Clase Especial

Seguridad en Redes Inalmbricas (IEEE 802.11)

SEGURIDAD

DE

LA

INFORMACION

IEEE 802.11 Sobre el estndar y sus tramas

IEEE 802.11 define:
Capa fsica (capa 1 del modelo OSI) Capa Medium Access Control (parte de la capa 2 - Data Link del modelo OSI)

Enmiendas al estndar que afectan a la capa MAC:

802.11d: Agrega soporte de "additional regulatory domains 802.11e: Agrega Quality of Service (QoS) 802.11i: Agrega medidas de seguridad (WPA/WPA2)

Tipos de tramas MAC:

Gestin: tareas relacionadas con el manejo de la red Control: mediar el acceso al medio compartido Data: transporte de datos de capa superior Reservado: sin uso
2

SEGURIDAD

DE

LA

INFORMACION

IEEE 802.11 Formato de trama MAC

Campo Frame Control* Duration/ID* Address{1*,2,3,4} Sequence Control QoS Control Frame Body FCS*

Uso Contiene indicadores de control Specifica la duracin (tiempo de uso del medio) / Identificador Direccin MAC Nmero de sequencia y de fragmento (de estar fragmentado) Identifica la categora del trfico y contiene informacin de QoS de la trama Datos de la trama Checksum de Integridad de la trama MAC

* Campos obligatorios SEGURIDAD DE LA INFORMACION 3

IEEE 802.11 Fragmentacin MAC

Campos utilizados:
More Fragments bit en el campo Frame Control Campo Sequence Control:
12 bits para el nmero de secuencia (se utiliza el mismo nmero para todos los fragmentos). 4 bits para el nmero de fragmento (16 fragmentos como mximo).

Slo se pueden fragmentar tramas Unicast. El tamao de los fragmentos debe ser igual y mltiplos pares de octetos, a excepcin del ltimo que puede ser ms pequeo. La encapsulacin WEP se aplica individualmente a cada fragmento. La defragmentacin ocurre en cada salto.
SEGURIDAD DE LA INFORMACION 4

IEEE 802.11 Fragmentacin MAC

Data

802.11 Header
Sequence number = X More Fragments = 1 Fragment number = 1

Data1
802.11 Header
Sequence number = X More Fragments = 1 Fragment number = 2

Data2
802.11 Header
Sequence number = X More Fragments = 0 Fragment number = 3 5

Data3

SEGURIDAD

DE

LA

INFORMACION

IEEE 802.11 Autenticacin

Open System Authentication (a.k.a. sin autenticacin) Shared Key Authentication

SEGURIDAD

DE

LA

INFORMACION

IEEE 802.11 WEP (Wired Equivalent Privacy)

Eavesdropping is a familiar problem to users of other types of wireless technology. IEEE 802.11 specifies a wired LAN equivalent data confidentiality algorithm. Wired equivalent privacy is defined as protecting authorized users of a wireless LAN from casual eavesdropping. This service is intended to provide functionality for the wireless LAN equivalent to that provided by the physical security attributes inherent to a wired medium. -- IEEE 802.11 Standard, 1999 Edition Except for Open System authentication, all pre-RSNA security mechanisms have been deprecated, as they fail to meet their security goals. -- IEEE 802.11 Standard, 2007 Edition
7

SEGURIDAD

DE

LA

INFORMACION

IEEE 802.11 Propiedades de WEP

Confidencialidad en WEP:
Basada en RC4 (cifrado de flujo simtrico)

Integridad en WEP:
Basada en ICV (Integrity Check Value)
Implementado como un CRC-32

Manejo de claves en WEP:

IEEE 802.11 no define un mecanismo de distribucin de claves
WEP depende de un mecanismo de distribucin de claves externo Generalmente se configura manualmente

SEGURIDAD

DE

LA

INFORMACION

IEEE 802.11 WEP: Operacin

1. Generacin de la semilla: Se concatena la clave con el vector de inicializacin (IV) (i.e. IV || Clave) 2. Calcula el ICV: CRC-32 del texto plano (payload) 3. Computa el Key stream: Key stream = RC4(seed) 4. Cifrado: Cipher text = Key stream XOR (Plaintext || ICV) 5. Mensaje = IV || Cipher text
SEGURIDAD DE LA INFORMACION 9

IEEE 802.11 WEP: Key and IV Properties

Clave:
40 bits o 104 bits (no est en el estndar original, sin embargo se lo encuentra en las implementaciones y posteriormente fue estandarizado en la enmienda IEEE 802.11i). El estndar no especifica un algoritmo para generar la clave ni un mecanismo de distribucin de claves.

IV:
24 bits El estndar no especifica un algoritmo para elegir el IV. El estndar no requiere que se modifique el IV entre tramas. Comnmente el IV se inicializa en cero y aumenta linealmente (en modo big-endian o little-endian dependiendo de la arquitectura del procesador la placa de red).

SEGURIDAD

DE

LA

INFORMACION

10

WEP Tipos de ataques: con estilo

Recuperacin de Key stream:
Ataques basados en tcnicas de criptoanlisis que permiten recuperar de forma parcial o completa el key stream que fue utilizado para cifrar una trama. No recuperan la clave WEP, pero nos permiten: Descifrar el contenido de las tramas cifradas con el mismo IV para el cul recuperamos el key stream. Generar tramas WEP vlidas (limitadas slo por el tamao del key stream que obtuvimos).

Recuperacin de la clave WEP (WEP Cracking):

Ataques basados en tcnicas de criptoanlisis que permiten recuperar la clave WEP en base a una captura de tramas.

SEGURIDAD

DE

LA

INFORMACION

11

WEP Tipos de ataques: ltimo recurso

Ataques de fuerza bruta:
Intentar descifrar una nica trama WEP utilizando todas las claves posibles (el descifrado se verifica recomputando el ICV y verificndolo contra el ICV de la trama) Lento, pero para claves de 40-bits es factible (altamente paralelizable). Los generadores de claves pueden reducir la entropa y por ende se reduce el espacio de bsqueda.

Ataques de diccionario:
Intentar descifrar una trama WEP utilizando palabras de un diccionario. Dado que WEP no posee un mecanismo de distribucin de claves, se suelen utilizar claves simple y fciles de recordar.
SEGURIDAD DE LA INFORMACION 12

WEP Riesgos de la reutilizacin de Key Stream

If the same (key, IV) pair is used for successive MPDUs, this effect may substantially reduce the degree of privacy conferred by the WEP algorithm, allowing an eavesdropper to recover a subset of the user data without any knowledge of the secret key. -- IEEE 802.11 Standard, 1999 Edition Factores que contribuyen a que haya colisiones de IV:
IV es de 24 bits. Todas las estaciones utilizan la misma clave. La mayora de la implementaciones incrementan el IV de forma secuencial (comenzando en cero).

SEGURIDAD

DE

LA

INFORMACION

13

WEP
Riesgos de la reutilizacin de Key Stream: los secretos de XOR
Propiedades de XOR: Conmutativo: A XOR B = B XOR A Asociativo: (A XOR B) XOR C = A XOR (B XOR C) (A XOR B) XOR A = B A XOR 0 = A Por lo tanto, (Plaintext XOR WEP(IV||Key) ) XOR (Plaintext XOR WEP(IV||Key) ) ------------------------------------------------Plaintext XOR Plaintext

Si se conoce uno de los plaintext (al menos parcialmente), entonces se puede deducir el otro (al menos parcialmente). Esta el la razn para que exista un IV. De no existir, un plaintext conocido permitira determinar cualquier otro texto cifrado (en lugar de reutilizacin del IV se reutilizara toda la clave).
SEGURIDAD DE LA INFORMACION 14

WEP Shared Key est roto

If the same (key, IV) pair is used for successive MPDUs, this effect may substantially reduce the degree of privacy conferred by the WEP algorithm, allowing an eavesdropper to recover a subset of the user data without any knowledge of the secret key. -- IEEE 802.11 Standard, 1999 Edition

SEGURIDAD

DE

LA

INFORMACION

15

WEP Shared Key est roto Bienvenido XOR!

Challenge XOR Response = RAND XOR WEP(RAND, IV||WEPKey) = RAND XOR ( RAND XOR KeyStream(IV||WEPKey) ) = KeyStream(IV||WEPKey)

El atacante puede autenticarse utilizando el key stream que obtuvo para responder al challenge del AP.
SEGURIDAD DE LA INFORMACION 16

WEP Shared Key est roto, peroest recomendado?

The IEEE 802.11 standards committee specifically recommends against running an IEEE 802.11LAN with privacy but without authentication. While this combination is possible, it leaves the system open to significant security threats. -- IEEE 802.11 Standard, 1999 Edition
SEGURIDAD DE LA INFORMACION 17

WEP Modificacin de Mensajes

Checksum (i.e. CRC-32) es linear:
CRC-32(A XOR B) = CRC-32(A) XOR CRC-32(B)

Sea C = [M XOR WEP(iv,key), CRC-32(M) XOR WEP(iv,key)] entonces es posible para un atacante obtener C / C = [M XOR WEP(iv,key), CRC-32(M) XOR WEP(iv,key)] dnde M = M XOR (slo conociendo C y ):

C = [M XOR WEP(iv,key) XOR , CRC-32(M) XOR CRC-32() XOR CRC-32(Zero) XOR WEP(iv,key)] Demostracin:
C = [M XOR WEP(iv,key), CRC-32(M) XOR WEP(iv,key)] = [M XOR XOR WEP(iv,key), CRC-32(M XOR ) XOR WEP(iv,key)] = [M XOR XOR WEP(iv,key), CRC-32(M XOR XOR Zero) XOR WEP(iv,key)] = [M XOR WEP(iv,key) XOR , CRC-32(M) XOR CRC-32() XOR CRC-32(Zero) XOR WEP(iv,key)]
SEGURIDAD DE LA INFORMACION 18

WEP
Modificacin de Mensajes: No me crean, cranle a python
from binascii import crc32 M = '\x01\x02\x03' D = '\x10\x11\x12' def XOR(a,b): xor = '' for i in range(len(a)): xor = xor + chr(ord(M[i]) ^ ord(D[i])) return xor M1 = XOR(M,D) crc_M = crc32(M) crc_D = crc32(D) crc_blank = crc32('\x00\x00\x00') crc_M1 = crc32(M1) crc_M ^ crc_D ^ crc_blank == crc_M1 19

SEGURIDAD

DE

LA

INFORMACION

WEP Un poco de anlisis de trfico

802.11 Header IV Encrypted Data ICV

LLC HEADER
DSAP SNAP: 0xAA SNAP: 0xAA Unnumbered frame: 0x03 IP: 0x0800 Encapsulated Ethernet: 0x000000 ARP: 0x0806 SSAP CTRL ORG CODE ETHER TYPE

SEGURIDAD

DE

LA

INFORMACION

20

WEP Un poco ms de anlisis de trfico: ARP

ARP:
Tamao fijo: 36 bytes (algn HW lo padea a 54 bytes) Peticiones se envan a la direccin Broadcast SIZE = 36 BYTES Las respuestas son Unicast
SIZE = 8 BYTES LLC

802.11 Header

IV

Encrypted Data

ICV

SIZE = 28 BYTES

HW TYPE PROTOCOL TYPE HW SIZE

OPCODE SENDER MAC SENDER IP TARGET MAC TARGET IP

21

PROTOCOL SIZE
SEGURIDAD DE LA INFORMACION

WEP Chop-Chop
Un poco de teora:
Sea C = [M XOR WEP(iv,key), CRC-32(M) XOR WEP(iv,key)] Sea CM = M XOR WEP(iv,key) Sea CM-1 = M-1 XOR WEP(iv,key), dnde M-1 es M con el ltimo byte truncado. CRC-32(M-1) se puede computar a partir de:
CRC-32(M) El valor de M[-1] (i.e. el byte truncado)

Ataque: Deducir el ltimo byte del plaintext

Obtener una trama WEP (C) Truncar el ltimo byte de la trama (i.e. calcular M-1) For c = 0 to 255:
Computar CRC-32(M-1) asumiendo que el valor de c es M[-1] Construir la trama WEP CM-1 = [M-1 XOR WEP(iv,key), CRC-32(M-1) XOR WEP(iv,key)] Enviar la trama, si el AP la reenva entonces la trama es vlida (luego, M[-1] = c). Fin.

Reiniciar el ataque con CM-1 como la trama WEP. Luego de M iteraciones, se obtienen todos los valores del plaintext, y a partir del plaintext se puede obtener el key stream.
DE LA INFORMACION 22

SEGURIDAD

WEP Chop-Chop ( con dibujito!!!)

1 802.11 Header IV Datos Cifrada n c ICV Computar ICV ICV

802.11 Header

IV

Datos Cifrada n-1

c=1 0

Enviar trama

SEGURIDAD

DE

LA

INFORMACION

23

WEP Fragmentacin MAC + WEP

Data

802.11 Header
Sequence number = X More Fragments = 1 Fragment number = 1 IV = cualquier valor

IV

Data1 IV

ICV Data1 IV ICV Data1 ICV

802.11 Header
Sequence number = X More Fragments = 1 Fragment number = 2 IV = cualquier valor

802.11 Header

Sequence number = X More Fragments = 0 Fragment number = 3 IV = cualquier valor

SEGURIDAD

DE

LA

INFORMACION

24

WEP Ataques a la Fragmentacin + WEP

Un poco de teora:
Repaso: los fragmentos WEP se calculan de forma independiente (i.e. se puede reutilizar el IV) Con m bytes de key stream, puede enviar m-4 bytes de datos en una trama WEP (se utilizan 4 bytes para cifrar el ICV).

Ataque: Deducir 1500-byte de key stream

Obtener una trama WEP y recuperar 8 bytes de key stream. Enviar 16 tramas fragmentadas utilizando el par (IV, key stream). Obtener la trama reconstruida y reenviada por el AP. Repetir el proceso. Recuerden que conocemos el texto claro (lo elegimos nosotros) y por ende podemos calcular el key stream nuevo.

SEGURIDAD

DE

LA

INFORMACION

25

WEP Necesito que est cerca el AP?

1. Montar un AP trucho: I. Esuchar peticiones (Probe Requests) de estaciones que estn buscando redes WEP. II. Enviarle un Probe Response (con el SSID utilizado por la estacin). III. Realizar el proceso de autenticacin con la estacin emulando al AP. IV. Permitir la asociacin de la estacin. 2. Esperar a que la estacin envi un Gratuitous ARP 3. Convertir la trama en una peticin ARP para la IP de la estacin. 4. Reenviar la trama hasta obtener suficientes respuestas para crackear la clave WEP.
SEGURIDAD DE LA INFORMACION 26

WEP De Gratuitous ARP a ARP Request

MAC Header
Hardware Type Protocol Type Hardware Size

WEP IV
Protocol Size

LLC Header
Opcode

ARP Header
Sender MAC Sender IP

WEP ICV
Target MAC Target IP

AA BB CC DD EE FF

A9 FE 00

01

A9 FE 00

01

+
00 00 00 00 00 FF 00 00

+
00 FF 00 00

+
00 00

AA BB CC DD EE 00
Nueva MAC
SEGURIDAD DE LA

A9 FE 00

FE

A9 FE 00

01
27

Nueva IP: 169.254.0.254

INFORMACION

802.11i La enmienda 802.11i

Define el Robust Security Network Association (RSN), que consiste de:
Dos mecanismos de autenticacin:
IEEE 802.1X
Soporte opcional

PSK (Pre-shared key):

Soporte obligatorio

Un mecanismo de distribucin de claves: 4-way handshake Dos protocolos que proveen confidencialidad e integridad de datos: TKIP (Temporal Key Integrity Protocol): Opcional
CCMP (CTR with CBC-MAC Protocol): Obligatorio

La Wi-Fi alliance (una asociacin sin fines de lucro que intenta garantizar la intercompatibilidad de productos) tiene las siguientes certificaciones:
WPA (Wi-Fi Protected Access): certifica TKIP WPA2: certifica compatibilidad con 802.11i (AES-CCMP)

SEGURIDAD

DE

LA

INFORMACION

28

802.11i Autenticacin 802.1X en 802.11

SEGURIDAD

DE

LA

INFORMACION

29

802.11i Seguridad de los mtodos EAP

SEGURIDAD

DE

LA

INFORMACION

30

802.11i Jerarqua de claves Unicast

Claves utilizadas para proteger el trfico Unicast:
Pairwise Master Key (PMK): Se deriva de la autenticacin EAP o se computa a partir de la preshared key (PSK). Pairwise Transient Key (PTK): Una clave temporal que se deriva de la pairwise master key (PMK), la direccin del Autenticador, la direccin del Suplicante, el nonce del autenticador (ANonce), y el nonce del Suplicante (SNonce) mediante una funcin pseudoaleatoria.

SEGURIDAD

DE

LA

INFORMACION

31

802.11i Jerarqua de claves Unicast (con dibujito!!!)

SEGURIDAD

DE

LA

INFORMACION

32

802.11i Jerarqua de claves Multicast

Claves utilizadas para proteger el trfico Multicast:
Group Temporal Key (GTK)

SEGURIDAD

DE

LA

INFORMACION

33

802.11i Uso de claves Unicast

KCK (Key Confirmation Key): utilizada para computar MIC del 4-way handshake y del Group Key handshake. KEK (Key Encryption Key): utilizada para cifrar la GTK en el 4-way handshake y en el Group Key handshake. TEK (Temporal Encryption Key): utilizada para cifrar los datos de las tramas unicast. TMK (Temporal MIC Key):
Tx: utilizada para computar el MIC en tramas de la estacin al AP (slo existe en TKIP). Rx: utilizada para computar el MIC en tramas del AP a la estacin (slo existe en TKIP).

SEGURIDAD

DE

LA

INFORMACION

34

802.11i Uso de claves Multicast

GEK (Group Encryption Key): utilizada para cifrar las tramas multicast. GIK (Group Integrity Key): utilizada para computar el MIC de las tramas multicast (slo existe en TKIP). La clave GEK slo es utilizada para cifrar por el AP. La clave GEK slo es utilizada para descifrar por las estaciones.

SEGURIDAD

DE

LA

INFORMACION

35

802.11i 4-Way Handshake

SEGURIDAD

DE

LA

INFORMACION

36

802.11i Group Key Handshake

SEGURIDAD

DE

LA

INFORMACION

37

802.11i Y Cmo se combina todo?

1. La estacin encuentra al AP. 2. IEEE 802.11 Open System Authentication 3. IEEE 802.11 Association 4. IEEE 802.1X Authentication (si se est utilizando una PSK este paso no se realiza) 5. Derivacin y distribucin de claves: 4-way handshake
Renovacin de la clave grupal: Group key handshake

SEGURIDAD

DE

LA

INFORMACION

38

802.11i Y Cmo se combina todo? (con dibujito!!!)

SEGURIDAD

DE

LA

INFORMACION

39

802.11i Temporal Key Integrity Protocol (TKIP)

TKIP es un protocolo que mejora WEP diseado para hardware que soporte WEP. Agrega un keyed message integrity code (MIC) de los datos, y las direcciones origen y destino previo a la fragmentacin. Complementa el ICV de WEP para prevenir ataques de falsificacin de tramas. Utiliza un nmero de secuencia (TSC). El receptor descarta la trama si el nmero de secuencia no es mayor al anterior recibido. Provee proteccin contra ataques de replay. Utiliza una funcin criptogrfica que combina la clave temporal, la direccin del emisor y el TSC para obtener la clave WEP (de 128 bits). La funcin fue diseada para evitar ataques por el uso de claves WEP dbiles. Debilidad: es reversible!
SEGURIDAD DE LA INFORMACION 40

802.11i Contramedidas contra fallas de TKIP

Estacin:
AP:

SEGURIDAD

DE

LA

INFORMACION

41

802.11i Cifrado TKIP

Dnde:
TA: Direccin de la estacin realizando el cifrado TK: Temporary encryption key TSC: Contador de replay DA: Direccin destino SA: Direccin origen
DE LA INFORMACION 42

SEGURIDAD

802.11i CTR with CBC-MAC Protocol (CCMP)

Modo CCM:
Utiliza el modo CTR (Counter) para confidencialidad de los datos (Modo Counter mode convierte a un cifrador de bloques en uno de flujo). Utiliza CBC-MAC (Cipher Block Chaining Message Authentication Code) para integridad de los datos: el modo CBC-MAC permite construir un MAC (message authentication code) a partir de un cifrador de bloques.

CCMP:
Basado en AES (Advanced Encryption Standard) operando en CCM. Clave de 128 bit. Requiere hardware nuevo. Utiliza un counter para prevenir ataques de replay.

SEGURIDAD

DE

LA

INFORMACION

43

802.11i 802.11i PSK Dictionary/Bruteforce Attack

Si capturamos el 4-way handshake obtenemos el MIC del Nonce del autenticador que est calculado con la KCK (Key Confirmation Key). Adems, podemos obtener la direccin del autenticador, la direccin del suplicante, el nonce del autenticador y el nonce del suplicante. La PTK se deriva de la PMK utilizando una funcin psuedo-aleatoria que utiliza los valores de la direccin del autenticador y del suplicante, y el nonce del autenticador y del suplicante. (Observar: excepto la PMK todos los datos estn presentes en el 4-way handshake). Si se utiliza el modo de Pre-Shared Key (PSK) la PMK se computa a partir de la PTK de la siguiente forma: PBKDF2(passphrase, ssid, ssidLength, 4096, 256).
SEGURIDAD DE LA INFORMACION 44

802.11i 802.11i PSK Dictionary/Bruteforce Attack

Si capturamos el 4-way handshake y conocemos el SSID de la red que est utilizando 802.11i en modo PSK, podemos realizar un ataque de diccionario o de fuerza bruta de la siguiente forma:
Para la PSK candidata computamos la KCK (utilizando la funcin PBKDF2(passphrase, ssid, ssidLength, 4096, 256) ) Se calcula el MIC para el Nonce del autenticador en base a la KCK calculada. Se compara el MIC calculado contra el que est presente en el 4-way handshake. Si coinciden, ganamos! Sino, hay que seguir probando.

Como la PSK es de 256 bits, la opcin de fuerza bruta no es viable, pero si lo es un ataque de diccionario.
Para reducir el tiempo de computo podemos tener pre-computadas las KCK. Sin embargo, el problema con este enfoque es que la PMK (y por ende la KCK) depende del SSID en uso. Por lo tanto las tablas pre-computadas estn atadas a un SSID. (Ver CoWPAtty: http://www.willhackforsushi.com/Cowpatty.html)
DE LA INFORMACION 45

SEGURIDAD

802.11i Una breve introduccin a 802.11e (QoS)

Agrega soporte para QoS (agregando tipos de tramas nuevas). Define ocho categoras de trfico (colas QoS). Permite reordenar las tramas segn las prioridades de QoS. Sin QoS las tramas DEBEN ser enviadas en orden (excepto por las tramas broadcast que pueden ser reordenadas con respecto a las tramas unicast). Reordenar las tramas genera un conflicto con el TSC de TKIP. Solucin:
Cada cola de QoS tiene un TSC independiente. El campo de prioridad se agrega al cmputo del MIC para prevenir ataques de replay que consistiran en re-enviar la misma trama a otra cola QoS (que tuviese un TSC menor).
SEGURIDAD DE LA INFORMACION 46

802.11i TKIP Chop-Chop: Introduccin

Alcance:
Slo afecta TKIP (no AES-CCMP). Slo es explotable en redes que soportan QoS contra estaciones que utilizan QoS. Es independiente del mecanismo de autenticacin (PSK or 802.1X).

Le permite a un atacante:
Descifrar tramas enviadas a una estacin QoS (o broadcast) de a un byte por minuto. Recuperar un keystream generado con la clave AP estacin (de la estacin siendo atacada) o un keystream generado con la clave broadcast. Recuperar la clave MIC de AP estacin (de la estacin siendo atacada) o la clave MIC de broadcast. Transmitir hasta 7 tramas arbitrarias a la estacin siendo atacada o a todas las estaciones (en el caso que hayamos descifrado una trama broadcast), limitada por la longitud del keystream obtenido.

SEGURIDAD

DE

LA

INFORMACION

47

802.11i TKIP Chop-Chop: Detalles tcnicos

Descifrar una trama TKIP (utilizando una estacin QoS como orculo):
Capturar la trama (AP estacin) Truncar el ltimo byte Adivinar un valor candidato para el byte truncado y compensar el ICV (de WEP) de forma acorde. Enviar la trama a la estacin. Si la trama no es vlida (falla de ICV) la trama es descartada por la estacin. Reintentar con otro valor candidato para el byte truncado. Si la trama es vlida (o sea, el ICV es vlido), la estacin enviar una trama de MIC Failure al AP para notificarle de la falla del MIC (no se modific el MIC en la trama enviada pero modificamos los datos al truncar un byte): El valor adivinado es correcto. Esperar 60 segundos para que no se disparen las contramedidas ante fallas de MIC. Reiniciar el proceso utilizando la trama truncada reemplazndole el MIC por el valor correcto.
SEGURIDAD DE LA INFORMACION 48

802.11i TKIP Chop-Chop: Enviando tramas

Utilizando el keystream recuperado y la clave MIC, se puede enviar una trama de la misma longitud que el keystream recuperado (en realidad 12 bytes menor para poder cifrar el MIC y el ICV). Podemos computar el MIC dado que conocemos los datos necesarios para calcularlo: la clave MIC, la direccin origen y destino, la cola QoS y los datos en s. La trama debe ser enviada a otra cola QoS con un valor de TSC menor al que tiene la trama (para saltarse las restricciones sobre el TSC), permitiendo que la trama se enva hasta 7 veces (una vez a cada cola). El ataque es ciego: las tramas de respuesta no pueden ser descifradas.

SEGURIDAD

DE

LA

INFORMACION

49