Система захисту інформації при передачі даних в радіоканалі

Размещено на http://www.allbest.ru/

Київський політехнічний інститут ім. Ігоря Сікорського

Система захисту інформації при передачі даних в радіоканалі

Жураковський Богдан Юрійович Доктор технічних наук, професор

Недашківський Олексій Леонідович Доктор технічних наук, професор

Київ, Україна



Анотація

Дана стаття присвячена вирішенню задачі захисту інформації в радіоканалах, шляхом застосування комплексних заходів для захисту від можливих атак спрямованих на перехоплення і підміну переданих даних. Метою роботи є проведення аналізу безпеки безпровідних мереж, виділення методів їх захисту та створення моделі захисту безпровідних мереж. Для того, щоб досягнути поставленої мети, виконано наступний перелік завдань: проаналізовано існуючі рішення у галузі захисту інформації через радіомережі; зроблено опис запропонованої розробленої моделі; описано алгоритми, експерименти, досліди даної моделі. Розроблено засіб захисту інформації через радіомережі, застосування якого має значне підвищення рівня безпеки інформації в радіоканалі. Практична цінність даної розробки в тому, що отримані теоретично і практично результати рекомендуються до впровадження в організаціях, що використовують радіоканал для передачі конфіденційної інформації з підвищеним вимогам до безпеки.

Ключові слова: авторизація, автентифікація, безпровідна мережа, Wi-Fi, модель, алгоритм шифрування, ключі, цифровий підпис, пароль, інформаційна безпека.



Abstract

Bohdan Zhurakovskyi Doctor of Technical Sciences, Professor

National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”, Kyiv, Ukraine

Oleksiy Nedashkivskiy Doctor of Technical Sciences, Professor

National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”, Kyiv, Ukraine

SYSTEM TO COLLECT INFORMATION WHEN TRANSFERRING DATA TO RADIO CHANNELS

This article is devoted to solving the problem of information protection in radio channels, by applying comprehensive measures to protect against possible attacks aimed at intercepting and substituting transmitted data. The aim of the work is to analyze the security of wireless networks, identify methods for their protection and create a model for protecting wireless networks. In order to achieve this goal, the following list of tasks was performed: the existing solutions in the field of information protection through radio networks were analyzed; the description of the offered developed model is made; algorithms, experiments, experiments of this model are described. A means of protecting information through radio networks has been developed, the application of which has a significant increase in the level of information security in the radio channel. The practical value of this development is that the theoretical and practical results are recommended for implementation in organizations that use the radio channel to transmit confidential information with high security requirements.

Keywords: authorization, authentication, wireless network, Wi-Fi, model, encryption algorithm, keys, digital signature, password, information security.



Вступ

У безпровідних мереж дуже багато спільного з провідними, але є і відмінності. Для того, щоб проникнути в поводову мережу, хакеру необхідно фізично до неї підключитися. У варіанті Wi-Fi йому досить встановити антену поблизу, в зоні дії мережі.

Хоч сьогодні в захисті Wi-Fi-мереж і застосовуються складні алгоритмічні математичні моделі аутентифікації, шифрування даних, контролю цілісності їх передачі, тим не менше, на початкових етапах поширення Wi-Fi нерідко з'являлися повідомлення про те, що навіть не використовуючи складного обладнання і спеціальних програм можна було підключитися до деяких корпоративних мереж просто проїжджаючи повз з ноутбуком.

Для того, щоб правильно спланувати безпеку безпровідної мережі потрібно враховувати вартість цінностей, що захищаються, вартість впровадження системи безпеки, а також здатності потенційних атакуючих. Іншими словами, перш ніж впроваджувати всі заходів захисту, відомі людству, розумніше впровадити заходи захисту від найбільш частих погроз.

Аналіз останніх досліджень і публікацій.

Останнім часом спостерігається тенденція інтегрування передавання різних видів інформації (мова, дані, зображення, інформація для телеуправління і контролю) та послуг у єдину мережу, яка оснащена різними видами апаратури. Управління такими мережами можливе тільки із застосуванням нових способів та систем управління мережами. Використання системи управління операторами мобільного, фіксованого зв'язку забезпечує економічне і ефективне управління мережею, що є ключем до успішної роботи мережі - гарантуючи низькі витрати та високу надійність мережі. Це означає швидке виявлення, локалізацію та усунення несправностей, зі зниженням витрат на трудові ресурси, обладнання та навчання, в той же час гарантує забезпечення найкращої якості і безпеки.

До системи аутентифікації в безпровідній мережі пред'являються підвищені вимоги з безпеки. Необхідно використовувати криптографічно стійкі алгоритми, що дозволяють здійснити взаємну аутентифікацію сторін. Окремим важливим завданням є локалізація активної станції - порушника в межах захищеної безпровідної мережі. Необхідно розробити технологію, що дозволяє здійснювати ефективний пошук неавторизованої станції.

Цим питанням присвячені експериментальні дослідження вітчизняних та закордонних вчених: Конахович Г.Ф., Толюпа С.В., Бурячок В.Л., Семко А.А., Хорошко В.О., Гнатюк С.О., Samonas S., Jacques, R. J., Andress, J., Schlienger T., Гайдур Г.І., Сайко В.Г. та інші.

Мета статті.

Метою роботи є проведення аналізу безпеки безпровідних мереж, виділення методів їх захисту та створення моделі захисту безпровідних мереж.



Теоретичні основи дослідження

Безпека безпровідних мереж.

Безпека безпровідних мереж залежить від використання ряду технологій: шифрування, цифрового підпису, паролів, зміни ключів та іншого. Те, як використовуються ці технології сильно впливає на рівень захищеності мережі. Іноді, методика використання деяких технологій така, що вони ніяк не впливають на рівень захищеності мережі.

Стандарт шифрування Е0. У стандарті Bluetooth застосовується потоковий шифр Е0, побудований на базі трьох лінійних генераторів зсуву. Ця схема застосовується в Bluetooth в режимах забезпечення безпеки 2 і 3. Дані режимні безпеки застосовуються в протоколі Bluetooth v4.2.

Основою процедури шифрування в протоколі Bluetooth служить алгоритм потокового шифрування Е0. Ключ потоку підсумовується, але схемі XOR з бітами відкритого тексту і передається на пристрій. Ключ потоку генерується за допомогою криптографічного алгоритму на базі лінійного рекурентного регістра (ЛРР). Функція шифрування отримує такі вхідні дані: головний ідентифікатор (BDADDR). 128-бітне випадкове число (EN_RAND), номер слота і ключ шифрування, який також ініціалізує ЛРР, якщо шифрування включено. Номерслота, який використовується в потоковому шифрі, змінюється з кожним пакетом, змінюючи тим самим ініціалізацію ядра шифру, інші ж неременні при цьому не змінюються [1].

Ключ шифрування КС генерується з поточного сеансового ключа і може мати довжину від 8 до 128 біт. Встановлення розміру ключа відбувається в ході встановлення сеансу шифрування між пристроями. Початковий розмір ключа вноситься в пристрій виробником, і розмір його не завжди максимальним. Слід зазначити, що алгоритм Е0 не сертифікований FIPS як національний стандарт. Є теоретична оцінка стійкості даного алгоритму. При атаці зі знанням відкритого тексту потрібно 238 переборів, в той час як при атаці грубої сили необхідно перебрати 2128 можливих ключів.

Шифр Діффі-Хеллмана на еліптичних кривих. У режимі безпеки протоколу Bluetooth v4.2 використовується пара ключів безпечного простого сполучення (SecureSimplePairing SSP). Ця пара ключів являє собою ключі алгоритму асиметричного шифрування Діффі Холмана на еліптичних кривих. радіомережа інформація захист

Даний алгоритм надійний: реалізованих на практиці ефективних атак на ЕАМ алгоритм в даннвій момент не існує. Але є ймовірність того, що атака виявиться успішною при програмній і апаратній реалізації алгоритму.

Стандарт шифрування AES. Даний стандарт шифрування найбільш широко застосовується для захисту бездротових каналів передачі інформації. Він використовується в протоколах UWB, ZigBee, RuBee, WI-FI і WIMAX. У зв'язку з широким розповсюдженням даного алгоритму його опис в даній роботі нс наводиться. Якщо ключі генеруються на кожен сеанс надійною системою розподілу секрету, ефективних атак на даний алгоритм [2].

Шифр СМЕА. Безпека зв'язку забезпечується також застосуванням процедур аутентифікації та шифрування повідомлень. У CDMA для генерації 128 біт ключа стільникового зв'язку використовується стандартний алгоритм аутентифікації і шифрування мови CAVE (Cellular Authentication Voice Encryption). Ключ називається SSD (Shared Secret Date «загальні секретні дані»). Ці дані генеруютьсяна основі a-ключа, який зберігається в мобільній станції, з отриманого від мережі псевдовипадкового числа. Загальні секретні дані (SSD) генерує алгоритм CAVE. Вони поділяються на дві частини: SSD-A (64 біта), призначену для вироблення цифрового підпису (authentication signature), і SSD-B (64 біта), призначену для генерації ключів, використовуваних для шифрування мови і передачі сигналу повідомлення. SSD може використовуватися постачальниками послуг для місцевої аутентифікації при роумінгу. Нові загальні секретні дані (SSD) можуть генеруватися при переміщенні мобільної станції до чужої мережі або з поверненні до домашньої мережі [2] .

Алгоритм Rolling code system. Цей шифр, названий також KccLoq, використовує лінійний рекуррентний регістр зсуву. Довжина основного регістру 32 біта, довжина додаткового регістра 5 біт. Шифрування проводиться побитним підсумовуванням е ключем. Для даного алгоритму існують ефективні атаки [3]. Наприклад, щоб отримати систему лінійних рівнянь, що дозволяє відновити початкове заповнення лінійного регістру, досить ноутом прослуховування ключової послідовності перехопити її 216 символів.

Алгоритм Crypto 1. Даний алгоритм використовує комбінацію лінійних і нелінійних рекурентних регістрів. Довжина ключа 48 біт.

Класифікація типів атак на радіоканал

До можливих ризиків при використанні мережевої інфраструктури стандарту 802.11 b відносяться атаки на конфіденційність інформації, цілісність і доступність мережевих ресурсів.

Рис. 1. Типи атак на безпровідну мережу стандарту 802.11

Як показано на Рис. 1, атаки, спрямовані на порушення безпеки безпровідної мережі діляться на активні і пасивні. Вони, в свою чергу, поділяються на кілька підкласів [4].

Пасивні атаки - до цього класу належать атаки, в ході яких неавторизована сторона просто отримує доступ до даних, не модифікуючи їх. Для системного адміністратора неможливо встановити факт пасивної атаки. Пасивними атаками вважається як перехоплення даних, так і застосування аналізатора трафіку.

Перехоплення - Атакуюча сторона переглядає зміст повідомлень, що передаються в мережі. Як приклад можна привести перехоплення повідомлень міждвома робочими станціями в мережі або між станцією і точкою доступу.

Аналіз трафіку - в даному випадку застосовується підхід з фільтрацією трафікуза певними критеріями. Проводиться накопичення статистики за повідомленнями, що містить заздалегідь відомі фрагменти.

Активні атаки - атаки, при яких неавторизована сторона виробляє модифікацію повідомлень. Можна виявити факт атаки даного класу, але не завжди можливо запобігти її. Активні атаки виіляються на чотири підкласу: підміна адреси, повтор,модифікація повідомлення і відмова в обслуговуванні.

Підміна адреси - шляхом підміни адреси атакуюча сторона може отримати всіабо частину привілеїв авторизованого користувача.

Повтор - атакуюча сторона перехоплює повідомлення і передає їх під виглядом авторизованого користувача

Модифікація повідомлення - проводиться модифікація повідомлення шляхом додавання, вилучення або модифікації даних.

Відмова в обслуговуванні - атакуюча сторона шляхом формування повідомлень певного виду унеможливлює нормальне використання або управління бездротовою мережею.

Аналіз стандартних засобів і методів захисту інформації в радіоканалі 802.11

Основою захисту даних, що передаються в безпровідних мережах, є протокол WEP. Як випливає з результатів досліджень протокол WEP не володіє достатньою стійкістю і має ряд структурних недоліків [5].

Одним з методів захисту інформації в мережі є приховування імені мережі або SSID. Однак, у багатьох рішеннях, запропонованих постачальниками безпровідного обладнання, зокрема в обладнанні фірми Lucent, присутній ряд уразливості всистемах, що забезпечують контроль доступу до мережі. Деякі керівні кадри містять ім'я мережі або SSID, причому ці повідомлення, що розсилаються як точками доступу, так і клієнтами, є широкомовними і не зашифровуються. Видкеруючого фрейму, що містить

SSID, залежить від конкретного виробника. В результаті атакуюча сторона отримує інформацію про ім'я мережі, що в поєднанніз підібраним секретним ключем дає доступ до захищеної мережі. Цей недолік проявляється в не залежності від активації режиму шифрування з допомогоюпротоколу WEP, так як керуючі фрейми при цьому передаються відкритим текстом. Механізм захисту, заснований на застосуванні таблиці МАС-адрес для станцій, яким дозволений доступ, теоретично гарантує високу стійкість при використаннінадійної ідентифікації клієнта. Але на практиці так не відбувається, в результатітого, що МАС-адреса повинна передаватися у відкритому вигляді, навіть у разіактивації протоколу WEP. Всі сучасні мережеві карти стандарту 802.11 мають можливість програмної зміни MAC-адреси. Таким чином, при перехопленні адреси,якій дозволений доступ, можлива підміна значення МАС на станції атакуючої сторони і отримання доступу в захищену мережу.

Злом протоколу аутентифікації із загальним секретним ключем можна здійснити за допомогою пасивної атаки з перехопленням фреймів, що передаються в процесі взаємної аутентифікації [6]. Можливість атаки визначається недоліками, зазначеними в статичній структурі протоколу. Єдина відмінність між повідомленнями при аутентифікації полягає в вмісті перевірочного тексту.

Спочатку атакуюча сторона перехоплює другий і третій керуючий фрейм, що передаються в процесі аутентифікації. Другий фрейм містить перевірочний текст в незашифрованому вигляді, а третій той же текст, але вже зашифрований за допомогою загального секретного ключа. Таким чином, атакуючій стороні стає відомий незашифрований текст Р, той же текст, але вже зашифрований З і значення IV, яке передається в незашифрованому вигляді. Далі можна обчислити псевдовипадкову послідовність WEPKIV, згенеровану із застосуванням секретного ключа к і значення вектора ініціалізації IV використовуючи формулу 1.

Розмір псевдовипадкової послідовності буде точно таким же, як і розмір кадру аутентифікації. При цьому всі елементи кадру заздалегідь відомі: номер алгоритму, номер послідовності, код стану, ідентифікатор елемента, довжина і контрольний текст.

Таким чином, атакуюча сторона має можливість успішноаутентифицироваться в захищеній мережі навіть при невідомому секретному ключі К. Атакуюча сторона надсилає запит до тієї точки доступу, до якої потрібно підключитися. Точка доступу відповідає керуючим фреймом, що містить перевірочний текст. Атакуюча сторона розраховує тіло фрейму аутентифікаціїшляхом обчислення XOR (виключає «або») від значень отриманого випадкового тексту R і послідовності WEP. Наступним кроком необхідно обчислити нове значення контролю цілісності (ICV). Для цього застосовується методика, докладноописана в розділі «Активна атака з метою підміни трафіку» [7]. Після цього станція стає авторизованою для захищеної мережі. Якщо в захищеній мережі застосовується протокол WEP, то атакуючій стороні не вдасться обмінюватися інформацією з іншими станціями без застосування спеціальних засобів.

Основні проблеми, пов'язані з безпекою безпровідних мереж стандарту 802.1 lb:

1. Засоби безпеки, вбудовані виробником обладнання, дуже часто не використовуються. Незважаючи на недоліки механізмів безпеки, реалізованих різними виробниками у своїх продуктах, їх використання знижує ймовірність виникнення проблем з безпекою даних [8].

2. Діапазон значень IV малий або використовується статичний IV. З огляду на те, що IV - 24 бітне число, можлива атака, заснована на дешифрування повідомлень, зашифрованих за допомогою одних і тих же значень ключового потоку (key stream).

3. Довжина криптографічного ключа мала довжина ключа в 40 біт не адекватнадля захищених систем. В даний час рекомендована довжина не менше 80 біт. Велика довжина ключа ускладнює атаку методом перебору.

4. Використання загального криптографічного ключа використання загального ключа може призвести до проблем в області захисту інформації. Безпека мережі залежить від збереження секретного ключа, який має бути відомий кожній станції.

5. Криптографічний ключ не може бути змінений автоматично і з потрібною частотою Криптографічний ключ необхідно часто змінювати для попередження можливих атак методом перебору.

6. Слабкість алгоритму RC4 внаслідок особливостей його застосування в алгоритмі WEP Так як значення IV є частиною ключового потоку для алгоритму RC4 і передається у відкритому вигляді, може бути зроблена атака з метою отримання криптографічного ключа. Даний недолік алгоритму RC4 непроявляється у випадках, відмінних від WEP, так як не відкривається частина ключового потоку і не проводиться перезапуск алгоритму для кожного пакету даних.

7. Алгоритм захисту цілісності має недоліки. Алгоритми лінійної блочної структури, подібні CRC32 не можуть забезпечити надійний захист цілісності для застосування в криптографії. Можлива зміна вмісту пакета. Лінійні алгоритми схильні до атаки, спрямованої на підміну вмісту пакету. Використання в процесі підготовки пакету некриптографічних алгоритмів часто полегшує можливі атаки на зашифровану інформацію.

8. Недоліки в системі аутентифікації на основі списку MAC адрес При використанні аутентифікації на основі списку MAC - адрес вкрадений пристрій може безперешкодно увійти в мережу, так як не здійснюється перевірка користувача.

9. Проблеми при використанні аутентифікації на основі ідентифікатора SSID при аутентифікації на основі ідентифікатора мережі можливе перехоплення пакетів з подальшим отриманням значення SSID.

10. Недоліки аутентифікації влаштування на основі загального криптографічного ключа Одностороння аутентифікація на основі запиту-відповіді із застосуванням загального криптографічного ключа вразлива до атаки, так як може бути здійснено перехоплення і аналіз переданих даних. Потрібна додаткова аутентифікація користувача для визначення його прав на доступ в мережу.

Дослідження методів захисту інформації протоколуWEP

В зв'язку з зростанням і розвитком індустрії безпровідного доступу постало питання про надійність передачі і ступеня захищеності радіомережі [9]. Припересиланні даних по радіохвилях вони можуть бути легко перехоплені і змінені. Таким чином, необхідний механізм безпеки для забезпечення захисту інформації врадіоканалах.

Зазвичай в мережах стандарту 802.11 відбувається взаємодія між клієнтською станцією і точкою доступу (АР - Access Point), використовуючи радіохвилі. Якщо перешкод (стін, штучні або природні перешкоди) між АР і клієнтської станцією не екранують радіосигнал, то пряма видимість не потрібна. Поряд зі специфікаціями з передачі даних стандарт визначає протокол WEP (Wired Equivalent Privacy), що слугує механізмом захисту даних при передачі по радіоканалу від перехоплення. Захист інформації здійснюється за допомогою зовнішнього сервісу управління ключами, створеними для процесів шифрування і розшифровки повідомлень, що передаються по мережі. Основні властивості алгоритму WEP визначаються в [10].

Стандартна система аутентифікації має недоліки, основні з них наведені нижче:

1. Необхідність доставки загального секретного ключа WEP, неможливість частої зміни ключа;

2. Підміна MAC адреси;

3. Перехоплення пакетів з подальшим отриманням значення SSID;

4. Одностороння аутентифікація на основі запиту-відповіді із застосуванням загального криптографічного ключа.

Система аутентифікації радіоканалу стандарту 802.11 b побудована на основі стандарту IEEE 802.їх. 802.їх визначає, як використовувати розширений протокол аутентифікації (Extensible Authentication Protocol - ЕАР) [11].

Серед ЕАР методів розроблених спеціально для безпровідних мереж варто особливо виділити сімейство, засноване на стійких паролях.

Алгоритм SPEKE був розроблений з метою подолати проблеми, пов'язані з низьким ступенем безпеки і високою складністю в реалізації властиві методів аутентифікації, заснованим на сертифікатах. Дослідження призвели до розробки нового сімейства алгоритмів аутентифікації на основі паролів, причому були усунені недоліки, присутні в традиційних алгоритмах, що використовують паролі. Тоді ж був введений термін "стійкий пароль", що показує приналежність алгоритму до даного сімейства. Головна перевага алгоритмів на основі стійких паролів в тому, що обидві сторони можуть довести один одному, що вони знають секретний пароль, при цьому не викриваючи його при третьої сторони, яка може перехоплювати повідомлення. Алгоритми на основі стійких паролів дозволяють зробити захищену аутентифікацію із застосуванням коротких, легко запам'ятовуються паролів. Основою таких алгоритмів є метод обміну Діффі-Хелмана (Diffie-Hellman) [12]. Метод Діффі-Хелмана дозволяє двом сторонам створювати ключ шифрування, причому третя сторона, яка може мати можливість перехоплювати повідомлення, не зможе отримати цей ключ.

Безпека методів, застосованих у криптографічних алгоритмах системи аутентифікації, базується на припущенні, що зведення в ступінь є односторонньою функцією, основною небезпекою є можливість для атакуючої сторони обчислити дискретний логарифм від результату. Всі відомі методи обчислення дискретного логарифма вимагають великих обсягів передобчислень для кожного конкретного значення модуля.

Алгоритми SPEKE і DH-EKE володіють нижче перерахованими характеристиками:

1. Запобігають можливість відкладеної (off-line) атаки по словнику пароль

2. Протистоять атаці за словником в реальному часі

3. Забезпечують можливість взаємної аутентифікації

4. Мають вбудовану систему обміну ключів

5. Немає необхідності в довготривалих (persistent recorded secret data) секретних або специфічних (sensitive host-specific data) даних.

Можливість здійснення атаки по словнику в реальному часі (On-line dictionary attacks) може бути легко виявлено і попереджено, наприклад простим підрахунком кількості невдалих входів в систему. Але проблема відкладеної атаки за словникомна пароль становить велику небезпеку. Атакуюча сторона може маскуватися під другого учасника аутентифікації, або перехоплювати повідомлення, якими обидві сторони обмінюються при взаємної аутентифікації. Витік будь-якої, навіть незначної частини інформації при обміні може призвести до успішної атаки. Алгоритм повинен бути стійкий до атак такого типу, навіть при застосуванніпаролів невеликої довжини.

Взаємна аутентифікація бажана для того, щоб кожна з двох сторін була впевнена, що інша знає пароль.

У той же час, використовуючи пароль генерується ключ сесії для забезпечення безпеки обміну даними між двома сторонами. Необхідність у вбудованій системі обміну ключів при аутентифікації детально обговорюється в [13]. Основна ідея полягає в тому, що, розділяючи кроки аутентифікації і обміну ключами, створює можливість третій стороні здійснити атаку, перехоплюючи повідомлення. Захищений обмін ключами вимагає спільної участі обох сторін, і повинен бути невід'ємною частиною процесу.

Відсутність потреби у зберіганні довготривалих секретних даних означає, що користувачеві не потрібні додаткові симетричні, відкриті або приватні ключі. Існуєбезліч способів для створення захищеного каналу, через який може бути переданийу відкритому або хешірованном вигляді пароль. Методи, засновані на паролі (password-only method) дозволяють використовувати пароль як незалежний фактор і спростити налаштовувану частина системи. З одного боку довготривалі дані необхідно згенерувати, поширити і захистити при зберіганні, що створює додатковіпроблеми. З іншого боку секретні дані не повинні бути розкриті, зашифровані дані треба оберігати від несанкціонованого втручання. Отже, потрібне застосування спеціальних захищених областей пам'яті, що погіршує систему безпеки і створює додаткові можливості для порушення захисту. Системи, в яких безпека пароля залежить від збереженого ключа набагато простіше при розробці, але вони лише переміщують основу безпеки з пароля на ключ. Якщо ключ викрадений, пароль може бути скомпрометований. Відмова від власних ключів позбавляє від цієї проблеми, також зникає необхідність використовувати захищене сховище.

Алгоритми SPEKE і DH-EKE володіють всіма вищепереліченими перевагами і мають інші бажані характеристики, які будуть розглянуті нижче.

Розробка моделі

Поряд з багатьма перевагами в алгоритмі WEP є недоліки в області безпеки [4, 5, 14]. У WEP використовується поширений симетричний алгоритм генерації псевдовипадкових чисел RC4 PRNG (Ron's Code 4 Pseudo Random Number Generator) [15]. Однак реалізація містить ряд недоробок в області безпеки. Дані недоліки дозволяють здійснювати ряд як активних, так і пасивних атак по перехопленню і підміні повідомлень, що передаються по бездротових мережах [16].

У протоколі реалізований класичний 40 бітний ключ і 24 бітний IV, проте конкретними виробниками зазвичай розробляються розширені версії, що підтримують велику довжину ключа. Чим коротше довжина ключа, тим більше вінє схильним атаці шляхом перебору комбінацій (brute-force attack), що цілком під силу більшості сучасних комп'ютерів. При збільшенні розрядності секретного ключа, приміром, до 128 біт, перебір стає неможливим навіть для спеціальних обчислювальних систем. Однак залишаються можливості для атак, що не використовують метод перебору і зводять нанівець всі переваги довгого ключа [17].

В результаті за відносно невеликий проміжок часу можливе перехоплення двох пакетів даних, які зашифровані однією і тією ж ключовою послідовністю. Далі можливий статистичний аналіз для відновлення вихідного незашифрованого тесту,що міститься в одному повідомленні. У випадку вдалого підбору, провівши операцію «виключне АБО» (XOR) над зашифрованим повідомленням і розпізнанимтекстом зловмисник відновлює відповідну ключову послідовність, що дозволяє йому переглядати всі інші зашифровані повідомлення, зашифровані з допомогою даного IV:

Навіть якщо не вдасться розпізнати звістку контекст повідомлення, про нього можна здогадатися, використовуючи передбачувану структуру і надмірність IP трафіку.

Іншими словами застосування операції XOR над двома такими зашифрованими повідомленнями дозволяє виключити вплив ключової полідовності і аналізувати різницю незашифрованих даних, що даєнабагато більше шансів у розкритті вмісту пакетів методом статистичного аналізу. Якщо зловмисник зміг зіставити вихідний і зашифрований текст, то він, очевидно, зможе згенерувати ключову послідовність. Володіючи цими відомостямине складно організувати передачу зашифрованого трафіку на станцію жертви, причому приймач повідомлень пізнає приходять пакети як коректні.

Дана атака може проводитися і іншим способом. Навіть якщо зловмисник недосяг повної розшифровки вмісту пакета, він може довільно змінювати значення бітів у повідомленні, потім додавати обчислене значення контролю цілісності ICV для отримання коректної версії модифікованого пакета. Операція XOR має властивість дистрибутивності: с(х ? у) = С(х) ? с(у) для будь-яких х і у. Розглянемоситуацію, в якій проведено перехоплення пакету з даними, де зашифровані дані.

При цьому можливе створення такого зашифрованого повідомлення яке відповідає р. Далі з'являється можливість підміни пакету з даними:

Рис. 2. Схема аутентифікації стандарту

В цьому випадку станція в отримає змінений пакет даних р' з коректним значенням контролю цілісності.

Можлива ситуація, в якій зловмисник, перехоплюючи трафік в мережі, має уявлення тільки про заголовку кадру, а не про вміст повідомлення. Наприклад, або заздалегідь відомий або обчислений IP адреса жертви. Маючи цю інформацію, зловмисник може замінити відповідні біти пакету' для підміни IP адреси на адресу станції знаходиться під його контролем, за умови, що мережа, на яку ведеться атака,підключена до мережі Інтернет. Далі пакет потрапляє на точку доступу, що з'єднує бездротову мережу з Інтернет, розшифровується, і у відкритому вигляді пересилається на комп'ютер зломщика [17]. При цьому модифікований пакет переміщається з бездротової мережі в Інтернет, отже, він не буде затриманий більшістю стандартних мережевих екранів.

Для здійснення даної атаки недостатньо просто замінити IP адресу одержувача пакету, необхідно щоб контрольна сума зміненого пакету була коректною. Припустимо, що DL і DH - це дві 16-бітні частини вихідного IP адреси одержувача, їх необхідно замінити на L і D H. Позначимо значення старої контрольної суми як S, причому її значення не обов'язково може бути відомо. Тоді нове значення обчислюється за формулою:

Якщо значення S заздалегідь відомо, то нескладно обчислити значення S' і модифікувати пакет операцією XOR зі значенням S ф S'. Якщо S заздалегідь не відомо, то завдання набагато складніше. Відомо значення Е = S'-S, необхіднообчислити А = S ф S'. При використанні методів статистичний аналіз і володіючи певною структурою повідомлення, велика ймовірність підбору потрібного значення.

Відносно мала кількість можливих значень IV дозволяють атакуючій стороні побудувати таблицю розшифровки. При вдалій спробі розшифровки вмісту будь-якого пакету даних стає можливим відновити-ключову послідовність, - згенеровану при поточному IV. Ця ключова послідовність потім може бути використана для розшифровки всіх інших пакетів, які використовують те ж саме значення IV. При досить добре відпрацьованої технології статистичного аналізу зловмисник може побудувати таблицю відповідності IV векторів і відповідних їм ключових послідовність. Така таблиця буде містити близько 2 (більше 16 мільйонів) записів, що складе обсяг близько 24 Гб. Користуючись цією таблицею, зловмисник зможе розшифрувати будь-який пакет без зусиль, досить з'ясувати тільки значення ключової послідовності по його IV.

За повідомленнями аналітиків на сьогоднішній день лише в 40% безпровідних мереж стандарту 802.11 активований протокол WEP [18, 19, 20]. Це призводить до втрати конфіденційності переданої інформації і робить можливим здійснення атак на мережеву інфраструктуру. Для протидії необхідно використання протоколу WEPі якомога частіше міняти секретний ключ. При конфігуруванні необхідновстановлювати довгі, - стійкі до підбору ідентифікатори SSID.

Застосування фільтрації МАС адрес або використання WLAN дозволить заборонити доступ неавторизованим бездротових карт. Необхідно обов'язково закрити доступ до інтерфейсу конфігурування точок доступу в бездротовій мережі.Використання програми антивіруса і мережевого екрану усуне можливість появи на клієнтських машинах сторонніх програм-шпигунів і перехоплювачів.

Об'єднуючи захист за допомогою брандмауера і технології IPsec, SSH або SSL можливо з високою часткою ймовірності виключити можливість перехоплення інформації і запобігти доступ для невпізнаних клієнтів [17].

Основні зусилля додаються в області розмежування функцій шифрування і аутентифікації для того, щоб не було необхідності у спільному використанні секретного ключа на всіх станціях бездротової мережі. Був прийнятий чорновий варіант стандарту попередньо названий Enhanced Security Network (ESN), в якій передбачений посилений варіант захищеної аутентифікації і система управління 128-бітними ключами. У системі шифрування ESN буде замінено алгоритм генерації псевдовипадкових чисел RC4 PRNG на сучасний стандарт AdvancedEncryption Standard (AES). З прийняттям нової версії WEP2 рівень безпеки безпровідних мереж може досягти рівня безпеки їх проводових аналогів.

Розробка засобів захисту від атак на системуаутентифікації, заснованої на алгоритмі SPEKE

В роботі обговорюються проблеми обчислення дискретного логарифма, і обговорюється вибір параметрів для основної DH аутентифікації, особливо із застосуванням коротких значень експоненти. Таблиця 1 - скорочена зведенатаблиця, присвячена методам захисту для обох алгоритмів.

Можливі атаки на процес DH-обміну можна умовно розділити на наступні класи:

-- Обчислення дискретного логарифма

-- Витік інформації

-- Обмеження по невеликих підгрупах

В атаці "обчислення дискретного логарифма" проводиться зворотне перетворення від зведення в ступінь по модулю m, з метою відновити показник ступеня, і, в кінцевому рахунку, пароль S. Труднощі цих обчислень залежать від розміру і властивостей числа m. Стійкість алгоритму до даної атаки грунтується на практичній неможливості подібного обчислення [21].

Необхідно відзначити, що перехоплення значень експоненти, можливо зашифрованої, не призводить до витоку інформації про пароль S. Витік навіть одного біта інформації про пароль може бути критичнм, у разі якщо застосовується атака з підбором по словнику, дозволяє розділити можливі паролі на дві групи: відповідні і свідомо неправильні [22]. Такий тип атак - «розподілена атака» (partition attack) може зменшити словник великого розміру до кількох значень за відносно малу кількість проходів.

Нарешті, атакуюча сторона, яка знає структуру Zm, може бути здатна обмежити область можливих значень K до розміру невеликий підгрупи, яка дозволяє здогадатися про значення або застосувати атаки перебором. При аналізахбезпеки алгоритму Діффі- Хелмана (Diffie-Hellman) передбачається, що К завжди розташоване з рівномірною ймовірністю в Zm. Це припущення є невірним, так як, починаючи з першого зведення g в ступінь, що є випадковим числом, відбувається потрапляння результатів в меншу підгрупу, принаймні, в половині випадків. На цій закономірності грунтується атака "обмеження по невеликих підгрупах".

Методи захисту для обох алгоритмів

Метод захисту	Відвернена атака	SPEKE	DH-KE
Модуль m повинен бути великим числом	Обчислення дискретного логарифма	+	+
Перевірка на Qx ! = 0, у разі не зашифрованих значень	Форсування значення К = 0	+	+
Значення m -1 повинно мативеликий просто множник q.	Обчислення логарифма за методом Полінгу-Хелмана	+	+
Шифрування Qx, розбитого начастини і зібраного у випадковому порядку	Витік інформації ззначення Es(Qx)		+
База g повинна бути першоподібним коренем від т.	Розподілена атака на Es(Qx)		+
База повинна бути генератором для q	Розподілена атака Qx	+
База у вигляді Sx modp	Атака типу «пароль векспоненті»
Необхідно шифрувати Qx приперевірці К	Підбір пароля використовуючи Qx, ^словник паролей		+
Використання одностороннього хешуваннязначення К	Атака на обмеженнязначень	+	+
Перший біт m повинендорівнювати 1	Розподілена атака наЕк(Qx)		+
Шифрування значень Qa,Qb	Обмеження по підгрупамдля К		+
Переривання роботи, якщо Кмалого порядку	Обмеження по підгрупамдля К	+

Атака через обчислення дискретного логарифма

Безпека методів, застосованих в алгоритмах, базується на припущенні, що зведення в ступінь є односторонньою функцією, основною небезпекою є можливість атакуючої сторони обчислити дискретний логарифм від результату. Всівідомі методи обчислення дискретного логарифма вимагають великих обсягів передобчислень для кожного конкретного значення модуля [23].

Розмірність модуля - основа захисту. На сьогоднішній день не відомі методи обчислення дискретного логарифма розмірністю більшої близько сотні біт, проте цілком ймовірно, що в недалекому майбутньому можливі успішні атаки на модулі розміром в 512 біт. Десь у діапазоні від 512 до 1024 біт знаходиться ідеальний розмір модуля, збалансований за вимогами безпеки і швидкості обчислень, для конкретних додатків.

Більше того, потрібно правильно підібрати модуль т з метою запобігти можливість швидкого обчислення дискретного логарифма. Якщо m-1 має великий простий множник q, то він може протистояти атаці на обчислення дискретного логарифма Поліга-Хелмана (Pohlig-Hellman). Використання безпечних простихчисел у вигляді m = 2q+\, є одним із способів подолати цю вразливість.

Передбачається, що необхідні передобчислення дискретного логарифма виконані для певного модуля, в атаці на основі' підбору пароля необхідно розрахувати конкретний логарифм для кожного запису в словнику паролів, поки не буде знайдено правильне значення. Будь-яка сесія, що використовує модулі євразливою для атаки з логарифмування. Таким чином, необхідно дотримуватися ситуацію робить проблему обчислення дискретного логарифмування як можна більш важкою [24]. В цьому разі здійсненність преобчислювань є першорядною проблемою.

Розподілена атака

У методі Діффі-Хелмана використовується група Zm, де m - велике ціле число, причому m-1 має великий простий множник q. При цьому g є первісним коренем від т. На практиці g має бути простим для того, щоб запобігти атаці. Третя сторона може здійснити пробне дешифрування E_s(gRx mod m) використовуючи словник паролів Si. E_s - симетрична функція шифрування, що використовує ключ Si. Якщо Јне просте число, не вірне Si підтвердитися простим результатом. В загальному випадку для запобігання атаки на DH-EKE зашифроване значення Qx не повинно містити передбачуваної структури. Умова, що g є простим числом, дозволяє домогтися рівномірного розподілу значень всередині Zm.

Також необхідно звернути увагу на можливі недоліки методу шифрування як такого, зокрема необхідно заповнювати порожні повідомлення випадковим текстом, що відноситься до обмежень, що накладається на функцію E_s. З урахуванням всього цього інші рекомендовані обмеження для DH-EKE:

— m повинна бути виду m -1

— розбиття на блоки при шифруванні Es у випадковому порядку

Для алгоритму SPEKE не потрібно цих обмежень, так як в ньому не використовується симетричне шифрування.

У алгоритмі SPEKE не потрібне використання простої основи. Якщо основа f(S) - випадковий член групи Zm, сторона, що перехоплює значення може їх перевірити на належність до малих підгрупах. Якщо результат є першоподібним коренем від т, значить база так само просте число. Для безпечних цілих m це означаєрозкриття 1 біта інформації про пароль S. Якщо значення т буде змінюватися, як рекомендовано для підвищення безпеки, атакуюча сторона може отримати нову інформацію, що дозволить зменшити розмір словника для пошуку Sj [25].

У разі якщо для будь-якого значення S, підстава f(S) є генератором великої підгрупи, то для атакуючої сторони неможливо отримати потрібну інформацію з результату. У подальших міркуваннях ми будемо припускати використання в якості базису великого простого числа [26].

Так як в алгоритмі SPEKE не шифруються значення Qx, формальний аналіз набагато спрощується в порівнянні з DH-EKE.

Атака з відомим ключем сесії

У роботі розглянута атака, при якій викрадений ключ сесії К використовується для проведення атаки на пароль за словником. Стійкість до цієї атаки близько пов'язана з поняттям повної прямої безпеки, завдяки якій відбувається ізоляція одного типу секретних даних від атак на інші [27].

В алгоритмі DH-EKE, відоме значення Ra в доповненні до відомого K дозволяє здійснити атаку по словнику з метою відкрити пароль S. Для кожного пробного пароля Si, атакуюча сторона обчислює:

При цьому якщо K' = К, то відповідно Si дорівнює S. Алгоритм SPEKE так само схильний цій атаці, при якій за допомогою Ra обчислюється S. У зв'язку з цимнеобхідно негайно знищувати тимчасові змінні шифрування, такі як Ra і Rb.

Атака на стадії перевірки

На стадії перевірки в протоколах DH-EKE і SPEKE обидві сторони доводять один одному, що їм відомо значення загального ключа К. Через те, що К є великим криптографічним числом, друга стадія вважається захищеною до атаки методом перебору (brute-force attack), таким чином, перевірка значення К може бути виконана традиційними метод.

Виявлення атак в реальному масштабі часу

Небезпека повторюваних в реальному масштабі часу спроб підібрати пароль може бути зменшена за умови ведення історії та підрахунку невдалих спроб підключення. Необхідно обмежити кількість невірних спроб доступу до облікових записів, вимагаючи зміни пароля, при досягненні певного порогу. Поріг повинен бути заснований виходячи з довжини пароля. Так само необхідно зберігати кількість невдалих спроб підібрати пароль як при атаці на окремий обліковий запис,так і при спробі масової атаки, при якій не досягається порогу для будь-кого з користувачів.

Часто виникає бажання пробувати відокремлювати випадкові помилки від спроб проникнення, припускаючи, що більшість помилок супроводжуються успішним входом [28]. Проте атакуюча сторона може передбачити або спробуватизатримати легітимний доступ і зробити кілька пробних спроб на цей обліковий запис до успішного входу в систему користувача. Таким чином, навіть здаються очевидними помилки повинні бути ретельно досліджені обома сторонами.

Необхідно зберігати записи невдалих спроб з'єднання, як на хост-системі, такі на користувача системи. Настроювана система повинна зберігати як мінімум список останніх невдалих спроб і передавати цю інформацію по захищеному каналу на хост- систему кожний раз, коли здійснюється успішний вхід. Хост-система так само може повідомляти користувача про кількість невдалих спроб доступу з його боку. Цей метод серйозно знижує ймовірність атаки спрямованої на підбір пароля по відношенню до обох сторін.

Методи збільшення швидкодії алгоритмів

Використання короткого модуля

Для збільшення швидкості операції зведення в ступінь, розмірність модуля може бути зменшена. Але так як великий розмір модуля є умовою безпеки алгоритму Діффі- Хелмана, необхідно проявити обережність при виборі оптимальної розмірності. При зменшенні розмірності модуля, наприклад до 600 біт, можливість дискретного логарифмічного перетворення зростає багаторазово [29].

Для синхронізації розмірності модуля для обох сторін, передбачається, що одна зі сторін вибирає цей параметр для іншої. Таким чином, постає питання в безпеці даного підходу. Третя сторона зможе, варіюючи даний параметр отримати додаткову інформацію про паролі.

Використання несертифікованих змінюваних параметрів

Наступне питання, що стосується безпеки пов'язане з необхідністю використання змінюваних параметрів. Припустимо, що одна зі сторін вибирає т і gз заздалегідь сформованого списку і пересилає їх іншій стороні перед операцією обміну. Так як в даному алгоритмі не використовується відкритий ключ, дані параметри є сертифікованими.

Найбільш простим рішенням даної проблеми є вбудовування фіксованих безпечних параметрів в систему, де модуль є досить великим, щоб запобігти атаці, пов'язану з обчисленням дискретного алгоритму. На даний момент довжини в 1000 або 2000 біт достатньо для забезпечення довгострокового захисту [30]. У поєднанні з використанням короткого значення в експоненті робить рішення відповідним для більшості ситуацій.

У роботі [31] особливо звертається увага на наступні обмеження:

— модуль m повинен бути великим простим числом, інакше можливеприскорене обчислення дискретного логарифма;

— q має бути простим числом, так як при безпечному значенні m можливо прискорене обчислення дискретного логарифма.

Використання короткого значення в експоненті

Менш радикальним підходом до проблеми збільшення швидкодії полягає в зменшенні значення експоненти до достатнього для забезпечення прийнятного рівня безпеки розміру. Кількість біт в експоненті (Qa, Qb) має бути, як мінімум вдвічі більше ніж кількість біт (t), необхідного для К, зазвичай це менше, ніж кількість біт в т.

Можна використовувати два безпечних підходи, коли експонента може бути зменшена до розміру в 2t біт:

1. Використовуючи велике безпечне значення модуля т з вихідним базисом 2.

2. Використовуючи великий простий модуль m з великим простим базисом порядку q, де q має розмірність як мінімум в 2t біт.

Перший підхід застосуємо як до DH-EKE, так і до SPEKE, однак DH-ЕКЕ потребує додаткового захисту від атаки пов'язаної з обмеженням значень у невеликих підгрупах. Використання базису g = 2 дозволяє значно збільшити швидкість роботи алгоритму. Застосовуючи g = 2 необхідно відзначити, що. для цихпротоколів використовуються різні безпечні прості числа. Безпечне просте число р в алгоритмі DH-EKE повинно мати первісний корінь 2, тоді як безпечне просте, підходяще для SPEKE має в ідеалі дорівнювати 2 в ступені q. Використання великих простих підгруп, де q << т дозволяє прискорити розрахунок DH параметрів. Це застосовується для SPEKE, але не може бути використано в DH-EKE, так як для цього алгоритму потрібна проста база.

Розробка вдосконаленої системи безпеки, для радіоканалу стандарту 802.11

Розглянемо механізм роботи системи безпеки. У структурі мережевої моделі OSI протокол 802.11b займає найнижчий (фізичний) рівень та частина вищерозміщеного канального рівня - підрівень управління доступом до середовища (МАС). У додатку стандарт визначає використання протоколу 802.2 для управління логічним каналом (LLC).

Слабкі сторони системи безпеки протоколу 802.11b викликані як чисто фізичними факторами, так і особливостями реалізації. Основними недоліками є [32]:

-- Можливість перехоплення пакета з інформацією;

-- Недостатньо надійна система аутентифікації;

-- Недоліки, пов'язані з шифруванням.

Можливість перехоплення пакета з інформацією.

Проблема проявляється у зв'язку з тим, що дані передаються по радіоканалу. Будь-яка станція, що знаходиться в зоні прийому сигналу, може здійснити збір інформаційних пакетів. Якщо при цьому не використовувалося шифрування, то дані можна досить тривіально витягти з окремих пакетів і - використовувати, залежно від подальших намірів перехоплює сторони не вдаючись до застосування спеціальних засобів. Для такого роду завдань досить встановити простий мережевий монітор, який дозволяє переглядати вміст пакетів і виробляє їх фільтрацію за певними ознаками, наприклад IP адресою. Ситуація ще більше погіршується тим, що не представляється можливим встановити, прослуховується в даний момент радіоканал чи ні. Таким чином, перехоплення може відбуватися абсолютно непомітно для системних адміністраторів мережі.

Недостатньо надійна система аутентифікації.

Протокол WEP визначає використання секретного ключа, який повинен бути заздалегідь відомий всім станціям мережі, інакше кажучи, наявність ключа біля станції означає, що вона пройшла процес аутентифікації. Проте, сам протокол WEP не регламентує як спосіб передачі секретний ключа, так і з якою частотою даний ключ необхідно міняти. Це призвело до того, що багато виробників обладнання не реалізують механізми по доставці ключа, змушуючи тим самим користувачів самостійно конфігурувати пристрої і вручну переносити значення ключа на всі стації мережі. Це призводить до того, що секретний ключ змінюється рідко або можливо взагалі не змінюється досить тривалий час.

Ідентифікатор SSID (Service Set Identifier) дозволяє ділити безпровідну мережу класу Basic Service Set (BSS) на логічні сегменти, будучи свого роду ідентифікатором підмережі [33]. З допомогою SSID відбувається обмеження доступу для будь-якого клієнтського пристрою, який не володіє необхідним SSID. Однак найчастіше АР (точка доступу) виробляє широкомовну розсилку ідентифікатора SSID своєї підмережі. Навіть у разі відключення функції розсилки SSID, зловмисник може отримати значення SSID, аналізуючи трафік між станціямимережі.

Крім того, можна заборонити доступ на основі фільтрації MAC-адрес. Але не дивлячись на те, що всі стандартні мережні карти повинні мати унікальний MAC адресу існує програмне забезпечення або часто є апаратна можливість по заміні MAC адреси в мережевому інтерфейсі.