Vous êtes sur la page 1sur 55

HERVSCHAUERCONSULTANTS

CabinetdeConsultantsenScuritInformatiquedepuis1989
SpcialissurUnix,Windows,TCP/IPetInternet

Groupe Scurit Unix et Rseau


14 Juin 2005

WPA / WPA2
Une scurit fiable pour le Wi-Fi ?
Guillaume Lehembre

<Guillaume.Lehembre@hsc.fr>

Plan
Rappels 802.11, WEP et 802.1x
Les nouvelles technologies en scurit : WPA et 802.11i
WPA
802.11i
Phase oprationnelles du 802.11i
Ngociation de la politique de scurit
Authentification 802.1x
change de cl sous EAP
Hirarchie PMK / GMK
Les diffrents HandShake : 4-Way Handshake, Group Key Handshake et STAKey Handshake

Chiffrement et intgrit des donnes : TKIP, CCMP, MIC

Faiblesses ?
Itinrance

Conclusion

- 2/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Principe du 802.11
Composants :
Borne ou point d'accs (AP)
Concentrateur sans fil, potentiellement aussi un pont et un routeur

Carte rseau (NIC)


Interface Ethernet sur l'quipement

Deux modes
Mode 'ad-hoc' : dialogue direct entre deux interfaces (point point)
IBSS : Independant Basic Service Set
Rseau maill

Mode 'infrastructure' : dialogue entre une interface et une borne (multi-point)


BSS : Basic Service Set
Rseau en toile

14 canaux
Plusieurs rseaux peuvent cohabiter au mme endroit sur des canaux diffrents

- 3/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Principe du 802.11
Chaque rseau est identifi par un SSID : identificateur du rseau
Plusieurs rseaux avec des SSID diffrents peuvent cohabiter au mme endroit sur le
mme canal

Une interface Ethernet sans fil 802.11 est similaire une interface Ethernet
filaire 802.3
802.11b : CSMA/CA, 802.3 : CSMA/CD
Vision identique pour les ordinateurs et pour TCP/IP
Adressage MAC identique
Adresses des bornes en plus : 4 adresses MAC au lieu de 2 dans la trame

WEP (Wired Equivalent Privacy)


Permet (en thorie) d'assimiler un rseau Ethernet sans fil un rseau Ethernet filaire
en assurant une scurit quivalente celle d'un cble
Implmentation faite sans consultation pralable avec des cryptographes
- 4/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Elments d'architecture
BSS : Basic Service Set
Ensemble de services de base

IBSS : Independant Basic Service Set


Stations communicant entre elles, pas de planification, phmre

DS : Distribution System
Reprsente l'interconnexion de plusieurs BSS

AP : Access Point
Donne accs au DS en fournissant des services, STA commes les autres

STA : Station
ESS : Extended Service Set
DS + ensemble BSS du mme SSID
- 5/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

MPDU / MSDU
MSDU : Mac Service Data Unit
paquet de donnes envoy par l'applicatif la couche MAC

MPDU : Mac Protocol Data Unit


paquet de donnes envoy par la couche MAC l'antenne

Point important : Un MSDU peut tre fragment en plusieurs MPDU


Cette distinction a son importance pour TKIP (WPA) et CCMP (WPA2)
Pour TKIP, le MIC est calcul sur le MSDU
Pour CCMP, le MIC est calcul sur chaque MPDU

- 6/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Association / Authentification
Association
Enregistre la station auprs de l'AP
Obtention d'une AID (Association Identity) partage entre chaque AP de l'ESS,
permettant la r-association transparente au sein de l'ESS
Toujours inititie par la station
Equivalent de la connexion physique pour le filaire

Authentification
Action de prouver son identit afin de faire partie du BSS ou ESS
Deux mthodes d'authentification :
ouverte (Open Authentication) : authentification nulle
clef partage (Shared Key Authentication) : utilise la cl WEP pour chiffrer un dfi en
clair envoy par la borne - A NE JAMAIS UTILISER

La d-authentification peut tre initite par la station ou l'AP


- 7/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Trame 802.11
MAC Header
Frame Duration Address Address Address Sequence Address
Control
ID
1
2
3
Control
4
2 octets 2 octets 6 octets 6 octets 6 octets 2 octets 6 octets

Protocol
Version

B0

Type

B1 B2

SubType

B3 B4

B7

To DS

B8

From DS More Flag

B9

B10

Frame Body

FCS

0 2312 octets

4 octets

Retry

Power
Mgmt

More
Data

B11

B12

B13

Protected
Order
Frame

B14

B15

Frame Control : L'ancien champ WEP a t renomm Protected Frame pour indiquer
qu'un chiffrement est utilis (sans le prciser)
Address 1-4 : Adresse de la source (SA) = MAC Source, Adresse destination (DA) =
MAC destination, Adresse de la station mettrice (TA), Adresse de la station
rceptrice (RA)
Sequence Control : comprend le numro de squence et le numro de fragment
FCS : CRC de 32 bits sur l'en-tte MAC et le corps de la trame
- 8/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

WEP (Wired Equivalent Privacy)


Bas sur l'algorithme de chiffrement RC4
WEP
WEP2

Vecteur
d'initialisation
24 bits
24 bits

Clef partage
40 bits (x4)
104 bits (x4)

Confidentialit (+ intgrit) des donnes


IV

Key

Payload

CRC-32

Keystream = RC4 (IV,k)


XOR

RC4
IV

Clef RC4
K=IV,k
64 bits (x4)
128 bits (x4)

key nb

Payload

CRC-32

galement utilis pour l'authentification des stations (en mode clef


partage)
Dfi (en clair)
Dfi (chiffr en WEP)

- 9/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Vulnrabilits
Contre la confidentialit
Rutilisation de la suite chiffrante (keystream reuse)
Faiblesse de RC4 (key scheduling algorithm weakness)
Attaque exhaustive (cl drive d'une passphrase)
Attaque statistique

Contre l'intgrit
Modification de paquets (bit flipping)
Injection de faux paquets

Contre l'authentification auprs de l'AP


Fausse authentification (authentication spoofing)

- 10/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Attaque statistique
Attaque dcouverte par un hacker nomm KoreK
http://www.netstumbler.org/showpost.php?p=89036

Ne ncessite plus la capture de millions d'IV mais se base juste sur le


nombre d'IV uniques capturs.
Utilisation des cas rsolus exceptionnels (> 5% de russite)
Ecriture d'une PoC : chopper
L'injection de trafic permet d'acclrer grandement la capture des trames
1. Tronque le message chiffr d'un caractre (1 octet) => message invalide
2. Suppose une valeur V pour le dernier octet (0 =< V =< 255), corrige le message et
rinjecte la trame vers l'AP
3. L'AP rejete toute les trames sauf celle ayant le dernier octet valide (rpter 1 - 3)

Dcryptage des paquets ARP/IP : chopchop


http://www.netstumbler.org/showthread.php?t=12489
- 11/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Cassage du WEP Aircrack (1)


Aircrack Christophe Devine version actuelle : 2.1 (Unix & Windows)
Exemple
aircrack -f 4 -n 128 packets.pcap

Trs rapide et performant (cassage de la cl < 10s avec un nombre de trames suffisant)
Implmente la nouvelle attaque statistique dveloppe par KoreK
Ncessite un nombre d'IV unique pour pouvoir casser la cl

Source: http://www.cr0.net:8040/code/network/aircrack/

- 12/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Cassage du WEP Aircrack (2)


Ncessite 150 000 IV uniques pour une cl de 64 bits et 500 000 pour une
cl de 128 bits
La version 2.2 permettra l'injection de paquet aprs rejeu d'une trame arprequest gnrant des IV uniques au niveau de la borne.
Ncessite une mise jour des pilotes (HostAP, Atheros, Prism54, wlan-ng)
Mthodes :
iwpriv <iface> mode 2
iwconfig <iface> mode Monitor channel <channel>
ifconfig <iface> up
airodump <iface> <name> <bssid>
aireplay -x <nb_packet> <iface>

Version aireplay 2.2 (beta) permettant l'injection disponible


http://www.cr0.net:8040/code/network/aireplay-2.2.tgz
- 13/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Composants de 802.1x
Demandeur
En anglais : Supplicant
Cest lentit qui souhaite accder aux ressources, et qui va donc devoir prouver son
identit

Serveur daccs
En anglais : Network access server (NAS) ou Authenticator
Commutateur
Borne sans fil

Serveur dauthentification
En anglais : Authentication server (AS)
Cest celui qui vrifie les accrditations prsentes par le demandeur.
Il dialogue avec le serveur daccs.
- 14/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Notion de port 802.1x


Sur un rseau filaire commut
Chaque station est relie un port du commutateur
Chaque station sauthentifie en 802.1x sur ce port

Sur un rseau sans fil


Par la nature du support, toutes les stations accdent lAP via le mme support
Il faut pouvoir distinguer chaque port logique
LAP donne chaque client qui sest authentifi une cl de session qui lui est
propre
Toute trame nutilisant pas de cl de session est ignore par lAP

- 15/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Architecture 802.1x

Client

Borne
(NAS)

(Supplicant)

PPP

Serveur
dauthentification
(AS)

Rseau
interne

Pendant la phase dauthentification


La station ne peut accder quau serveur dauthentification
Tous les autres flux sont bloqus par lAP

- 16/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

EAPoL & Radius


Client

Borne

EAPoL

EAPoL

Type EAP-Packet

Type EAP-Packet

802.11

802.11

Serveur
dauthentification

Radius

Radius

Ethernet

Ethernet

EAPoL
Radius
Transport de lauthentification de point point Transport de lauthentification de point point
Entre le client et la borne
Entre la borne et le serveur dauthentification
Sur 802.11
Sur Ethernet

- 17/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Gnralits EAP
Extensive Authentication Protocol (RFC 2284)
Initialement conu pour PPP
Objectif
Permettre lajout de nouveaux protocoles dauthentification

EAP est un protocole de transport dauthentification


Spcialis dans les flux dauthentification (n'est pas un protocole d'authentification)
Il repose sur des mthodes pr-existantes

Les AP ne servent qu relayer les messages EAP entre le client et le


serveur dauthentification
LAP nest pas oblige de connatre la mthode dauthentification utilise
entre le client et le serveur
Pratique pour lvolutivit
- 18/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

EAP
Client

Borne

EAP

Serveur
dauthentification

EAP

EAPoL

EAPoL

Type EAP-Packet

Type EAP-Packet

802.11

802.11

EAP

Radius

Radius

Ethernet

Ethernet

EAP
Transport de lauthentification de bout en bout
Entre le client et le serveur dauthentification

- 19/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Pourquoi de nouveaux mcanimes ?


WEP : ne peut plus garantir la scurit 802.11
Janvier 2001 : Dbut des travaux du groupe de travail 802.11i
(anciennement 802.11e qui a ensuite t divis) au sein de l'IEEE pour
dvelopper des spcifications de scurit au niveau de la couche 2 du
modle OSI pour l'authentification et le chiffrement des donnes.
Avril 2003 : Recommandation WPA de la Wi-Fi Alliance (anciennement
WECA) fonde sur un sous ensemble de la norme 802.11i depuis la mi2003 tous les produits certifis au label WiFi doivent supporter cette
recommandation.
23 Juin 2004 : Publication de la norme 802.11i
Rfrence : http://grouper.ieee.org/groups/802/11/

- 20/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Le WPA
WPA : Wireless Protected Access
Solution du WECA pour corriger les erreurs du WEP

Profil de 802.11i promu par le WECA


Permet de combler une partie des problmes du WEP
Utilisation du mcanisme TKIP
Changement des clefs de chiffrement de faon priodique
10ko de donnes changes

Clef 128 bits

Vecteur d'initialisation de 48bits (281 474 976 710 656 possibilits)


Impossibilit de rutiliser un mme IV avec la mme clef
Utilisation du MIC qui est un contrle d'intgrit de tout le message

2 modes de fonctionnement
Mode PSK (PreShared Key) : secret partag
Mode base de 802.1X pour une authentification centralise
- 21/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Le WPA
Le WPA n'intgre pas les scurisation que le 802.11i apporte :
La scurisation des rseaux multi-point Ad-Hoc
N'implmente pas AES comme algorithme de chiffrement

Ncessite des quipements capables de l'implmenter


Les anciens quipements ont la plupart du temps la possibilit de mettre jour leur
software
Infrastructure base de Radius (sauf en mode PSK)
C'est du 802.1X

Rfrences :
Document du WECA : http://www.wi-fi.org/opensection/protected_access.asp
Livre Blanc sur le Wi-Fi :
http://www.wifialliance.com/OpenSection/pdf/Whitepaper_Wi-Fi_Security4-29-03.pdf

- 22/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Le WPA2
Dfinition d'un RSN (Robust Security Network) permettant de garantir :
Scurit et mobilit
Authentification du client indpendamment du lieu o il se trouve

Intgrit et Confidentialit
Garantie d'une confidentialit forte avec un mcanisme de distribution dynamique des clefs

Passage l'chelle et flexibilit


R-authentification rapide et scurise en cas de handover , sparation du point d'accs
et du processus d'authentification pour le passage l'chelle, architecture de scurit
flexible

- 23/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Le WPA2
Associations construites autour d'authentifications fortes : RSNA (Robust
Security Network Association) dpendantes de 802.1x
PMKSA : Pairwise Master Key Authentication Security Association (contexte post
802.1x)
PTKSA : Pairwise Transient Key Security Association (contexte post 4 Way
Handshake)
GTKSA : Group Transient Key Security Association (contexte post Grouk Key
Handshake)
STAKeySA : Station Key Security Association (contexte post STAKey Handshake)

Scurit au niveau MAC :


TKIP (Temporal Key Integrity Protocol) - Optionnel
CCMP (Counter-mode/CBC-MAC-Protocol) - Obligatoire
Le TSN (Transition Security Network) permet une compatibilit avec les anciens
mcanismes (Open Authentication, Shared Key Authentication, WEP)

- 24/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Phase oprationnelles du 802.11i


Phases oprationnelles
Ngociation de la politique de scurit
Authentification 802.1x
change des clefs sous EAP
Chiffrement des donnes

Ngociation de
la politique
Authentification 802.1x
Drivation et change
des cls

Distribution de la MK
par RADIUS

Chiffrement
protection des donnes

- 25/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

802.11i
Phase 1 : Ngociation de la politique de scurit
L'AP diffuse dans les Beacons les RSN IE (Information Elements)
Liste des authentification supportes (802.1x)
Liste des protocoles de scurit (CCMP, TKIP, ...)
Liste des mthodes de chiffrement pour la diffusion des clefs de groupes (GTK)

Le choix du client est alors prcis dans un lment d'information de sa trame


Association Request

Probe Request
Probe Response + RSN IE
CCMP Mcast, CCMP Ucast, 802.1x auth
802.11 Open System Authentication
802.11 Open System Authentication - Success
Association Request + RSN IE
STA request CCMP Mcast, CCMP Ucast, 802.1x auth
Association Response - Success
- 26/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

802.11i
Phase 2 : Authentification 802.1x
Dfinition de concert de la MK (Master Key) bas sur la mthode EAP choisie
(EAP/TLS, EAP/TTLS, EAP/SIM, etc.)
802.1X

RADIUS

802.1X/EAP Request Identity


802.1X/EAP Response Identity
RADIUS Access
Request Identity
Messages EAP spcifiques la mthode retenue
Drivation de la PMK

802.1X/EAP Success

- 27/55 -

Drivation de la PMK
RADIUS Accept
(Distribution de la MK Cf phase 3)

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

802.11i
Phase 3 : change des clefs sous EAP en 3 tapes
Transmission de la MK du serveur d'authentification (AS) l'AP
Message radius avec l'attribut MS-PPE-RECV-KEY
Drivation de la PMK partir de la MK

Calcul de la PTK (Pairwise Transient Key) grce au 4-Way Handshake


Envoi de la clef de groupe (GTK) en utilisant la KEK
802.1X
Etape 2 : 4-Way Handshake
Derivation, assignation et vrification PTK
+ transmission GTK

RADIUS
Etape 1 : Transmission MK de l'AS l'AP

Etape 3 : Group Key Handshake


Envoi de la GTK de l'AP au client
(Lors du renouvellement de la cl)
- 28/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Clef PTK Pairwise Transient Key


La PTK est drive de la PMK et permet l'authentification et le chiffrement
des donnes unicast et la distribution scurise de la cl de groupe.
Deux modes d'obtention d'une PMK (256 bits)
Si utilisation d'un serveur d'authentification : drivation partir de la MK (Master
Key) obtenue par les changes 802.1x entre ce serveur et le client
PMK = TLS-PRF(MasterKey, client EAP encryption ||
clientHello.random || serverHello.random)

Sinon, PMK = PSK


clef de 256 bits
clef drive d'une passphrase de 8 63 caractres (hach 4096 fois)
PMK = PSK = PBKDF2(passphrase, SSID, ssidLength, 4096, 256)
PBKDF2 est une fonction de drivation de clef dfini dans PKCS #5 v2

- 29/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Clef PTK Pairwise Transient Key


La PTK (512 bits) est calcule grce :
la PMK, des alas, les adresses MAC du point d'accs et du client ainsi que la chaine de
caractre Pairwise Key Expansion
PTK = PRF-X(PMK, Pairwise Key Expansion ,
Min(AP_Mac, STA_Mac)||Max(AP_Mac, STA_Mac)||
Min(ANonce, SNonce) ||Max(ANonce, SNonce) )
La fonction PRF-X est une fonction pseudo alatoire base sur HMAC (RFC 2104)
utilisant SHA1 comme mthode de hachage dont la sortie un nombre d'octets dfinis :
512 bits en mode TKIP (PRF-512)
384 bits en mode CCMP (PRF-384)

De la PTK on obtient :
KCK : Clef assurant l'authenticit des donnes dans le 4-Way Handshake et Group Key
Handshake (Key Confirmation Key 128 bits)
KEK : Clef assurant la confidentialit des donnes dans le 4-Way Handshake et Group Key
Handshake (Key Encryption Key 128 bits)
TK : Clef assurant le chiffrement des donnes (Temporal Key 128 bits)
TMK : Deux clefs assurant l'intgrit des donnes (une dans chaque sens) lors de l'utilisation
de TKIP (Temporal MIC Key 2x64 bits)
- 30/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Dcomposition des Pairwise Keys


PSK

MK

PMK - 256 bits


Pairwise Master Key
PRF utilisant HMAC-SHA1

PTK - X bits
Pairwise Transient Key

EAPOL-Key
Confirmation Key
128 bits
Bits 0-127
KCK
- 31/55 -

X = 512 (TKIP)
X = 384 (CCMP)

EAPOL-Key
Encryption Key
128 bits

Temporal
Encryption Key
128 bits

Temporal AP
Tx MIC Key
64 bits

Temporal AP
Rx MIC Key
64 bits

Bits 128-255
KEK

Bits 256-383
TEK (=TK)

Bits 384-447
TMK1

Bits 448-511
TMK2

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

TKIP

4-Way Handshake : Obtention de PTK


Le 4-Way Handshake, initialis par l'AP, permet :
La confirmation de la connaissance de la PMK par le client
La gnration d'une PTK partir de la PMK
L'installation des cls d'intgrit et de chiffrement
Le transport scuris de la GTK
La confirmation de la suite de chiffrement utilise

- 32/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

4-Way Handshake : Obtention de PTK


PMK

PMK

Choix ala SNonce

EAPoL-Key
ANonce + AP RSN IE

La STA
drive la PTK

Assure la
synchronisation
des deux entits
pour le futur
chiffrement

EAPoL-Key
SNonce + MIC + STA RSN IE
EAPoL-Key
MIC + GTK chiffre + AP RSN IE

Installation
de la PTK+GTK

EAPoL-Key ACK
MIC

Choix ala ANonce


Assure l'intgrit du
message grce la KCK
L'AP drive la PTK
initialise la GMK
et calcule la GTK

GTK chiffre l'aide


de la KEK
Installation
de la PTK

PTK = PRF-X(PMK, Pairwise key expansion ,


Min(AP_Mac, STA_Mac) || Max(AP_Mac, STA_Mac) || Min
(ANonce, SNonce) || Max(ANonce, SNonce))
- 33/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Clef GTK Group Transient Key


La GMK est une clef dfinie par la borne
La GTK est drive de la GMK et sert chiffrer et authentifier les trames
destination de plusieurs stations (broadcast ou multicast), elle doit tre
renouvelle quand un client quitte le rseau (plusieurs clefs possibles).
GTK = PRF-X(GMK, Group Key Expansion , AP_Mac || GNonce)
La fonction PRF-X est une fonction pseudo alatoire base sur HMAC (RFC 2104)
utilisant SHA1comme mthode de hachage dont la sortie un nombre d'octets
dfinis :
256 bits en mode TKIP (PRF-256)
128 bits en mode CCMP (PRF-128)

De la GMK on obtient :
GEK : Clef assurant le chiffrement du trafic (Group Encryption Key 128 bits) dans le
cas de CCMP cette clef assure aussi l'intgrit
GIK : Clef assurant l'intgrit du trafic lors de l'utilisation de TKIP (Group Integrity Key
128 bits)
- 34/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Dcomposition des Group Keys


AP Mac || GNonce

GMK - 256 bits

Group Key Expansion

PRF PRF-X utilisant HMAC-SHA1

GTK - X bits

- 35/55 -

X = 256 (TKIP)
X = 128 (CCMP)

Group
Encryption Key
128 bits

Group
Integrity Key
128 bits

Bits 0-127
GEK

Bits 128-255
GIK

TKIP

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Group Key Handshake : Obtention GTK


Renouvellement de la cl de groupe pour des clients ayant dj une
association de scurit
PTK

PTK
GMK (alatoire)
+ Gnonce + calcul GTK PTK et

GTK chiffre
l'aide de la KEK

PTK et
GTK

EAPoL-Key (MIC, GTK, Group)

Dchiffrement
de GTK
EAPoL-Key(Group, MIC)

GTK
Assure l'intgrit du
message grce la
KCK

GTK = PRF-256(GMK, Group Key Expansion , AP_Mac || GNonce)


- 36/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

STAKey Handshake
Cr une association de scurit (STAKeySA) entre une station initiatrice
(initiator) et une station distante (peer) au sein d'un mme BSS
Handshake initi par la station contrairement aux deux prcdents
Peer

Initiator
PTK

STAKey Request (Peer STA @MAC,


MIC)

STAKey
chiffre
grce la
KEK de la
PSKSA
entre le
client et
l'AP

PTK
STAKey Message1 (Initiator STA
MAC KDE, MIC, STAKey)
STAKey Message2 (Initiator STA
MAC KDE, MIC)

STAKey Message1 (Peer STA


MAC KDE, MIC, STAKey)
STAKey Message2 (Peer STA
@MAC KDE, MIC)

- 37/55 -

Le MIC assure l'intgrit du


message grce la KCK de la
PSKSA entre le client et l'AP

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Solutions de chiffrement du 802.11i


Phase 4 : Chiffrement des donnes
Le WEP inchang ne permet pas d'assurer la scurit des rseaux 802.11 de
troisime gnration, trois mcanismes ont t ajouts 802.11i :
TKIP
Temporal Key Integrity Protocol
Bas sur un moteur WEP (RC4) et amliorant la mthode de gestion des clefs et le contrle
d'intgrit grce MIC (Message Integrity Control).

CCMP
Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol
Bas sur le chiffrement AES en mode CCM et signature MIC base sur CBC-MAC
Obligatoire dans la norme 802.11i

WRAP
Wireless Robust Authenticated Protocol
Bas sur le chiffrement AES en mode OCB (Offset Code Book)
http://csrc.nist.gov/CryptoToolkit/modes/proposedmodes/ocb/ocb-spec.pdf
Problme de licence sur cet algorithme : 3 groupes en rclame la paternit.

- 38/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

TKIP Gnralits
Algorithme de chiffrement sous jacent : RC4, utilis correctement (au sens
cryptographique du terme)
Les apports de TKIP par rapport au WEP :
Utilisation d'un algorithme de hachage cryptographique non linaire : MIC (Message
Integrity Code) bas sur Michael (Niels Ferguson)
Impossibilit de rutiliser un mme IV avec la mme clef (l'IV joue maintenant un rle
de compteur appell TSC (TKIP Sequence Counter)) et augmentation de la taille de
l'IV 48 bits
Utilisation de cls de 128 bits (et non 40 ou 104 bits pour le WEP)
Intgre des mcanismes de distribution et de changement de cls
Utilise une cl diffrente pour le chiffrement de chaque paquet : PPK (Per Packet
Key)

- 39/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

TKIP Fonctionnement dtaill


Ext IV (48 bits)

TEK
(128 bits)

MIC = Michael(TMK + SA + DA
+ Priority + Plaintext MSDU)

TA (48 bits)

MIC

16 bits IV 32 bits IV
(lower)
(upper)

ICV = CRC
(Plaintext || MIC)

CRC

Phase 1 Key Mixing


TTAC (TKIP-mixed Transmit
Adress and Key) 80 bits

Plaintext MPDU MIC

Phase 2 Key Mixing


d=
dummybyte
(permet
d'viter les
clefs faibles)
MAC
Header

IV d IV Per-Packet Key (104 bits)

XOR

24 bits

RC4
IV / KeyID
4 octets

Extended IV
4 octets

Keystream
Data (PDU) >= 1 octet

MIC
8 octets

ICV
4 octets

FCS
4 octets

CHIFFRE
- 40/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

ICV

TKIP En-tte TKIP


CHIFFRE
MAC
IV / KeyID
Header 4 octets

TSC1

Extended IV
4 octets

Data (PDU) >= 1 octet

WEP
TSC0KeyID
Seed

Rsv Rsv Rsv Rsv Rsv ExtIV

MIC
8 octets

ICV
4 octets

TSC2 TSC3 TSC4 TSC5

KeyID

8 bits

Rsv = Bit (ou octet) rserv = 0


ExtIV = 1 (indique la prsence d'un IV tendu)
TSC (TKIP Sequence Number) = 6 octets = IV tendu
- 41/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

FCS
4 octets

MIC dit "Michael"


Vrai contrle d'intgrit bas sur HMAC-SHA1 (cl de 64 bits) cre
spcialement pour les besoins de TKIP (contraintes processeurs).
Authentifie l'metteur et le destinataire (SA & DA)
Niveau de scurit (voulu) : 20 bits (~ 1 Million de possibilits) :
Obligation d'implmenter des contre mesures en cas d'attaque visant forger des MIC
Solution choisie : invalider la clef de l'attaquant (induisant une nouvelle ngociation
802.1X) + blackout 60s
Risque de DoS (trs difficile raliser)

DA SA

Plaintext

N'utilise que des oprations de substitution,


rotations, XOR (pas de multiplication)
MIC invalide => Renouvellement des
cls (EAPoL message (clients),
Four way/Group Key handshake (AP)
- 42/55 -

TMK
(64 bits)

Michael

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

MIC
(8 octets)

Validation d'une MSDU chiffre par TKIP


Ne pas oublier : TKIP utilise toujours WEP (chiffrement RC4)
Le MIC est calcul sur la MSDU
La validation d'une MSDU suit les tapes suivantes :
Extraction de l'IV tendu et du KeyID, suppression des MPDU ne respectant pas le
squencement obligatoire des IV, construction du WEP seed (WEP IV)
Dchiffrement WEP l'aide de l'IV et de la cl WEP (Per Packet Key)
Vrification de l'ICV, rassemblement des MPDU en MSDU puis vrification du MIC
Si le MIC est valide, la trame est passe pour traitement aux couches suprieures,
sinon des contres mesures sont lances.

- 43/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

CCMP - Gnralits
Protocole de scurit bas sur le chiffrement AES (Advanced Encryption
Standard) en mode CCM (clef et blocs de 128 bits).
N'est pas un compromis de scurit comme TKIP mais repose sur une
remise plat complte et un nouveau protocole cr spcialement pour
l'utilisation dans 802.11i RSN : CCMP
CCM combine CTR pour la confidentialit et CBC-MAC pour
l'authenticit et l'intgrit
Mode par dfaut en 802.11i
Ajoute 16 octets au MPDU (8 octets pour l'en-tte CCMP et 8 octets pour
le MIC)
Protection anti-rejeu grce au PN (le PN est unique pour chaque PTKSA,
GTKSA ou STAKeySA)
- 44/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

CCMP Fonctionnement dtaill


Plaintext MPDU

MAC
Header

TEK

PN

KeyId

Increment
PN Number

Data
AAD
MPDU SA,
Priority

Counter

Construct
Nonce

MIC
Computation

Construct
CCMP Header

CCM Encryption
MAC
Header

CCMP Header
8 octets

Data (PDU) >= 1 octet

AAD: Additionnal Authentication Data (MPDU Header)


- 45/55 -

ENCRYPTED

MIC
8 octets

FCS
4 octets
PN: Packet Number = Ext IV

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

CCMP En-tte CCMP


CHIFFRE
MAC
Header

CCMP Header
8 octets

Data (PDU) >= 1 octet

MIC
8 octets

FCS
4 octets

PN0 PN1 Rsv KeyID PN2 PN3 PN4 PN5

Rsv Rsv Rsv Rsv Rsv ExtIV

KeyID

8 bits

Rsv = Bit (ou octet) rserv = 0


ExtIV = 1
PN (Packet Number) = 6 octets = IV tendu
- 46/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Validation d'une MSDU chiffre par CCMP


L'ICV n'est plus utilis (hritage du WEP dans TKIP ...)
Le MIC est calcul sur chaque MPDU (contrairement TKIP !)
La validation d'une MSDU suit les tapes suivantes :
Extraction du PN (IV tendu), suppression des MPDU ne respectant pas le
squencement obligatoire des PN
L'AAD et le Nonce sont reconstruits partir du MPDU chiffr. La valeur de l'AAD est
vrifie, en cas de diffrence le MPDU est rejet.
Le MPDU est dchiffr et le MIC est extrait.
Si le MIC est valide, le MPDU en clair est construit partir de l'en-tte MPDU et du
MPDU dchiffr et pass aux couches suprieures, sinon des contres mesures sont
lances.

- 47/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Rcapitulatif des solutions de chiffrement

- 48/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Dj des faiblesses ?
Attaque sur la PSK (WPA & WPA2)
Scurit base sur la qualit de la passphrase => Attaque par dictionnaires ou Brute
force
Solutions : Choisir une passphrase de plus de 20 caractres OU entrer la PSK en
hexadcimal avec des donnes alatoires
http://wifinetnews.com/archives/002453.html : Dcouverte du problme (Nov 2003)
http://new.remote-exploit.org/images/5/5a/Cowpatty-2.0.tar.gz : ~ 60 mdp/s

Attaque sur le protocole 4-Way Handshake (WPA & WPA2)


Attaque publie par ChangHua He et John C. Mitchell intitule 1 Message Attack on
the 4-Way Handshake
Faille : Pas d'authentification sur le 1er message
Le client se doit de conserver des donnes entre le 1er et le 3me message (la signature du
3ime message lui permettant de dduire la bonne PTK)
Exploitation : Inondation d'un client par des trames N1 spoofes
Entraine un problme d'espace mmoire ...
- 49/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Dj des faiblesses ?
Attaque sur la TEK (WPA)
Une attaque sur la TEK publie par Vebjorn Moen, Havard Raddum et Kjell J. Hole
intitule Weaknesses in the Temporal Key Hash of WPA est possible.
La complexit de l'attaque est de 2105 au lieu de 2128 avec une recherche exhaustive.
L'attaque permet aussi de dduire les 64 bits de la cl d'authentification avec une
complexit de 238
Ncessite la connaissance d'au moins deux clefs RC4 gnres partir de 32 bits de poids
fort d'IV identiques
Implmentation de l'attaque avec quatre clefs, moins de 7 minutes de calcul (sur PIV
2.5Ghz) pour rcuprer la cl de chiffrement TEK !

Les attaques de bas niveau sont toujours possibles :


Couche 802.11
Inondation de paquets D-authentification et D-association
Vol de Bande passante
Brouillage radio
- 50/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Itinrance
Deux mcanismes ont t introduits pour amliorer l'itinrance :
Pre Authentication
Permet un client de s'identifier avec un autre AP sur lequel il risque de basculer (au sein
du mme BSS)
Comment ? : redirection des trames d'authentification gnrs par le client vers son futur
AP par l'intermdiaire du rseau filaire
Avantage : Roaming plus rapide
Inconvnient : Accroissement significatif de la charge sur le serveur d'authentification

Key Caching :
Permet de conserver la PMK afin de la rutiliser lors d'une future transaction avec cet AP
Utilisation du PMKID (Pairwise Master Key Identifier) pour identifier la bonne clef
Extension de certains constructeur Proactive Key Caching : partage des PMK entre AP

- 51/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Conclusion
Le WEP est dfinitivement viter, la dure de vie d'une cl de 128 bits est
infrieur 1h avec les nouveaux outils
Les bornes ne supportant pas WPA doivent implmenter une rotation des
cls au maximum toutes les heures
protge de l'utilisation frauduleuse des ressources informatiques
ne protge pas de la perte de confidentialit des donnes

WPA s'impose comme solution pour les bornes ne pouvant pas supporter le
WPA2 (mise jour logiciel possible).
WPA2 est la solution la plus prenne
Le mode PSK ne garantit pas la confidentialit entre utilisateurs d'un mme
BSS (Utiliser le mode Entreprise Serveur d'authentification)
Le chiffrement ne doit pas empcher l'isolement des rseaux et la mise en
place de filtrage
- 52/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Rfrences
IEEE 802.11i standard
IEEE 802.11i Overwiew, Nancy Cam-Winget, Tim Moore, Dorothy
Stanley, Jesse Walker Dcembre 2002
Real 802.11 Security Wi-Fi Protected Access and 802.11i John Edney
& William A. Arbaugh Addison-Wesley ISBN 0-321-13620-9
Scurit Wi-Fi Guy Pujolles Eyrolles ISBN 2-212-11528-8
Analysis of the 802.11i 4-Way Handshake Changhua He, John C Mitchell
Universit de Standford
1 Message Attack on the 4-Way Handshake Changhua He, John C
Mitchell Universit de Standford
Weaknesses in the Temporal Key Hash of WPA Vebjorn Moen, Havard
Raddum, Kjell J. Hole Universit de Bergen Avril 2004
- 53/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Merci de votre attention

Questions ?
Retrouvez ces transparents sur www.hsc.fr

- 54/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite

Prochains rendez-vous
Convention scurit : 15 et 16 juin
Deux jours de tutoriels et de confrences gratuites
Programme : http://www.hsc.fr/conferences/csm05_programme.html
Formation DNS : 21 juin, Postfix et anti-spam : 22 juin
http://www.hsc.fr/services/formations/

Formations SecurityCertified : 5-9 & 19-23 septembre


Permettant de passer la certification SCNP
http://www.hsc.fr/services/formations/

Formation BS7799 Lead Auditor : octobre 2005


Certifie par LSTI et reconnue par l'IRCA
http://www.hsc.fr/services/formations/

Sur http://www.hscnews.com/ vous pourrez vous abonner la


newsletter HSC
- 55/55 -

Copyright Herv Schauer Consultants 2000-2005 - Reproduction Interdite