Inhaltsverzeichnis
Werbung
TKIP-Implementierung hingegen verlangt die Verwendung unterschiedlicher Michael-Schlüssel in Sende- und
Empfangsrichtung, so dass CCM in seiner Anwendung deutlich unkomplizierter ist als TKIP.
Ähnlich wie TKIP verwendet CCM einen 48 Bit langen Initial Vector in jedem Paket – eine IV-Wiederholung ist damit in
der Praxis ausgeschlossen. Wie bei TKIP merkt der Empfänger sich den zuletzt benutzten IV und verwirft Pakete mit einem
IV, der gleich oder niedriger als der Vergleichswert ist.
Prä-Authentifizierung und PMK-Caching
802.11i soll den Einsatz von WLAN auch für Sprachverbindungen (VoIP) in Unternehmensnetzen erlauben. Vor allem in
Zusammenhang mit WLAN-basierten schnurlosen Telefonen kommt einem schnellen Roaming, d.h. dem Wechsel zwischen
APs ohne längere Unterbrechungen, eine besondere Bedeutung zu. Bei Telefongesprächen sind bereits Unterbrechungen
von wenigen 100 Millisekunden störend, allerdings kann eine vollständige Authentifizierung über 802.1x inklusive der
folgenden Schlüsselverhandlung mit dem AP deutlich länger dauern.
Als erste Maßnahme wurde deshalb das sogenannte PMK-Caching eingeführt. Das PMK dient nach einer
802.1x-Authentifizierung zwischen Client und AP als Basis für die Schlüsselverhandlung. In VoIP-Umgebungen ist es
denkbar, dass ein Anwender sich zwischen einer relativ kleinen Zahl von APs hin- und herbewegt. Dabei wird es
vorkommen, dass ein Client wieder zu einem AP wechselt, an dem er bereits früher einmal angemeldet war. In so einem
Fall wäre es unsinnig, die ganze 802.1x-Authentifizierung noch einmal zu wiederholen. Aus diesem Grund kann der AP
das PMK mit einer Kennung, der sogenannten PMKID, versehen, die er an den Client übermittelt. Bei einer
Wiederanmeldung fragt der Client mittels der PMKID, ob er dieses PMK noch vorrätig hat. Falls ja, kann die 802.1x-Phase
übersprungen werden und die Verbindung ist schnell wieder verfügbar. Diese Optimierung greift naturgemäß nicht,
wenn das PMK in einem WLAN aufgrund einer Passphrase berechnet wird, denn dann ist es ja ohnehin überall gleich
und bekannt.
Eine weitere Maßnahme erlaubt auch für den Fall der erstmaligen Anmeldung eine Beschleunigung, sie erfordert aber
etwas Vorausschau vom Client: dieser muss bereits im Betrieb eine schlechter werdende Verbindung zum AP erkennen
und einen neuen AP selektieren, während er noch Verbindung zum alten AP hat. In diesem Fall hat er die Möglichkeit,
die 802.1x-Verhandlung über den alten AP mit dem neuen AP zu führen, was wiederum die 'Totzeit' um die Zeit der
802.1x-Verhandlung verkürzt.
12.5.3 TKIP und WPA
Wie in den letzten Abschnitten klar geworden ist, ist der WEP-Algorithmus prinzipiell fehlerhaft und unsicher; die
bisherigen Maßnahmen waren im wesentlichen entweder 'Schnellschüsse' mit nur geringen Verbesserungen oder so
kompliziert, dass sie für den Heimbenutzer oder kleine Installationen schlicht unpraktikabel sind.
Die IEEE hatte nach Bekanntwerden der Probleme mit WEP mit der Entwicklung des Standards IEEE 802.11i begonnen.
Als Zwischenlösung wurde von der WiFi-Alliance der 'Standard' Wifi Protected Access (WPA) definiert. WPA setzt auf
die folgenden Änderungen:
1
TKIP und Michael als Ersatz für WEP
1
Ein standardisiertes Handshake-Verfahren zwischen Client und AP zur Ermittlung/Übertragung der Sitzungsschlüssel.
1
Ein vereinfachtes Verfahren zur Ermittlung des im letzten Abschnitt erwähnten Master Secret, das ohne einen
RADIUS-Server auskommt.
1
Aushandlung des Verschlüsselungsverfahrens zwischen AP und Client.
Bei der Verschlüsselung werden bekannte Bestandteile des WEP-Verfahrens weiter verwendet, aber an den entscheidenden
Stellen um den „Michael-Hash" zur besseren Verschlüsselung und das TKIP-Verfahren zur Berechnung der RC4-Schlüssel
erweitert. Desweiteren ist der intern hochgezählte und im Paket im Klartext übertragene IV statt 24 jetzt 48 Bit lang –
damit ist das Problem der sich wiederholenden IV-Werte praktisch ausgeschlossen.
Als weiteres Detail mischt TKIP in Berechnung der Schlüssel auch noch die MAC-Adresse des Senders ein. Auf diese
Weise ist sichergestellt, dass eine Verwendung gleicher IVs von verschiedenen Sendern nicht zu identischen RC4-Schlüsseln
und damit wieder zu Angriffsmöglichkeiten führt.
Der Michael-Hash stell jedoch keine besonders hohe kryptographische Hürde dar: kann der Angreifer den TKIP-Schlüssel
brechen oder verschlüsselte Pakete durch Modifikationen ähnlich wie bei WEP an der CRC-Prüfung vorbeischleusen,
bleiben nicht mehr allzu viele Hürden zu überwinden. WPA definiert aus diesem Grund Gegenmaßnahmen, wenn ein
Referenzhandbuch
12 Wireless LAN – WLAN
693
Werbung
Inhaltsverzeichnis
