Temporal Key Integrity Protocol ( TKIP / т я к ɪ р / ) представляет собой протокол безопасности , используемый в IEEE 802.11 стандарта беспроводной сети. TKIP был разработан рабочей группой IEEE 802.11i и Wi-Fi Alliance в качестве временного решения для замены WEP без необходимости замены устаревшего оборудования. Это было необходимо, потому что взлом WEP оставил сети Wi-Fi без жизнеспособного канального уровня.безопасность, и решение требовалось для уже развернутого оборудования. Однако сам протокол TKIP больше не считается безопасным и объявлен устаревшим в версии 2012 года стандарта 802.11. [1]
Общий | |
---|---|
Дизайнеров | Wi-Fi Альянс |
Впервые опубликовано | 31 октября 2002 г . |
Полученный из | Конфиденциальность, эквивалентная проводной сети |
Детали шифра | |
Ключевые размеры | 128 бит |
Лучший публичный криптоанализ | |
Устарело |
Задний план
31 октября 2002 г. Wi-Fi Alliance одобрил протокол TKIP под названием Wi-Fi Protected Access (WPA) . [2] IEEE одобрил окончательную версию TKIP вместе с более надежными решениями, такими как 802.1X и CCMP на основе AES , когда они опубликовали IEEE 802.11i-2004 23 июля 2004 года. [3] Вскоре после этого Wi-Fi Alliance приняла полную спецификацию под торговым названием WPA2 . [4]
В январе 2009 года IEEE решила не поддерживать TKIP. [1]
Технические подробности
TKIP и соответствующий стандарт WPA реализуют три новых функции безопасности для решения проблем безопасности, возникающих в сетях, защищенных WEP. Во-первых, TKIP реализует функцию микширования клавиш [ какая? ], который объединяет секретный корневой ключ с вектором инициализации перед передачей его в инициализацию шифра RC4 . Для сравнения, WEP просто конкатенировал вектор инициализации с корневым ключом и передал это значение в подпрограмму RC4. Это позволило подавляющее большинство атак с использованием ключа WEP на основе RC4 . [5] Во-вторых, WPA реализует счетчик последовательностей для защиты от атак повторного воспроизведения. Пакеты, полученные не по порядку, будут отклонены точкой доступа. Наконец, TKIP реализует 64-битную проверку целостности сообщения (MIC) и повторно инициализирует порядковый номер каждый раз, когда используется новый ключ (временный ключ). [6]
Чтобы иметь возможность работать на устаревшем оборудовании WEP с небольшими обновлениями, TKIP использует RC4 в качестве своего шифра. TKIP также предоставляет механизм смены ключей . TKIP гарантирует, что каждый пакет данных отправляется с уникальным ключом шифрования (промежуточный ключ / временный ключ + счетчик последовательности пакетов). [ необходима цитата ]
Смешивание ключей увеличивает сложность декодирования ключей, предоставляя злоумышленнику существенно меньше данных, которые были зашифрованы с использованием любого одного ключа. WPA2 также реализует новый код целостности сообщения, MIC. Проверка целостности сообщения предотвращает прием поддельных пакетов. При использовании WEP можно было изменить пакет, содержимое которого было известно, даже если он не был расшифрован.
Безопасность
TKIP использует тот же базовый механизм, что и WEP, и, следовательно, уязвим для ряда подобных атак. Проверка целостности сообщения, хеширование ключей для каждого пакета , ротация широковещательных ключей и счетчик последовательностей предотвращают многие атаки. Функция смешивания ключей также исключает атаки восстановления ключа WEP.
Несмотря на эти изменения, слабость некоторых из этих дополнений позволила использовать новые, хотя и более узкие, атаки.
Подмена пакетов и расшифровка
TKIP уязвим для атаки восстановления ключа MIC, которая в случае успешного выполнения позволяет злоумышленнику передавать и расшифровывать произвольные пакеты в атакуемой сети. [7] Текущие общедоступные атаки, специфичные для TKIP, не раскрывают парный главный ключ или парные временные ключи. 8 ноября 2008 г. Мартин Бек и Эрик Тьюс выпустили документ, в котором подробно описывается, как восстановить ключ MIC и передать несколько пакетов. [8] Эта атака была улучшена Мэти Ванхуф и Фрэнком Писсенсом в 2013 году, где они увеличили количество пакетов, которые может передать злоумышленник, и показали, как злоумышленник также может расшифровать произвольные пакеты. [7]
В основе атаки лежит расширение WEP -атаки chop-chop . Поскольку WEP использует криптографически незащищенный механизм контрольной суммы ( CRC32 ), злоумышленник может угадать отдельные байты пакета, а точка беспроводного доступа подтвердит или опровергнет правильность этого предположения. Если предположение верное, злоумышленник сможет определить правильность предположения и продолжить поиск других байтов пакета. Однако, в отличие от атаки chop-chop на сеть WEP, злоумышленник должен подождать не менее 60 секунд после неправильного предположения (успешного обхода механизма CRC32), прежде чем продолжить атаку. Это связано с тем, что, хотя TKIP продолжает использовать механизм контрольной суммы CRC32, он реализует дополнительный код MIC с именем Michael. Если в течение 60 секунд будут получены два неверных кода MIC Майкла, точка доступа применит контрмеры, то есть изменит ключ сеанса TKIP, тем самым изменив будущие потоки ключей. Соответственно, атаки на TKIP будут ждать соответствующее время, чтобы избежать этих контрмер. Поскольку пакеты ARP легко идентифицируются по их размеру, и подавляющая часть содержимого этого пакета будет известна злоумышленнику, количество байтов, которое злоумышленник должен угадать с помощью описанного выше метода, довольно мало (примерно 14 байтов). По оценкам Бек и Тьюс, восстановление 12 байтов в типичной сети возможно примерно за 12 минут, что позволит злоумышленнику передать 3–7 пакетов размером не более 28 байтов. [8] Ванхуф и Писсенс усовершенствовали этот метод, полагаясь на фрагментацию , что позволило злоумышленнику передать произвольное количество пакетов, каждый размером не более 112 байт. [7] Атаки Ванхёфа – Писсенса также могут использоваться для расшифровки произвольных пакетов по выбору атаки.
Злоумышленник уже имеет доступ ко всему пакету зашифрованного текста. Получив весь открытый текст того же пакета, злоумышленник получает доступ к ключевому потоку пакета, а также к коду MIC сеанса. Используя эту информацию, злоумышленник может создать новый пакет и передать его по сети. Чтобы обойти реализованную WPA защиту от воспроизведения, атаки используют каналы QoS для передачи этих вновь созданных пакетов. Злоумышленник, способный передать эти пакеты, может реализовать любое количество атак, включая атаки отравления ARP , отказ в обслуживании и другие подобные атаки, без необходимости быть связанным с сетью.
Атака Роял Холлоуэй
Группа исследователей безопасности из Группы информационной безопасности в Ройал Холлоуэй, Лондонский университет, сообщила о теоретической атаке на TKIP, которая использует лежащий в основе механизм шифрования RC4 . TKIP использует структуру ключа, аналогичную WEP, с младшим 16-битным значением счетчика последовательностей (используемым для предотвращения атак повторного воспроизведения), расширяемым до 24-битного «IV», и этот счетчик последовательностей всегда увеличивается с каждым новым пакетом. Злоумышленник может использовать эту ключевую структуру для улучшения существующих атак на RC4. В частности, если одни и те же данные зашифрованы несколько раз, злоумышленник может узнать эту информацию только по 2 24 соединениям. [9] [10] [11] Хотя они утверждают, что эта атака находится на грани практического применения, были выполнены только симуляции, а атака не была продемонстрирована на практике.
NOMORE атака
В 2015 году исследователи безопасности из KU Leuven представили новые атаки против RC4 как в TLS, так и в WPA-TKIP. Названная атакой Numerous Occurrence MOnitoring & Recovery Exploit (NOMORE), это первая атака такого рода, которая была продемонстрирована на практике. Атака на WPA-TKIP может быть завершена в течение часа и позволяет злоумышленнику расшифровать и внедрить произвольные пакеты. [12]
Наследие
18 июня 2010 года ZDNet сообщила, что WEP и TKIP вскоре будут запрещены на устройствах Wi-Fi альянсом Wi-Fi. [13] Однако опрос 2013 года показал, что он все еще широко используется. [14]
Смотрите также
- Контроллер беспроводного сетевого интерфейса
- CCMP
- Защищенный доступ Wi-Fi
- IEEE 802.11i-2004
Рекомендации
- ^ a b «Список проблем 802.11mb v12» (excel) . 20 января 2009 г. с. CID 98.
Использование TKIP не рекомендуется. Алгоритм TKIP не подходит для целей этого стандарта.
- ^ «Wi-Fi Alliance анонсирует решение для обеспечения безопасности на основе стандартов, заменяющее WEP» . Wi-Fi Alliance . 2002-10-31. Архивировано из оригинала на 2008-01-03 . Проверено 21 декабря 2007 .
- ^ «IEEE 802.11i-2004: Поправка 6: Улучшения безопасности управления доступом к среде (MAC)» (PDF) . Стандарты IEEE . 2004-07-23 . Проверено 21 декабря 2007 .
- ^ «Wi-Fi Alliance представляет новое поколение безопасности Wi-Fi» . Wi-Fi Alliance . 2004-09-01. Архивировано из оригинала на 2008-01-03 . Проверено 21 декабря 2007 .
- ^ Эдни, Джон; Арбо, Уильям А. (15 июля 2003 г.). Настоящая безопасность 802.11: защищенный доступ Wi-Fi и 802.11i . Эддисон Уэсли Профессионал . ISBN 978-0-321-13620-6.
- ^ Совет по стандартам IEEE-SA. Технические характеристики управления доступом к среде (MAC) и физического уровня (PHY) беспроводной локальной сети. Журнал коммуникаций , IEEE, 2007.
- ^ а б в Ванхуф, Мэти; Писсенс, Франк (май 2013 г.). Практическая проверка уязвимостей WPA-TKIP (PDF) . Материалы 8-го симпозиума ACM SIGSAC по информационной, компьютерной и коммуникационной безопасности . ASIA CCS '13. С. 427–436. DOI : 10.1145 / 2484313.2484368 . ISBN 9781450317672. S2CID 7639081 .
- ^ a b Мартин Бек и Эрик Тьюс, «Практические атаки на WEP и WPA», доступно по адресу [1] .
- ^ АльФардан; и другие. (2013-07-08). «О безопасности RC4 в TLS и WPA» (PDF) . Группа информационной безопасности, Роял Холлоуэй, Лондонский университет.
- ^ Патерсон; и другие. (2014-03-01). «Атаки восстановления открытого текста на WPA / TKIP» (PDF) . Группа информационной безопасности, Роял Холлоуэй, Лондонский университет.
- ^ Патерсон; и другие. (2014-03-01). «Охота на большие предубеждения в Амазонии: крупномасштабное вычисление и использование предубеждений RC4 (приглашенная статья)». Достижения в криптологии - ASIACRYPT 2014 . Конспект лекций по информатике. 8874 . Группа информационной безопасности, Роял Холлоуэй, Лондонский университет. С. 398–419. DOI : 10.1007 / 978-3-662-45611-8_21 . ISBN 978-3-662-45607-1.
- ^ "RC4 NOMORE" . www.rc4nomore.com . Проверено 21 мая 2019 .
- ^ Wi-Fi Alliance, чтобы сбросить WEP и TKIP ... не скоро
- ^ Ванхуф, Мэти; Писсенс, Франк (май 2013 г.). Практическая проверка уязвимостей WPA-TKIP (PDF) . Материалы 8-го симпозиума ACM SIGSAC по информационной, компьютерной и коммуникационной безопасности . ASIA CCS '13. С. 427–436. DOI : 10.1145 / 2484313.2484368 . ISBN 9781450317672. S2CID 7639081 .