TKIP (Temporal Key Integrity Protocol)

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 14:26, 9 июня 2017.
Temporal Key Integrity Protocol
General
Designers Wi-Fi Alliance
First published 31 October 2002 года; 17 years ago (2002-10-31)
Derived from Wired Equivalent Privacy
Cipher detail
Key sizes 128 bits
Best public cryptanalysis
Устарел

"Temporal Key Integrity Protocol" или "TKIP" - это протокол безопасности стоп-капов, используемый в стандарте беспроводной сети стандарта IEEE 802.11. TKIP был разработан целевой группой IEEE 802.11i и Wi-Fi Alliance в качестве промежуточного решения для замены WEP без необходимости замены устаревшего оборудования. Это было необходимо, потому что взлом WEP оставил сети Wi-Fi без надежной безопасности на уровне канала, и для уже развернутого оборудования потребовалось решение. Однако сам TKIP больше не считается безопасным и устарел в пересмотре стандарта 802.11 в 2012 году.

История создания

31 октября 2002 года Альянс Wi-Fi одобрил TKIP под названием WPA. IEEE одобрила окончательную версию TKIP наряду с более надежными решениями, такими как 802.1X и AES на основе CCMP, когда они опубликовали IEEE 802.11 I-2004 23 июля 2004 года. Альянс Wi-Fi вскоре принял полную спецификацию под торговым названием WPA2. [Источник 1]

TKIP был признан устаревшим в январе 2009 года.

Технические особенности

TKIP и соответствующий стандарт WPA реализуют три новые функции безопасности для решения проблем безопасности, встречающихся в защищенных сетях WEP. Во-первых, TKIP реализует функцию микширования клавиш, которая объединяет секретный корневой ключ с вектором инициализации, прежде чем передавать его в инициализацию RC4. WEP, напротив, просто конкатенировал вектор инициализации корневому ключу и передал это значение в процедуру RC4.

Чтобы иметь возможность запускать на устаревшем оборудовании WEP с незначительными обновлениями, TKIP использует RC4 в качестве своего шифра. TKIP также предоставляет механизм rekeying. TKIP гарантирует, что все данные отправляются с уникальным ключ шифрования.

Смешение клавиш увеличивает сложность декодирования ключей, предоставляя злоумышленнику существенно меньше данных, которые были зашифрованы с использованием любого одного ключа. WPA2 также реализует новый код целостности сообщения, MIC. Проверка целостности сообщения предотвращает прием поддельных пакетов. В WEP можно было изменить пакет, содержимое которого было известно, даже если оно не было расшифровано.


TKIP ключ

A TKIP key can be one of the following: Pairwise key Этот ключ используется для всех пакетов, отправленных станцией 802.11, включая одноадресные, многоадресные и широковещательные пакеты. Парольная клавиша также используется для всех одноадресных пакетов, принимаемых станцией. Станция 802.11 должна поддерживать хотя бы один парный ключ. Для парного ключа станция должна использовать либо ключ в индексе 0 в таблице ключей по умолчанию, либо ключ сопоставления клавиш, проиндексированный адресом управления доступом к среде (MAC) точки доступа (AP). Group key Этот ключ используется для всех многоадресных и широковещательных пакетов, принятых станцией 802.11. Если AP объявляет пакетный набор шифров «Use Group», станция 802.11 будет использовать групповой ключ для отправки и приема одноадресных и широковещательных или многоадресных пакетов, если это связано с AP. Дополнительные сведения о шифровом наборе «Use Group» см. В разделе 7.3.2.25 стандарта IEEE 802.11i-2004. Из-за поворота ключа группы станция 802.11 должна поддерживать не менее двух групповых клавиш. Для групповых клавиш станция должна использовать ключи в индексах с 1 по 3 в таблице ключей по умолчанию. Клавиши TKIP выводятся через взаимный парный мастер-ключ (PMK), который может быть статически определен (предварительно согласован) на станции 802.11 или динамически определен через алгоритм аутентификации на основе порта, такой как IEEE 802.1X. PMK проверяется между станцией 802.11 и точкой доступа (AP) во время операции объединения.


Безопасность

TKIP использует тот же базовый механизм, что и WEP, и, следовательно, уязвим для ряда подобных атак. Проверка целостности сообщения, хеширование ключа для каждого пакета, ротация широковещательного ключа и счетчик последовательности препятствуют многим атакам. Функция микширования клавиш также устраняет атаки восстановления ключа WEP.

Несмотря на эти изменения, слабость некоторых из этих дополнений позволила использовать новые, хотя и более узкие, атаки.

Спуффинг пакетов

TKIP уязвим для атаки MIC key, который, если он был успешно выполнен, позволяет злоумышленнику передавать и дешифровать произвольные пакеты в атакуемой сети. Текущие общедоступные атаки, специфичные для TKIP Не раскрывают Pairwise Master Key или Pairwise Temporal Keys. 8 ноября 2008 года Мартин Бек и Эрик Тийс выпустили документ, в котором подробно описывается, как восстановить ключ MIC и передать несколько пакетов. Мартин Бек и Эрик Тиус «Практические атаки против WEP и WPA». Эта атака была улучшена Мати Ванхоф и Фрэнком Пьенсеном в 2013 году, где они увеличивают количество пакетов, которые может передать злоумышленник, и показывают, как злоумышленник может также дешифровать произвольные пакеты.

Основой атаки является расширение атаки WEP chop-chop. Поскольку WEP использует криптографически небезопасный механизм контрольной суммы (CRC32, злоумышленник может угадать отдельные байты пакета, а точка беспроводного доступа будет подтверждать или отрицать правильность угадывания. Если догадка верна, злоумышленник сможет определить правильность предположения и продолжить угадывать другие байты пакета. Однако, в отличие от атаки Chop-chop против сети WEP, злоумышленник должен дождаться не менее 60 секунд после неправильной догадки (успешного обхода механизма CRC32), прежде чем продолжить атаку. Это связано с тем, что, хотя TKIP продолжает использовать механизм контрольной суммы CRC32, он реализует дополнительный код MIC под названием Michael. Если в течение 60 секунд будут получены два неправильных кода MIC MIC, точка доступа будет выполнять контрмеры, то есть он будет повторно активировать ключ сеанса TKIP, тем самым изменив будущие ключевые потоки. Соответственно, атаки на TKIP будут ждать достаточное количество времени, чтобы избежать этих контрмер. Поскольку пакеты [[протокол разрешения адресов] ARP] легко идентифицируются по их размеру, и подавляющее большинство содержимого этого пакета будет известно злоумышленнику, количество байтов, которое злоумышленник должен угадать с использованием вышеуказанного метода, является довольно небольшим (Приблизительно 14 байтов). Оценка Beck и Tews позволяет восстановить 12 байт за 12 минут в обычной сети, что позволит злоумышленнику передавать 3-7 пакетов не более 28 байт. Атаки Vanhoef-Piessens также могут использоваться для дешифрования произвольных пакетов по выбору атаки.

Злоумышленник уже имеет доступ ко всему пакету шифрованного текста. Получив весь открытый текст того же пакета, злоумышленник имеет доступ к ключевому потоку пакета, а также коду MIC для сеанса. Используя эту информацию, злоумышленник может построить новый пакет и передать его в сети. Чтобы обойти защищенную защиту WPA, атаки используют каналы QoS для передачи этих вновь созданных пакетов. Злоумышленник, способный передавать эти пакеты, может реализовать любое количество атак, включая атаки ARP poisoning, отказ в обслуживании и другие подобные атаки, без необходимости связывания с сетью.


Атака Holloway

Группа исследователей безопасности в Группе информационной безопасности Королевского университета Холлоуэй из Лондона сообщила о теоретической атаке на TKIP, которая использует основанный на RC4 механизм шифрования. TKIP использует аналогичную ключевую структуру для WEP с низким 16-битным значением счетчика последовательности (используется для предотвращения повторных атак), который расширяется в 24-битный «IV», и этот счетчик последовательностей всегда увеличивается на каждый новый пакет. Злоумышленник может использовать эту ключевую структуру для улучшения существующих атак на RC4. В частности, если одни и те же данные зашифровываются несколько раз, злоумышленник может изучить эту информацию только из 2 24 [Источник 2] соединений. Хотя они утверждают, что эта атака находится на грани практичности, были выполнены только симуляции, и атака не была продемонстрирована на практике.

Устаревание

ZDNet сообщила 18 июня 2010 года, что WEP и TKIP скоро будут запрещены Wi-Fi-устройствами альянсом Wi-Fi. Однако опрос в 2013 году показал, что он все еще широко используется. [Источник 3]

Источники

  1. "Wi-Fi Alliance Introduces Next Generation of Wi-Fi Security" [2017—2017]. Дата обновления: 05.03.2017. URL:http://wi-fi.org/pressroom_overview.php?newsid=31 (дата обращения: 05.03.2017)
  2. "On the Security of RC4 in TLS and WPA" [2017—2017]. Дата обновления: 05.03.2017. URL:http://www.isg.rhul.ac.uk/tls/RC4biases.pdf (дата обращения: 05.03.2017)
  3. "Practical Verification of WPA-TKIP Vulnerabilities" [2017—2017]. Дата обновления: 05.03.2017. URL:https://people.cs.kuleuven.be/~mathy.vanhoef/papers/wpatkip.pdf (дата обращения: 05.03.2017)