Wi-Fi-geschützter Zugriff - Wi-Fi Protected Access

Wi-Fi Protected Access ( WPA ), Wi-Fi Protected Access II ( WPA2 ) und Wi-Fi Protected Access 3 ( WPA3 ) sind die drei Sicherheits- und Sicherheitszertifizierungsprogramme, die von der Wi-Fi Alliance entwickelt wurden , um drahtlose Computernetzwerke abzusichern. Die Allianz definierte diese als Reaktion auf gravierende Schwächen, die Forscher im vorherigen System Wired Equivalent Privacy (WEP) gefunden hatten.

WPA (manchmal als TKIP-Standard bezeichnet) wurde 2003 verfügbar. Die Wi-Fi Alliance beabsichtigte es als Zwischenmaßnahme im Vorgriff auf die Verfügbarkeit des sichereren und komplexeren WPA2, das 2004 verfügbar wurde und eine gängige Abkürzung für das vollständige ist Standard IEEE 802.11i (oder IEEE 802.11i-2004 ).

Im Januar 2018 kündigte die Wi-Fi Alliance die Veröffentlichung von WPA3 mit mehreren Sicherheitsverbesserungen gegenüber WPA2 an.

Versionen

WPA

Die Wi-Fi Alliance beabsichtigte, dass WPA als Zwischenmaßnahme an die Stelle von WEP treten soll, bis der vollständige IEEE 802.11i- Standard verfügbar ist . WPA könnte durch implementiert werden Firmware - Upgrades auf Wireless - Netzwerk - Interface - Karten für WEP entwickelt , die jedoch so weit zurück wie 1999 begann Versand, da die Änderungen in den erforderlichen Wireless Access Points (APs) , die nicht auf den Netzwerkkarten benötigt umfangreicher waren, die meisten APs vor 2003 konnten nicht aktualisiert werden, um WPA zu unterstützen.

Das WPA-Protokoll implementiert das Temporal Key Integrity Protocol (TKIP). WEP verwendet einen 64-Bit- oder 128-Bit-Verschlüsselungsschlüssel, der manuell auf drahtlosen Zugangspunkten und Geräten eingegeben werden muss und sich nicht ändert. TKIP verwendet einen Schlüssel pro Paket, das heißt, es generiert dynamisch einen neuen 128-Bit-Schlüssel für jedes Paket und verhindert so Angriffe, die WEP kompromittiert haben.

WPA enthält auch einen Message Integrity Check , der verhindern soll, dass ein Angreifer Datenpakete ändert und erneut sendet. Dies ersetzt die vom WEP-Standard verwendete zyklische Redundanzprüfung (CRC). Der Hauptfehler von CRC bestand darin, dass es keine ausreichend starke Garantie für die Datenintegrität für die verarbeiteten Pakete bot. Um diese Probleme zu lösen, existierten gut getestete Nachrichtenauthentifizierungscodes , aber sie erforderten zu viel Rechenaufwand, um auf alten Netzwerkkarten verwendet zu werden. WPA verwendet einen Algorithmus zur Überprüfung der Nachrichtenintegrität namens TKIP , um die Integrität der Pakete zu überprüfen. TKIP ist viel stärker als ein CRC, aber nicht so stark wie der in WPA2 verwendete Algorithmus. Forscher haben seitdem einen Fehler in WPA entdeckt, der auf älteren Schwächen in WEP und den Einschränkungen der Hash-Funktion des Nachrichtenintegritätscodes namens Michael beruht , um den Schlüsselstrom von kurzen Paketen abzurufen, um ihn für die erneute Injektion und das Spoofing zu verwenden .

WPA2

Hauptartikel: IEEE 802.11i-2004

WPA2 wurde 2004 ratifiziert und ersetzte WPA. WPA2, das Tests und Zertifizierung durch die Wi-Fi Alliance erfordert, implementiert die obligatorischen Elemente von IEEE 802.11i. Insbesondere beinhaltet es obligatorische Unterstützung für CCMP , einen AES- basierten Verschlüsselungsmodus. Die Zertifizierung begann im September 2004. Vom 13. März 2006 bis 30. Juni 2020 war die WPA2-Zertifizierung für alle neuen Geräte obligatorisch, die das Wi-Fi-Markenzeichen tragen.

WPA3

Im Januar 2018 kündigte die Wi-Fi Alliance WPA3 als Ersatz für WPA2 an. Die Zertifizierung begann im Juni 2018.

Der neue Standard verwendet eine äquivalente kryptografische Stärke von 192 Bit im WPA3-Enterprise-Modus ( AES-256 im GCM-Modus mit SHA-384 als HMAC ) und schreibt weiterhin die Verwendung von CCMP-128 ( AES-128 im CCM-Modus ) als minimaler Verschlüsselungsalgorithmus im WPA3-Personal-Modus.

Der WPA3-Standard ersetzt auch den Pre-Shared Key (PSK) -Austausch durch den Simultaneous Authentication of Equals (SAE)-Austausch, eine Methode, die ursprünglich mit IEEE 802.11s eingeführt wurde , was zu einem sichereren anfänglichen Schlüsselaustausch im persönlichen Modus und Vorwärtsgeheimnis führt . Die Wi-Fi Alliance behauptet auch, dass WPA3 Sicherheitsprobleme durch schwache Passwörter mindert und die Einrichtung von Geräten ohne Display-Schnittstelle vereinfacht.

Der Schutz von Management-Frames, wie in der Ergänzung IEEE 802.11w spezifiziert , wird auch durch die WPA3-Spezifikationen erzwungen.

Hardware-Unterstützung

WPA wurde speziell für die Verwendung mit drahtloser Hardware entwickelt, die vor der Einführung des WPA-Protokolls hergestellt wurde, das durch WEP unzureichende Sicherheit bietet . Einige dieser Geräte unterstützen WPA erst nach dem Anwenden von Firmware- Upgrades, die für einige ältere Geräte nicht verfügbar sind.

Seit 2006 zertifizierte WLAN-Geräte unterstützen sowohl die Sicherheitsprotokolle WPA als auch WPA2. WPA3 ist seit dem 1. Juli 2020 erforderlich. Die neueren Versionen funktionieren möglicherweise nicht mit einigen älteren Netzwerkkarten.

WPA-Terminologie

Je nach Ziel-Endbenutzer (entsprechend der Methode der Authentifizierungsschlüsselverteilung) und dem verwendeten Verschlüsselungsprotokoll können verschiedene WPA-Versionen und Schutzmechanismen unterschieden werden.

Zielbenutzer (Verteilung des Authentifizierungsschlüssels)

WPA-Persönlich
Dieser wird auch als WPA-PSK - Modus ( Pre-Shared Key ) bezeichnet und ist für Heim- und kleine Büronetzwerke konzipiert und erfordert keinen Authentifizierungsserver. Jedes drahtlose Netzwerkgerät verschlüsselt den Netzwerkverkehr, indem es seinen 128-Bit-Verschlüsselungsschlüssel von einem gemeinsam genutzten 256-Bit- Schlüssel ableitet . Dieser Schlüssel kann entweder als Zeichenfolge mit 64 hexadezimalen Ziffern oder als Passphrase mit 8 bis 63 druckbaren ASCII-Zeichen eingegeben werden . Wenn ASCII - Zeichen verwendet werden, die 256-Bit - Schlüssel werden durch Anlegen der berechneten PBKDF2 Schlüsselableitungsfunktion auf das Passwort, mit der SSID als Salz und 4096 Iterationen von HMAC - SHA1 . Der WPA-Personal-Modus ist in allen drei WPA-Versionen verfügbar.
WPA-Unternehmen
Auch als WPA- 802.1X- Modus bezeichnet , und manchmal auch nur WPA (im Gegensatz zu WPA-PSK), ist dies für Unternehmensnetzwerke konzipiert und erfordert einen RADIUS- Authentifizierungsserver. Dies erfordert eine kompliziertere Einrichtung, bietet aber zusätzliche Sicherheit (zB Schutz vor Wörterbuchangriffen auf kurze Passwörter). Zur Authentifizierung werden verschiedene Arten des Extensible Authentication Protocol (EAP) verwendet. Der WPA-Enterprise-Modus ist in allen drei WPA-Versionen verfügbar.
Wi-Fi Protected Setup (WPS)
Dies ist eine alternative Methode zur Verteilung von Authentifizierungsschlüsseln, die den Prozess vereinfachen und stärken soll, die aber, wie weit verbreitet, durch die WPS-PIN-Wiederherstellung eine große Sicherheitslücke schafft .

Verschlüsselungsprotokoll

TKIP (Temporal Key Integrity Protocol)
Die RC4- Stream-Chiffre wird mit einem 128-Bit-Schlüssel pro Paket verwendet, was bedeutet, dass sie dynamisch für jedes Paket einen neuen Schlüssel generiert. Dies wird von WPA verwendet.
CCMP ( CTR-Modus mit CBC-MAC- Protokoll)
Das von WPA2 verwendete Protokoll, das auf der Advanced Encryption Standard (AES)-Verschlüsselung zusammen mit einer starken Nachrichtenauthentizitäts- und Integritätsprüfung basiert , bietet einen deutlich stärkeren Schutz für Privatsphäre und Integrität als das RC4- basierte TKIP, das von WPA verwendet wird. Zu den informellen Namen gehören "AES" und "AES-CCMP". Gemäß der 802.11n-Spezifikation muss dieses Verschlüsselungsprotokoll verwendet werden, um schnelle 802.11n-Schemata mit hoher Bitrate zu erreichen , obwohl dies nicht von allen Implementierungen erzwungen wird. Andernfalls wird die Datenrate 54 Mbit/s nicht überschreiten.

EAP-Erweiterungen unter WPA und WPA2 Enterprise

Ursprünglich wurde nur EAP-TLS ( Extensible Authentication ProtocolTransport Layer Security ) von der Wi-Fi Alliance zertifiziert. Im April 2010 kündigte die Wi-Fi Alliance die Aufnahme weiterer EAP-Typen in ihre Zertifizierungsprogramme WPA- und WPA2-Enterprise an. Damit sollte sichergestellt werden, dass WPA-Enterprise-zertifizierte Produkte miteinander interagieren können.

Ab 2010 umfasst das Zertifizierungsprogramm die folgenden EAP-Typen:

802.1X-Clients und -Server, die von bestimmten Firmen entwickelt wurden, können andere EAP-Typen unterstützen. Diese Zertifizierung ist ein Versuch, für gängige EAP-Typen zusammenzuarbeiten; Ihr Versäumnis, dies ab 2013 zu tun, ist eines der Hauptprobleme, das die Einführung von 802.1X in heterogenen Netzwerken verhindert.

Kommerzielle 802.1X-Server umfassen Microsoft Internet Authentication Service und Juniper Networks Steelbelted RADIUS sowie Aradial Radius-Server. FreeRADIUS ist ein Open-Source-802.1X-Server.

Sicherheitsprobleme

Schwaches Passwort

Pre-Shared Key WPA und WPA2 bleiben anfällig für Passwort-Cracking- Angriffe, wenn sich Benutzer auf ein schwaches Passwort oder eine schwache Passphrase verlassen . WPA-Passphrase-Hashes werden aus dem SSID-Namen und seiner Länge gesetzt; Es gibt Regenbogentabellen für die Top-1000-Netzwerk-SSIDs und eine Vielzahl gängiger Passwörter, die nur eine schnelle Suche erfordern, um das Knacken von WPA-PSK zu beschleunigen.

Mit der Aircrack Suite kann versucht werden, einfache Passwörter brutal zu erzwingen, beginnend mit dem Vier-Wege-Authentifizierungs-Handshake, der während der Authentifizierung oder der periodischen erneuten Authentifizierung ausgetauscht wird.

WPA3 ersetzt kryptografische Protokolle, die für Offline-Analysen anfällig sind, durch Protokolle, die für jedes erratene Passwort eine Interaktion mit der Infrastruktur erfordern, was angeblich die Anzahl der Schätzungen zeitlich begrenzt. Konstruktionsfehler in WPA3 ermöglichen es Angreifern jedoch, plausibel Brute-Force-Angriffe zu starten (siehe Dragonblood-Angriff ).

Fehlendes Vorwärtsgeheimnis

WPA und WPA2 bieten keine Vorwärtsgeheimnis , d.h. sobald eine gegnerische Person den Pre-Shared Key entdeckt, kann sie potenziell alle Pakete entschlüsseln, die mit diesem PSK in der Zukunft und sogar in der Vergangenheit verschlüsselt wurden, die passiv und stillschweigend von den Angreifer. Dies bedeutet auch, dass ein Angreifer die Pakete anderer heimlich erfassen und entschlüsseln kann, wenn ein WPA-geschützter Zugangspunkt kostenlos an einem öffentlichen Ort bereitgestellt wird, da sein Passwort normalerweise an diesen Ort weitergegeben wird. Mit anderen Worten, WPA schützt nur vor Angreifern, die keinen Zugriff auf das Passwort haben. Aus diesem Grund ist es sicherer , für die Übertragung sensibler Daten zusätzlich Transport Layer Security (TLS) oder ähnliches zu verwenden. Ab WPA3 wurde dieses Problem jedoch behoben.

WPA-Paket-Spoofing und -Entschlüsselung

Mathy Vanhoef und Frank Piessens haben sich gegenüber den WPA-TKIP- Angriffen von Erik Tews und Martin Beck deutlich verbessert . Sie demonstrierten, wie man eine beliebige Anzahl von Paketen injiziert, wobei jedes Paket höchstens 112 Byte Nutzlast enthält. Dies wurde durch die Implementierung eines Port-Scanners demonstriert , der gegen jeden Client mit WPA-TKIP ausgeführt werden kann . Außerdem wurde gezeigt, wie beliebige Pakete, die an einen Client gesendet werden, entschlüsselt werden. Sie erwähnten, dass dies verwendet werden kann, um eine TCP-Verbindung zu kapern , sodass ein Angreifer bösartiges JavaScript einschleusen kann, wenn das Opfer eine Website besucht. Im Gegensatz dazu konnte der Beck-Tews-Angriff nur kurze Pakete mit meist bekanntem Inhalt wie ARP- Nachrichten entschlüsseln und erlaubte nur das Einschleusen von 3 bis 7 Paketen von maximal 28 Bytes. Der Beck-Tews-Angriff erfordert auch die Aktivierung der Dienstgüte (wie in 802.11e definiert ), während der Vanhoef-Piessens-Angriff dies nicht tut. Keiner der Angriffe führt zur Wiederherstellung des gemeinsamen Sitzungsschlüssels zwischen dem Client und dem Access Point . Die Autoren sagen, dass die Verwendung eines kurzen Rekeying-Intervalls einige Angriffe verhindern kann, aber nicht alle, und empfehlen dringend, von TKIP zu AES-basiertem CCMP zu wechseln .

Halvorsen und andere zeigen, wie der Beck-Tews-Angriff modifiziert werden kann, um das Einschleusen von 3 bis 7 Paketen mit einer Größe von höchstens 596 Byte zu ermöglichen. Der Nachteil ist, dass ihr Angriff wesentlich mehr Zeit für die Ausführung benötigt: ungefähr 18 Minuten und 25 Sekunden. In anderen Arbeiten zeigten Vanhoef und Piessens, dass bei Verwendung von WPA zur Verschlüsselung von Broadcast-Paketen auch der ursprüngliche Angriff ausgeführt werden kann. Dies ist eine wichtige Erweiterung, da wesentlich mehr Netzwerke WPA zum Schutz von Broadcast-Paketen verwenden als zum Schutz von Unicast-Paketen . Die Ausführungszeit dieses Angriffs beträgt im Durchschnitt etwa 7 Minuten, verglichen mit den 14 Minuten des ursprünglichen Angriffs von Vanhoef-Piessens und Beck-Tews.

Die Schwachstellen von TKIP sind erheblich, da WPA-TKIP zuvor als äußerst sichere Kombination angesehen wurde; Tatsächlich ist WPA-TKIP immer noch eine Konfigurationsoption für eine Vielzahl von drahtlosen Routing-Geräten, die von vielen Hardwareanbietern bereitgestellt werden. Eine Umfrage aus dem Jahr 2013 ergab, dass 71 % immer noch die Nutzung von TKIP erlauben und 19 % ausschließlich TKIP unterstützen.

WPS-PIN-Wiederherstellung

Im Dezember 2011 enthüllte Stefan Viehböck eine schwerwiegendere Sicherheitslücke, die WLAN-Router mit der Funktion Wi-Fi Protected Setup (WPS) betrifft , unabhängig davon, welche Verschlüsselungsmethode sie verwenden. Die meisten neueren Modelle verfügen über diese Funktion und aktivieren sie standardmäßig. Viele Hersteller von Verbraucher-Wi-Fi-Geräten hatten Schritte unternommen, um das Potenzial schwacher Passphrasen-Auswahl zu beseitigen, indem sie alternative Methoden zur automatischen Generierung und Verteilung starker Schlüssel förderten, wenn Benutzer einen neuen drahtlosen Adapter oder ein neues Gerät zu einem Netzwerk hinzufügen. Zu diesen Methoden gehören das Drücken von Tasten an den Geräten oder die Eingabe einer 8-stelligen PIN .

Die Wi-Fi Alliance hat diese Methoden als Wi-Fi Protected Setup standardisiert; Die weit verbreitete PIN-Funktion führte jedoch zu einer großen neuen Sicherheitslücke. Der Fehler ermöglicht es einem entfernten Angreifer, die WPS-PIN und damit das WPA/WPA2-Passwort des Routers in wenigen Stunden wiederherzustellen. Benutzer wurden aufgefordert, die WPS-Funktion zu deaktivieren, obwohl dies bei einigen Routermodellen möglicherweise nicht möglich ist. Außerdem ist die PIN bei den meisten WLAN-Routern mit WPS auf einem Etikett angegeben und kann bei einer Kompromittierung nicht geändert werden.

WPA3 führt eine neue Alternative für die Konfiguration von Geräten ein, denen es an ausreichenden Benutzeroberflächenfunktionen mangelt, indem nahe gelegene Geräte als angemessene Benutzeroberfläche für Netzwerkbereitstellungszwecke dienen können, wodurch der Bedarf an WPS verringert wird.

MS-CHAPv2 und fehlende AAA-Server-CN-Validierung

In MS-CHAPv 2 wurden mehrere Schwachstellen gefunden , von denen einige die Komplexität von Brute-Force-Angriffen stark reduzieren und sie mit moderner Hardware durchführbar machen. Im Jahr 2012 wurde die Komplexität des Brechens von MS-CHAPv2 auf das Brechen eines einzelnen DES-Schlüssels reduziert, eine Arbeit von Moxie Marlinspike und Marsh Ray. Moxie riet: "Unternehmen, die für die Verbindung zu ihren WPA2-Radius-Servern auf die gegenseitigen Authentifizierungseigenschaften von MS-CHAPv2 angewiesen sind, sollten sofort mit der Migration zu etwas anderem beginnen."

Getunnelte EAP-Methoden, die TTLS oder PEAP verwenden, die den MSCHAPv2-Austausch verschlüsseln, werden häufig zum Schutz vor der Ausnutzung dieser Schwachstelle eingesetzt. Allerdings waren die vorherrschenden WPA2-Client-Implementierungen in den frühen 2000er Jahren anfällig für Fehlkonfigurationen durch Endbenutzer oder in einigen Fällen (z. B. Android ) fehlte eine für den Benutzer zugängliche Möglichkeit, die Validierung von AAA-Serverzertifikat-CNs richtig zu konfigurieren. Dadurch wurde die Relevanz der ursprünglichen Schwachstelle in MSCHAPv2 innerhalb von MiTM- Angriffsszenarien erweitert. Im Rahmen strengerer WPA2-Compliance-Tests, die neben WPA3 angekündigt wurden, muss zertifizierte Client-Software bestimmten Verhaltensweisen im Zusammenhang mit der Validierung von AAA-Zertifikaten entsprechen.

Loch196

Hole196 ist eine Schwachstelle im WPA2-Protokoll, die den gemeinsamen Group Temporal Key (GTK) missbraucht. Es kann verwendet werden, um Man-in-the-Middle- und Denial-of-Service- Angriffe durchzuführen. Es wird jedoch davon ausgegangen, dass der Angreifer bereits am Access Point authentifiziert ist und somit im Besitz des GTK ist.

Vorhersagbarer Gruppenzeitlicher Schlüssel (GTK)

Im Jahr 2016 wurde gezeigt, dass die Standards WPA und WPA2 einen unsicheren Expository Random Number Generator (RNG) enthalten. Die Forscher zeigten, dass ein Angreifer, wenn Anbieter den vorgeschlagenen RNG implementieren, den Gruppenschlüssel (GTK) vorhersagen kann, der vom Access Point (AP) zufällig generiert werden soll . Darüber hinaus zeigten sie, dass der Besitz des GTK es dem Angreifer ermöglicht, jeglichen Datenverkehr in das Netzwerk einzuschleusen und den über das drahtlose Netzwerk übertragenen Unicast-Internetverkehr zu entschlüsseln. Sie demonstrierten ihren Angriff gegen einen Asus RT-AC51U-Router, der die MediaTek- Out-of-Tree-Treiber verwendet, die den GTK selbst generieren, und zeigten, dass der GTK innerhalb von zwei Minuten oder weniger wiederhergestellt werden kann. In ähnlicher Weise demonstrierten sie, dass die Schlüssel, die von Broadcom-Zugangsdaemons, die auf VxWorks 5 und höher laufen, generiert werden können, in vier Minuten oder weniger wiederhergestellt werden können, was beispielsweise bestimmte Versionen von Linksys WRT54G und bestimmte Apple AirPort Extreme-Modelle betrifft. Anbieter können diesen Angriff mit einem sicheren RNG abwehren. Dadurch ist Hostapd, das auf Linux-Kernels läuft, nicht anfällig für diesen Angriff und daher weisen Router, die typische OpenWrt- oder LEDE- Installationen ausführen , dieses Problem nicht auf.

KRACK-Angriff

Hauptartikel: KRACK

Im Oktober 2017 wurden Details zum Angriff von KRACK (Key Reinstallation Attack) auf WPA2 veröffentlicht. Es wird angenommen, dass der KRACK-Angriff alle Varianten von WPA und WPA2 betrifft; Die Auswirkungen auf die Sicherheit variieren jedoch zwischen den Implementierungen, je nachdem, wie einzelne Entwickler einen schlecht spezifizierten Teil des Standards interpretiert haben. Software-Patches können die Schwachstelle beheben, sind jedoch nicht für alle Geräte verfügbar.

Drachenblut-Angriff

Im April 2019 wurden schwerwiegende Designfehler in WPA3 gefunden, die es Angreifern ermöglichen, Downgrade-Angriffe und Seitenkanalangriffe durchzuführen, wodurch Brute-Force-Angriffe der Passphrase sowie Denial-of-Service-Angriffe auf Wi-Fi-Basisstationen möglich sind.

Verweise

Externe Links