Documente Academic
Documente Profesional
Documente Cultură
CabinetdeConsultantsenScuritInformatiquedepuis1989
SpcialissurUnix,Windows,TCP/IPetInternet
WPA / WPA2
Une scurit fiable pour le Wi-Fi ?
Guillaume Lehembre
<Guillaume.Lehembre@hsc.fr>
Plan
Rappels 802.11, WEP et 802.1x
Les nouvelles technologies en scurit : WPA et 802.11i
WPA
802.11i
Phase oprationnelles du 802.11i
Ngociation de la politique de scurit
Authentification 802.1x
change de cl sous EAP
Hirarchie PMK / GMK
Les diffrents HandShake : 4-Way Handshake, Group Key Handshake et STAKey Handshake
Faiblesses ?
Itinrance
Conclusion
- 2/55 -
Principe du 802.11
Composants :
Borne ou point d'accs (AP)
Concentrateur sans fil, potentiellement aussi un pont et un routeur
Deux modes
Mode 'ad-hoc' : dialogue direct entre deux interfaces (point point)
IBSS : Independant Basic Service Set
Rseau maill
14 canaux
Plusieurs rseaux peuvent cohabiter au mme endroit sur des canaux diffrents
- 3/55 -
Principe du 802.11
Chaque rseau est identifi par un SSID : identificateur du rseau
Plusieurs rseaux avec des SSID diffrents peuvent cohabiter au mme endroit sur le
mme canal
Une interface Ethernet sans fil 802.11 est similaire une interface Ethernet
filaire 802.3
802.11b : CSMA/CA, 802.3 : CSMA/CD
Vision identique pour les ordinateurs et pour TCP/IP
Adressage MAC identique
Adresses des bornes en plus : 4 adresses MAC au lieu de 2 dans la trame
Elments d'architecture
BSS : Basic Service Set
Ensemble de services de base
DS : Distribution System
Reprsente l'interconnexion de plusieurs BSS
AP : Access Point
Donne accs au DS en fournissant des services, STA commes les autres
STA : Station
ESS : Extended Service Set
DS + ensemble BSS du mme SSID
- 5/55 -
MPDU / MSDU
MSDU : Mac Service Data Unit
paquet de donnes envoy par l'applicatif la couche MAC
- 6/55 -
Association / Authentification
Association
Enregistre la station auprs de l'AP
Obtention d'une AID (Association Identity) partage entre chaque AP de l'ESS,
permettant la r-association transparente au sein de l'ESS
Toujours inititie par la station
Equivalent de la connexion physique pour le filaire
Authentification
Action de prouver son identit afin de faire partie du BSS ou ESS
Deux mthodes d'authentification :
ouverte (Open Authentication) : authentification nulle
clef partage (Shared Key Authentication) : utilise la cl WEP pour chiffrer un dfi en
clair envoy par la borne - A NE JAMAIS UTILISER
Trame 802.11
MAC Header
Frame Duration Address Address Address Sequence Address
Control
ID
1
2
3
Control
4
2 octets 2 octets 6 octets 6 octets 6 octets 2 octets 6 octets
Protocol
Version
B0
Type
B1 B2
SubType
B3 B4
B7
To DS
B8
B9
B10
Frame Body
FCS
0 2312 octets
4 octets
Retry
Power
Mgmt
More
Data
B11
B12
B13
Protected
Order
Frame
B14
B15
Frame Control : L'ancien champ WEP a t renomm Protected Frame pour indiquer
qu'un chiffrement est utilis (sans le prciser)
Address 1-4 : Adresse de la source (SA) = MAC Source, Adresse destination (DA) =
MAC destination, Adresse de la station mettrice (TA), Adresse de la station
rceptrice (RA)
Sequence Control : comprend le numro de squence et le numro de fragment
FCS : CRC de 32 bits sur l'en-tte MAC et le corps de la trame
- 8/55 -
Vecteur
d'initialisation
24 bits
24 bits
Clef partage
40 bits (x4)
104 bits (x4)
Key
Payload
CRC-32
RC4
IV
Clef RC4
K=IV,k
64 bits (x4)
128 bits (x4)
key nb
Payload
CRC-32
- 9/55 -
Vulnrabilits
Contre la confidentialit
Rutilisation de la suite chiffrante (keystream reuse)
Faiblesse de RC4 (key scheduling algorithm weakness)
Attaque exhaustive (cl drive d'une passphrase)
Attaque statistique
Contre l'intgrit
Modification de paquets (bit flipping)
Injection de faux paquets
- 10/55 -
Attaque statistique
Attaque dcouverte par un hacker nomm KoreK
http://www.netstumbler.org/showpost.php?p=89036
Trs rapide et performant (cassage de la cl < 10s avec un nombre de trames suffisant)
Implmente la nouvelle attaque statistique dveloppe par KoreK
Ncessite un nombre d'IV unique pour pouvoir casser la cl
Source: http://www.cr0.net:8040/code/network/aircrack/
- 12/55 -
Composants de 802.1x
Demandeur
En anglais : Supplicant
Cest lentit qui souhaite accder aux ressources, et qui va donc devoir prouver son
identit
Serveur daccs
En anglais : Network access server (NAS) ou Authenticator
Commutateur
Borne sans fil
Serveur dauthentification
En anglais : Authentication server (AS)
Cest celui qui vrifie les accrditations prsentes par le demandeur.
Il dialogue avec le serveur daccs.
- 14/55 -
- 15/55 -
Architecture 802.1x
Client
Borne
(NAS)
(Supplicant)
PPP
Serveur
dauthentification
(AS)
Rseau
interne
- 16/55 -
Borne
EAPoL
EAPoL
Type EAP-Packet
Type EAP-Packet
802.11
802.11
Serveur
dauthentification
Radius
Radius
Ethernet
Ethernet
EAPoL
Radius
Transport de lauthentification de point point Transport de lauthentification de point point
Entre le client et la borne
Entre la borne et le serveur dauthentification
Sur 802.11
Sur Ethernet
- 17/55 -
Gnralits EAP
Extensive Authentication Protocol (RFC 2284)
Initialement conu pour PPP
Objectif
Permettre lajout de nouveaux protocoles dauthentification
EAP
Client
Borne
EAP
Serveur
dauthentification
EAP
EAPoL
EAPoL
Type EAP-Packet
Type EAP-Packet
802.11
802.11
EAP
Radius
Radius
Ethernet
Ethernet
EAP
Transport de lauthentification de bout en bout
Entre le client et le serveur dauthentification
- 19/55 -
- 20/55 -
Le WPA
WPA : Wireless Protected Access
Solution du WECA pour corriger les erreurs du WEP
2 modes de fonctionnement
Mode PSK (PreShared Key) : secret partag
Mode base de 802.1X pour une authentification centralise
- 21/55 -
Le WPA
Le WPA n'intgre pas les scurisation que le 802.11i apporte :
La scurisation des rseaux multi-point Ad-Hoc
N'implmente pas AES comme algorithme de chiffrement
Rfrences :
Document du WECA : http://www.wi-fi.org/opensection/protected_access.asp
Livre Blanc sur le Wi-Fi :
http://www.wifialliance.com/OpenSection/pdf/Whitepaper_Wi-Fi_Security4-29-03.pdf
- 22/55 -
Le WPA2
Dfinition d'un RSN (Robust Security Network) permettant de garantir :
Scurit et mobilit
Authentification du client indpendamment du lieu o il se trouve
Intgrit et Confidentialit
Garantie d'une confidentialit forte avec un mcanisme de distribution dynamique des clefs
- 23/55 -
Le WPA2
Associations construites autour d'authentifications fortes : RSNA (Robust
Security Network Association) dpendantes de 802.1x
PMKSA : Pairwise Master Key Authentication Security Association (contexte post
802.1x)
PTKSA : Pairwise Transient Key Security Association (contexte post 4 Way
Handshake)
GTKSA : Group Transient Key Security Association (contexte post Grouk Key
Handshake)
STAKeySA : Station Key Security Association (contexte post STAKey Handshake)
- 24/55 -
Ngociation de
la politique
Authentification 802.1x
Drivation et change
des cls
Distribution de la MK
par RADIUS
Chiffrement
protection des donnes
- 25/55 -
802.11i
Phase 1 : Ngociation de la politique de scurit
L'AP diffuse dans les Beacons les RSN IE (Information Elements)
Liste des authentification supportes (802.1x)
Liste des protocoles de scurit (CCMP, TKIP, ...)
Liste des mthodes de chiffrement pour la diffusion des clefs de groupes (GTK)
Probe Request
Probe Response + RSN IE
CCMP Mcast, CCMP Ucast, 802.1x auth
802.11 Open System Authentication
802.11 Open System Authentication - Success
Association Request + RSN IE
STA request CCMP Mcast, CCMP Ucast, 802.1x auth
Association Response - Success
- 26/55 -
802.11i
Phase 2 : Authentification 802.1x
Dfinition de concert de la MK (Master Key) bas sur la mthode EAP choisie
(EAP/TLS, EAP/TTLS, EAP/SIM, etc.)
802.1X
RADIUS
802.1X/EAP Success
- 27/55 -
Drivation de la PMK
RADIUS Accept
(Distribution de la MK Cf phase 3)
802.11i
Phase 3 : change des clefs sous EAP en 3 tapes
Transmission de la MK du serveur d'authentification (AS) l'AP
Message radius avec l'attribut MS-PPE-RECV-KEY
Drivation de la PMK partir de la MK
RADIUS
Etape 1 : Transmission MK de l'AS l'AP
- 29/55 -
De la PTK on obtient :
KCK : Clef assurant l'authenticit des donnes dans le 4-Way Handshake et Group Key
Handshake (Key Confirmation Key 128 bits)
KEK : Clef assurant la confidentialit des donnes dans le 4-Way Handshake et Group Key
Handshake (Key Encryption Key 128 bits)
TK : Clef assurant le chiffrement des donnes (Temporal Key 128 bits)
TMK : Deux clefs assurant l'intgrit des donnes (une dans chaque sens) lors de l'utilisation
de TKIP (Temporal MIC Key 2x64 bits)
- 30/55 -
MK
PTK - X bits
Pairwise Transient Key
EAPOL-Key
Confirmation Key
128 bits
Bits 0-127
KCK
- 31/55 -
X = 512 (TKIP)
X = 384 (CCMP)
EAPOL-Key
Encryption Key
128 bits
Temporal
Encryption Key
128 bits
Temporal AP
Tx MIC Key
64 bits
Temporal AP
Rx MIC Key
64 bits
Bits 128-255
KEK
Bits 256-383
TEK (=TK)
Bits 384-447
TMK1
Bits 448-511
TMK2
TKIP
- 32/55 -
PMK
EAPoL-Key
ANonce + AP RSN IE
La STA
drive la PTK
Assure la
synchronisation
des deux entits
pour le futur
chiffrement
EAPoL-Key
SNonce + MIC + STA RSN IE
EAPoL-Key
MIC + GTK chiffre + AP RSN IE
Installation
de la PTK+GTK
EAPoL-Key ACK
MIC
De la GMK on obtient :
GEK : Clef assurant le chiffrement du trafic (Group Encryption Key 128 bits) dans le
cas de CCMP cette clef assure aussi l'intgrit
GIK : Clef assurant l'intgrit du trafic lors de l'utilisation de TKIP (Group Integrity Key
128 bits)
- 34/55 -
GTK - X bits
- 35/55 -
X = 256 (TKIP)
X = 128 (CCMP)
Group
Encryption Key
128 bits
Group
Integrity Key
128 bits
Bits 0-127
GEK
Bits 128-255
GIK
TKIP
PTK
GMK (alatoire)
+ Gnonce + calcul GTK PTK et
GTK chiffre
l'aide de la KEK
PTK et
GTK
Dchiffrement
de GTK
EAPoL-Key(Group, MIC)
GTK
Assure l'intgrit du
message grce la
KCK
STAKey Handshake
Cr une association de scurit (STAKeySA) entre une station initiatrice
(initiator) et une station distante (peer) au sein d'un mme BSS
Handshake initi par la station contrairement aux deux prcdents
Peer
Initiator
PTK
STAKey
chiffre
grce la
KEK de la
PSKSA
entre le
client et
l'AP
PTK
STAKey Message1 (Initiator STA
MAC KDE, MIC, STAKey)
STAKey Message2 (Initiator STA
MAC KDE, MIC)
- 37/55 -
CCMP
Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol
Bas sur le chiffrement AES en mode CCM et signature MIC base sur CBC-MAC
Obligatoire dans la norme 802.11i
WRAP
Wireless Robust Authenticated Protocol
Bas sur le chiffrement AES en mode OCB (Offset Code Book)
http://csrc.nist.gov/CryptoToolkit/modes/proposedmodes/ocb/ocb-spec.pdf
Problme de licence sur cet algorithme : 3 groupes en rclame la paternit.
- 38/55 -
TKIP Gnralits
Algorithme de chiffrement sous jacent : RC4, utilis correctement (au sens
cryptographique du terme)
Les apports de TKIP par rapport au WEP :
Utilisation d'un algorithme de hachage cryptographique non linaire : MIC (Message
Integrity Code) bas sur Michael (Niels Ferguson)
Impossibilit de rutiliser un mme IV avec la mme clef (l'IV joue maintenant un rle
de compteur appell TSC (TKIP Sequence Counter)) et augmentation de la taille de
l'IV 48 bits
Utilisation de cls de 128 bits (et non 40 ou 104 bits pour le WEP)
Intgre des mcanismes de distribution et de changement de cls
Utilise une cl diffrente pour le chiffrement de chaque paquet : PPK (Per Packet
Key)
- 39/55 -
TEK
(128 bits)
MIC = Michael(TMK + SA + DA
+ Priority + Plaintext MSDU)
TA (48 bits)
MIC
16 bits IV 32 bits IV
(lower)
(upper)
ICV = CRC
(Plaintext || MIC)
CRC
XOR
24 bits
RC4
IV / KeyID
4 octets
Extended IV
4 octets
Keystream
Data (PDU) >= 1 octet
MIC
8 octets
ICV
4 octets
FCS
4 octets
CHIFFRE
- 40/55 -
ICV
TSC1
Extended IV
4 octets
WEP
TSC0KeyID
Seed
MIC
8 octets
ICV
4 octets
KeyID
8 bits
FCS
4 octets
DA SA
Plaintext
TMK
(64 bits)
Michael
MIC
(8 octets)
- 43/55 -
CCMP - Gnralits
Protocole de scurit bas sur le chiffrement AES (Advanced Encryption
Standard) en mode CCM (clef et blocs de 128 bits).
N'est pas un compromis de scurit comme TKIP mais repose sur une
remise plat complte et un nouveau protocole cr spcialement pour
l'utilisation dans 802.11i RSN : CCMP
CCM combine CTR pour la confidentialit et CBC-MAC pour
l'authenticit et l'intgrit
Mode par dfaut en 802.11i
Ajoute 16 octets au MPDU (8 octets pour l'en-tte CCMP et 8 octets pour
le MIC)
Protection anti-rejeu grce au PN (le PN est unique pour chaque PTKSA,
GTKSA ou STAKeySA)
- 44/55 -
MAC
Header
TEK
PN
KeyId
Increment
PN Number
Data
AAD
MPDU SA,
Priority
Counter
Construct
Nonce
MIC
Computation
Construct
CCMP Header
CCM Encryption
MAC
Header
CCMP Header
8 octets
ENCRYPTED
MIC
8 octets
FCS
4 octets
PN: Packet Number = Ext IV
CCMP Header
8 octets
MIC
8 octets
FCS
4 octets
KeyID
8 bits
- 47/55 -
- 48/55 -
Dj des faiblesses ?
Attaque sur la PSK (WPA & WPA2)
Scurit base sur la qualit de la passphrase => Attaque par dictionnaires ou Brute
force
Solutions : Choisir une passphrase de plus de 20 caractres OU entrer la PSK en
hexadcimal avec des donnes alatoires
http://wifinetnews.com/archives/002453.html : Dcouverte du problme (Nov 2003)
http://new.remote-exploit.org/images/5/5a/Cowpatty-2.0.tar.gz : ~ 60 mdp/s
Dj des faiblesses ?
Attaque sur la TEK (WPA)
Une attaque sur la TEK publie par Vebjorn Moen, Havard Raddum et Kjell J. Hole
intitule Weaknesses in the Temporal Key Hash of WPA est possible.
La complexit de l'attaque est de 2105 au lieu de 2128 avec une recherche exhaustive.
L'attaque permet aussi de dduire les 64 bits de la cl d'authentification avec une
complexit de 238
Ncessite la connaissance d'au moins deux clefs RC4 gnres partir de 32 bits de poids
fort d'IV identiques
Implmentation de l'attaque avec quatre clefs, moins de 7 minutes de calcul (sur PIV
2.5Ghz) pour rcuprer la cl de chiffrement TEK !
Itinrance
Deux mcanismes ont t introduits pour amliorer l'itinrance :
Pre Authentication
Permet un client de s'identifier avec un autre AP sur lequel il risque de basculer (au sein
du mme BSS)
Comment ? : redirection des trames d'authentification gnrs par le client vers son futur
AP par l'intermdiaire du rseau filaire
Avantage : Roaming plus rapide
Inconvnient : Accroissement significatif de la charge sur le serveur d'authentification
Key Caching :
Permet de conserver la PMK afin de la rutiliser lors d'une future transaction avec cet AP
Utilisation du PMKID (Pairwise Master Key Identifier) pour identifier la bonne clef
Extension de certains constructeur Proactive Key Caching : partage des PMK entre AP
- 51/55 -
Conclusion
Le WEP est dfinitivement viter, la dure de vie d'une cl de 128 bits est
infrieur 1h avec les nouveaux outils
Les bornes ne supportant pas WPA doivent implmenter une rotation des
cls au maximum toutes les heures
protge de l'utilisation frauduleuse des ressources informatiques
ne protge pas de la perte de confidentialit des donnes
WPA s'impose comme solution pour les bornes ne pouvant pas supporter le
WPA2 (mise jour logiciel possible).
WPA2 est la solution la plus prenne
Le mode PSK ne garantit pas la confidentialit entre utilisateurs d'un mme
BSS (Utiliser le mode Entreprise Serveur d'authentification)
Le chiffrement ne doit pas empcher l'isolement des rseaux et la mise en
place de filtrage
- 52/55 -
Rfrences
IEEE 802.11i standard
IEEE 802.11i Overwiew, Nancy Cam-Winget, Tim Moore, Dorothy
Stanley, Jesse Walker Dcembre 2002
Real 802.11 Security Wi-Fi Protected Access and 802.11i John Edney
& William A. Arbaugh Addison-Wesley ISBN 0-321-13620-9
Scurit Wi-Fi Guy Pujolles Eyrolles ISBN 2-212-11528-8
Analysis of the 802.11i 4-Way Handshake Changhua He, John C Mitchell
Universit de Standford
1 Message Attack on the 4-Way Handshake Changhua He, John C
Mitchell Universit de Standford
Weaknesses in the Temporal Key Hash of WPA Vebjorn Moen, Havard
Raddum, Kjell J. Hole Universit de Bergen Avril 2004
- 53/55 -
Questions ?
Retrouvez ces transparents sur www.hsc.fr
- 54/55 -
Prochains rendez-vous
Convention scurit : 15 et 16 juin
Deux jours de tutoriels et de confrences gratuites
Programme : http://www.hsc.fr/conferences/csm05_programme.html
Formation DNS : 21 juin, Postfix et anti-spam : 22 juin
http://www.hsc.fr/services/formations/