Протокол целостности временного ключа

Протокол целостности временного ключа ( TKIP / t iː ˈ k ɪ p / ) — это протокол безопасности, используемый в IEEE 802.11 стандарте беспроводной сети . TKIP был разработан целевой группой IEEE 802.11i и Wi-Fi Alliance как временное решение для замены WEP без необходимости замены устаревшего оборудования. Это было необходимо, поскольку взлом WEP оставил сети Wi-Fi без надежной защиты канального уровня , и требовалось решение для уже развернутого оборудования. Однако сам TKIP больше не считается безопасным и был объявлен устаревшим в версии стандарта 802.11 2012 года. ^[1]

31 октября 2002 года Wi-Fi Alliance одобрил TKIP под названием Wi-Fi Protected Access (WPA) . ^[2] IEEE одобрил окончательную версию TKIP, а также более надежные решения, такие как 802.1X и AES на основе CCMP , когда они опубликовали IEEE 802.11i-2004 23 июля 2004 года. ^[3] Вскоре после этого Wi-Fi Alliance принял полную спецификацию под маркетинговым названием WPA2 . ^[4]

В январе 2009 года IEEE решил объявить TKIP устаревшим. ^[1]

TKIP и связанный с ним стандарт WPA реализуют три новые функции безопасности для решения проблем безопасности, возникающих в сетях, защищенных WEP. Во-первых, TKIP реализует функцию смешивания ключей, которая объединяет секретный корневой ключ с вектором инициализации перед передачей его на инициализацию шифра RC4 . Для сравнения, WEP просто объединял вектор инициализации с корневым ключом и передавал это значение в процедуру RC4. Это позволило осуществить подавляющее большинство атак с использованием ключей WEP на базе RC4 . ^[5] Во-вторых, WPA реализует счетчик последовательностей для защиты от атак повторного воспроизведения. Пакеты, полученные не по порядку, будут отклонены точкой доступа. Наконец, TKIP реализует 64-битную проверку целостности сообщения (MIC) и повторно инициализирует порядковый номер каждый раз, когда используется новый ключ (временный ключ). ^[6]

Чтобы иметь возможность работать на устаревшем оборудовании WEP с небольшими обновлениями, TKIP использует RC4 в качестве шифра . TKIP также предоставляет механизм смены ключей . данных TKIP гарантирует, что каждый пакет отправляется с уникальным ключом шифрования (промежуточный ключ/временный ключ + счетчик последовательности пакетов). ^{[ нужна ссылка ]}

Смешение ключей увеличивает сложность декодирования ключей, предоставляя злоумышленнику существенно меньше данных, зашифрованных с использованием какого-либо одного ключа. WPA2 также реализует новый код целостности сообщений — MIC. Проверка целостности сообщения предотвращает прием поддельных пакетов. В WEP можно было изменить пакет, содержимое которого было известно, даже если он не был расшифрован.

TKIP использует тот же базовый механизм, что и WEP, и, следовательно, уязвим для ряда подобных атак. Проверка целостности сообщения, хеширование ключей для каждого пакета , ротация широковещательных ключей и счетчик последовательностей предотвращают многие атаки. Функция смешивания ключей также исключает атаки с целью восстановления ключей WEP.

Несмотря на эти изменения, слабость некоторых из этих дополнений позволила проводить новые, хотя и более узкие атаки.

TKIP уязвим для атаки с восстановлением ключа MIC , которая в случае успешного выполнения позволяет злоумышленнику передавать и расшифровывать произвольные пакеты в атакуемой сети. ^[7] Текущие общедоступные атаки, специфичные для TKIP, не раскрывают парный главный ключ или парные временные ключи. 8 ноября 2008 года Мартин Бек и Эрик Тьюс опубликовали документ, в котором подробно описывается, как восстановить ключ MIC и передать несколько пакетов. ^[8] Эта атака была улучшена Мэти Ванхуфом и Фрэнком Писсенсом в 2013 году, где они увеличили количество пакетов, которые может передать злоумышленник, и показали, как злоумышленник также может расшифровать произвольные пакеты. ^[7]

В основе атаки лежит расширение WEP -атаки . Поскольку WEP использует криптографически небезопасный механизм контрольной суммы ( CRC32 ), злоумышленник может угадать отдельные байты пакета, а точка беспроводного доступа подтвердит или опровергнет правильность предположения. Если предположение верно, злоумышленник сможет обнаружить, что предположение верно, и продолжить угадывание других байтов пакета. Однако, в отличие от периодической атаки на сеть WEP, злоумышленник должен подождать не менее 60 секунд после неправильного предположения (успешный обход механизма CRC32), прежде чем продолжить атаку. Это связано с тем, что, хотя TKIP продолжает использовать механизм контрольной суммы CRC32, он реализует дополнительный код MIC с именем Michael. Если в течение 60 секунд будут получены два неправильных кода Michael MIC, точка доступа примет контрмеры, то есть повторно введет ключ сеанса TKIP, тем самым изменив будущие потоки ключей. Соответственно, атаки на TKIP будут ждать определенное время, чтобы избежать этих контрмер. Потому что Пакеты ARP легко идентифицируются по их размеру, и подавляющее большинство содержимого этого пакета будет известно злоумышленнику, количество байтов, которые злоумышленник должен угадать с помощью описанного выше метода, довольно мало (приблизительно 14 байт). По оценкам Бека и Тьюса, восстановление 12 байтов в типичной сети возможно примерно за 12 минут, что позволит злоумышленнику передать 3–7 пакетов длиной не более 28 байт. ^[8] Ванхоф и Писсенс усовершенствовали эту технику, полагаясь на фрагментацию , позволяя злоумышленнику передавать произвольное количество пакетов, каждый размером не более 112 байт. ^[7] Атаки Ванхуфа-Писсенса также могут использоваться для расшифровки произвольных пакетов по выбору атаки.

Злоумышленник уже имеет доступ ко всему пакету зашифрованного текста. После получения всего открытого текста того же пакета злоумышленник получает доступ к ключевому потоку пакета, а также к коду MIC сеанса. Используя эту информацию, злоумышленник может создать новый пакет и передать его по сети. Чтобы обойти защиту повторного воспроизведения, реализованную WPA, атаки используют каналы QoS для передачи этих вновь созданных пакетов. Злоумышленник, способный передавать эти пакеты, может реализовать любое количество атак, включая атаки отравления ARP , отказ в обслуживании и другие подобные атаки, без необходимости быть связанным с сетью.

Группа исследователей безопасности из группы информационной безопасности в Ройял Холлоуэй, Лондонский университет, сообщила о теоретической атаке на TKIP, которая использует базовый механизм шифрования RC4 . TKIP использует структуру ключей, аналогичную WEP, с младшим 16-битным значением счетчика последовательностей (используемым для предотвращения атак повторного воспроизведения) и расширяемым до 24-битного «IV», и этот счетчик последовательностей всегда увеличивается с каждым новым пакетом. Злоумышленник может использовать эту структуру ключей для улучшения существующих атак на RC4. В частности, если одни и те же данные зашифрованы несколько раз, злоумышленник может узнать эту информацию только из двух ²⁴ связи. ^{[9] [10] [11]} Хотя они утверждают, что эта атака находится на грани практической реализации, было проведено лишь моделирование, а атака не была продемонстрирована на практике.

В 2015 году исследователи безопасности из Левенского университета представили новые атаки на RC4 как в TLS, так и в WPA-TKIP. Эта атака, получившая название Numerous Occurrence MOnitoring & Recovery Exploit (NOMORE), является первой атакой такого рода, продемонстрированной на практике. Атака на WPA-TKIP может быть завершена в течение часа и позволяет злоумышленнику расшифровать и внедрить произвольные пакеты. ^[12]

18 июня 2010 г. ZDNet сообщил, что альянс Wi-Fi вскоре запретит WEP и TKIP на устройствах Wi-Fi. ^[13] Однако опрос, проведенный в 2013 году, показал, что он все еще широко используется. ^[7]

Стандарт IEEE 802.11n запрещает скорость передачи данных превышать 54 Мбит/с, если в качестве шифрования Wi-Fi используется TKIP. ^[14]

• Контроллер беспроводного сетевого интерфейса
• CCMP
• Защищенный доступ к Wi-Fi
• ИЭЭЭ 802.11i-2004