Channel Security

Die Beschreibung von IEEE 802.11i wird mit der Installation des Pairwise Master Key (PMK) fortgesetzt. Für dessen Verteilung gibt es, wie bereits in About Security #109 erwähnt, zwei Möglichkeiten: Entweder in Form eines vorher verteilten Preshared Keys (PSK) oder temporär im Rahmen eines Zugriffskontrollprotokolls. Die Verwendung eines PSK ist nur ratsam, wenn kein Authentifizierungsserver zu Verfügung steht. Statt eines beliebigen (am besten zufälligen) 256-Bit-Schlüssels werden dabei meist 32-Byte-Worte verwendet. Schlimmstenfalls werden sogar tatsächliche Wörter der Umgangssprache verwendet und damit ein Wörterbuchangriff ermöglicht. IEEE 802.11i beschreibt im Anhang eine Möglichkeit, um mithilfe der Password Based Key Derivation Function 2 – PBKDF2, definiert im Public Key Cryptography Standard #5 (PKCS #5) – aus der als PSK verteilen Passphrase, der SSID und der SSID-Länge einen 256 Bit langen PMK zu berechnen.

Temporärer Schlüssel

Besser als die Verwendung von PSKs ist die Nutzung eines temporären Schlüssels, auch als serverbasierter Schlüssel bezeichnet, der während der Authentifizierung erzeugt wird. An der Authentifizierung sind im Rahmen von IEEE 802.11i drei Parteien beteiligt: Der Client, der Authentifizierer (der in diesem Fall eher eine Zugangskontrollfunktion besitzt, i.d.R. ein Access Point) und ein Authentifizierungsserver, der die eigentliche Authentifizierung des Clients übernimmt. Der Authentifizierungs-Request des Clients wird vom Authentifizierer an den Authentifizierungsserver weitergereicht. Client und Authentifizierungsserver wickeln dann die eigentliche Authentifizierung untereinander ab. Entsprechend der Antwort des Authentifizierungsservers lässt dann der Authentifizierer den Zugang zu oder verbietet ihn. Auf dem Authentifizierungsserver können verschiedene so genannte Upper-Layer-Authentifizierungsprotokolle eingesetzt werden, von denen einige im Zuge der Authentifizierung über das Extensible Authentication Protocol (EAP, RFC 3748) einen zufälligen PMK erzeugen können. Der dabei erzeugte PMK muss abschließend noch vom Authentifizierungsserver an den Authentifizierer übertragen werden.

Der Pairwise Transient Key

Nachdem auf beiden Kommunikationsteilnehmern der PMK gespeichert wurde, kann daraus der Pairwise Transient Key (PTK) und können daraus schließlich die temporären Schlüssel für die eigentliche Kommunikation gebildet werden. Der PTK wird in einem 4-Wege-Handshake ausgehandelt. Sowohl Client als auch Authentifizierer (in der Regel ein Access Point) erzeugen zuerst Zufallsdaten (Nonces). Die des Clients wird als SNonce (S für Supplicant), die des Authentifizierers als ANonce bezeichnet.

• Schritt 1:
  Der Authentifizierer sendet seinen Nonce-Wert an den Client. Der berechnet aus dem PMK, seiner und der MAC-Adresse des Authentifizierers sowie den beiden Nonces den PTK, aus dem die benötigten temporären Schlüssel abgeleitet werden.
• Schritt 2:
  Der Client sendet seinen Nonce und dessen EAPOL-MIC-Wert an den Authentifizierer. Der Authentifizierer berechnet nun analog zum Client ebenfalls den PTK. Dieser wurde daher niemals übertragen. Aus dem PTK werden dann die temporären Schlüssel abgeleitet und damit der übertragene EAPOL-MIC-Wert geprüft.
• Schritt 3:
  Der Authentifizierer überträgt den für die Verschlüsselung von Multicast-Paketen verwendeten GTK. Die Übertragung erfolgt durch den EAPOL-Schlüssel geschützt, außerdem wird der EAPOL-MIC-Wert des GTK übertragen.
• Schritt 4:
  Der Client antwortet mit dem empfangenen, durch den EAPOL-Schlüssel verschlüsselten EAPOL-MIC. Stimmt der mit dem übertragenen Wert überein, wurde der GTK nicht manipuliert und die verschlüsselte Kommunikation kann beginnen.

Wird kein GTK benötigt, vereinfacht dies Schritt 3 und 4 des Handshakes:

• Schritt 3 ohne Group Temporary Key (GTK):
  Der Authentifizierer teilt dem Client mit, dass der ausgehandelte PTK aktiviert werden kann. Diese Nachricht wird mit ihrem EAPOL-MIC-Wert geschützt.
• Schritt 4 ohne Group Temporary Key (GTK):
  Der Client bestätigt dem Authentifizierer, dass der ausgehandelte PTK aktiviert werden kann. Diese Nachricht wird ebenfalls mit ihrem EAPOL-MIC-Wert geschützt.
  Anschließend aktivieren beide den PTK.

In der nächsten Folge wird die Beschreibung von 802.11i mit der Beschreibung der Gruppenschlüssel fortgesetzt.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Mobile Security – WPA, WPA2 und IEEE 802.11i"

• About Security #108: Mobile Security – Wi-Fi Protected Access (WPA)
• About Security #109: Mobile Security – IEEE 802.11i Schlüsselhierarchien
• About Security #110: Mobile Security – IEEE 802.11i Pairwise Master Key
• About Security #111: Mobile Security – IEEE 802.11i Gruppenschlüssel
• About Security #112: Mobile Security – IEEE 802.11i Verschlüsselung
• About Security #113: Mobile Security – IEEE 802.11i Authentifizierung
• About Security #114: Mobile Security – IEEE 802.11i Pairwise Master Key
• About Security #115: Mobile Security – Sicherheit von WEP, WPA und IEEE 802.11i
• About Security #116: Mobile Security – Sicherheit von WEP, WPA und IEEE 802.11i, Teil 2
• About Security #117: Mobile Security – WLAN-Hotspots