и проверяя, совпадает ли она с полученной C'.

Это означает то, что пользователь получает только пакеты с правильной контрольной суммой.

Поскольку алгоритм WEP обладает чрезвычайно низкой криптостойкостью, удлинение ключа не даст существенных результатов, а только лишь снизит пропускную способность канала передачи данных.

В связи с этим, разработчики не стали модифицировать этот алгоритм и приступили к разработке нового стандарта безопасности WPA.

2. Стандарт WPA

Стандарт WPA (Wi-Fi Protected Access) утвержден в 2002 году и направлен на устранение слабых мест беспроводных сетей на основе WEP. WPA не является чем-то абсолютно новым по сравнению с WEP и использует, фактически, тот же RC4, но в иной реализации. Спецификации WPA представляли собой неоконченный вариант стандарта 802.11i, разработка которого сильно затянулась. WPA является суммой нескольких технологий:

WPA = IEEE 802.1Х + ЕАР + TKIP + MIC

Протоколы IEEE 802.1X и ЕАР (Extensible Authentication Protocol - наращиваемый протокол аутентификации) обеспечивают механизм аутентификации пользователей, которые в свою очередь должны предъявить свидетельство для доступа в сеть.

EAP использует механизм произвольной проверки подключения удаленного доступа. Точная схема проверки согласовывается клиентом удаленного доступа и устройством проверки подлинности. В больших сетях для аутентификации часто используют сервер RADIUS. В иерархии сети он находится выше точки доступа и содержит базу данных со списком пользователей, которым разрешен доступ к сети. Такой режим носит название Enterprise.

Для небольших фирм и домашних пользователей применение отдельного сервера не всегда возможно, поэтому для них предусмотрен режим с предварительно распределяемым ключом PSK (Preshared Key). В этом режиме на каждом устройстве беспроводной сети вводится одинаковый пароль, и аутентификация происходит средствами точки доступа без использования сервера RADIUS. Протокол TKIP (Temporal Key Integrity Protocol - протокол временной целостности ключа) обеспечивает конфиденциальность и целостность данных. Функционально TKIP является расширением WEP. Аналогично WEP, он использует алгоритм шифрования RC-4, но более эффективный механизм управления ключами.

Протокол TKIP генерирует новый секретный ключ для каждого передаваемого пакета данных. Таким образом, один статический ключ WEP заменяется на, примерно 500 миллиардов возможных ключей, которые могут использоваться для шифрования данного пакета. Также изменен и сам механизм генерации ключа.

Он получается из трех компонентов: базового ключа, длинна которого увеличена до 128 бит (ТК), номера передаваемого пакета (TSC) и МАС-адреса устройства-передатчика (ТА). Базовая составляющая ключа является динамической и генерируется каждый раз, когда клиент устанавливает соединение с точкой доступа.

Для формирования базового ключа используется хэш-функция секретного сеансового ключа (пароля, заданного пользователем), псевдослучайное число и MAC-адрес.

В TKIP используется уже 48-разрядный вектор инициализации вместо 24-битного, чтобы избежать повторного использования IV. Алгоритм TKIP использует сквозной счетчик пакетов (TSC) длиной 48 бит. Он постоянно увеличивается, сбрасываясь в 1 только при генерации нового ключа. Младшие 16 бит TSC включаются в новый IV.

В конечном итоге клиент и точка доступа получают сеансовый ключ в результате аутентификации по протоколу 802.1x. Стоит сказать, что при разработке WPA первоочередной задачей была совместимость с WEP и создание условий работы нового средства защиты на старом оборудовании. Именно этим объясняется применение все того же RC4, а не AES, например. Таким образом, хотя протокол TKIP работает с тем же самым блочным шифром RC4, технология WPA защищает данные надежнее последнего.

Рис. 3. - Алгоритм шифрования по протоколу TKIP:

Механизм MIC (Message Integrity Check или Michael) обеспечивает проверку целостности сообщений вместо очень простого и небезопасного вектора проверки целостности ICV в WEP. Он также строится на основе CRC-32, но длина MIC - 64 бита, посредством чего препятствует изменению содержимого передаваемых пакетов. В отличие от ICV, механизм MIC использует мощную хэш-функцию, которую применяют отправитель и получатель, а затем сравнивают результат. Если он не совпадает, то данные считаются ложными и пакет отбрасывается. Более того, в алгоритм заложены меры противодействия атакам. Если приемник обнаружит две ошибки в MIC в период не более 60 с., соединение будет разорвано и восстановлено не ранее чем через 60 с. со сменой всех ключей.

Рис. 4. - Пакет после шифрования по TKIP:

Тем не менее, несмотря на все меры, в ноябре 2008 года была опубликована работа, в которой описывался алгоритм атак на протокол TKIP. Повысить степень криптозащиты призван стандарт IEEE 802.11i (WPA2).

3. Стандарт IEEE 802.11i (WPA2)

WPA2 определяется стандартом IEEE 802.11i, принятым в июне 2004 года, и призван заменить WPA.

Стандарт использует протокол ССМР (Counter-Mode СВС MAC Protocol) на основе блокового шифра стандарта AES (Advanced Encryption Standard).

Алгоритм AES обладает хорошей криптостойкостью, а его симметрическая природа делает его достаточно быстрым.

За счет этих нововведений, WPA2 стал более защищённым, чем свой предшественник. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных Wi-Fi устройств.

AES, также известный как Rijndael - симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит), принятый в качестве стандарта шифрования правительством США по результатам конкурса AES.

Основными четырьмя операциями алгоритма являются:

SubBytes (State) вид трансформации при шифровании, которые обрабатывают State, используя нелинейную таблицу замещения байтов(S-box), применяя её независимо к каждому байту State.

ShiftRows(State) вид трансформации при шифровании, которые обрабатывают State, циклически смещая последние три строки State на разные фиксированные величины.

MixColumns(State) трансформация при шифровании, которая берет все столбцы State и смешивает их данные (независимо друг от друга), чтобы получить новые столбцы.

AddRoundKey(State, Round Keys) трансформация при шифровании и обратном шифровании, при которой Round Key побитово складывается по mod 2 со всеми битами State. Длина RoundKey равна размеру State(то есть, если Nb = 4, то длина RoundKey равна 128 бит или 16 байт).

Он имеет следующую структуру:

Рис. 5:

Все трансформации проводятся по фиксированным таблицам. Неизвестными остаются только раундовые ключи, которые получаются путем расширения исходного ключа до некоторого множества, с помощью процедуры KeyExpansion(). Далее, раундовые ключи выбираются из составленного множества. Round Keys получаются из Cipher Key используя процедуру Key Expansion. Они применяются к State при шифровании и расшифровки. Cipher Key - секретный, криптографический ключ, который используется Key Expansion процедурой, чтобы произвести набор ключей для раундов(Round Keys);может быть представлен как прямоугольный массив байтов, имеющий четыре строки и Nk колонок.

State - промежуточный результат шифрования, который может быть представлен как прямоугольный массив байтов имеющий 4 строки и Nb колонок.

S-box - нелинейная таблица замен, использующаяся в нескольких трансформациях замены байт и в процедуре Key Expansion для взаимно однозначной замены значения байта.

Для протокола ССМР алгоритм AES играет ту же роль, что и RC4 для протокола TKIP. Оба протокола работают с одним и тем же механизмом управления ключами. Как и TKIP, ССМР использует 48-битные IV и несколько измененный алгоритм MIC. Благодаря использованию стойкого шифра AES отпала необходимость в генерации пакетных ключей (новый ключ для каждого пакета), и теперь один ключ, создаваемый при каждой ассоциации клиента с сервером, используется для шифрования трафика и для генерации контрольной суммы.

В целом, в архитектуре IEEE 802.11 можно выделить два основных механизма защиты данных, это улучшенные протоколы шифрования и протокол контроля доступа на базе портов (IEEE 802.IX).

Стандартом IEEE 802.11 предусмотрены режимы EAP, обеспечивающий различные механизмы аутентификации пользователей и Pre-Shared Key (PSK), который позволяет обойтись без сервера доступа. При использовании этого режима на подключаемом устройстве и на точке доступа вручную вводится Pre-Shared Key.

Рассмотрим CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) - протокол блочного шифрования с кодом аутентичности сообщения (MIC) и режимом сцепления блоков и счётчика) - протокол шифрования 802.11 созданный для замены TKIP, как более надёжный вариант. В нем применяется шифр Advanced Security Standard (AES) в режиме счетчика со сцеплением блоков шифр-текста и кодом аутентификации сообщения (СВС-МАС). CCMP основан на алгоритме шифрования AES с использованием режима работы CCM. Он сочетает в себе режим счетчика CTR для соблюдения конфиденциальности и CBC-MAC для проверки подлинности и целостности.

В CCMP алгоритм AES работает с 128-битными ключами и блоками. Для работы CCM необходим новый временный ключ (TK) для каждой сессии, а также уникальное значение номера каждого кадра, зашифрованного с помощью данного TK. Для этих целей CCMP использует 48-битный номер пакета. Повторное использование номер пакета (PN) с тем же TK не гарантирует безопасность.

Рассмотрим подробнее инкапсуляцию незашифрованного кадра MPDU (MAC Protocol Data Unit) в CCMP кадр:

Рис. 6:

1. Увеличивается на некоторое положительное число номер пакета PN для того, чтобы получать свой номер для каждого пакета данных так, что номер пакета никогда не повторяется дважды при использовании одного временного ключа;

2. Используя поля в заголовке MDPU, CCMP создаёт дополнительные аутентификациионные данные (AAD - Additional Authentication Data) для ССМ. Алгоритм ССМ обеспечивает шифрование для полей, включённых в AAD. Поля заголовка пакета, которые могут измениться при его ретрансляции не должны учитываться при создании дополнительных аутентификационных данных и потому считаются нулевыми при создании AAD;

3. Составляется поле Nonce (вектор инициализации) из номера пакета PN, адреса A2 и поля приоритета, которое в существующей реализации является зарезервированным, так что его значение должно быть установлено равным нулю;

4. Новый номер пакета NP и идентификатор ключа key ID помещаются в 8 октет CCMP заголовка;

5. Выполняется режим CTR (AES шифрования) используя дополнительные аутентификационные данные (ADD), поле Nonce, непосредственно данные пакета с использованием временного ключа TK, для формирования зашифрованного текста и проверки целостности сообщений (MIC). Этот шаг называют CCM originator processing;

6. Зашифрованные MPDU формируется путем объединения исходного MAC- заголовка, заголовка CCMP, зашифрованных данных и MIC.

AAD строится из заголовка пакета MPDU. AAD не включает в поле заголовка «Срок действия», поскольку данное поле может измениться при передаче данных по каналам стандарта IEEE 802.11 (например, при изменении скорости во время ретрансляции пакета). По тем же причинам, несколько подполей в поле Frame Control считаются равными нулю. Длина AAD составляет 22 октета, в случае, если отсутствуют поля A4 и QC, и 28 октетов, когда пакет содержит поле А4.

Поле nonce состоит из полей приоритета, А2 и номера пакета, причём поле приоритета зарезервировано для дальнейшего использования и должно быть обнулено.

Рис. 7:

Рис. 8:

локальный аутентификация сервер

CCMP использует AES в CBC-MAC режиме для вычисления MIC. Для этого на вход алгоритма необходимо подать открытый текст MPDU, блок инициализации (Initial Block) для этого MPDU, а также TK. На выходе алгоритма получаем MIC, который необходимо проверить при получении кадра. Данный алгоритм представлен на рисунке 7.

Алгоритм сначала шифрует исходный блок инициализации (Initial Block) для получения в CBC-режиме вектор инициализации (IV). Затем она вычисляет CBC-MAC длины заголовка IEEE 802.11 (Hlen), отдельных частей заголовка IEEE 802.11 MPDU, и исходного текста MPDU.

CCMP использует AES в режиме CTR - Counter Mode, для шифрования и дешифрования данных MPDU и MIC. На вход алгоритма необходимо подать поле данных MPDU вместе с MIC, номер пакета для этого MPDU и TK. Предзагрузка (Preload) CTR содержит один байт флага, один байт информации QoS, шесть байт адресного поля, шестибайтовый номер пакета и два байта счетчика. На выходе алгоритма шифрования получается зашифрованное MPDU поле данных. Алгоритм представлен на рисунке 8.

В конечном итоге, структура кадра MDPU, зашифрованного алгоритмом CCMP выглядит следующим образом.

Рис. 9:

Список литературы

1. Баричев С.Г., Гончаров В.В., Серов Р.Е. Стандарт AES. Алгоритм Rijdael // Основы современной криптографии. М.: Горячая линия - Телеком, 2002.

2. Шахнович И.В. Современные технологии беспроводной связи. Издание второе, исправленное и дополненное. Москва: Техносфера, 2006.

3. Гордейчик С.В., Дубровин В.В. Безопасность беспроводных сетей М.: Горячая линия - Телеком,2008.

4. Пролетарский А.В., Баскаков И.В., Чирков Д.Н. Беспроводные сети Wi-Fi. БИНОМ. Лаборатория знаний, 2007.

Размещено на Allbest.ru