Hack Wpa Wpa2

HERVSCHAUERCONSULTANTS
CabinetdeConsultantsenScuritInformatiquedepuis1989
SpcialissurUnix,Windows,TCP/IPetInternet
Groupe Scurit Unix et Rseau

14 Juin 2005
WPA / WPA2
Une scurit fiable pour le Wi-Fi ?
Guillaume Lehembre
<Guillaume.Lehembre@hsc.fr>
Plan
Rappels 802.11, WEP et 802.1x
Les nouvelles technologies en scurit : WPA et 802.11i
WPA
802.11i
Phase oprationnelles du 802.11i
Ngociation de la politique de scurit
Authentification 802.1x
change de cl sous EAP
Hirarchie PMK / GMK
Les diffrents HandShake : 4-Way Handshake, Group Key Handshake et STAKey Handshake
Chiffrement et intgrit des donnes : TKIP, CCMP, MIC
Faiblesses ?
Itinrance
Conclusion
- 2/55 -
Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite
Principe du 802.11
Composants :
Borne ou point d'accs (AP)
Concentrateur sans fil, potentiellement aussi un pont et un routeur
Carte rseau (NIC)

Interface Ethernet sur l'quipement
Deux modes
Mode 'ad-hoc' : dialogue direct entre deux interfaces (point point)
IBSS : Independant Basic Service Set
Rseau maill
Mode 'infrastructure' : dialogue entre une interface et une borne (multi-point)

BSS : Basic Service Set
Rseau en toile
14 canaux
Plusieurs rseaux peuvent cohabiter au mme endroit sur des canaux diffrents
- 3/55 -
Principe du 802.11
Chaque rseau est identifi par un SSID : identificateur du rseau
Plusieurs rseaux avec des SSID diffrents peuvent cohabiter au mme endroit sur le
mme canal
Une interface Ethernet sans fil 802.11 est similaire une interface Ethernet
filaire 802.3
802.11b : CSMA/CA, 802.3 : CSMA/CD
Vision identique pour les ordinateurs et pour TCP/IP
Adressage MAC identique
Adresses des bornes en plus : 4 adresses MAC au lieu de 2 dans la trame
WEP (Wired Equivalent Privacy)

Permet (en thorie) d'assimiler un rseau Ethernet sans fil un rseau Ethernet filaire
en assurant une scurit quivalente celle d'un cble
Implmentation faite sans consultation pralable avec des cryptographes
- 4/55 -
Elments d'architecture
BSS : Basic Service Set
Ensemble de services de base
IBSS : Independant Basic Service Set

Stations communicant entre elles, pas de planification, phmre
DS : Distribution System
Reprsente l'interconnexion de plusieurs BSS
AP : Access Point
Donne accs au DS en fournissant des services, STA commes les autres
STA : Station
ESS : Extended Service Set
DS + ensemble BSS du mme SSID
- 5/55 -
MPDU / MSDU
MSDU : Mac Service Data Unit
paquet de donnes envoy par l'applicatif la couche MAC
MPDU : Mac Protocol Data Unit

paquet de donnes envoy par la couche MAC l'antenne
Point important : Un MSDU peut tre fragment en plusieurs MPDU

Cette distinction a son importance pour TKIP (WPA) et CCMP (WPA2)
Pour TKIP, le MIC est calcul sur le MSDU
Pour CCMP, le MIC est calcul sur chaque MPDU
- 6/55 -
Association / Authentification
Association
Enregistre la station auprs de l'AP
Obtention d'une AID (Association Identity) partage entre chaque AP de l'ESS,
permettant la r-association transparente au sein de l'ESS
Toujours inititie par la station
Equivalent de la connexion physique pour le filaire
Authentification
Action de prouver son identit afin de faire partie du BSS ou ESS
Deux mthodes d'authentification :
ouverte (Open Authentication) : authentification nulle
clef partage (Shared Key Authentication) : utilise la cl WEP pour chiffrer un dfi en
clair envoy par la borne - A NE JAMAIS UTILISER
La d-authentification peut tre initite par la station ou l'AP

- 7/55 -
Trame 802.11
MAC Header
Frame Duration Address Address Address Sequence Address
Control
ID
1
2
3
Control
4
2 octets 2 octets 6 octets 6 octets 6 octets 2 octets 6 octets
Protocol
Version
B0
Type
B1 B2
SubType
B3 B4
B7
To DS
B8
From DS More Flag
B9
B10
Frame Body
FCS
0 2312 octets
4 octets
Retry
Power
Mgmt
More
Data
B11
B12
B13
Protected
Order
Frame
B14
B15
Frame Control : L'ancien champ WEP a t renomm Protected Frame pour indiquer
qu'un chiffrement est utilis (sans le prciser)
Address 1-4 : Adresse de la source (SA) = MAC Source, Adresse destination (DA) =
MAC destination, Adresse de la station mettrice (TA), Adresse de la station
rceptrice (RA)
Sequence Control : comprend le numro de squence et le numro de fragment
FCS : CRC de 32 bits sur l'en-tte MAC et le corps de la trame
- 8/55 -
WEP (Wired Equivalent Privacy)

Bas sur l'algorithme de chiffrement RC4
WEP
WEP2
Vecteur
d'initialisation
24 bits
24 bits
Clef partage
40 bits (x4)
104 bits (x4)
Confidentialit (+ intgrit) des donnes

IV
Key
Payload
CRC-32
Keystream = RC4 (IV,k)

XOR
RC4
IV
Clef RC4
K=IV,k
64 bits (x4)
128 bits (x4)
key nb
Payload
CRC-32
galement utilis pour l'authentification des stations (en mode clef

partage)
Dfi (en clair)
Dfi (chiffr en WEP)
- 9/55 -
Vulnrabilits
Contre la confidentialit
Rutilisation de la suite chiffrante (keystream reuse)
Faiblesse de RC4 (key scheduling algorithm weakness)
Attaque exhaustive (cl drive d'une passphrase)
Attaque statistique
Contre l'intgrit
Modification de paquets (bit flipping)
Injection de faux paquets
Contre l'authentification auprs de l'AP

Fausse authentification (authentication spoofing)
- 10/55 -
Attaque statistique
Attaque dcouverte par un hacker nomm KoreK
http://www.netstumbler.org/showpost.php?p=89036
Ne ncessite plus la capture de millions d'IV mais se base juste sur le

nombre d'IV uniques capturs.
Utilisation des cas rsolus exceptionnels (> 5% de russite)
Ecriture d'une PoC : chopper
L'injection de trafic permet d'acclrer grandement la capture des trames
1. Tronque le message chiffr d'un caractre (1 octet) => message invalide
2. Suppose une valeur V pour le dernier octet (0 =< V =< 255), corrige le message et
rinjecte la trame vers l'AP
3. L'AP rejete toute les trames sauf celle ayant le dernier octet valide (rpter 1 - 3)
Dcryptage des paquets ARP/IP : chopchop

http://www.netstumbler.org/showthread.php?t=12489
- 11/55 -
Cassage du WEP Aircrack (1)

Aircrack Christophe Devine version actuelle : 2.1 (Unix & Windows)
Exemple
aircrack -f 4 -n 128 packets.pcap
Trs rapide et performant (cassage de la cl < 10s avec un nombre de trames suffisant)
Implmente la nouvelle attaque statistique dveloppe par KoreK
Ncessite un nombre d'IV unique pour pouvoir casser la cl
Source: http://www.cr0.net:8040/code/network/aircrack/
- 12/55 -
Cassage du WEP Aircrack (2)

Ncessite 150 000 IV uniques pour une cl de 64 bits et 500 000 pour une
cl de 128 bits
La version 2.2 permettra l'injection de paquet aprs rejeu d'une trame arprequest gnrant des IV uniques au niveau de la borne.
Ncessite une mise jour des pilotes (HostAP, Atheros, Prism54, wlan-ng)
Mthodes :
iwpriv <iface> mode 2
iwconfig <iface> mode Monitor channel <channel>
ifconfig <iface> up
airodump <iface> <name> <bssid>
aireplay -x <nb_packet> <iface>
Version aireplay 2.2 (beta) permettant l'injection disponible

http://www.cr0.net:8040/code/network/aireplay-2.2.tgz
- 13/55 -
Composants de 802.1x
Demandeur
En anglais : Supplicant
Cest lentit qui souhaite accder aux ressources, et qui va donc devoir prouver son
identit
Serveur daccs
En anglais : Network access server (NAS) ou Authenticator
Commutateur
Borne sans fil
Serveur dauthentification
En anglais : Authentication server (AS)
Cest celui qui vrifie les accrditations prsentes par le demandeur.
Il dialogue avec le serveur daccs.
- 14/55 -
Notion de port 802.1x

Sur un rseau filaire commut
Chaque station est relie un port du commutateur
Chaque station sauthentifie en 802.1x sur ce port
Sur un rseau sans fil

Par la nature du support, toutes les stations accdent lAP via le mme support
Il faut pouvoir distinguer chaque port logique
LAP donne chaque client qui sest authentifi une cl de session qui lui est
propre
Toute trame nutilisant pas de cl de session est ignore par lAP
- 15/55 -
Architecture 802.1x
Client
Borne
(NAS)
(Supplicant)
PPP
Serveur
dauthentification
(AS)
Rseau
interne
Pendant la phase dauthentification

La station ne peut accder quau serveur dauthentification
Tous les autres flux sont bloqus par lAP
- 16/55 -
EAPoL & Radius

Client
Borne
EAPoL
EAPoL
Type EAP-Packet
Type EAP-Packet
802.11
802.11
Serveur
dauthentification
Radius
Radius
Ethernet
Ethernet
EAPoL
Radius
Transport de lauthentification de point point Transport de lauthentification de point point
Entre le client et la borne
Entre la borne et le serveur dauthentification
Sur 802.11
Sur Ethernet
- 17/55 -
Gnralits EAP
Extensive Authentication Protocol (RFC 2284)
Initialement conu pour PPP
Objectif
Permettre lajout de nouveaux protocoles dauthentification
EAP est un protocole de transport dauthentification

Spcialis dans les flux dauthentification (n'est pas un protocole d'authentification)
Il repose sur des mthodes pr-existantes
Les AP ne servent qu relayer les messages EAP entre le client et le

serveur dauthentification
LAP nest pas oblige de connatre la mthode dauthentification utilise
entre le client et le serveur
Pratique pour lvolutivit
- 18/55 -
EAP
Client
Borne
EAP
Serveur
dauthentification
EAP
EAPoL
EAPoL
Type EAP-Packet
Type EAP-Packet
802.11
802.11
EAP
Radius
Radius
Ethernet
Ethernet
EAP
Transport de lauthentification de bout en bout
Entre le client et le serveur dauthentification
- 19/55 -
Pourquoi de nouveaux mcanimes ?

WEP : ne peut plus garantir la scurit 802.11
Janvier 2001 : Dbut des travaux du groupe de travail 802.11i
(anciennement 802.11e qui a ensuite t divis) au sein de l'IEEE pour
dvelopper des spcifications de scurit au niveau de la couche 2 du
modle OSI pour l'authentification et le chiffrement des donnes.
Avril 2003 : Recommandation WPA de la Wi-Fi Alliance (anciennement
WECA) fonde sur un sous ensemble de la norme 802.11i depuis la mi2003 tous les produits certifis au label WiFi doivent supporter cette
recommandation.
23 Juin 2004 : Publication de la norme 802.11i
Rfrence : http://grouper.ieee.org/groups/802/11/
- 20/55 -
Le WPA
WPA : Wireless Protected Access
Solution du WECA pour corriger les erreurs du WEP
Profil de 802.11i promu par le WECA

Permet de combler une partie des problmes du WEP
Utilisation du mcanisme TKIP
Changement des clefs de chiffrement de faon priodique
10ko de donnes changes
Clef 128 bits
Vecteur d'initialisation de 48bits (281 474 976 710 656 possibilits)

Impossibilit de rutiliser un mme IV avec la mme clef
Utilisation du MIC qui est un contrle d'intgrit de tout le message
2 modes de fonctionnement
Mode PSK (PreShared Key) : secret partag
Mode base de 802.1X pour une authentification centralise
- 21/55 -
Le WPA
Le WPA n'intgre pas les scurisation que le 802.11i apporte :
La scurisation des rseaux multi-point Ad-Hoc
N'implmente pas AES comme algorithme de chiffrement
Ncessite des quipements capables de l'implmenter

Les anciens quipements ont la plupart du temps la possibilit de mettre jour leur
software
Infrastructure base de Radius (sauf en mode PSK)
C'est du 802.1X
Rfrences :
Document du WECA : http://www.wi-fi.org/opensection/protected_access.asp
Livre Blanc sur le Wi-Fi :
http://www.wifialliance.com/OpenSection/pdf/Whitepaper_Wi-Fi_Security4-29-03.pdf
- 22/55 -
Le WPA2
Dfinition d'un RSN (Robust Security Network) permettant de garantir :
Scurit et mobilit
Authentification du client indpendamment du lieu o il se trouve
Intgrit et Confidentialit
Garantie d'une confidentialit forte avec un mcanisme de distribution dynamique des clefs
Passage l'chelle et flexibilit

R-authentification rapide et scurise en cas de handover , sparation du point d'accs
et du processus d'authentification pour le passage l'chelle, architecture de scurit
flexible
- 23/55 -
Le WPA2
Associations construites autour d'authentifications fortes : RSNA (Robust
Security Network Association) dpendantes de 802.1x
PMKSA : Pairwise Master Key Authentication Security Association (contexte post
802.1x)
PTKSA : Pairwise Transient Key Security Association (contexte post 4 Way
Handshake)
GTKSA : Group Transient Key Security Association (contexte post Grouk Key
Handshake)
STAKeySA : Station Key Security Association (contexte post STAKey Handshake)
Scurit au niveau MAC :

TKIP (Temporal Key Integrity Protocol) - Optionnel
CCMP (Counter-mode/CBC-MAC-Protocol) - Obligatoire
Le TSN (Transition Security Network) permet une compatibilit avec les anciens
mcanismes (Open Authentication, Shared Key Authentication, WEP)
- 24/55 -
Phase oprationnelles du 802.11i

Phases oprationnelles
Ngociation de la politique de scurit
change des clefs sous EAP
Chiffrement des donnes
Ngociation de
la politique
Drivation et change
des cls
Distribution de la MK
par RADIUS
Chiffrement
protection des donnes
- 25/55 -
802.11i
Phase 1 : Ngociation de la politique de scurit
L'AP diffuse dans les Beacons les RSN IE (Information Elements)
Liste des authentification supportes (802.1x)
Liste des protocoles de scurit (CCMP, TKIP, ...)
Liste des mthodes de chiffrement pour la diffusion des clefs de groupes (GTK)
Le choix du client est alors prcis dans un lment d'information de sa trame

Association Request
Probe Request
Probe Response + RSN IE
CCMP Mcast, CCMP Ucast, 802.1x auth
802.11 Open System Authentication
802.11 Open System Authentication - Success
Association Request + RSN IE
STA request CCMP Mcast, CCMP Ucast, 802.1x auth
Association Response - Success
- 26/55 -
802.11i
Phase 2 : Authentification 802.1x
Dfinition de concert de la MK (Master Key) bas sur la mthode EAP choisie
(EAP/TLS, EAP/TTLS, EAP/SIM, etc.)
802.1X
RADIUS
802.1X/EAP Request Identity

802.1X/EAP Response Identity
RADIUS Access
Request Identity
Messages EAP spcifiques la mthode retenue
Drivation de la PMK
802.1X/EAP Success
- 27/55 -
Drivation de la PMK
RADIUS Accept
(Distribution de la MK Cf phase 3)
802.11i
Phase 3 : change des clefs sous EAP en 3 tapes
Transmission de la MK du serveur d'authentification (AS) l'AP
Message radius avec l'attribut MS-PPE-RECV-KEY
Drivation de la PMK partir de la MK
Calcul de la PTK (Pairwise Transient Key) grce au 4-Way Handshake

Envoi de la clef de groupe (GTK) en utilisant la KEK
802.1X
Etape 2 : 4-Way Handshake
Derivation, assignation et vrification PTK
+ transmission GTK
RADIUS
Etape 1 : Transmission MK de l'AS l'AP
Etape 3 : Group Key Handshake

Envoi de la GTK de l'AP au client
(Lors du renouvellement de la cl)
- 28/55 -
Clef PTK Pairwise Transient Key

La PTK est drive de la PMK et permet l'authentification et le chiffrement
des donnes unicast et la distribution scurise de la cl de groupe.
Deux modes d'obtention d'une PMK (256 bits)
Si utilisation d'un serveur d'authentification : drivation partir de la MK (Master
Key) obtenue par les changes 802.1x entre ce serveur et le client
PMK = TLS-PRF(MasterKey, client EAP encryption ||
clientHello.random || serverHello.random)
Sinon, PMK = PSK

clef de 256 bits
clef drive d'une passphrase de 8 63 caractres (hach 4096 fois)
PMK = PSK = PBKDF2(passphrase, SSID, ssidLength, 4096, 256)
PBKDF2 est une fonction de drivation de clef dfini dans PKCS #5 v2
- 29/55 -
Clef PTK Pairwise Transient Key

La PTK (512 bits) est calcule grce :
la PMK, des alas, les adresses MAC du point d'accs et du client ainsi que la chaine de
caractre Pairwise Key Expansion
PTK = PRF-X(PMK, Pairwise Key Expansion ,
Min(AP_Mac, STA_Mac)||Max(AP_Mac, STA_Mac)||
Min(ANonce, SNonce) ||Max(ANonce, SNonce) )
La fonction PRF-X est une fonction pseudo alatoire base sur HMAC (RFC 2104)
utilisant SHA1 comme mthode de hachage dont la sortie un nombre d'octets dfinis :
512 bits en mode TKIP (PRF-512)
384 bits en mode CCMP (PRF-384)
De la PTK on obtient :
KCK : Clef assurant l'authenticit des donnes dans le 4-Way Handshake et Group Key
Handshake (Key Confirmation Key 128 bits)
KEK : Clef assurant la confidentialit des donnes dans le 4-Way Handshake et Group Key
Handshake (Key Encryption Key 128 bits)
TK : Clef assurant le chiffrement des donnes (Temporal Key 128 bits)
TMK : Deux clefs assurant l'intgrit des donnes (une dans chaque sens) lors de l'utilisation
de TKIP (Temporal MIC Key 2x64 bits)
- 30/55 -
Dcomposition des Pairwise Keys

PSK
MK
PMK - 256 bits

Pairwise Master Key
PRF utilisant HMAC-SHA1
PTK - X bits
Pairwise Transient Key
EAPOL-Key
Confirmation Key
128 bits
Bits 0-127
KCK
- 31/55 -
X = 512 (TKIP)
X = 384 (CCMP)
EAPOL-Key
Encryption Key
128 bits
Temporal
Encryption Key
128 bits
Temporal AP
Tx MIC Key
64 bits
Temporal AP
Rx MIC Key
64 bits
Bits 128-255
KEK
Bits 256-383
TEK (=TK)
Bits 384-447
TMK1
Bits 448-511
TMK2
TKIP
4-Way Handshake : Obtention de PTK

Le 4-Way Handshake, initialis par l'AP, permet :
La confirmation de la connaissance de la PMK par le client
La gnration d'une PTK partir de la PMK
L'installation des cls d'intgrit et de chiffrement
Le transport scuris de la GTK
La confirmation de la suite de chiffrement utilise
- 32/55 -
4-Way Handshake : Obtention de PTK

PMK
PMK
Choix ala SNonce
EAPoL-Key
ANonce + AP RSN IE
La STA
drive la PTK
Assure la
synchronisation
des deux entits
pour le futur
chiffrement
EAPoL-Key
SNonce + MIC + STA RSN IE
EAPoL-Key
MIC + GTK chiffre + AP RSN IE
Installation
de la PTK+GTK
EAPoL-Key ACK
MIC
Choix ala ANonce

Assure l'intgrit du
message grce la KCK
L'AP drive la PTK
initialise la GMK
et calcule la GTK
GTK chiffre l'aide

de la KEK
Installation
de la PTK
PTK = PRF-X(PMK, Pairwise key expansion ,

Min(AP_Mac, STA_Mac) || Max(AP_Mac, STA_Mac) || Min
(ANonce, SNonce) || Max(ANonce, SNonce))
- 33/55 -
Clef GTK Group Transient Key

La GMK est une clef dfinie par la borne
La GTK est drive de la GMK et sert chiffrer et authentifier les trames
destination de plusieurs stations (broadcast ou multicast), elle doit tre
renouvelle quand un client quitte le rseau (plusieurs clefs possibles).
GTK = PRF-X(GMK, Group Key Expansion , AP_Mac || GNonce)
La fonction PRF-X est une fonction pseudo alatoire base sur HMAC (RFC 2104)
utilisant SHA1comme mthode de hachage dont la sortie un nombre d'octets
dfinis :
256 bits en mode TKIP (PRF-256)
128 bits en mode CCMP (PRF-128)
De la GMK on obtient :
GEK : Clef assurant le chiffrement du trafic (Group Encryption Key 128 bits) dans le
cas de CCMP cette clef assure aussi l'intgrit
GIK : Clef assurant l'intgrit du trafic lors de l'utilisation de TKIP (Group Integrity Key
128 bits)
- 34/55 -
Dcomposition des Group Keys

AP Mac || GNonce
GMK - 256 bits
Group Key Expansion
PRF PRF-X utilisant HMAC-SHA1
GTK - X bits
- 35/55 -
X = 256 (TKIP)
X = 128 (CCMP)
Group
Encryption Key
128 bits
Group
Integrity Key
128 bits
Bits 0-127
GEK
Bits 128-255
GIK
TKIP
Group Key Handshake : Obtention GTK

Renouvellement de la cl de groupe pour des clients ayant dj une
association de scurit
PTK
PTK
GMK (alatoire)
+ Gnonce + calcul GTK PTK et
GTK chiffre
l'aide de la KEK
PTK et
GTK
EAPoL-Key (MIC, GTK, Group)
Dchiffrement
de GTK
EAPoL-Key(Group, MIC)
GTK
Assure l'intgrit du
message grce la
KCK
GTK = PRF-256(GMK, Group Key Expansion , AP_Mac || GNonce)

- 36/55 -
STAKey Handshake
Cr une association de scurit (STAKeySA) entre une station initiatrice
(initiator) et une station distante (peer) au sein d'un mme BSS
Handshake initi par la station contrairement aux deux prcdents
Peer
Initiator
PTK
STAKey Request (Peer STA @MAC,

MIC)
STAKey
chiffre
grce la
KEK de la
PSKSA
entre le
client et
l'AP
PTK
STAKey Message1 (Initiator STA
MAC KDE, MIC, STAKey)
STAKey Message2 (Initiator STA
MAC KDE, MIC)
STAKey Message1 (Peer STA

MAC KDE, MIC, STAKey)
STAKey Message2 (Peer STA
@MAC KDE, MIC)
- 37/55 -
Le MIC assure l'intgrit du

message grce la KCK de la
PSKSA entre le client et l'AP
Solutions de chiffrement du 802.11i

Phase 4 : Chiffrement des donnes
Le WEP inchang ne permet pas d'assurer la scurit des rseaux 802.11 de
troisime gnration, trois mcanismes ont t ajouts 802.11i :
TKIP
Temporal Key Integrity Protocol
Bas sur un moteur WEP (RC4) et amliorant la mthode de gestion des clefs et le contrle
d'intgrit grce MIC (Message Integrity Control).
CCMP
Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol
Bas sur le chiffrement AES en mode CCM et signature MIC base sur CBC-MAC
Obligatoire dans la norme 802.11i
WRAP
Wireless Robust Authenticated Protocol
Bas sur le chiffrement AES en mode OCB (Offset Code Book)
http://csrc.nist.gov/CryptoToolkit/modes/proposedmodes/ocb/ocb-spec.pdf
Problme de licence sur cet algorithme : 3 groupes en rclame la paternit.
- 38/55 -
TKIP Gnralits
Algorithme de chiffrement sous jacent : RC4, utilis correctement (au sens
cryptographique du terme)
Les apports de TKIP par rapport au WEP :
Utilisation d'un algorithme de hachage cryptographique non linaire : MIC (Message
Integrity Code) bas sur Michael (Niels Ferguson)
Impossibilit de rutiliser un mme IV avec la mme clef (l'IV joue maintenant un rle
de compteur appell TSC (TKIP Sequence Counter)) et augmentation de la taille de
l'IV 48 bits
Utilisation de cls de 128 bits (et non 40 ou 104 bits pour le WEP)
Intgre des mcanismes de distribution et de changement de cls
Utilise une cl diffrente pour le chiffrement de chaque paquet : PPK (Per Packet
Key)
- 39/55 -
TKIP Fonctionnement dtaill

Ext IV (48 bits)
TEK
(128 bits)
MIC = Michael(TMK + SA + DA
+ Priority + Plaintext MSDU)
TA (48 bits)
MIC
16 bits IV 32 bits IV
(lower)
(upper)
ICV = CRC
(Plaintext || MIC)
CRC
Phase 1 Key Mixing

TTAC (TKIP-mixed Transmit
Adress and Key) 80 bits
Plaintext MPDU MIC
Phase 2 Key Mixing

d=
dummybyte
(permet
d'viter les
clefs faibles)
MAC
Header
IV d IV Per-Packet Key (104 bits)
XOR
24 bits
RC4
IV / KeyID
4 octets
Extended IV
4 octets
Keystream
Data (PDU) >= 1 octet
MIC
8 octets
ICV
4 octets
FCS
4 octets
CHIFFRE
- 40/55 -
ICV
TKIP En-tte TKIP

CHIFFRE
MAC
IV / KeyID
Header 4 octets
TSC1
Extended IV
4 octets
WEP
TSC0KeyID
Seed
Rsv Rsv Rsv Rsv Rsv ExtIV
MIC
8 octets
ICV
4 octets
TSC2 TSC3 TSC4 TSC5
KeyID
8 bits
Rsv = Bit (ou octet) rserv = 0

ExtIV = 1 (indique la prsence d'un IV tendu)
TSC (TKIP Sequence Number) = 6 octets = IV tendu
- 41/55 -
FCS
4 octets
MIC dit "Michael"

Vrai contrle d'intgrit bas sur HMAC-SHA1 (cl de 64 bits) cre
spcialement pour les besoins de TKIP (contraintes processeurs).
Authentifie l'metteur et le destinataire (SA & DA)
Niveau de scurit (voulu) : 20 bits (~ 1 Million de possibilits) :
Obligation d'implmenter des contre mesures en cas d'attaque visant forger des MIC
Solution choisie : invalider la clef de l'attaquant (induisant une nouvelle ngociation
802.1X) + blackout 60s
Risque de DoS (trs difficile raliser)
DA SA
Plaintext
N'utilise que des oprations de substitution,

rotations, XOR (pas de multiplication)
MIC invalide => Renouvellement des
cls (EAPoL message (clients),
Four way/Group Key handshake (AP)
- 42/55 -
TMK
(64 bits)
Michael
MIC
(8 octets)
Validation d'une MSDU chiffre par TKIP

Ne pas oublier : TKIP utilise toujours WEP (chiffrement RC4)
Le MIC est calcul sur la MSDU
La validation d'une MSDU suit les tapes suivantes :
Extraction de l'IV tendu et du KeyID, suppression des MPDU ne respectant pas le
squencement obligatoire des IV, construction du WEP seed (WEP IV)
Dchiffrement WEP l'aide de l'IV et de la cl WEP (Per Packet Key)
Vrification de l'ICV, rassemblement des MPDU en MSDU puis vrification du MIC
Si le MIC est valide, la trame est passe pour traitement aux couches suprieures,
sinon des contres mesures sont lances.
- 43/55 -
CCMP - Gnralits
Protocole de scurit bas sur le chiffrement AES (Advanced Encryption
Standard) en mode CCM (clef et blocs de 128 bits).
N'est pas un compromis de scurit comme TKIP mais repose sur une
remise plat complte et un nouveau protocole cr spcialement pour
l'utilisation dans 802.11i RSN : CCMP
CCM combine CTR pour la confidentialit et CBC-MAC pour
l'authenticit et l'intgrit
Mode par dfaut en 802.11i
Ajoute 16 octets au MPDU (8 octets pour l'en-tte CCMP et 8 octets pour
le MIC)
Protection anti-rejeu grce au PN (le PN est unique pour chaque PTKSA,
GTKSA ou STAKeySA)
- 44/55 -
CCMP Fonctionnement dtaill

Plaintext MPDU
MAC
Header
TEK
PN
KeyId
Increment
PN Number
Data
AAD
MPDU SA,
Priority
Counter
Construct
Nonce
MIC
Computation
Construct
CCMP Header
CCM Encryption
MAC
Header
CCMP Header
8 octets
AAD: Additionnal Authentication Data (MPDU Header)

- 45/55 -
ENCRYPTED
MIC
8 octets
FCS
4 octets
PN: Packet Number = Ext IV
CCMP En-tte CCMP

CHIFFRE
MAC
Header
CCMP Header
8 octets
MIC
8 octets
FCS
4 octets
PN0 PN1 Rsv KeyID PN2 PN3 PN4 PN5
Rsv Rsv Rsv Rsv Rsv ExtIV
KeyID
8 bits
Rsv = Bit (ou octet) rserv = 0

ExtIV = 1
PN (Packet Number) = 6 octets = IV tendu
- 46/55 -
Validation d'une MSDU chiffre par CCMP

L'ICV n'est plus utilis (hritage du WEP dans TKIP ...)
Le MIC est calcul sur chaque MPDU (contrairement TKIP !)
La validation d'une MSDU suit les tapes suivantes :
Extraction du PN (IV tendu), suppression des MPDU ne respectant pas le
squencement obligatoire des PN
L'AAD et le Nonce sont reconstruits partir du MPDU chiffr. La valeur de l'AAD est
vrifie, en cas de diffrence le MPDU est rejet.
Le MPDU est dchiffr et le MIC est extrait.
Si le MIC est valide, le MPDU en clair est construit partir de l'en-tte MPDU et du
MPDU dchiffr et pass aux couches suprieures, sinon des contres mesures sont
lances.
- 47/55 -
Rcapitulatif des solutions de chiffrement
- 48/55 -
Dj des faiblesses ?
Attaque sur la PSK (WPA & WPA2)
Scurit base sur la qualit de la passphrase => Attaque par dictionnaires ou Brute
force
Solutions : Choisir une passphrase de plus de 20 caractres OU entrer la PSK en
hexadcimal avec des donnes alatoires
http://wifinetnews.com/archives/002453.html : Dcouverte du problme (Nov 2003)
http://new.remote-exploit.org/images/5/5a/Cowpatty-2.0.tar.gz : ~ 60 mdp/s
Attaque sur le protocole 4-Way Handshake (WPA & WPA2)

Attaque publie par ChangHua He et John C. Mitchell intitule 1 Message Attack on
the 4-Way Handshake
Faille : Pas d'authentification sur le 1er message
Le client se doit de conserver des donnes entre le 1er et le 3me message (la signature du
3ime message lui permettant de dduire la bonne PTK)
Exploitation : Inondation d'un client par des trames N1 spoofes
Entraine un problme d'espace mmoire ...
- 49/55 -
Dj des faiblesses ?
Attaque sur la TEK (WPA)
Une attaque sur la TEK publie par Vebjorn Moen, Havard Raddum et Kjell J. Hole
intitule Weaknesses in the Temporal Key Hash of WPA est possible.
La complexit de l'attaque est de 2105 au lieu de 2128 avec une recherche exhaustive.
L'attaque permet aussi de dduire les 64 bits de la cl d'authentification avec une
complexit de 238
Ncessite la connaissance d'au moins deux clefs RC4 gnres partir de 32 bits de poids
fort d'IV identiques
Implmentation de l'attaque avec quatre clefs, moins de 7 minutes de calcul (sur PIV
2.5Ghz) pour rcuprer la cl de chiffrement TEK !
Les attaques de bas niveau sont toujours possibles :

Couche 802.11
Inondation de paquets D-authentification et D-association
Vol de Bande passante
Brouillage radio
- 50/55 -
Itinrance
Deux mcanismes ont t introduits pour amliorer l'itinrance :
Pre Authentication
Permet un client de s'identifier avec un autre AP sur lequel il risque de basculer (au sein
du mme BSS)
Comment ? : redirection des trames d'authentification gnrs par le client vers son futur
AP par l'intermdiaire du rseau filaire
Avantage : Roaming plus rapide
Inconvnient : Accroissement significatif de la charge sur le serveur d'authentification
Key Caching :
Permet de conserver la PMK afin de la rutiliser lors d'une future transaction avec cet AP
Utilisation du PMKID (Pairwise Master Key Identifier) pour identifier la bonne clef
Extension de certains constructeur Proactive Key Caching : partage des PMK entre AP
- 51/55 -
Conclusion
Le WEP est dfinitivement viter, la dure de vie d'une cl de 128 bits est
infrieur 1h avec les nouveaux outils
Les bornes ne supportant pas WPA doivent implmenter une rotation des
cls au maximum toutes les heures
protge de l'utilisation frauduleuse des ressources informatiques
ne protge pas de la perte de confidentialit des donnes
WPA s'impose comme solution pour les bornes ne pouvant pas supporter le
WPA2 (mise jour logiciel possible).
WPA2 est la solution la plus prenne
Le mode PSK ne garantit pas la confidentialit entre utilisateurs d'un mme
BSS (Utiliser le mode Entreprise Serveur d'authentification)
Le chiffrement ne doit pas empcher l'isolement des rseaux et la mise en
place de filtrage
- 52/55 -
Rfrences
IEEE 802.11i standard
IEEE 802.11i Overwiew, Nancy Cam-Winget, Tim Moore, Dorothy
Stanley, Jesse Walker Dcembre 2002
Real 802.11 Security Wi-Fi Protected Access and 802.11i John Edney
& William A. Arbaugh Addison-Wesley ISBN 0-321-13620-9
Scurit Wi-Fi Guy Pujolles Eyrolles ISBN 2-212-11528-8
Analysis of the 802.11i 4-Way Handshake Changhua He, John C Mitchell
Universit de Standford
1 Message Attack on the 4-Way Handshake Changhua He, John C
Mitchell Universit de Standford
Weaknesses in the Temporal Key Hash of WPA Vebjorn Moen, Havard
Raddum, Kjell J. Hole Universit de Bergen Avril 2004
- 53/55 -
Merci de votre attention
Questions ?
Retrouvez ces transparents sur www.hsc.fr
- 54/55 -
Prochains rendez-vous
Convention scurit : 15 et 16 juin
Deux jours de tutoriels et de confrences gratuites
Programme : http://www.hsc.fr/conferences/csm05_programme.html
Formation DNS : 21 juin, Postfix et anti-spam : 22 juin
http://www.hsc.fr/services/formations/
Formations SecurityCertified : 5-9 & 19-23 septembre

Permettant de passer la certification SCNP
Formation BS7799 Lead Auditor : octobre 2005

Certifie par LSTI et reconnue par l'IRCA
Sur http://www.hscnews.com/ vous pourrez vous abonner la

newsletter HSC
- 55/55 -

Hack Wpa Wpa2

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Hack Wpa Wpa2

Încărcat de

Drepturi de autor:

Formate disponibile

HERVSCHAUERCONSULTANTS

Groupe Scurit Unix et Rseau

Chiffrement et intgrit des donnes : TKIP, CCMP, MIC

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Carte rseau (NIC)

Mode 'infrastructure' : dialogue entre une interface et une borne (multi-point)

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

WEP (Wired Equivalent Privacy)

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

IBSS : Independant Basic Service Set

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

MPDU : Mac Protocol Data Unit

Point important : Un MSDU peut tre fragment en plusieurs MPDU

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

La d-authentification peut tre initite par la station ou l'AP

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

From DS More Flag

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

WEP (Wired Equivalent Privacy)

Confidentialit (+ intgrit) des donnes

Keystream = RC4 (IV,k)

galement utilis pour l'authentification des stations (en mode clef

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Contre l'authentification auprs de l'AP

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Ne ncessite plus la capture de millions d'IV mais se base juste sur le

Dcryptage des paquets ARP/IP : chopchop

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Cassage du WEP Aircrack (1)

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Cassage du WEP Aircrack (2)

Version aireplay 2.2 (beta) permettant l'injection disponible

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Notion de port 802.1x

Sur un rseau sans fil

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Pendant la phase dauthentification

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

EAPoL & Radius

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

EAP est un protocole de transport dauthentification

Les AP ne servent qu relayer les messages EAP entre le client et le

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Pourquoi de nouveaux mcanimes ?

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Profil de 802.11i promu par le WECA

Clef 128 bits

Vecteur d'initialisation de 48bits (281 474 976 710 656 possibilits)

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Ncessite des quipements capables de l'implmenter

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Passage l'chelle et flexibilit

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Scurit au niveau MAC :

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Phase oprationnelles du 802.11i

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Le choix du client est alors prcis dans un lment d'information de sa trame

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

802.1X/EAP Request Identity

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite