Montag, 1. M�rz 2010


Topthema

Donnerstag, 28. Juni 2007 | Topthema

About Security #111: Mobile Security — IEEE 802.11i Gruppenschlüssel

(Link zum Artikel: http://www.entwickler.de/php/kolumnen/036555)

Der 128 Bit lange Group Master Key (GMK) steht analog zum Pairwise Master Key an der Spitze der IEEE-802.11i-Gruppenschl�sselhierarchie. Unter ihm liegt der Group Temporal Key (GTK), der mithilfe einer Pseudozufallszahlenfunktion aus dem GMK erzeugt wird. Er ist bei TKIP 256 Bit lang, bei CCMP 128 Bit, da nur zwei tempor�re 128-Bit-Schl�ssel f�r TKIP bzw. einer f�r CCMP ben�tigt werden. Die EAPOL-Schl�ssel entfallen, da der Schl�sselaustausch nur �ber die paarweisen Schl�ssel abgewickelt wird.

Die Aufteilung des GTK in die tempor�ren Schl�ssel zur Verschl�sselung und Integrit�tssicherung erfolgt analog dem Vorgehen beim PTK (siehe About Security #109).

TKIP-Gruppenschl�sselhierarchie
Group Master Key (GMK)
128 Bit
 
Group Temporal Key (GTK)
256 Bit
 
Sitzungsschl�ssel
128 Bit
Michael-Key
2x 64 Bit
 
Schutz der Multicast-Daten�bertragung
CCMP-Gruppenschl�sselhierarchie
Group Master Key (GMK)
128 Bit
 
Group Temporal Key (GTK)
128 Bit
 
Sitzungs- und Integrit�tsschl�ssel
128 Bit
 
Schutz der Multicast-Daten�bertragung
Erzeugung des GMK

Der GMK wird vom Access Point erzeugt und nur von diesem verwendet. Da er nicht f�r die Authentifikation verwendet wird, werden f�r seine Berechnung keine Access-Point-spezifischen Informationen verwendet, sondern er ist eine reine Zufallszahl.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Erzeugung und Verteilung des GTK

Der GTK wird ebenfalls auf dem Access Point erzeugt. Als Parameter gehen der GMK, die Markierung "Group key expansion" als Kennzeichnung, dass es sich um einen Gruppenschl�ssel handelt, die MAC-Adresse des Access Points und ein analog zum ANonce und SNonce erzeugter Zufallswert, genannt GNonce, in die Berechnung ein:
GTK = PRF(GMK, "Group key expansion", MAC-Adresse, GNonce)
PRF ist wie bei der Berechnung des PTK eine Pseudozufallszahlenfunktion.

Die Verteilung des GTK erfolgt im Rahmen des 4-Wege-Handshakes f�r die Erzeugung der tempor�ren paarweisen Schl�ssel (siehe About Security #110) in den Schritten 3 und 4:

  • Schritt 3:
    Der Access Point sendet den GTK an den Client. Die �bertragung erfolgt durch den EAPOL-Schl�ssel gesch�tzt, au�erdem wird der EAPOL-MIC-Wert des GTK �bertragen.
  • Schritt 4:
    Der Client antwortet mit dem empfangenen, durch den EAPOL-Schl�ssel verschl�sselten EAPOL-MIC. Stimmt der mit dem �bertragenen Wert �berein, wurde der GTK nicht manipuliert und die verschl�sselte Kommunikation kann beginnen.
Wechsel der Schl�ssel

Wird ein Client aus dem WLAN entfernt, wird sein paarweiser Schl�ssel nach seiner Abmeldung aus dem Netz vom Access Point gel�scht. Bei einem erneuten Verbindungsaufbau wird ein neuer paarweiser Schl�ssel erzeugt.

Damit ein abgemeldeter Client keine Multicast-Nachrichten mehr entschl�sseln kann, muss der GTK nach der Abmeldung eines Clients ausgetauscht werden. Dazu erzeugt der Access Point einen neuen GTK und verteilt ihn an die Clients. Bei einer hohen Fluktuation der Clients k�nnte dies den Multicast-Verkehr zu sehr beeintr�chtigen: Wird auf den neuen Gruppenschl�ssel umgeschaltet, bevor alle Clients ihn installiert haben, werden die Clients, die noch den alten Gruppenschl�ssel verwenden, vom Multicast-Verkehr ausgesperrt. Im umgekehrten Fall w�rden alle Clients ausgesperrt, die den neuen Gruppenschl�ssel bereits installiert haben. Als Gegenma�nahme werden dann zwei Gruppenschl�ssel, die �ber eine Schl�ssel-ID ausgew�hlt werden, eingesetzt: Der Access Point verteilt den neuen Gruppenschl�ssel und sendet w�hrenddessen die Multicast-Nachrichten weiterhin mit dem alten Gruppenschl�ssel. Erst wenn alle Clients den neuen Gruppenschl�ssel installiert haben, wird der Multicast-Verkehr damit verschl�sselt und der alte Gruppenschl�ssel gel�scht.

About Security: Die komplette Serie
TKIP und CCMP

TKIP (siehe About Security #108) wurde nur aus Gr�nden der Kompatibilit�t zu vorhandenen IEEE-802.11-Ger�ten in den Standard aufgenommen. Es kann im Mischbetrieb parallel zu CCMP eingesetzt werden.

CCMP (Counter Mode/CBC-MAC, vollst�ndig "Counter Mode with Cipher Block Chaining Message Authentication Code Protocol") basiert auf CCM (informelle Beschreibung in RFC 3610) in Verbindung mit AES (siehe About Security #74/ #75) mit einer Block- und Schl�ssell�nge von jeweils 128 Bit.

Der f�r die Verschl�sselung eingesetzte Counter Mode ist eine Betriebsart f�r Blockchiffren, bei der ein Z�hler verschl�sselt und mit der Nachricht XOR-verkn�pft wird. Durch die XOR-Verkn�pfung wird f�r Ver- und Entschl�sselung der gleiche Schl�sselblock verwendet, ein separater Entschl�sselungsblock wird nicht ben�tigt.

CBC-MAC wird f�r die Authentisierung und dem Schutz der Integrit�t genutzt. Mit CBC (Cipher Block Chaining) wird eine Pr�fsumme berechnet, indem jeder AES-verschl�sselte Datenblock mit seinem Nachfolger XOR-verkn�pft und das Ergebnis wieder mit AES verschl�sselt wird. Der letzte Block wird als Pr�fsumme (Message Authentication Code, MAC) verwendet.

CCMP wird in der n�chsten Folge genauer beschrieben.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Mobile Security � WPA, WPA2 und IEEE 802.11i"

Kommentare

Folgende Links könnten Sie auch interessieren