Реализация атаки на протокол WPA2 Текст научной статьи по специальности «Компьютерные и информационные науки»

7. Benchmarking network IDS. [Электронный ресурс] / Режим доступа:

http://archives.neohapsis.com/archives/sf/ids/2000-q4/0244.html, свободный. - Загл. с экрана.

Половко Иван Юрьевич

Технологический институт Федерального государственного образовательного учреждения высшего профессионального образования «Южный федеральный университет»

. .

E-mail: ivan.polovko@gmail.com.

347928, г. Таганрог, пер. Некрасовский, 44.

Тел.: 8(8634)371-905.

Кафедра безопасности информационных технологий; аспирант.

Polovko Ivan Yurevich

Taganrog Institute of Technology - Federal State-Owned Educational Establishment of Higher Vocational Education “Southern Federal University”.

E-mail: ivan.polovko@gmail.com.

44, Nekrasovskiy, Taganrog, 347928, Russia.

Phone: 8(8634) 371-905.

The Department of IT Security; post-graduate student.

УДК 681.324

К.И. Емельянов РЕАЛИЗАЦИЯ АТАКИ НА ПРОТОКОЛ WPA2

В статье описывается практическая реализация атаки на подсистему обеспечения безопасности беспроводных протоколов TK1P (Temporal Key Integrity Protocol), использующуюся в WPA/WPA2.

Безопасность беспроводных протоколов; WPA; WPA2; TKIP; атака; точка .

K.I. Emelianov

IMPLEMENTATION OF THE ATTACK ON THE PROTOCOL WPA2

The article describes the practical realization of the attack on the subsystem wireless security protocols, TKIP (Temporal Key Integrity Protocol), used in WPA/WPA2.

Wireless' security protocols; WPA; WPA2; TKIP; attack; access point.

Анализ безопасности протокола WPA

Протокол WPA, хоть и является более защищённым, чем WEP, но имеет уязвимости, обусловленные используемым алгоритмом шифрования RC4 и использованием алгоритма CRC32, который не дотягивает по требованиям до криптогра-

- .

На рис. 1 блок Network Data идет после MAC Header (чек-сумма FCS здесь не показана, так как ее обработка ведется на нижележащем уровне модели OSI). IV - это тот же 24-битовый WEP Initialization Vector, только смысл его несколько

, .

MAC f leader rv Res Ext IV Key ID Extended IX УШн VfIC Щ

нг 24bI 5b lb 2b ! >2b і 64b 1 L_ 1 ^ ■ч. 2b

TSOI d TSCO TSC2 TSC? TSC4 TSC5

Рис. 1. Формат ТК1Р пакета

Чтобы понять, что означают представленные поля, рассмотрим протокол ТК1Р (рис. 2).

Рис. 2. Алгоритм TKIP

TKIP (Temporal Key Integrity Protocol) реализует три подхода к улучшению безопасности радиопротоколов семейства IEEE 802.11. Во-первых, это функция смешения ключей, которая комбинирует секретный основной ключ PTK (см. ни) , -ритму RC4. Во-вторых, это последовательный счетчик (TSC - TKIP Sequence Counter) 48-битной длины, значение которого растет с каждым переданным пакетом. Пакеты, полученные в неверном порядке, будут отвергнуты (а именно, будут отвергнуты пакеты с более ранним TSC), что позволяет защищаться от так называемых replay-атак. Наконец, это 64-битный код защиты сообщения MIC (Message Integrity Code).

TKIP реализует также механизм rekeying'a - смены сессионных ключей и га, RC4 .

Основной сессионный ключ PTK (Pairwise Transient Key) - это набор из 4-х 128-битных ключей, используемый для TKIP для шифрования отдельных пакетов в периоды между сменами ключей. Заметим, что PTK - это не пароль WEP и ни , TKIP .

В PTK входят 4 ключа: один - для шифрования данных в TKIP (н^овем его TK), другой - для вычисления MIC (а его MTK) и еще два так называемых EAPOL

, .

WPA, известного обеим сторонам, в процессе четырехэтапного «рукопожатия».

На рис. 2 видим, что все, что между MAC Header и Data по сути - счетчик TSC ,

говорящие о том, что используется Extended IV. TSC устанавливается в нуль при начале сессии и монотонно увеличивается с каждым переданным данным устройством пакетом, емкости в 48 бит хватит на ~250 триллионов пакетов, что можно считать достаточным с учетом периодической реинициализации сессионных клю-( 24- IV WEP). -

та вычисляется из TK, TA (Transmitter Address - MAC адрес передатчика) и TSC путем определенного двухфазного механизма хеширования, который дает на вы-104- , WEP IV

128-битового ключа.

MIC создан, в основном, для борьбы с подделкой (forgery) пакетов. Код вычисляется от данных всего сообщения (плюс адреса передатчика и приемника) еще до фрагментации и возможной смены порядка пакетов с помощью алгоритма под названием MICHAEL, генерирующего подпись длины 64 бит. Алгоритм, кроме , , , MTK. ,

, MIC- , -

MTK.

Борьба с подделкой со стороны Access Point происходит так: если пришел па-MIC ( ,

допустимое значение TSC и ICV сумма прошла проверку), то отправителю посылается уведомление и, если есть возможность, данное событие фиксируется в жур-

. 60 MIC, rekeying .

,

, .

Практическая атака на WPA

, WEP, -

зываемую Chop-Chop-атаку (от англ. chop, вольный перевод — «отрезать ломтик»). Эта атака позволяет узнать plaintext сообщения (то есть данные сообщения до шифрования), а значит и RC4 keystream пакета (plaintext + keystream = ciphertext => keystream = ciphertext + plaintext). Атака использует тот факт, что CRC32 чек-сумма отнюдь не проходит по требованиям в криптографическую хеш-функцию [3].

CRC S, -

гочлена (от X) с коэффициентами, равными соответствующим разрядам в ее двоичной записи, на предопределенный многочлен PCRC(X), причем арифметические операции выполняются в поле GF(2) (подробнее, например, в википедии). Однако CRC ,

поэтому на практике в начало и конец дописываются специальные строки (дайны,

CRC), Li ( ) Lf ( -

). 32- . ,

для CRC32:

CRC = (X32 * S + Li * Xn+32 + Lf) mod PCRC, (1)

n - S .

, S CRC,

CRC CRC ,

Pzero ( , , GF(2)

— XOR),

(X32 * (X32 * S + CRC) + Li * Xn+64 + Lf) mod PCRC = Pzero. (2)

В WEP-пакете последние байты данных (Network Data) - это зашифрованный ICV, CRC . ,

, , R, .

Q - , Q -

ток (то есть CRC). Но оказывается, что к Q можно прибавить некий многочлен M так, чтобы исправить CRC. Подставив сначала SO = Q * X8 + R, а затем S1 = Q + M в (2), легко найти, что M = (X32)-1 * (1 + (X8)-1) * (Pzero + Lf) + (X8)-1 * R.

P -1 P', P

* P' = 1 mod PCRC, , PCRC

PCRC . ,

32, M PCRC.

R 0 255 -

па, то, в конце концов, можно наткнуться на правильный. Понять, что попали в

: ICV

переданные с ошибкой; если же CRC верна, мы вправе ожидать ответный пакет, , WPA, ,

MIC.

, , , RC4

алгоритмом сводится к XOR-иванию данных с keystream'oM, но прибавление M это тот же XOR, а так как операция XOR коммутативна и ассоциативна, то и неважно,

M , ,

.

Описанный процесс можно повторять дальше, беря по байту от сообщения, и

WEP .

Chop-Chop WPA . TKIP -

ет, в основном, 2 средства для защиты от подобных атак:

1. ICV . ICV , MIC-

, ,

.

2. , TSC- (TSC- -

вуют отдельно для каждого канала, в которые данное устройство может слать пакеты) увеличивается на 1. Пакеты с меньшим, либо равным TSC с этого момента

.

Первый пункт частично на руку атакующему, так как позволяет понять, когда он угадал очередной байт. Со вторым сложнее: действительно, пусть перехвачен ARP , , Access Point,

, TSC ,

плюс то первое устройство, возможно, наслало еще пакетов, увеличив счетчик еще . IEEE

802.11e, определяющей улучшения в QoS для сетей Wi-Fi [4]. Устройства Wi-Fi поддерживают несколько очередей пакетов, по словам одного из авторов, Эрика Тьюза, предполагалось использовать 4 канала, в стандарте их 8, в реальности авто-16. ,

экономя пропускную способность для важных пакетов. В ненагруженной сети часто весь трафик идет в один канал, таким образом пакет мы скорее всего поймаем на канале с высоким значением счетчика TSC, перепосылать же его можно, переключившись на менее нагруженный канал. Важно, что при отсылке сообщения о MIC , -

лы можно не переключать.

Если в сети не поддерживаются QoS-расширения, атака, в принципе, также ,

AP .

, -

байту в минуту бессмысленно - стандартный Wi-Fi-пакет имеет размер ~2300 , , TSC-

счетчик увеличится, или ключи сменятся, или перезагрузится точка доступа. При, , .

Поэтому имеет смысл направлять усилия на расшифровку коротких пакетов, , ARP, (14 ). -

, APR- , , -

MAC- .

IP-структуре взламываемой сети (в сети созданной из под Windows, например, можно ожидать, что IP-адреса будут иметь вид 192.168.0.x), то угадать останется . , 12 ICV + MIC, -

, ICV- .

Расшифровав один пакет, атакующий узнает RC4-keystream пакета (исполь-, , , TSC ) , , -

MTK - MIC , .

,

MIC, , , ARP- (

), 4-5 . -

forged , QoS

каналов, от 7 до 15 раз (меньше, если трафик идет по более, чем одному каналу), дальше придется анализировать другой пакет.

Заключение

Атака позволяет расшифровать отдельные короткие пакеты, с которыми ве-, 4-5 , , -

зуя результаты дешифровки, инжектировать очень ограниченное число столь же коротких пакетов обратно в сеть.

Атака не может быть использована ни для подключения к домашней или кор, , .

Тем не менее, с её помощью можно «отравить» ARP и DNS-кеш, и прочитать некоторый объем приватного трафика, обмануть некоторые фаерволы.

Хотя шифры и не взламываются окончательно, администраторы беспровод-

WPA TKIP.

уже столкнулись с необходимостью модернизации беспроводных сетей для обеспечения их соответствия требованиям стандарта PCI DSS 1.2, который недавно WEP , -

тающих с конфиденциальной информацией.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Erik Tews, Ralf-Philipp Weinmann, and Andrei Pyshkin. Breaking 104 bit WEP in less than 60 seconds [Электронный ресурс] / Режим доступа: http://eprint.iacr.org/2007/120.pdf, свободный. - Загл. с экрана.

2. Aircrack manual [Электронный ресурс] / Режим доступа: http://www.aircrack-ng.org/doku.php, свободный. - Загл. с экрана.

3. Adam Stubble eld, John Ioannidis, and Aviel D. Rubin. A key recovery attack on the 802.11b wired equivalent privacy protocol (WEP). ACM Transactions on Information and System Security, 7(2):319{332, May 2004.

4. Erik Tews. Attacks on the wep protocol. Cryptology ePrint Archive, Report 2007/471, 2007. [Электронный ресурс] / Режим доступа: http://eprint.iacr.org/. - свободный. - Загл. с

.

Емельянов Константин Игоревич

Технологический институт Федерального государственного образовательного учреждения высшего профессионального образования «Южный федеральный университет»

. .

E-mail: kostaemrlyanov@gmail.com.

347928, г. Таганрог, пер. Некрасовский, 44.

Тел.: 8 (8634) 371-905.

Кафедра безопасности информационных технологий; аспирант.

Emelianov Konstantin Igorevich

Taganrog Institute of Technology - Federal State-Owned Educational Establishment of

Higher Vocational Education “Southern Federal University”.

E-mail: kostaemrlyanov@gmail.com.

44, Nekrasovskiy, Taganrog, 347928, Russia.

Phone: 8 (8634) 371-905.

The Department of IT Security; post-graduate student.

УДК 007.51:004.822

МЛ. Тенетко, О.Ю. Пескова АНАЛИЗ И ОЦЕНКА ИНФОРМАЦИОННЫХ РИСКОВ С ИСПОЛЬЗОВАНИЕМ НЕЧЁТКОЙ СЕМАНТИЧЕСКОЙ СЕТИ

В данной статье предложен новый подход к описанию информационного , . Проведено теоретико-множественное исследование структуры риска. Построена нечёткая семантическая сеть, описывающая структуру риска. Сделаны выводы относительно практического применения рассмотренного подхода.

; ; .

M.I. Tenetko, O.U. Peskova ANALYSIS AND RISK ASSESSMENT INFORMATION USING FUZZY SEMANTIC WEB

In the given article a new fuzzy sets and fuzzy semantic networks based approach to description of informational risk is proposed. A set-theoretical analysis of a risk struc-