Temporal Key Integrity Protocol

TKIP (/ˌtiːˈkɪp/, jako „tee-kip“) nebo Temporal Key Integrity Protocol je v informatice označení pro zastaralý bezpečnostní protokol v rámci zabezpečení WPA pro bezdrátové sítě Wi-Fi. TKIP je definován standardem IEEE 802.11i a jeho účelem bylo rychlé překlenutí nedostatků šifrování WEP bez nutnosti zásahů do hardware bezdrátových síťových zařízení. Protokol TKIP byl kritizován v další plné verzi standardu 802.11[1] a není již považován za bezpečný. Místo TKIP a WPA by mělo být používáno zabezpečení WPA2 (s protokolem CCMP a šifrou AES).

Historie

Na konci 90. let 20. století nastal prudký rozvoj a nasazování bezdrátových sítí. Ze své podstaty bezdrátové sítě poskytují menší nebo žádné soukromí, protože komunikaci lze odposlouchávat kdekoliv v dosahu rádiového signálu, který proniká i skrze pevné překážky. Proto bylo jako součást původního standardu IEEE 802.11 již v roce 1997 schváleno zabezpečení WEP (Wired Equivalent Privacy), které mělo poskytnout obdobné zabezpečení, jako má drátová počítačová síť (např. kroucená dvojlinka). Kvůli neúplnosti standardu a dalším vadám v jeho implementaci byl však WEP v srpnu 2001 prolomen, takže pouhým pasivním naslouchání bezdrátového provozu bylo možné vypočítat šifrovací klíč použité šifry RC4.

Dne 23. července 2004 byl jako reakce na prolomení WEP přijat standard IEEE 802.11i.[2] Wi-Fi Alliance však již 31. října 2002 adoptovala část nadcházejícího standardu pod obchodním názvem WPA (Wi-Fi Protected Access).[3] TKIP je též součástí WPA2, ve kterém Wi-Fi Alliance akceptovala zbývající hlavní prvky IEEE 802.11i (tj. CCMP jako náhradu TKIP a šifru AES jako náhradu WEP).[4] WPA používá stejnou šifru RC4, jako prolomený WEP, avšak protokol TKIP měl odstranit jeho slabá místa (zejména slabý inicializační vektor). Protokol TKIP umožňuje bezpečnou výměnu šifrovacích klíčů mezi komunikujícími body nejen na počátku komunikace, ale i v jejím průběhu. Hlavní výhodou TKIP je možnost zachování stávajícího hardwaru (tj. bezdrátových síťových zařízení) vyráběných po roce 1999, která interně zajišťovala šifrování WEP (tj. šifry RC4). Zlepšení zabezpečení tak bylo možné realizovat pouhou aktualizací obslužného software. Na straně klienta (počítače připojujícího se k bezdrátové síti) je nasazen tzv. suplikant (prosebník),[5] což je univerzální démon běžící v pozadí a zajišťující autentizaci klienta a správu šifrovacích klíčů pomocí TKIP. Na přístupových bodech (AP) bezdrátové sítě bylo vylepšení zabezpečení pomocí pouhé softwarové aktualizace možné až pro zařízení vyráběná po roce 2003 z důvodu větší náročnosti na jejich výpočetní výkon nutný pro implementaci TKIP.

Technická specifikace

Slabinou protokolu WEP (předchůdce protokolu TKIP) je využívání předsdíleného symetrického klíče po dobu celé komunikace všemi účastníky bezdrátové komunikace. Proto v protokolu TKIP došlo k výrazné změně, kdy je pro každý paket používán jiný klíč. Klíč je vytvořen ze základního klíče (zvaného Pairwise Transient Key), MAC adresy přijímající stanice a pořadového čísla rámce. Operace, která provádí sloučení těchto údajů, je navržena tak, aby kladla minimální výkonnostní nároky na stanici či přístupový bod.

Základní klíč je generován při každé asociaci klienta k přístupovému bodu pomocí hashovací algoritmu. Hashování je prováděno nad číslem relace a inicializačním vektorem, který se skládá z náhodných čísel v kryptografii označovaných jako nonce (anglicky number used once). Inicializační vektor je vytvářen klientem a přístupovým bodem obdobně jako tomu bývá u MAC adresy. V případě použití autentizace protokolem 802.1X je číslo relace unikátní a je bezpečně přenášeno autentizačním serverem, kde je pro zabezpečení používán předsdílený klíč.

Každý přijatý rámec používá unikátní 48bitové číslo, které je inkrementováno při každém přijetí rámce a je použito jak pro inicializační vektor, tak i pro část základního klíče. Přidáním pořadového čísla ke klíči byla dosažena odlišnost šifrovacího klíče každého paketu, která přispěla k odstranění problému zvaného collision attack, se kterým se potýkal WEP. Pořadové číslo použité i v inicializačním vektoru odstranilo problém možnosti použít opakovaně stejný rámec (tzv. replay attacks), který byl v komunikaci již dříve použit, protože umožňuje rámec s nesprávným pořadovým číslem odmítnout. Integrita rámců je navíc v TKIP chráněna 64bitovým algoritmem MICHAEL.

Bezpečnost

TKIP používá stejné základní bezpečnostní mechanismy jako WEP a v důsledku toho nebylo dosaženo očekávané bezpečnosti. Kombinace klíčů TKIP protokolu eliminuje WEP key recovery útoky. Nové rozšíření protokolu WPA zapříčinily i nové typy útoků,[6] ale ne v takovém rozsahu jako tomu bylo u WEP.

Beck-Tews útok

TKIP je zranitelný k útokům typu keystream recovery attack, pokud se povede úspěšně vykonat kód tohoto útoku, tak je dovoleno útočníkovi přenést 7-15 paketů dat. Také byla publikována možnost TKIP-specific útoku, ke kterému dne 8. listopadu 2008 programátoři Martin Beck a Erik Tews uvolnili detaily.[7]

Útok je rozšířením WEP chop-chop attack. Protože WEP využívá kryptograficky nezabezpečený mechanismus kontrolního součtu CRC32, útočník může hádat individuální bajty paketu a přístupový bod (AP) bude podle toho zamítat nesprávné odhady. Ve výsledku útočník docílí toho, že pokud byl odhad úspěšný, tak je to schopen detekovat a následně pokračovat v odhadu zbývajících paketů. U původního chop-chop útoku útočník musel čekat po úspěšném odhadu nejméně 60 sekund před pokračováním útoku. Protože protokol TKIP pokračoval v užíváni kontrolního součtového mechanismu CRC32. Toto omezení je implementováno v rozšíření MIC kód zvaném MICHAEL. Pokud jsou přijaty dva nesprávné MICHAEL MIC kódy v intervalu 60 sekund, tak přístupový bod (AP) změní TKIP session key. Proto tedy bude nutné při útoku Beck-Tews čekat vhodně dlouhou dobu, aby se těmto opatřením předešlo. Odhadovaná doba odhalení 12 bajtů Beck-Tews útoku je okolo 12 min na běžné síti.

Pokud útočník má již přístup k celému šifrovanému paketu, tak pro přijímání čistého textu stejného paketu útočník musí získat přístup k keystremu daného paketu (MIC kód relace). Použitím této informace útočník může zkonstruovat nový paket a přijmout ho na dané síti. K obcházení WPA implementované replay ochrany Beck-Tews útoku využívá Quality of Service (QoS) kanál pro přijetí ARP poisoning útoku, Denial of Service a jiné podobné útoky.

V říjnu roku 2009 Halvorsen udělal další pokrok, povolil útočníkovi vložit velký malicious paket (596 bajtů) během přibližně 18 minut a 25 sekund.

Ohigashi-Morii útok

Založeno na Beck-Tews útoku. Japonští vědci Toshihiro Ohigashi a Masakatu Morii nahlásili jednodušší a rychlejší implementaci podobného útoku.[8] Základem jsou podobné metody útoků, ale používá se zde man-in-the-middle útok, který nevyžaduje od přístupového bodu povolenou službu QoS.

Stejně jako Beck-Tews útok je útok efektivní proti TKIP a ne proti WPA využívající AES.

Poslední novinky

ZDNet vyhlásil 18. června 2010, že WEP & TKIP budou brzy zakázány wi-fi zařízeních sdružením Wi-Fi Alliance.[9] Šifrování lze prolomit během hodiny.[10]

Související články

Reference

  1. 802.11mb Issues List v12 [online]. 20-Jan-2009. S. CID 98. Dostupné online. (anglicky) 
  2. IEEE 802.11i-2004: Amendment 6: Medium Access Control (MAC) Security Enhancements [online]. IEEE Standards, 2004-07-23 [cit. 2007-12-21]. Dostupné v archivu pořízeném dne 2007-11-29. (anglicky) 
  3. Wi-Fi Alliance Announces Standards-Based Security Solution to Replace WEP [online]. 2002-10-31 [cit. 2007-12-21]. Dostupné v archivu pořízeném dne 2008-01-03. (anglicky) 
  4. Wi-Fi Alliance Introduces Next Generation of Wi-Fi Security [online]. 2004-09-01 [cit. 2007-12-21]. Dostupné v archivu pořízeném dne 2008-01-03. (anglicky) 
  5. http://www.thefreedictionary.com/supplicant – výklad slova supplicant ve slovníku Free Online Dictionary, Thesaurus and Encyclopedia
  6. The Weakness of TKIP Encryption [online]. 2010-01-20 [cit. 2010-01-25]. Dostupné v archivu pořízeném dne 2010-02-18. (anglicky) 
  7. Martin Beck & Erik Tews, "Practical attacks against WEP and WPA", available at [1].
  8. A Practical Message Falsification Attack on WPA. jwis2009.nsysu.edu.tw [online]. [cit. 2011-01-02]. Dostupné v archivu pořízeném dne 2011-08-19. 
  9. Wi-Fi Alliance to dump WEP and TKIP ... not soon enough
  10. http://crypto-world.info/news/index.php?prispevek=22543&sekce=s - RC4 - opravdu se vyhněte používání tohoto šifrovacího algoritmu

V tomto článku byl použit překlad textu z článku TKIP na anglické Wikipedii.