Temporal Key Integrity Protocol
| Allmän | |
|---|---|
| Designers | Wi-Fi Alliance |
| Först publicerad | 31 oktober 2002 |
| Härrörande från | Wired Equivalent Privacy |
| Chifferdetalj | |
| Nyckelstorlekar | 128 bitar |
| Bästa offentliga kryptoanalys | |
| Utfasad | |
Temporal Key Integrity Protocol ( TKIP / som t iː ˈk ɪ p / ) är ett säkerhetsprotokoll används i den trådlösa nätverksstandarden IEEE 802.11 . TKIP designades av arbetsgruppen IEEE 802.11i och Wi-Fi Alliance som en interimslösning för att ersätta WEP utan att behöva byta ut äldre hårdvara. Detta var nödvändigt eftersom brytningen av WEP hade lämnat Wi-Fi-nätverk utan fungerande länklagersäkerhet , och en lösning krävdes för redan distribuerad hårdvara. TKIP i sig anses dock inte längre vara säker och fasades ut i 2012 års revision av 802.11-standarden.
Bakgrund
Den 31 oktober 2002 godkände Wi-Fi Alliance TKIP under namnet Wi-Fi Protected Access (WPA) . IEEE godkände den slutliga versionen av TKIP, tillsammans med mer robusta lösningar som 802.1X och AES -baserade CCMP , när de publicerade IEEE 802.11i-2004 den 23 juli 2004. Wi-Fi Alliance antog strax därefter den fullständiga specifikationen under marknadsföringsnamn WPA2 .
TKIP beslutades att fasas ut av IEEE i januari 2009.
Tekniska detaljer
TKIP och den relaterade WPA-standarden implementerar tre nya säkerhetsfunktioner för att hantera säkerhetsproblem som uppstår i WEP-skyddade nätverk. Först implementerar TKIP en nyckelblandningsfunktion som kombinerar den hemliga rotnyckeln med initieringsvektorn innan den skickas till RC4- chifferinitieringen. WEP, i jämförelse, sammanfogade bara initialiseringsvektorn till rotnyckeln och skickade detta värde till RC4-rutinen. Detta tillät den stora majoriteten av de RC4-baserade WEP- relaterade nyckelattackerna . För det andra implementerar WPA en sekvensräknare för att skydda mot replay-attacker. Paket som tas emot ur funktion kommer att avvisas av åtkomstpunkten. Slutligen implementerar TKIP en 64-bitars meddelandeintegritetskontroll (MIC) och återinitierar sekvensnumret varje gång en ny nyckel (Temporal Key) används.
För att kunna köra på äldre WEP-hårdvara med mindre uppgraderingar använder TKIP RC4 som sitt chiffer. TKIP tillhandahåller också en omnyckelmekanism . TKIP säkerställer att varje datapaket skickas med en unik krypteringsnyckel (Interim Key/Temporal Key + Packet Sequence Counter). [ citat behövs ]
Nyckelblandning ökar komplexiteten i att avkoda nycklarna genom att ge en angripare avsevärt mindre data som har krypterats med en nyckel. WPA2 implementerar också en ny meddelandeintegritetskod, MIC. Meddelandets integritetskontroll förhindrar att förfalskade paket accepteras. Under WEP var det möjligt att ändra ett paket vars innehåll var känt även om det inte hade dekrypterats.
säkerhet
TKIP använder samma underliggande mekanism som WEP, och är följaktligen sårbart för ett antal liknande attacker. Meddelandets integritetskontroll, nyckelhashing per paket , rotation av broadcast-nyckel och en sekvensräknare avskräcker många attacker. Nyckelblandningsfunktionen eliminerar också WEP-nyckelåterställningsattackerna.
Trots dessa förändringar har svagheten i några av dessa tillägg möjliggjort nya, om än smalare, attacker.
Paketspoofing och dekryptering
TKIP är sårbart för en MIC- nyckelåterställningsattack som, om den genomförs framgångsrikt, tillåter en angripare att överföra och dekryptera godtyckliga paket på nätverket som attackeras. De nuvarande allmänt tillgängliga TKIP-specifika attackerna avslöjar inte den parvisa huvudnyckeln eller de parvisa tidsnycklarna. Den 8 november 2008 släppte Martin Beck och Erik Tews ett papper som beskriver hur man återställer MIC-nyckeln och sänder några paket. Denna attack förbättrades av Mathy Vanhoef och Frank Piessens 2013, där de ökar mängden paket en angripare kan överföra, och visar hur en angripare också kan dekryptera godtyckliga paket.
Grunden för attacken är en förlängning av WEP chop-chop attacken. Eftersom WEP använder en kryptografiskt osäker kontrollsummemekanism ( CRC32 ), kan en angripare gissa enskilda byte av ett paket, och den trådlösa åtkomstpunkten kommer att bekräfta eller förneka om gissningen är korrekt eller inte. Om gissningen är korrekt kommer angriparen att kunna upptäcka att gissningen är korrekt och fortsätta att gissa andra byte i paketet. Men till skillnad från chop-chop-attacken mot ett WEP-nätverk måste angriparen vänta i minst 60 sekunder efter en felaktig gissning (ett framgångsrikt kringgående av CRC32-mekanismen) innan attacken fortsätter. Detta beror på att även om TKIP fortsätter att använda CRC32-kontrollsummemekanismen, implementerar den en extra MIC-kod som heter Michael. Om två felaktiga Michael MIC-koder tas emot inom 60 sekunder, kommer åtkomstpunkten att implementera motåtgärder, vilket innebär att den kommer att nykoda om TKIP-sessionsnyckeln, och därmed ändra framtida nyckelströmmar. Följaktligen kommer attacker mot TKIP att vänta en lämplig tid för att undvika dessa motåtgärder. Eftersom ARP- paket lätt kan identifieras genom sin storlek, och den stora majoriteten av innehållet i detta paket skulle vara känt för en angripare, är antalet byte som en angripare måste gissa med ovanstående metod ganska litet (ungefär 14 byte). Beck och Tews uppskattar att återhämtning av 12 byte är möjlig på cirka 12 minuter på ett typiskt nätverk, vilket skulle tillåta en angripare att överföra 3–7 paket på högst 28 byte. Vanhoef och Piessens förbättrade denna teknik genom att förlita sig på fragmentering, vilket gjorde att en angripare kunde överföra godtyckligt många paket, vart och ett av högst 112 byte i storlek. Vanhoef–Piessens-attackerna kan också användas för att dekryptera godtyckliga paket efter attackens val.
En angripare har redan tillgång till hela chiffertextpaketet. Efter att ha hämtat hela klartexten av samma paket har angriparen tillgång till paketets nyckelström, såväl som MIC-koden för sessionen. Med hjälp av denna information kan angriparen konstruera ett nytt paket och överföra det på nätverket. För att kringgå det WPA-implementerade replay-skyddet använder attackerna QoS- kanaler för att överföra dessa nybyggda paket. En angripare som kan överföra dessa paket kan ha möjlighet att implementera valfritt antal attacker, inklusive ARP-förgiftningsattacker , överbelastningsattacker och andra liknande attacker, utan att behöva kopplas till nätverket.
Royal Holloway attack
En grupp säkerhetsforskare vid Information Security Group vid Royal Holloway, University of London rapporterade en teoretisk attack mot TKIP som utnyttjar den underliggande RC4 -krypteringsmekanismen. TKIP använder en liknande nyckelstruktur som WEP med det låga 16-bitarsvärdet av en sekvensräknare (används för att förhindra replay-attacker) som expanderas till 24-bitars "IV", och denna sekvensräknare ökar alltid på varje nytt paket. En angripare kan använda denna nyckelstruktur för att förbättra befintliga attacker på RC4. I synnerhet, om samma data krypteras flera gånger, kan en angripare lära sig denna information från endast 2 24 anslutningar. Även om de hävdar att denna attack är på gränsen till praktisk, utfördes bara simuleringar, och attacken har inte visats i praktiken.
INGEN attack
Under 2015 presenterade säkerhetsforskare från KU Leuven nya attacker mot RC4 i både TLS och WPA-TKIP. Kallas attacken Talrika förekomst MOnitoring & Recovery Exploit (NOMORE) och är den första attacken i sitt slag som demonstrerades i praktiken. Attacken mot WPA-TKIP kan slutföras inom en timme och låter en angripare dekryptera och injicera godtyckliga paket.
Arv
ZDNet rapporterade den 18 juni 2010 att WEP och TKIP snart skulle förbjudas på Wi-Fi-enheter av Wi-Fi-alliansen. En undersökning 2013 visade dock att den fortfarande var i utbredd användning.