TKIP (TKIP)

TKIP (англ. Temporal Key Integrity Protocol) — протокол целостности временного ключа в протоколе защищённого беспроводного доступа Wi-Fi Protected Access. Является частью стандарта IEEE 802.11i.

Был предложен Wi-Fi Alliance как временная мера для замены уязвимого протокола WEP в существующем беспроводном оборудовании путём обновления программного обеспечения. Хотя для шифрования используется тот же самый алгоритм RC4, что и в WEP, разрядность вектора инициализации увеличена вдвое (до 48 бит), а также реализованы правила изменения последовательности битов вектора инициализации. Кроме того, для каждого передаваемого пакета создаётся новый ключ, а целостность проверяется с помощью криптографической контрольной суммы MAC. Все это позволяет успешно противодействовать атакам типа replay (повторное использование ключей) и forgery (изменение содержимого передаваемых пакетов)^[1].

TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а также за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкционированного снятия защиты WEP-ключей.

Сервер аутентификации после получения сертификата от пользователя использует 802.1X для генерации уникального базового ключа для сеанса связи. TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа, после чего выстраивает иерархию ключей плюс систему управления. Для этого используется двусторонний ключ для динамической генерации ключей шифрования данных, которые, в свою очередь, используются для шифрования каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ WEP (статический) на 500 миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных.

Безопасность

Хотя TKIP использует более криптостойкие ключи, в основе принципа его работы заложен механизм взаимодействия WEP. Вследствие этого TKIP подвержен многим атакам, свойственным WEP. Многие средства противодействия, выработанные в TKIP, такие как проверка целостности, попакетное хеширование, широковещательная замена ключа и счетчик последовательности, нейтрализуют многие из исходных проблем WEP. Однако, нововведения также внесли новые разновидности уязвимостей, благодаря которым TKIP стал подвержен новым атакам.

Подмена пакетов и расшифровка

TKIP уязвим для атаки восстановления ключа имитовставки, которая при успешном исполнении позволяет злоумышленнику передавать и расшифровывать произвольные пакеты в атакованной сети^[2]. На практике такая атака была продемонстрирована в 2008 году^[3], в 2013 она была усовершенствована^[2]. В основе подхода лежит дальнейшее развитие атаки WEP под названием «chopchop»^[4]. Так как в WEP используется некриптостойкий механизм проверки целостности CRC32, злоумышленник может подобрать определенные байты пакета, и точка доступа Wi-Fi может подтвердить корректность или ошибочность подбора. Продолжая таким образом подбор, злоумышленник сможет подобрать содержимое всего пакета. В случае же TKIP эта атака затруднена тем, что злоумышленник должен подождать по крайней мере 60 секунд после некорректного подбора, чтобы продолжить подбор дальше. Это стало возможным благодаря тому, что TKIP реализует дополнительный код имитовставки, именуемый «Michael». Получив подряд два неверных кода «Michael» в течение 60 секунд, точка доступа инициирует повторную генерацию сеансовых ключей TKIP, что делает подбор затруднительным из-за возросших затрат на ожидание таймаута. Однако в случае обмена пакетами ARP, которые легко идентифицируются по их размеру, большая часть их содержимого уже известна злоумышленнику, и размер данных, которые ему предстоит подобрать, относительно мала — около 14 байт. Вариация атаки «chopchop» 2008 года для TKIP сводит этот объем до 12 байт, что означает, что пакет TKIP может быть подобран в течение 12 минут. Это позволит злоумышленнику передавать в сеть 3-7 пакетов объемом 28 байт^[3]. Усовершенствованная атака 2013 года основана на фрагментации пакетов, что позволяет злоумышленнику передавать неограниченный объем данных с помощью пакетов объемом до 112 байт^[2].

Эта же атака также позволяет расшифровывать произвольный пакет, передаваемый в сети. Злоумышленнику уже доступен зашифрованный пакет. Получив его расшифрованную версию, он сможет получить доступ к сессии и ключам имитовставки. Зная эту информацию, он также может создавать пакеты для передачи в сеть. Благодаря этому у злоумышленника возникает возможность реализовать другие атаки, включая отравление ARP-кеша и DoS, даже не являясь участником атакуемой сети.

Криптостойкость RC4

Группа исследователей из лондонского университета Royal Holloway опубликовала теоретическую возможность атаки на TKIP путем использования уязвимости алгоритма шифрования RC4, используемого в протоколе. TKIP использует схожую с WEP структуру ключа, в которой 16-битное значение счетчика последовательности (используемого для защиты от атак повтора) расширяется в 24-битный вектор инициализации (IV). Так как счетчик последовательности всегда увеличивается с каждым новым пакетом, злоумышленник может использовать его для того, чтобы ускорить взлом самого алгоритма RC4. Например, если в сети многократно передаются одни и те же данные, злоумышленник сможет получить исходный вектор инициализации всего за 2²⁴ подключений. Ввиду трудности реализации такого сценария в реальности эта атака практически невозможна в реальной сети^[5]^[6]^[7].

Атака NOMORE

В 2015 году исследователями безопасности была продемонстрирована атака против RC4 для протоколов TLS и WPA-TKIP, получившая название «Numerous Occurrence MOnitoring & Recovery Exploit» (NOMORE). Атака против WPA-TKIP может быть реализована в течение часа, что позволяет злоумышленнику расшифровывать и отправлять в сеть произвольные пакеты^[8].

Использование TKIP

Планировалось, что TKIP должен был стать временной мерой до того, как Wi-Fi Alliance разработает более совершенную альтернативу, после чего запретит его использование в устройствах Wi-Fi как небезопасный. Однако исследования 2013 года показывали, что TKIP был по-прежнему очень распространен^[2].

Стандарт IEEE 802.11n запрещает передачу данных на скорости свыше 54 Мбит/с в случае, если для шифрования используется TKIP^[9].

Примечания

↑ Стандарты WPA и 802.11i (недоступная ссылка)
↑ ¹ ² ³ ⁴ Vanhoef, Mathy. Practical verification of WPA-TKIP vulnerabilities // Proceedings of the 8th ACM SIGSAC symposium on Information, computer and communications security / Mathy Vanhoef, Frank Piessens. — May 2013. — P. 427–436. — ISBN 9781450317672. — doi:10.1145/2484313.2484368.
↑ ¹ ² Martin Beck & Erik Tews, «Practical attacks against WEP and WPA», available at [1]
↑ Wireless networks security: Proof of chopchop attack (неопр.). IEEE (2008). Дата обращения: 24 июля 2024.
↑ AlFardan. On the Security of RC4 in TLS and WPA (неопр.). Information Security Group, Royal Holloway, University of London (8 июля 2013). Дата обращения: 4 января 2015. Архивировано из оригинала 22 сентября 2013 года.
↑ Paterson. Plaintext Recovery Attacks Against WPA/TKIP (неопр.). Information Security Group, Royal Holloway, University of London (1 марта 2014).
↑ Paterson. Big Bias Hunting in Amazonia: Large-Scale Computation and Exploitation of RC4 Biases (Invited Paper) // Advances in Cryptology – ASIACRYPT 2014. — Information Security Group, Royal Holloway, University of London, 2014-03-01. — Vol. 8874. — P. 398–419. — ISBN 978-3-662-45607-1. — doi:10.1007/978-3-662-45611-8_21.
↑ RC4 NOMORE (неопр.). www.rc4nomore.com. Дата обращения: 21 мая 2019.
↑ Data Rate Won't Exceed 54 Mbps When WEP or TKIP Encryption is

См. также

Ссылки

Wi-Fi Alliance Home

[1] Стандарты WPA и 802.11i (недоступная ссылка)

[vanhoef-piessens-2] ¹ ² ³ ⁴ Vanhoef, Mathy. Practical verification of WPA-TKIP vulnerabilities // Proceedings of the 8th ACM SIGSAC symposium on Information, computer and communications security / Mathy Vanhoef, Frank Piessens. — May 2013. — P. 427–436. — ISBN 9781450317672. — doi:10.1145/2484313.2484368.

[beck-tews-3] ¹ ² Martin Beck & Erik Tews, «Practical attacks against WEP and WPA», available at [1]

[4] Wireless networks security: Proof of chopchop attack (неопр.). IEEE (2008). Дата обращения: 24 июля 2024.

[5] AlFardan. On the Security of RC4 in TLS and WPA (неопр.). Information Security Group, Royal Holloway, University of London (8 июля 2013). Дата обращения: 4 января 2015. Архивировано из оригинала 22 сентября 2013 года.

[6] Paterson. Plaintext Recovery Attacks Against WPA/TKIP (неопр.). Information Security Group, Royal Holloway, University of London (1 марта 2014).

[7] Paterson. Big Bias Hunting in Amazonia: Large-Scale Computation and Exploitation of RC4 Biases (Invited Paper) // Advances in Cryptology – ASIACRYPT 2014. — Information Security Group, Royal Holloway, University of London, 2014-03-01. — Vol. 8874. — P. 398–419. — ISBN 978-3-662-45607-1. — doi:10.1007/978-3-662-45611-8_21.

[8] RC4 NOMORE (неопр.). www.rc4nomore.com. Дата обращения: 21 мая 2019.

[9] Data Rate Won't Exceed 54 Mbps When WEP or TKIP Encryption is

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]