Wired Equivalent Privacy
Wired Equivalent Privacy ( WEP ) var en säkerhetsalgoritm för trådlösa 802.11-nätverk . Introducerad som en del av den ursprungliga IEEE 802.11 -standarden som ratificerades 1997, var dess avsikt att tillhandahålla datakonfidentialitet jämförbar med den för ett traditionellt trådbundet nätverk . WEP, som känns igen på sin nyckel på 10 eller 26 hexadecimala siffror (40 eller 104 bitar), användes vid en tidpunkt flitigt och var ofta det första säkerhetsvalet som presenterades för användarna av routerkonfigurationsverktyg.
2003 meddelade Wi-Fi Alliance att WEP hade ersatts av Wi-Fi Protected Access (WPA). 2004, med ratificeringen av den fullständiga 802.11i-standarden (dvs. WPA2), deklarerade IEEE att både WEP-40 och WEP-104 har avskrivits.
WEP var det enda krypteringsprotokollet som var tillgängligt för 802.11a- och 802.11b -enheter byggda före WPA-standarden, som var tillgängligt för 802.11g -enheter. Men vissa 802.11b-enheter försågs senare med firmware eller programuppdateringar för att aktivera WPA, och nyare enheter hade det inbyggt.
Historia
WEP ratificerades som en Wi-Fi-säkerhetsstandard 1999. De första versionerna av WEP var inte särskilt starka, inte ens för den tid de släpptes, på grund av USA:s restriktioner för export av olika kryptografiska teknologier. Dessa begränsningar ledde till att tillverkare begränsade sina enheter till endast 64-bitars kryptering. När restriktionerna hävdes ökades krypteringen till 128 bitar. Trots introduktionen av 256-bitars WEP är 128-bitars fortfarande en av de vanligaste implementeringarna.
Krypteringsdetaljer
WEP inkluderades som sekretesskomponenten i den ursprungliga IEEE 802.11 -standarden som ratificerades 1997. WEP använder strömchifferet RC4 för konfidentialitet och CRC-32- kontrollsumman för integritet . Det fasades ut 2004 och är dokumenterat i den nuvarande standarden.
Standard 64-bitars WEP använder en 40- bitars nyckel (även känd som WEP-40), som är sammanlänkad med en 24-bitars initialiseringsvektor (IV) för att bilda RC4-nyckeln. Vid den tidpunkt då den ursprungliga WEP-standarden utarbetades begränsade den amerikanska regeringens exportrestriktioner för kryptografisk teknik nyckelstorleken . När begränsningarna väl hävdes implementerade tillverkare av åtkomstpunkter ett utökat 128-bitars WEP-protokoll med en 104-bitars nyckelstorlek (WEP-104).
En 64-bitars WEP-nyckel skrivs vanligtvis in som en sträng med 10 hexadecimala (bas 16) tecken (0–9 och A–F). Varje tecken representerar 4 bitar, 10 siffror med 4 bitar vardera ger 40 bitar; Lägga till 24-bitars IV producerar hela 64-bitars WEP-nyckeln (4 bitar × 10 + 24-bitars IV = 64-bitars WEP-nyckel). De flesta enheter tillåter också användaren att ange nyckeln som 5 ASCII- tecken (0–9, a–z, A–Z), som var och en omvandlas till 8 bitar med hjälp av tecknets bytevärde i ASCII (8 bitar × 5 + 24 -bit IV = 64-bitars WEP-nyckel); Detta begränsar dock varje byte till att vara ett utskrivbart ASCII-tecken, vilket bara är en liten del av möjliga bytevärden, vilket avsevärt minskar utrymmet för möjliga nycklar.
En 128-bitars WEP-nyckel skrivs vanligtvis in som en sträng med 26 hexadecimala tecken. 26 siffror med 4 bitar vardera ger 104 bitar; Lägga till 24-bitars IV producerar hela 128-bitars WEP-nyckeln (4 bitar × 26 + 24-bitars IV = 128-bitars WEP-nyckel). De flesta enheter tillåter också användaren att ange det som 13 ASCII-tecken (8 bitar × 13 + 24-bitars IV = 128-bitars WEP-nyckel).
152-bitars och 256-bitars WEP-system är tillgängliga från vissa leverantörer. Som med de andra WEP-varianterna är 24 bitar av det för IV, vilket lämnar 128 eller 232 bitar för faktisk skydd. Dessa 128 eller 232 bitar skrivs vanligtvis in som 32 eller 58 hexadecimala tecken (4 bitar × 32 + 24-bitars IV = 152-bitars WEP-nyckel, 4 bitar × 58 + 24-bitars IV = 256-bitars WEP-nyckel). De flesta enheter tillåter också användaren att ange det som 16 eller 29 ASCII-tecken (8 bitar × 16 + 24-bitars IV = 152-bitars WEP-nyckel, 8 bitar × 29 + 24-bitars IV = 256-bitars WEP-nyckel).
Autentisering
Två autentiseringsmetoder kan användas med WEP: Open System-autentisering och Shared Key-autentisering.
I Open System-autentisering tillhandahåller inte WLAN-klienten sina autentiseringsuppgifter till åtkomstpunkten under autentiseringen. Vilken klient som helst kan autentisera med åtkomstpunkten och sedan försöka associera. I själva verket sker ingen autentisering. Därefter kan WEP-nycklar användas för att kryptera dataramar. Vid denna tidpunkt måste klienten ha rätt nycklar.
I autentisering med delad nyckel används WEP-nyckeln för autentisering i en fyrstegs utmaning-svar- handskakning:
- Klienten skickar en autentiseringsbegäran till åtkomstpunkten.
- Åtkomstpunkten svarar med en klartextutmaning .
- Klienten krypterar utmaningstexten med den konfigurerade WEP-nyckeln och skickar tillbaka den i en annan autentiseringsbegäran.
- Åtkomstpunkten dekrypterar svaret. Om detta stämmer överens med utmaningstexten skickar åtkomstpunkten tillbaka ett positivt svar.
Efter autentiseringen och associeringen används den fördelade WEP-nyckeln också för att kryptera dataramarna med RC4.
Vid första anblicken kan det verka som om autentisering med delad nyckel är säkrare än autentisering med öppet system eftersom den senare inte erbjuder någon riktig autentisering. Det är dock helt tvärtom. Det är möjligt att härleda nyckelströmmen som används för handskakningen genom att fånga utmaningsramarna i Shared Key-autentisering. Därför kan data lättare fångas upp och dekrypteras med autentisering med delad nyckel än med autentisering med öppet system. Om integritet är ett primärt bekymmer, är det mer tillrådligt att använda Open System-autentisering för WEP-autentisering, snarare än Shared Key-autentisering; Detta betyder dock också att alla WLAN-klienter kan ansluta till AP. (Båda autentiseringsmekanismerna är svaga; WEP med delad nyckel fasas ut till förmån för WPA/WPA2.)
Svag säkerhet
Eftersom RC4 är ett strömchiffer , får samma trafiknyckel aldrig användas två gånger. Syftet med en IV, som sänds som klartext, är att förhindra upprepning, men en 24-bitars IV är inte tillräckligt lång för att säkerställa detta i ett upptaget nätverk. Sättet som IV användes öppnade också WEP för en relaterad nyckelattack . För en 24-bitars IV är det 50 % sannolikhet att samma IV kommer att upprepas efter 5 000 paket.
publicerade Scott Fluhrer, Itsik Mantin och Adi Shamir en kryptoanalys av WEP som utnyttjar hur RC4-chiffrorna och IV används i WEP, vilket resulterar i en passiv attack som kan återställa RC4- nyckeln efter avlyssning på nätverket. Beroende på mängden nätverkstrafik, och därmed antalet tillgängliga paket för inspektion, kan en framgångsrik nyckelåterställning ta så lite som en minut. Om ett otillräckligt antal paket skickas finns det sätt för en angripare att skicka paket på nätverket och därigenom stimulera svarspaket, som sedan kan inspekteras för att hitta nyckeln. Attacken genomfördes snart och automatiserade verktyg har sedan dess släppts. Det är möjligt att utföra attacken med en persondator, hårdvara från hyllan och fritt tillgänglig programvara som aircrack-ng för att knäcka valfri WEP-nyckel på några minuter.
Cam-Winget et al. undersökte en mängd olika brister i WEP. De skrev " Experiment på fältet visar att det, med rätt utrustning, är praktiskt att avlyssna WEP-skyddade nätverk från avstånd på en mil eller mer från målet." De rapporterade också två generiska svagheter:
- användningen av WEP var valfri, vilket resulterade i att många installationer aldrig ens aktiverade det, och
- som standard förlitar sig WEP på en enda delad nyckel bland användare, vilket leder till praktiska problem med att hantera kompromisser, vilket ofta leder till att kompromisser ignoreras.
2005 gav en grupp från US Federal Bureau of Investigation en demonstration där de knäckte ett WEP-skyddat nätverk på tre minuter med hjälp av allmänt tillgängliga verktyg. Andreas Klein presenterade en annan analys av RC4-strömchifferet. Klein visade att det finns fler korrelationer mellan RC4-nyckelströmmen och nyckeln än de som hittats av Fluhrer, Mantin och Shamir, som dessutom kan användas för att bryta WEP i WEP-liknande användningslägen.
2006 visade Bittau, Handley och Lackey att själva 802.11-protokollet kan användas mot WEP för att möjliggöra tidigare attacker som tidigare ansågs opraktiska. Efter att ha avlyssnat ett enstaka paket kan en angripare snabbt bootstrapa för att kunna överföra godtycklig data. Det avlyssnade paketet kan sedan dekrypteras en byte i taget (genom att sända cirka 128 paket per byte för att dekryptera) för att upptäcka det lokala nätverkets IP-adresser. Slutligen, om 802.11-nätverket är anslutet till Internet, kan angriparen använda 802.11-fragmentering för att spela om avlyssnade paket samtidigt som han skapar en ny IP-header på dem. Åtkomstpunkten kan sedan användas för att dekryptera dessa paket och vidarebefordra dem till en kompis på Internet, vilket möjliggör realtidsdekryptering av WEP-trafik inom en minut efter avlyssning av det första paketet.
2007 kunde Erik Tews, Andrei Pychkine och Ralf-Philipp Weinmann utöka Kleins attack från 2005 och optimera den för användning mot WEP. Med den nya attacken är det möjligt att återställa en 104-bitars WEP-nyckel med en sannolikhet på 50 % med endast 40 000 fångade paket. För 60 000 tillgängliga datapaket är sannolikheten för framgång cirka 80 % och för 85 000 datapaket cirka 95 %. Genom att använda aktiva tekniker som Wi-Fi-avautentiseringsattacker och ARP -återinjektion kan 40 000 paket fångas på mindre än en minut under goda förhållanden. Själva beräkningen tar cirka 3 sekunder och 3 MB huvudminne på en Pentium-M 1,7 GHz och kan dessutom optimeras för enheter med långsammare CPU:er. Samma attack kan användas för 40-bitars nycklar med ännu högre sannolikhet för framgång.
2008 uppdaterade Payment Card Industry Security Standards Council (PCI SSC) datasäkerhetsstandarden (DSS) för att förbjuda användning av WEP som en del av kreditkortshantering efter den 30 juni 2010, och förbjuda alla nya system från att installeras som använder WEP efter den 31 mars 2009. Användningen av WEP bidrog till TJ Maxx moderbolags nätverksinvasion.
Caffe Latte attack
Caffe Latte-attacken är ett annat sätt att besegra WEP. Det är inte nödvändigt för angriparen att befinna sig i området för nätverket som använder detta utnyttjande. Genom att använda en process som riktar sig till Windows trådlösa stacken är det möjligt att få WEP-nyckeln från en fjärrklient. Genom att skicka en mängd krypterade ARP- förfrågningar, drar angriparen fördel av autentiseringen av delad nyckel och meddelandemodifieringsbristerna i 802.11 WEP. Angriparen använder ARP-svaren för att få WEP-nyckeln på mindre än 6 minuter.
botemedel
Användning av krypterade tunnlingsprotokoll (t.ex. IPsec , Secure Shell ) kan ge säker dataöverföring över ett osäkert nätverk. Ersättningar för WEP har dock utvecklats med målet att återställa säkerheten till själva det trådlösa nätverket.
802.11i (WPA och WPA2)
Den rekommenderade lösningen på WEP-säkerhetsproblem är att byta till WPA2. WPA var en mellanlösning för hårdvara som inte kunde stödja WPA2. Både WPA och WPA2 är mycket säkrare än WEP. För att lägga till stöd för WPA eller WPA2 kan vissa gamla Wi-Fi- åtkomstpunkter behöva bytas ut eller uppgradera sin firmware . WPA designades som en tillfällig mjukvaruimplementerbar lösning för WEP som kunde förhindra omedelbar distribution av ny hårdvara. TKIP (basen för WPA) har dock nått slutet av sin designade livslängd, har delvis gått sönder och har blivit officiellt utfasad med lanseringen av 802.11-2012-standarden.
Implementerade icke-standardiserade korrigeringar
WEP2
Denna förbättring av WEP fanns i några av de tidiga 802.11i-utkasten. Det gick att implementera på en del (inte all) hårdvara som inte kunde hantera WPA eller WPA2, och utökade både IV- och nyckelvärdena till 128 bitar. Man hoppades kunna eliminera den dubbla IV-bristen samt stoppa brute-force nyckelattacker .
Efter att det stod klart att den övergripande WEP-algoritmen var bristfällig (och inte bara IV- och nyckelstorlekarna) och skulle kräva ännu fler korrigeringar, togs både WEP2-namnet och den ursprungliga algoritmen bort. De två utökade nyckellängderna förblev i vad som så småningom blev WPA:s TKIP .
WEPplus
WEPplus, även känd som WEP+, är en proprietär förbättring av WEP av Agere Systems (tidigare ett dotterbolag till Lucent Technologies ) som förbättrar WEP-säkerheten genom att undvika "svaga IVs". Det är bara helt effektivt när WEPplus används i båda ändarna av den trådlösa anslutningen. Eftersom detta inte lätt kan genomföras är det fortfarande en allvarlig begränsning. Det förhindrar inte heller nödvändigtvis replay-attacker och är ineffektivt mot senare statistiska attacker som inte är beroende av svaga IV.
Dynamisk WEP
Dynamisk WEP hänvisar till kombinationen av 802.1x-teknik och Extensible Authentication Protocol . Dynamisk WEP ändrar WEP-nycklar dynamiskt. Det är en leverantörsspecifik funktion som tillhandahålls av flera leverantörer som 3Com .
Den dynamiska förändringsidén kom in i 802.11i som en del av TKIP, men inte för själva WEP-protokollet.