Die Unsicherheit des WEP-Algorithmus hat mehrere Ursachen. Wie in About Security #105 erwähnt, kann ein Angreifer, der genug passende Pakete gesammelt hat, den WEP-Key berechnen. 2001 wurde im Paper 'Weaknesses in the Key Scheduling Algorithm of RC4' (PS) von Scott Fluhrer, Itsik Mantin und Adi Shamir gezeigt, dass sich bestimmte Initialisierungsvektoren charakteristisch auf die ersten Bytes des Schlüsselstroms auswirken. Davon ausgehend können nach und nach alle Bytes des WEP-Key ermittelt werden. Die entsprechenden Angriffe werden nach den Autoren des Papers FMS-Angriffe genannt. Inzwischen wurden diese Angriffe verfeinert und immer weiter verbessert, zuletzt Anfang April 2007 durch das Paper 'Breaking 104 bit WEP in less than 60 seconds' (Paper, Homepage) von Erik Tews, Andrei Pychkine und Ralf-Philipp Weinmann.

KoreK-Angriffe

Einen anderen Weg gehen die so genannten KoreK-Angriffe, die auf einen Forenbeitrag von 'KoreK' im NetStumbler-Forum zurückgehen: Das letzte Byte eines Datenpakets wird abgeschnitten. Dann wird angenommen, dass dessen Wert 0 war, und entsprechend durch eine XOR-Verknüpfung der letzten 4 Bytes mit einem bestimmten Wert versucht, einen gültigen ICV zu rekonstruieren. Akzeptiert ein Access Point das geänderte Paket, stimmt die Annahme. Wenn nicht, geht man davon aus, das abgeschnittene Byte war 1, usw., bis der richtige Wert gefunden wurde. Dazu sind maximal 256 Versuche nötig. So wird nach und nach das gesamte Paket entschlüsselt. Ist der Klartext des Pakets bekannt, lässt sich der verwendete Schlüsselstrom-Ausschnitt durch XOR-Verknüpfung von Klar- und Schlüsseltext ermitteln und es kann ein eigenes Paket eingeschleust werden.

Weitere Angriffe

Eine der Ursachen der folgenden Angriffsmöglichkeiten ist die Länge des Initialisierungsvektors von nur 24 Bit, die dazu führt, dass die IV häufig wieder verwendet werden.

• Pakete entschlüsseln
  Der Angreifer protokolliert den gesamten WLAN-Verkehr, bis er zwei Pakete mit identischem IV aufgefangen hat. Da der WEP-Key gleich bleibt, werden Pakete mit identischem IV auch mit dem gleichen Schlüsselstrom verschlüsselt. Durch eine XOR-Verknüpfung der beiden Pakete erhält er die XOR-Verknüpfung der beiden Klartexte.
  Schlüsseltext1 und Schlüsseltext2 sind die Schlüsseltexte der Klartexte Klartext1 und Klartext2, Key der Schlüsselstrom. Dann gilt

  
  Schlüsseltext1 = Klartext1 XOR Key
  Schlüsseltext2 = Klartext2 XOR Key
  Schlüsseltext1 XOR Schlüsseltext2 = (Klartext1 XOR Key) XOR (Klartext2 XOR Key)
  = (Klartext1 XOR Klartext2) XOR (Key XOR Key)
  = Klartext1 XOR Klartext2
  

  Da IP-Pakete vorhersagbare Felder und Redundanz enthalten, kann der Angreifer die möglichen Klartexte eingrenzen und danach über statistische Angriffe deren Inhalt ermitteln. Je mehr Pakete mit identischem IV er auffängt, desto schneller gelingt es ihm, für eines davon den Klartext zu ermitteln. Danach kann er durch einfache XOR-Verknüpfung des bekannten Klartexts mit jedem der anderen Pakete dessen Klartext ermitteln.
  Noch einfacher wird der Angriff, wenn der Angreifer Daten aus dem Internet in das WLAN schicken kann. Empfängt er ein verschlüsseltes Paket, dessen Klartext er kennt, kann er danach sofort alle anderen Pakete mit identischen IV entschlüsseln.
• Gefälschte Pakete einschleusen
  Kennt ein Angreifer den Klartext eines verschlüsselten Pakets, kann er dadurch gültige verschlüsselte Pakete bilden. Er erzeugt seine Nachricht, berechnet deren ICV und manipuliert das verschlüsselte Paket so, dass dessen Klartext und ICV durch seine ausgetauscht werden. Dies ist möglich, da
  (Text1 XOR Key) XOR Text1 XOR Text2 = (Text2 XOR Key)
  ist. Das so erzeugte Paket wird von den Kommunikationspartnern als gültig akzeptiert.
  Ein ähnlicher Angriff ist auch ohne Kenntnis von Klartext möglich, indem die verschlüsselten Daten so manipuliert werden, dass manipulierter Klartext und manipulierter ICV zusammenpassen (siehe About Security #105).
• Verschlüsselte Pakete umleiten
  Der Angreifer kann anstatt der Daten auch den Header eines Pakets manipulieren. Wenn er die Ziel-IP-Adresse eines Pakets so ändert, dass sie auf ein unter seiner Kontrolle stehendes System außerhalb des WLAN zeigt und das manipulierte Paket an den Access Point des WLAN schickt, wird dieser das Paket entschlüsseln und an das System des Angreifers schicken.
• Aufbau einer Tabelle mit Schlüsseln
  Der Angreifer kann für die Pakete, deren Klartext er kennt oder ermittelt, den Schlüsselstrom berechnen. Speichert er IV und zugehörigen Schlüsselstrom in einer Tabelle, kann er danach alle Pakete mit identischem IV entschlüsseln. Der IV ist 24 Bit lang, es gibt also nur mögliche Schlüssel. Gelingt dem Angreifer der Aufbau einer Tabelle für alle IV-Werte, kann er den gesamten WLAN-Verkehr entschlüsseln, ohne den WEP-Key kennen zu müssen.

In der nächsten Folge geht es weiter um die Sicherheit von WEP sowie seinen Ersatz WPA.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Mobile Security – WEP"

• About Security #105: Mobile Security – WEP-Algorithmus
• About Security #106: Mobile Security – WEP-(Un)Sicherheit
• About Security #107: Mobile Security – WEP-Angriffe und Gegenwehr
• About Security #108: Mobile Security – Wi-Fi Protected Access (WPA)