IEEE 802.11i-2004 - IEEE 802.11i-2004

IEEE 802.11i-2004, или же 802.11i короче, это поправка к оригиналу IEEE 802.11, реализованный как Защищенный доступ Wi-Fi II (WPA2). Проект стандарта был ратифицирован 24 июня 2004 г. Этот стандарт определяет: безопасность механизмы для беспроводные сети, заменив короткие Аутентификация и конфиденциальность пункт исходного стандарта с подробным Безопасность пункт. Поправка в процессе устарел сломанный Конфиденциальность, эквивалентная проводной сети (WEP), а позже он был включен в опубликованный IEEE 802.11-2007 стандарт.

Замена WEP

802.11i заменяет предыдущую спецификацию безопасности, Конфиденциальность, эквивалентная проводной сети (WEP), у которого были обнаружены уязвимости в системе безопасности. Защищенный доступ Wi-Fi (WPA) ранее был введен Wi-Fi Альянс как промежуточное решение для устранения уязвимостей WEP. WPA реализовал подмножество проекта 802.11i. Wi-Fi Alliance ссылается на свою одобренную интероперабельную реализацию полного стандарта 802.11i как WPA2, также называемый RSN (Надежная безопасность). 802.11i использует Расширенный стандарт шифрования (AES) блочный шифр, тогда как WEP и WPA используют RC4 потоковый шифр.[1]

Работа протокола

IEEE 802.11i улучшает IEEE 802.11-1999, предоставляя надежную сеть безопасности (RSN) с двумя новыми протоколами: четырехстороннее рукопожатие и рукопожатие группового ключа. Они используют службы аутентификации и контроль доступа к портам, описанные в IEEE 802.1X установить и изменить соответствующие криптографические ключи.[2][3] RSN - это сеть безопасности, которая позволяет создавать только надежные сетевые ассоциации безопасности (RSNA), которые являются типом ассоциации, используемой парой станций (STA), если процедура для установления аутентификации или ассоциации между ними включает 4-стороннюю Рукопожатие.[4]

Стандарт также обеспечивает два протокола конфиденциальности и целостности данных RSNA, TKIP и CCMP, при этом реализация CCMP является обязательной, поскольку механизмы конфиденциальности и целостности TKIP не так надежны, как механизмы CCMP.[5] Основная цель реализации TKIP заключалась в том, чтобы алгоритм можно было реализовать в рамках возможностей большинства старых устройств, поддерживающих только WEP.

Первоначальный процесс аутентификации выполняется либо с использованием предварительный общий ключ (PSK) или после EAP обмен через 802.1X (известный как EAPOL, что требует наличия сервера аутентификации). Этот процесс гарантирует, что клиентская станция (STA) аутентифицирована с помощью точки доступа (AP). После аутентификации PSK или 802.1X создается общий секретный ключ, называемый Парный мастер-ключ (ПМК). При аутентификации PSK PMK на самом деле является PSK,[6] который обычно получается из пароля Wi-Fi, пропуская его через функция деривации ключа который использует SHA-1 как криптографическая хеш-функция.[7] Если обмен 802.1X EAP был выполнен, PMK выводится из параметров EAP, предоставленных сервером аутентификации.

Четырехстороннее рукопожатие

большой палец в 802.11i

Четырехстороннее рукопожатие[8] спроектирован так, что точка доступа (или аутентификатор) и беспроводной клиент (или соискатель) могут независимо друг от друга доказать друг другу, что они знают PSK / PMK, без раскрытия ключа. Вместо того, чтобы раскрывать ключ, точка доступа (AP) и клиент шифруют сообщения друг для друга, которые можно расшифровать только с помощью PMK, который они уже совместно используют, и если расшифровка сообщений была успешной, это доказывает знание PMK. Четырехстороннее рукопожатие имеет решающее значение для защиты PMK от злонамеренных точек доступа - например, SSID злоумышленника, выдающего себя за реальную точку доступа, - чтобы клиенту никогда не приходилось сообщать точке доступа свой PMK.

PMK рассчитан на работу в течение всего сеанса и должен как можно меньше подвергаться воздействию; следовательно, ключи для шифрования трафика нужно выводить. Четырехстороннее рукопожатие используется для установления другого ключа, называемого парным переходным ключом (PTK). PTK генерируется сцепление следующие атрибуты: PMK, AP nonce (ANonce), STA nonce (SNonce), AP MAC-адрес, и MAC-адрес STA. Затем продукт проходит через псевдослучайная функция. Рукопожатие также дает GTK (Group Temporal Key), используемый для расшифровки многоадресная передача и широковещательный трафик.

Фактические сообщения, которыми обмениваются во время рукопожатия, показаны на рисунке и объяснены ниже (все сообщения отправляются как EAPOL -Ключевые кадры):

  1. В AP отправляет одноразовое значение (ANonce) на STA вместе со счетчиком повторного воспроизведения ключа, который представляет собой число, которое используется для сопоставления каждой пары отправленных сообщений и отклонения воспроизведенных сообщений. Теперь у STA есть все атрибуты для создания PTK.
  2. STA отправляет собственное значение nonce-value (SNonce) на AP вместе с Код целостности сообщения (MIC), включая аутентификацию, которая на самом деле представляет собой код аутентификации и целостности сообщения (MAIC), и счетчик повторного воспроизведения ключа, который будет таким же, как Сообщение 1, чтобы AP могла сопоставить правильное Сообщение 1.
  3. AP проверяет Сообщение 2, проверяя MIC, RSN, ANonce и Поле счетчика повторного воспроизведения ключа, и, если они допустимы, создает и отправляет GTK с другим MIC.
  4. STA проверяет Сообщение 3, проверяя MIC и поле счетчика повторного воспроизведения ключа, и, если оно действительно, отправляет подтверждение на AP.

Парный переходный ключ (64 байта) разделен на пять отдельных ключей:

  1. 16 байт ключа подтверждения ключа EAPOL (KCK) - используется для вычисления MIC в сообщении WPA EAPOL Key
  2. 16 байт ключа шифрования ключа EAPOL (KEK) - AP использует этот ключ для шифрования дополнительных данных, отправляемых (в поле «Данные ключа») клиенту (например, RSN IE или GTK)
  3. 16 байт временного ключа (TK) - используется для шифрования / дешифрования одноадресных пакетов данных
  4. 8 байтов ключа передачи аутентификатора MIC Authenticator Майкла - используется для вычисления MIC для одноадресных пакетов данных, передаваемых точкой доступа
  5. 8 байтов ключа Rx для аутентификатора MIC Authenticator Майкла - используется для вычисления MIC для одноадресных пакетов данных, передаваемых станцией

Групповой временной ключ (32 байта) разделен на три отдельных ключа:

  1. 16 байт группового временного ключа шифрования - используется для шифрования / дешифрования многоадресных и широковещательных пакетов данных
  2. 8 байтов ключа передачи аутентификатора MIC Authenticator Майкла - используются для вычисления MIC для многоадресных и широковещательных пакетов, передаваемых точкой доступа
  3. 8 байтов Rx-ключа Michael MIC Authenticator - в настоящее время не используются, поскольку станции не отправляют многоадресный трафик

Ключи Tx / Rx аутентификатора Michael MIC как в PTK, так и в GTK используются, только если сеть использует TKIP для шифрования данных.

Было показано, что это четырехстороннее рукопожатие уязвимо для КРЕК.

Групповое рукопожатие

Групповой временной ключ (GTK), используемый в сети, может нуждаться в обновлении из-за истечения предварительно установленного таймера. Когда устройство покидает сеть, GTK также необходимо обновить. Это сделано для того, чтобы устройство не получало больше многоадресных или широковещательных сообщений от точки доступа.

Для обработки обновления 802.11i определяет Групповое рукопожатие который состоит из двустороннего рукопожатия:

  1. AP отправляет новый GTK на каждую STA в сети. GTK зашифрован с использованием KEK, назначенного этому STA, и защищает данные от подделки с помощью MIC.
  2. STA подтверждает новый GTK и отвечает AP.

Обзор CCMP

CCMP основан на Счетчик с режимом CBC-MAC (CCM) алгоритма шифрования AES. CCM сочетает CTR для конфиденциальности и CBC-MAC для аутентификации и целостности. CCM защищает целостность как поля данных MPDU, так и выбранных частей заголовка IEEE 802.11 MPDU.

Ключевая иерархия

RSNA определяет две ключевые иерархии:

  1. Парная иерархия ключей для защиты одноадресного трафика
  2. GTK, иерархия, состоящая из одного ключа для защиты многоадресного и широковещательного трафика.

Описание ключевых иерархий использует следующие две функции:

  • L (Str, F, L) - из Str, начиная слева, извлеките биты с F по F + L – 1.
  • PRF-n - Псевдослучайная функция, выдающая n битов вывода, есть версии 128, 192, 256, 384 и 512, каждая из которых выводит это количество битов.

Иерархия парных ключей использует PRF-384 или PRF-512 для получения ключей, зависящих от сеанса, из PMK, генерируя PTK, который разделяется на KCK и KEK, а также все временные ключи, используемые MAC для защиты одноадресной передачи.

GTK должен быть случайным числом, которое также генерируется с помощью PRF-n, обычно PRF-128 или PRF-256, в этой модели иерархия групповых ключей принимает GMK (Group Master Key) и генерирует GTK.

Форматы кадров MAC

Поле управления кадром

Поле управления кадром[9]
ПодполеВерсия протоколаТипПодтипК DSИз DSБольше фрагментовПовторитьУправление энергопотреблениемБольше данныхЗащищенный кадрЗаказы
Биты2 бита2 бита4 бита1 бит1 бит1 бит1 бит1 бит1 бит1 бит1 бит

Поле защищенного кадра

"Поле защищенного кадра имеет длину 1 бит. Поле защищенного кадра имеет значение 1, если поле тела кадра содержит информацию, которая была обработана алгоритмом криптографической инкапсуляции. Поле защищенного кадра имеет значение 1 только в пределах кадров данных типа Данные и в кадрах управления типа Управление, аутентификация подтипа. Во всех других кадрах поле Protected Frame установлено в 0. Когда битовое поле Protected Frame установлено в 1 в кадре данных, поле тела кадра защищено с использованием криптографической инкапсуляции алгоритм и расширен, как определено в разделе 8. В качестве алгоритма криптографической инкапсуляции для кадров управления подтипа аутентификации допускается только WEP ».[8]

Смотрите также

Рекомендации

  1. ^ «IEEE 802.11i-2004: Поправка 6: Улучшения безопасности управления доступом к среде (MAC)» (PDF). Стандарты IEEE. 2004-07-23. Получено 2007-12-21.
  2. ^ IEEE 802.11i-2004: Поправка 6: Улучшения безопасности управления доступом к среде (MAC) (PDF), Стандарты IEEE, 2004-07-23, с. 14, получено 2010-04-09
  3. ^ IEEE 802.11i-2004: Поправка 6: Улучшения безопасности управления доступом к среде (MAC) (PDF), Стандарты IEEE, 2004-07-23, с. 14, получено 2010-04-09, RSNA полагается на IEEE 802.1X для предоставления услуг аутентификации и использует схему управления ключами IEEE 802.11.
  4. ^ IEEE 802.11i-2004: Поправка 6: Улучшения безопасности управления доступом к среде (MAC) (PDF), Стандарты IEEE, 2004-07-23, с. 5, получено 2010-04-09
  5. ^ IEEE 802.11i-2004: Поправка 6: Улучшения безопасности управления доступом к среде (MAC) (PDF), Стандарты IEEE, 2004-07-23, с. 43 год, получено 2010-04-09
  6. ^ «Поправка 6 к стандарту IEEE 802.11i-2004: Улучшения безопасности управления доступом к среде передачи (MAC)» (PDF). п. 33.
  7. ^ «Поправка 6 к стандарту IEEE 802.11i-2004: Улучшения безопасности управления доступом к среде передачи (MAC)» (PDF). п. 165.
  8. ^ а б «Поправка 6 к стандарту IEEE 802.11i-2004: Улучшения безопасности управления доступом к среде передачи (MAC)» (PDF).
  9. ^ «Раздел форматов кадров MAC». Архивировано из оригинал на 2018-04-27. Получено 2018-04-27.
Общий

внешняя ссылка

  • Уязвимость в протоколе WPA2, hole196 [1], [2]