Channel Security

IEEE 802.11i, auch WPA2 genannt, ist der aktuelle Sicherheitsstandard für drahtlose Netze nach dem IEEE 802.11 Standard (WLAN). Zuerst etwas zur Entwicklung der verschiedenen Standards: WEP (About Security #105/ #106/ #107) ist der ursprüngliche Standard-Verschlüsselungsalgorithmus. Als seine Unsicherheit bekannt wurde, war der zugehörige Sicherheitsstandard IEEE 802.11i bereits in Entwicklung, aber noch nicht einsetzbar. Daraufhin wurde von der Wi-Fi Alliance 2003 WPA (About Security #107/ #108) als Zwischenlösung veröffentlicht. Dabei wurde in Hinblick auf eine spätere Erweiterung auf den dann fertiggestellten Standard IEEE 802.11i auf die bereits fertiggestellten Teile davon zurückgegriffen. Nachdem IEEE 802.11i im Juni 2004 fertiggestellt war, wurde WPA2 als Nachfolger von WPA und Implementierung von IEEE 802.11i veröffentlicht. Die Wi-Fi Alliance kümmert sich um die Zertifizierung der Produkte verschiedener Hersteller auf Grundlage des IEEE 802.11 Standards, um deren Interoperabilität sicherzustellen. Entsprechend kann man WPA2 als eine Art Referenzimplementierung von IEEE 802.11i ansehen.

WPA2/IEEE 802.11i im Überblick

Im Gegensatz zu RC4 in WEP und WPA verwendet WPA2 AES (About Security #74/ #75) als Verschlüsselungsalgorithmus. Außerdem wird zusätzlich zum weiter eingesetzten TKIP das Protokoll CCMP (Counter-Mode/CBC-MAC, vollständig "Counter Mode with Cipher Block Chaining Message Authentication Code Protocol") verwendet.

IEEE 802.11i definiert einen neuen Netzwerktyp, das Robust Security Network (RSN). RSN definiert eine Reihe von Funktionen für die Erzeugung und Verteilung der benötigten Schlüssel, die Authentifizierung und CCMP. Als Übergangslösung wird in IEEE 802.11i das Transitional Security Network (TSN) definiert, das auf dem Parallelbetrieb von RSN und WEP basiert.

Schlüsselmanagement

Die RSN-Sicherheitsarchitektur verwendet mehrere Schlüssel, die Teil einer mehrstufigen Schlüsselhierarchie sind. Alle Schlüssel werden temporär von einem Master Key abgeleitet, der gleichzeitig für die Authentifizierung herangezogen werden kann.

• Schlüsseltypen
  Außer in Master Key und temporäre Schlüssel werden die Schlüssel nach ihrem Einsatzzweck in paarweise Schlüssel für die Kommunikation zwischen genau 2 Kommunikationspartnern (Unicast-Verbindungen) und dem für die Kommunikation in Gruppen (Multicast-Verbindungen) verwendeten Gruppenschlüssel unterteilt.
• Schlüsselhierarchien
  Die RSN-Sicherheitsarchitektur definiert zwei Schlüsselhierarchien: Die paarweise Schlüsselhierarchie für die Absicherung der Unicast-Verbindungen und die Gruppenschlüsselhierarchie für die Absicherung der Multicast-Verbindungen. Jede Schlüsselhierarchie kann jeweils zusammen mit TKIP oder CCMP verwendet werden.

Die paarweise Schlüsselhierarchie

An der Spitze der paarweisen Schlüsselhierarchie steht der 256 Bit lange Pairwise Master Key (PMK), der vor Beginn der Kommunikation auf den beteiligten Systemen installiert werden muss. Dies kann entweder im Form eines vorher verteilten Preshared Keys oder temporär im Rahmen eines Zugriffskontrollprotokolls erfolgen.

Unter dem PMK liegt der Pairwise Transient Key (PTK), der mithilfe eines Zufallszahlengenerators aus dem PMK erzeugt wird. Er ist für TKIP 512 Bit lang, für CCMP 384 Bit.

Aus dem PTK werden durch Aufteilung dann die benötigten temporären Schlüssel gebildet: 4 für TKIP bzw. 3 für CCMP. Die ersten beiden 128 Bit langen Schlüssel werden für die Verschlüsselung und Integritätssicherung der für die Schlüsselaushandlung verwendeten EAPOL-Schlüssel-Nachrichten verwendet. EAPOL (EAP over LAN) wird in IEEE 802.1x definiert und für die Übertragung von EAP-Nachrichten benötigt, dazu später mehr. Die restlichen Schlüssel werden für die Verschlüsselung und Integritätssicherung der eigentlichen Datenübertragung verwendet. Bei TKIP wird dafür je ein Schlüssel für die Verschlüsselung und die Integritätssicherung durch den Michael-Algorithmus benötigt, bei CCMP wird ein gemeinsamer Schlüssel für beide Zwecke verwendet. Da Michael nur 64 Bit lange Schlüssel benötigt, wird der 128 Bit lange, erzeugte Schlüssel geteilt und beide Kommunikationspartner benutzen jeweils eine Hälfte als Michael-Key für die von ihnen gesendeten Pakete.

TKIP-Schlüsselhierarchie

CCMP-Schlüsselhierarchie

In der nächsten Folge wird die Beschreibung von IEEE 802.11i mit der Installation des Pairwise Master Key fortgesetzt.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Mobile Security – WPA, WPA2 und IEEE 802.11i"

• About Security #108: Mobile Security – Wi-Fi Protected Access (WPA)
• About Security #109: Mobile Security – IEEE 802.11i Schlüsselhierarchien
• About Security #110: Mobile Security – IEEE 802.11i Pairwise Master Key
• About Security #111: Mobile Security – IEEE 802.11i Gruppenschlüssel
• About Security #112: Mobile Security – IEEE 802.11i Verschlüsselung
• About Security #113: Mobile Security – IEEE 802.11i Authentifizierung
• About Security #114: Mobile Security – IEEE 802.11i Pairwise Master Key
• About Security #115: Mobile Security – Sicherheit von WEP, WPA und IEEE 802.11i
• About Security #116: Mobile Security – Sicherheit von WEP, WPA und IEEE 802.11i, Teil 2
• About Security #117: Mobile Security – WLAN-Hotspots