WPA攻撃：詳細

ハッキングされたWPAのトピックに基づきます。

それにもかかわらず、何が起こったのか、これがどのように私たちを脅かすのかを考えてみましょう。 暗号攻撃は理解するために多くの特定の知識を必要とするものであるため、この記事はWi-Fiネットワークのセキュリティにある程度精通していると考えることができます。



まず、Wi-Fi暗号化プロトコルの理論について少し説明する必要があります。 せっかちであり、このすべての疑似カゼストリーに興味がない人たちですが、すぐに結論に進むことは禁じられていません。

WEP

WEPプロトコルは現在廃止されていると見なされており、WPAおよびWPA2を優先して使用することはまったく推奨されていません。 もちろんそうです！ その脆弱性は非常に深刻であるため、キーを解読して数分で安全なネットワークに接続できます。 これらの非常に数分の時間が必要になるのは、ネットワーク上のトラフィックの強度に依存します。 平均的なロードネットワークは1〜2分で故障します（この記事に興味がある人は、wi-fi aircrack-ngのメインハッカーツールのホームページに送信します）。 WPA / WPA2自体は、メインパケットフォーマットと暗号化アルゴリズム（WPA用）が変更されていないという意味で、ある程度WEPのアドオンです。 機器を変更する必要はありませんでした。ほとんどの場合、ファームウェアを更新するだけで十分でした（WPA / WPA2についてではなく、IEEE 802.11i標準について話す方が正確です。WPAは、キー管理および暗号化プロトコルTKIPを含むWPA2 AES暗号化を使用したCCMPを含む）。



すべてのプロトコルのパケット形式には多くの共通点があるため、最も単純なものとしてWEPパケットから始めます。





このパッケージでは、送信データ（ネットワークデータ）に最も関心があります。



ここでIVは、パケットごとのキーを作成するために必要なソルトである初期化ベクトルです。 データは、実際にはOSIスタックのアップストリームプロトコルによって生成された送信データです（たとえば、データはIPパケットになります）。 IC（以降、このフィールドをICV-整合性チェック値と呼びます）は、データのCRC32チェックサムで、データの整合性を検証します。 データ+ ICVは、IV + WEP_keyキーを持つRC4アルゴリズムで暗号化されます。 IVとWEPパスワードの単純な連結によって取得されます。 IVのサイズは24ビットで、RC4暗号は64または128ビット長のキーを使用します。 これは、WEPパスワードの長さが5または13文字（40または104ビット）である理由を説明しています。

RC4はストリーム暗号です。 これはキーで初期化され、その後、キーストリームと呼ばれる均一な分布を持つ疑似ランダムビットのシーケンスを生成します。 このシーケンスは、XOR操作によってデータ（従来はプレーンテキストと呼ばれる）を暗号化するために使用でき、結果のシーケンスは通常暗号文と呼ばれます。

WEPの主な脆弱性は、短いIVの長さ、パケットごとのキーを取得するための基本的なアルゴリズム、RC4アルゴリズム自体の脆弱性、およびそのストリームの性質に関連しています。

WPA

したがって、この写真では、ネットワークデータと呼ばれるものはMACヘッダーの後にあります（FCSチェックサムは、WEPの図のようにここには示されていません;処理はOSIモデルの下位レベルで実行されるため、興味はありません） ） IVは同じ24ビットWEP初期化ベクトルであり、その意味のみが多少異なり、パッケージのデータ構造ははるかに複雑です。 提示されたフィールドの意味を理解するために、すでに述べたTKIPプロトコルについて簡単に検討します（ただし、時間とエネルギーはまったくありません。退屈するのは怖いです:-)。

TKIP（Temporal Key Integrity Protocol）は、IEEE 802.11ファミリの無線プロトコルのセキュリティを向上させるための3つのアプローチを実装しています。 第1に、RC4アルゴリズムにキーとして渡す前に、PTKシークレットプライマリキー（以下を参照）を初期化ベクトルと組み合わせるキー混合機能です。 次に、48ビット長のシリアルカウンター（TSC-TKIPシーケンスカウンター）であり、その値は送信パケットごとに増加します。 間違った順序で受信したパケットは拒否されます（つまり、以前のTSCのパケットは拒否されます）。これにより、いわゆるリプレイ攻撃から身を守ることができます。 最後に、64ビットのメッセージ整合性コード（MIC）メッセージセキュリティコードです。

TKIPは、キーの再生成メカニズム（セッションキーの変更）も実装し、各パケットが一意のRC4キーで送信されるようにします。

基本セッションキーPTK（ペアワイズトランジェントキー）は、TKIPがキー変更間の個々のパケットを暗号化するために使用する4つの128ビットキーのセットです。 PTKはWEPパスワードではないことに注意してください。また、PTKもそれを生成するメカニズムもTKIPの一部ではありません。

PTKには4つのキーが含まれます。1つはTKIPのデータの暗号化（TKと呼びます）、1つはMIC（およびそのMTK）の計算、もう2つはいわゆるEAPOLキーです。 キーはWPAパスワードを使用して生成され（最終的にはパスワードが表示されます！）、4段階の「ハンドシェイク」中に双方に知られます（ 写真 、WPAに関する英語のかなり詳細な記事があります）。



WPAパッケージの構造を含む前の図に戻ると、MACヘッダーとデータの間のすべてのものは、本質的にTSCカウンターと、弱いキーから保護し、拡張IVが使用されていることを示すいくつかのサービスフィールドです。 TSCは、セッションの開始時にゼロに設定され、このデバイスによって送信される各パケットで単調に増加します.48ビットの容量は、〜250兆パケットに対して十分です。これは、セッションキーの定期的な再初期化を考えると十分と考えることができます（WEPの24ビットIVとは対照的です）。 パケットを暗号化するための一意のキーは、特定の2フェーズハッシュメカニズムによってTK、TA（トランスミッタのアドレス-トランスミッタのMACアドレス）およびTSCから計算され、WEP IVが追加された104ビットの文字列を出力します（はい、同じ24ビット） IV）128ビットキーを取得する（実際、キーの形成に関する図は視覚的ですが、不正確で、細心の注意を払ってこれを確認できます）。



Uff ...私たちはそこに何を残しましたか？ ああ、MIC。

主に偽造パッケージと戦うために作成されました。 MICHAELと呼ばれるアルゴリズムを使用して、64ビット長の署名を生成し、フラグメンテーションおよびパケットの順序の可能な変更の前でさえ、コードはメッセージ全体のデータ（および送信機と受信機のアドレス）から計算されます。 データとともに、アルゴリズムはキー、つまり前述のMTKを使用します。 重要なことに、アルゴリズムはある意味で可逆的です。 データとMIC署名がわかれば、MTKキーを計算できます。

アクセスポイント側の偽造との戦いは、実際には次のように発生します：不正なMICを持つパケットが到着した場合（他の指示に従って有効である間、つまり有効なTSC値とICVを持っている場合、量は検証に合格した）、送信者に通知が送信され、可能性があり、このイベントはハッキングの試みとしてログに記録されます。 60秒以内に別のパケットが間違ったMICで到着した場合、アクセスポイントは指定された送信者とキー再生成を開始します。 T.O. （比較的）免責された偽のパケットは、1分に1回しか送信できません。

チョップチョップ攻撃

WEPが脆弱な攻撃の印象的なリストから、いわゆるChop-Chop攻撃を検討してください（英語のチョップから、無料の翻訳は「スライスをカット」です）。 この攻撃により、プレーンテキストメッセージ（暗号化前のメッセージデータ）、したがってRC4キーストリームパケット（プレーンテキスト+キーストリーム=暗号テキスト=>キーストリーム=暗号テキスト+プレーンテキスト）を見つけることができます。 この攻撃は、要件に従ってCRC32チェックサムが暗号化ハッシュ関数に渡されないという事実を利用します。

イデオロギー的に、CRCは、バイナリ表記の対応する桁に等しい係数を持つ多項式（Xから）として表される元の文字列Sを、事前定義された多項式P _CRC （X）で除算した残りであり、算術演算はフィールドGF（2 ）（詳細については、例えばWikipediaをご覧ください）。 ただし、この形式では、CRCは元の行の先頭と末尾のゼロに影響されないため、実際には、（CRCビットの数に等しい長さの）特別な行が先頭と末尾に追加され、これをL _i （開始）とL _f （終了）として示します。 通常、両方とも32のバイナリユニットで構成されます。 したがって、CRC32の場合：

CRC =（X ³² * S + L _i * X ^{n + 32} + L _f ）mod P _CRC （1）

ここで、nはビット単位の長さSです。

そのCRCを右側の元の行Sに割り当てると、結果の行のCRCは一定で空行のCRCに等しくなり、P _ゼロで示され_ます （非常に簡単に証明され、GF（2）では加算と減算が1であることを覚えておくだけで十分です）同じ操作-XOR）、または式の形式

（X ³² *（X ³² * S + CRC）+ L _i * X ^{n + 64} + L _f ）mod P _CRC = P _ゼロ （2）

WEPパケットでは、データの最後のバイト（ネットワークデータ）は暗号化されたICVです。 メッセージのCRC。 暗号化についてしばらく忘れて、パケットから最後のバイト（Rと表記）を削除するとどうなるかを考えてみましょう。 Qを最後のバイトのないパケットとすると、Qに必要な剰余（CRC）が含まれることはほとんどありません。 しかし、CRCを修正するために特定の多項式MをQに追加できることがわかりました。 最初にS _O = Q * X ⁸ + Rを代入し、次に（2）の S ₁ = Q + Mを代入すると、

M =（X ³² ） ^-1 *（1 +（X ⁸ ） ^-1 ）*（P _ゼロ + L _f ）+（X ⁸ ） ^-1 * R

多項式Pを1次に上げることは、 P * P '= 1 mod P _CRCのような多項式Pを見つけることを意味します。 P _CRCは既約であり、P _CRCを法とする演算を持つ多項式はフィールドを形成します。 ところで、Mの次数は32を超えません。 M modulo P _CRCを取得すれば十分です。

0〜255のすべてのRバイトをソートし、それらをネットワークのアクセスポイントに送信すると、最終的に正しいバイトに到達します。 実際にバイトをヒットしたことを理解することも簡単です。間違ったICVを持つパケットは、エラーが送信されたときに静かにドロップします。 CRCが正しい場合、応答パケットを期待する権利があります。たとえば、WPAの場合、通常は無効なMICを通知するパケットになります。 しかし、それについては後で。



しかし、暗号化はどうですか？ パケットが暗号化されているという事実は重要ではありません。 アルゴリズムを使用したRC4暗号化は、キーストリームを使用したXORデータになりますが、Mの追加は同じXORであり、XOR操作は可換および結合であるため、元のデータにMを追加してから暗号化するか、すでに暗号化されたものに関係ありません。



説明したプロセスをさらに繰り返して、メッセージから1バイトを「ビットオフ」し、理論的には、任意の長さのWEPパケットを復号化することができます。

WPA攻撃

最後に記事のトピックに移りましょう。

では、WPA保護を備えたネットワークにChop-Chop攻撃を適用しようとするとどうなりますか？



TKIPには、このような攻撃から保護する基本的に2つの手段があります。

• 前述のように、無効なICVを持つパケットは破棄されます。 ICVが推測されても、MICコードが正しくない場合、攻撃者はキーの変更を引き起こさないように1分間待つ必要があります
• パケットを受信すると、このチャネルのTSCカウンター（TSCカウンターは、このデバイスがパケットを送信できる各チャネルに個別に存在します。少し後のチャネルについて）は、1増加します。正確に：実際には、TSC値の小さなウィンドウがあり、その中にパケットが受け入れられますが、ポイントはありません）

最初の段落の一部は攻撃者の手にあります。なぜなら、 彼が次のバイトを推測したときを理解することができます。 2番目の方法はより複雑です。実際、ネットワーク上のデバイスの1つから送信されたARPパケットをキャッチしても、アクセスポイントもそれをキャッチしました。TSCがすでにインクリメントされているため、このパケットを再び転送することは無意味です。カウンターをさらに増やします。 この攻撃の作者は、Wi-FiネットワークのQoSの改善を定義するIEEE 802.11e仕様に道を見つけました。 結論として、Wi-Fiデバイスは複数のパケットのキューをサポートしています（上記のチャネルに名前を付けました。実際の無線チャネルとはまったく関係ありません）、著者の1人であるEric Tuceによると、4チャネルの使用が想定されていました、標準では実際には8があり、著者は最大16を発見しました。通常、チャネルは同時に使用されず、重要なパケットの帯域幅を節約します。 無負荷のネットワークでは、多くの場合、すべてのトラフィックが1つのチャネルに送られます。 TSCカウンタの値が高いチャネルでパケットをキャッチする可能性が最も高くなりますが、負荷の少ないチャネルに切り替えることで再送信できます。 作成者を再度参照すると、不正なMICに関するメッセージを送信するときに、チャネルカウンターが増加しないことが重要です。 さらにチャンネルを切り替えることはできません。

ネットワークがQoS拡張をサポートしていない場合、復号化用に選択されたパケットがAPに到達し、ネットワークから送信したデバイスを切断するのを防ぐことができれば、原則として攻撃も実行可能です。



1分あたりのバイト数で長いパケットを復号化しようとすることは、非常に絶望的であることは明らかです。標準のWi-Fiパケットのサイズは約2300バイトです。 約1日半かかります。この間、TSCカウンターが増加するか、キーが変更されるか、アクセスポイントが廃棄されるか、「炎症」になります。 さらに、デバイスが1つしかないため、パッケージを1つだけ壊すことができます。





スニファーは機能しません。たとえば、長さ（14バイト）で簡単に識別できるARPなどの短いパケットの復号化で得られるものを見てみましょう。 実際、攻撃者はAPRパケットのほとんどの内容、つまりヘッダーとMACアドレスを知っています。 ハッキングされたネットワークのIP構造についていくつかの仮定を立てることができる場合（たとえば、Windowsで作成されたネットワークでは、IPアドレスは192.168.0.xの形式になると予想できます）、推測することは何もありません。 つまり、12バイトのICV + MICを推測すると、残りはICV量を使用して簡単に選択できます。 したがって、プレスで言及された破壊の12分の数字。



次は？ 1つのパケットを解読すると、攻撃者はRC4-keystreamパケット（TSCが変更されるまでしか使用できないこと）と、さらに重要なことにはセッションMTKを認識します-MICは可逆的であり、データと署名からキーを設定できると述べました。 後者は、次のキー変更の前に、MICを推測する必要がなくなり、たとえば、次のARPパケットをクラックするのに4〜5分かかることを意味します（ネットワーク構造につ​​いて同じ仮定で）。 QoSチャネルの数に応じて、復号化されたデータを使用して偽造パケットを7〜15回送信できます（トラフィックが複数のチャネルを通過する場合は少ない）。別のパケットを「チョップチョップ」する必要があります。

結論：脅威の程度と保護対策

Tewesのレポートの前にプレスリリースを思い出すと、たとえば：

Erik Tewsが、ルーターからラップトップコンピューターに送信されているデータを読み取るために、WPA暗号化を12時間から15分という比較的短い時間で解読する方法を紹介します。

彼らのトリックを引き出すために、研究者は最初にWPAルーターをだまして大量のデータを送信する方法を発見しました。 これにより、キーのクラッキングが容易になりますが、この手法は「数学的なブレークスルー」とも組み合わされ、以前の試みよりもはるかに迅速にWPAをクラッキングできるようになります。

www.pcworld.com

色が「わずかに」誇張されていることは明らかです。 実際には、APからクライアントへのトラフィックを読み取ることは不可能です。また、2004年以降、チョップチョップ攻撃が知られているため、



暗号化の解除についての声明があったにもかかわらず、WPAパスワード自体と一時的なセッションキー（MICキーをカウントしない）でさえ完全に安全です。 この攻撃により、作業中の個々の短いパケットを解読し、パケットごとにせいぜい4〜5分を費やし、解読結果を使用して、非常に限られた数の等しく短いパケットをネットワークに注入できます。 はい、これは、明らかに、TKIPプロトコルの脆弱性を示した最初の深刻な攻撃ですが、これを心配する明らかな理由はありません。 Tuceによると、「インターネットチャネルをランダムな人々による使用から保護するためだけに暗号化を使用した場合、完全に安全です。」 攻撃を使用して、ホームネットワークや企業ネットワークに接続したり、それらのトラフィックを監視したりすることはできません。

それでも、 理論的には、ARP（おそらくDNS）キャッシュを「ポイズニング」し、一定量のプライベートトラフィックを読み取るなど、マイナーなダーティートリックを行うことができます。Tuceは、いくつかのファイアウォールをごまかす可能性も示しています。



このタイプの攻撃に対処するには、どのような方法を使用できますか？

まず、もちろん、AES暗号化を使用してWPA2にアップグレードするだけです。 また、作成者は、アクセスポイントによるキーの再生成時間を短縮し（最大2〜3分。これにより、上記の手順が原則として不可能になります）、受信パケットの間違ったMICに関するメッセージの自動送信を無効にすることをお勧めします。 残念ながら、現代のアクセスポイントがこのような微妙な設定を提供しているかどうかは不明です（個人的に、誰かに会ったかどうかはわかりませんが、知るのは面白いでしょう）。



さて、WPAがハッキングされているとはほとんど言えません。 また、今のところ心配することは何もないと思います。 しかし、1つの情報源を引用すると、「2人（ベックとヒューズ）がドアを開いたので、WPAは何千人もの研究者の注目を集める可能性が高い：白、グレー、黒」





材料とリンク

ボロボロだが壊れていない （人気のあるアクセス可能な攻撃記事）

ベックとトゥズの記事

WPAの記事

プレゼンテーション （記事ではいくつかの写真を使用しました）

aircrack-ng

CRCとそのハッキング理論に関する優れた記事

ウィキメディアの WEPハッキング方法とFMS攻撃に関する記事



免責事項

厳密に判断しないようお願いします。私は情報セキュリティと無線プロトコルの専門家ではなく、アマチュアでもありません。関心のある人のほとんどです:-)そして、理論と詳細で記事をオーバーロードした場合、事前に謝罪します。