Третья составляющая: алгоритм защиты данных

Третья составляющая: алгоритм защиты данных. Уязвимость шифрования в WEP поставила производителей сетей стандарта 802.11 и ис¬следователей IEEE в затруднительное положение. Как можно улучшить систему шифрова¬ния стандарта 802.11, не прибегая к замене всех точек доступа и сетевых карт клиентов? IEEE ответил на этот вопрос, предложив являющийся частью стандарта 802.11i (и WPA) временный протокол целостности ключа (temporal key integrity protocol, TKIP). Этот протокол использует многие основные функции WEP, чтобы оправдать инвести¬ции, сделанные клиентами в оборудование и инфраструктуру стандарта 802.11, но лик¬видирует несколько слабых мест последнего, обеспечивая эффективное шифрование фреймов данных.

Основные усовершенствования, внесенные протоколом TKIP, таковы. • Пофреймовое изменение ключей шифрования. WEP-ключ быстро изменяется, и для каждого фрейма он другой. • Контроль целостности сообщения (message integrity check, MIC). Обеспечивается эффективный контроль целостности фреймов данных с целью предотвращения проведения тайных манипуляций с фреймами и воспроизведения фреймов.

Атаки, использующие уязвимость слабых IV, основаны на накоплении нескольких фреймов данных, содержащих информацию, зашифрованную с использованием слабых IV. Простейшим способом сдерживания таких атак является изменение WEP-ключа, используемого при обмене фреймами между клиентом и точкой доступа, до того как атакующий успеет на¬копить фреймы в количестве, достаточном для вывода битов ключа.

IEEE адаптировала схему, известную как пофреймовое изменение ключа (per-frame keying). (Ее также называют изменение ключа для каждого пакета (per-packet keying) и частое изменение ключа пакета (fast packet keying).) Основной принцип, на котором основано пофреймовое изменение ключа, состоит в том, что IV, МАС-адрес передатчика и WEP-ключ обрабатываются вместе с помощью двухступенчатой функции перемешива¬ния. Результат применения этой функции соответствует стандартному 104-разрядному WEP-ключу и 24-разрядному IV. IEEE предложила также увеличить 24-разрядный вектор инициализации до 48-разрядного IV. В нижеследующих разделах объясняется, почему необходимо такое расширение IV. На рис. 18 представлен образец 48-разрядного IV и показано, как этот IV разбивается на части для использования при пофреймовом изменении ключа.

Рис. 18. Разбиение на части IV для использования при пофреймо¬вом изменении ключа Процесс пофреймового изменения ключа можно разбить на следующие этапы. 1. Базовый WEP-ключ (полученный в процессе аутентификации по стандарту 802.1X) перемешивается со старшими 32 разрядами 48-разрядного IV (32-разрядные числа могут принимать значения 0-4 294 967 295) и МАС-адресом передатчика.

Результат этого действия называется ключ 1-й фазы (phase 1 key). Этот процесс позволяет зане¬сти ключ 1-й фазы в кэш и также напрямую поместить в ключ (рис. 19). 2. Ключ 1-й фазы снова перемешивается с IV и МАС-адресом передатчика (ТА) для выработки значения пофреймового ключа. 3. Вектор инициализации (IV), используемый для передачи фрейма, имеет размер только 16 бит (16-разрядные числа могут принимать значения 0-65 535). Оставшие¬ся 8 бит представляют фиксированное значение, используемое как заполнитель. 4. Пофреймовый ключ используется для WEP-шифрования фрейма данных. 5. Когда 16-битовое пространство IV оказывается исчерпанным, ключ 1-й фазы отбрасывается и 32 старших разряда увеличиваются на 1. (Если значение IV первой фазы было равно 12, оно увеличивается до 13.) 6. Значение Пофреймового ключа вычисляется заново, как на этапе 2. Рис. 19. Процесс Пофреймового изменения ключа Пофреймово изменяемый ключ имеет силу только тогда, когда 16-разрядные зна¬чения IV не используются повторно.

Если 16-разрядные значения IV используются дважды, происходит коллизия, в результате чего появляется возможность провести атаку и вывести ключевой поток.

Чтобы избежать коллизий IV, значение ключа 1-й фазы вычисляется заново путем увеличения старших 32 разрядов IV на 1 и повторного вычисления пофреймового ключа.

Этот алгоритм усиливает WEP до такой степени, что почти все известные сейчас возможности атак устраняются без замены существующего оборудования. Следует от¬метить, что этот алгоритм (и TKIP в целом) разработан с целью залатать бреши в сис¬теме аутентификации WEP и стандарта 802.11. Он жертвует слабыми алгоритмами, вместо того чтобы заменять оборудование.

Следующее поколение оборудования стан¬дарта 802.11 должно поддерживать TKIP, но WEP/TKIP будет постепенно свертывать¬ся в пользу алгоритма с большими возможностями шифрования, такого как усовер¬шенствованный стандарт шифрования (advanced encryption standard, AES).