A WEP-et (Wired Equivalent Privacy) azzal a céllal fejlesztették ki, hogy a vezetékes átvitelhez hasonló (wired equivalent) biztonságot nyújtson vezeték nélküli hálózatok esetében is. Mivel a LAN-ok alapesetben semmilyen titkosítással nincsenek védve, így az ehhez hasonló biztonság elérése sem lehetett nagy gond. WEP segítségével az adatok úgy vannak titkosítva, hogy lehallgatás esetén az adatokból semmilyen érdemleges információ nem nyerhető ki. Emellett a felhasználó a hálózathoz való csatlakozás előtt autentikáción esik át és csak ez után tudja a titkosított adatokat visszafejteni. A WEP protokoll az RC4 titkosító algoritmusra épül, mely 40 vagy 104 bites kulcsot használ kombinálva 24 bites inicializáló vektorral (IV). Az RC4 a titkosítás egy gyakran h asznált módja, amely úgy muködik, hogy a titkos kulcsból és egy véletlen számból álló véletlen bájtsorozatot állítanak elő, amelyet xor-ol az üzenet bájtjaival. Így egy M üzenetet és a kontroll összeget (ICV - Integrity check value) az alábbi módon titkos ítja:

C = [ M || ICV(M) ] XOR [ RC4(K || IV) ]

A kulcsok a szabvány szerint 40 bitesek, de a mai hardverek gyakorlatilag kivétel nélkül támogatják a 104 bites hosszúságú változatát. Ebből látható, hogy az IV milyen fontos része a titkosításnak. Ennek segítségével érheto el hogy az RC4 algoritmus mindi g más titkosító kulcsot használjon.

Az RC4 algoritmus

Az RC4 algoritmust Ronald Lorin Rivest fejlesztette ki 1987-ben. Az RC4 kódolás során a felek megegyeznek egy közös titkos kulcsban. A kulcs és az ebből képzett inicializáló vektor (IV) segítségével kódolják a 802.11 keretbe foglalt adatot az alábbi ábra szerint.

Túl veszélyes lenne, ha csak az előre meghatározott közös kulcsot használná az algoritmus a titkosítás során, ezért azt egy véletlen érték hozzáfűzésével megváltoztatjuk. Ezt a véletlen számot az IV-ből és WEP kulcsból együttesen számolja ki a véletlen k ulcsfolyam meghatározásához. Az RC4 implementációjától függően az IV különböző méretű lehet, a WEP esetében 24 bites. Az IV változtatásának a módját a szabvány nem írja elő, általában minden implementációban 0-tól kezdődik és egyesével növekszik. Sőt vann ak olyan implementációk, amelyek nem is változtatják, ezzel degradálva az RC4 algoritmus erejét. Azért nincs szükség az IV véletlenszerűségére, mert a WEP kulcs, az IV és a kulcsfolyam generátor együttesen biztosítja, hogy a minden egyes üzenethez más kul cs generálódjon. Az IV értéke folyamatosan változik, azonban a fogadó félnek az üzenetet dekódolásához szüksége van az IV értékére, ezért az IV-t a titkosított üzenethez csatoljuk titkosítatlanul. Az eljárás során az IV a felek által ismert titkos kulcs s egítségével egy kezdeti státusztömb alapján készül minden kerethez. A kódolt keretet fogadó fél szintén ismeri a kezdeti tömböt a közös kulcs miatt ezért ebből és a csatolt IV-t felhasználva dekódolni tudja a neki szánt adatokat. Az átvitt keret sértetlen ségét egy CRC32 eljárással készült ellenőrző összeg segítségével tudja megvizsgálni a fogadó fél, amely szintén kódoltan kerül átvitelre. Amennyiben a saját maga által számolt összeg nem egyezik meg a kapottal, akkor az adatköteget eldobja, és jelzi, hogy valószínűleg megsérült a csomag útközben.

WEP csomag

WEP csomag a hálózati réteg adatainak a transzformációjából áll az adatkapcsolati réteg számára, amely magában foglalja a titkosítást, az integritás ellenőrzést, az esetleges fragmentálást és fejléc csatolását. A WEP csomag általános modellje az alábbi áb rán látható.

A mezők magyarázata:

PAD - 6 bit nagyságú és értéke a Key ID-től függ

Key ID - 2 bit nagyságú, és a WEP kulcs sorrendjét adja meg, ha a kommunikáció során több WEP kulcsot használnak a titkosításra

Data és ICV - ezek az egyedüli titkosított adatok a csomagban

WEP hitelesítés és rejtjelezés

A WEP-nek 2 biztonsági problémára kellett megoldást találnia. Az egyik a hitelesítés a másik pedig a rejtjelezés. A hitelesítést kihívás-válasz alapú protokoll végzi, mely 4 üzenetből áll:

1. A kliens jelzi, hogy szeretné hitelesíteni magát (authenticate request)
2. Az AP generál egy véletlen számot, s azt kihívásként elküldi a kliensnek (authenticate challenge)
3. A kliens rejtjelezi a kihívást (véletlen szám) egy olyan kulccsal, amelyet mindketten ismernek és az eredményt visszaküldi az AP-nek.
4. Ha az AP sikeresen dekódolta az üzenetet, ez azt jelenti hogy a kliens valóban ismeri a megfelelő kulcsot, ezért válaszul egy authenticate success (hiba esetén failure) üzenetet küld a kliensnek.

Miután a hitelesítés megtörtént az AP és a kliens kódolt üzenetekkel kommunikálnak egymással. Az üzenetek kódolásához ugyanazt a kulcsot használják mint a hitelesítéshez, az algoritmus pedig az RC4 kulcsfolyam kódoló. A kliens a kapcsolat létrejötte előtt és alatt 3 különböző állapotban lehet. Az egyes állapotokat és az átmenetek állapotdiagramját az alábbi ábrán ábrázoltuk.

A kliens csak abban az esetben kommunikálhat az adott hálózatban, ha mint az autentikáció, mint pedig az asszociáció folyamatát sikeresen teljesítette.

A WEP hiányosságai

A WEP eljárást vizsgálva az alábbi hiányosságokat szokták megemlíteni:

• Ugyanazt a kulcsot használja hitelesítésre és kódolásra
• A hitelesítés csak a hálózathoz való csatlakozás pillanatában történik és többet nem
• Csak a kliensnek kell hitelesítetnie magát, az AP-nek nem.
• Statikus kulcsokat alkalmaz, ezért egy nagy rendszerben a kulcsok cseréje időigényes feladat.
• WEP 128 bites biztonságot nyújt, olvashatjuk mindenhol. De ez nem igaz, mivel a 128 (64) bitbol 24 mindig nyíltan kerül átvitelre
• Az IV a WEP-nél használt implementációban 24 bit hosszúságú, tehát az összes lehetséges IV-k száma 2²⁴ = 16 777 216, ami csomagkapcsolt hálózati kommunikációnál nem nevezhető elég nagy számnak az ismétlődések gyakoriságát tekintve.
• Minden kliens ugyan azt a kulcsot használja az AP-vel való kommunikáció során, így mindenki üzenetét vissza tudja fejteni.
• Léteznek úgynevezett gyenge RC4 kulcsok, melyekbol az RC4 algoritmus nem teljesen véletlen bájtsorozatot állít elő. Ha valaki meg tudja figyelni egy gyenge kulcsból előállított bájtsorozat első néhány bájtját, akkor abból következtetni tud a kulcsra.

WEP elleni támadási módok

Az RC4 több gyenge és támadásra alkalmas ponttal rendelkezik. Az egyik támadási módszer esetén egy egyszerű számjegyes eljárást alkalmaznak a támadók. Az IV csak 24 bites, így csak fix számú olyan permutáció létezik, amit az RC4 az IV-hez fel tud használn i. Matematikailag 16 777 216 lehetséges IV-kombináció létezik. Ebben az esetben a kliens aktivitásától függően néhány perc, esetleg óra szükséges a kód feltöréséhez. A lehetséges IV-k száma véges, ami oda vezet, hogy az RC4 kénytelen egy idő múlva mindig ugy anazokat a karaktereket alkalmazni egy adott IV-hez. Tehát a támadó egy idő után felismerheti az ismétlődő IV-ket. Elég adat rendelkezésre állása esetén, meg tudja határozni az alkalmazott WEP-kulcsot, viszont nemcsak 2²⁴ csomagot kell feljegye znie, hanem ennek többszörösét.

Egy másik támadási módszer azon alapszik, hogy léteznek ismert, gyenge IV-k. Ez az RC4 természetéből fakad. Az RC4 algoritmus egyes karakterekkel egyszerűen jobban működik, mint másokkal. Ebből származnak a gyenge 24 bites karakterek, de ezeket is felhasz nálja. Ha tehát ilyen gyenge karaktereket használnak, akkor a támadó néhány algoritmuson át tudja szűrni a lehallgatott adatokat és így képes meghatározni a WEP-kulcs részeit. Ez az eljárás egyik ismert implementációja 10-15 millió csomagot igényel a WEP- kulcs visszafejtéséhez.

Már 1995-ben David Wagner, a Berkeley egyetem professzora, felismerte az RC4 titkosító algoritmus statisztikai gyengeségeire, de ez a publikációja nem kapott megfelelően nagy figyelmet. Ennek is köszönheto, hogy a 1995-ben az IEEE a 802.11-es szabvány tit kosításához az RC4 algoritmust használta fel. A legelső publikáció, amely konkrétan rámutatott az RC4 algoritmus nem megfelelő implementálására Fluhrer, Mantin és Shamir közös írása, mely a szerzők nevéből képzett rövidítéssel FMS statisztikai módszerként híresült el. Az FMS megjelenése után pár hónappal elkészültek az első gyakorlati implementációk a WEP kulcs visszafejtésére. Ezek lényege, hogy a titkosított üzenet eredeti adattartalma ismert, hiszen az általános hálózati forgalmak döntő többségét az IP és ARP alapú kommunikációk valósítják meg, melyek egységesen az RFC1042-es SNAP fejléccel kezdődnek, aminek az első byte-ja kötelezően "0xAA" értéku.

Az FMS egy továbbfejlesztett megoldása a KOREK módszer, mely a kifejlesztőjéről kapta nevét, de elhíresült "chopper" (helikopter) név alatt is. Ez 60-70 %-kal javította a módszer hatékonyságát és csökkentette a szükséges IV-k számát.

WEP kulcs visszafejtésére még létezik 2 módszer, de ezek közül egyik sem nevezhető igazán hatásosnak és megbízhatónak. Az egyik a Brute force attack, amely sorban megpróbálja az összes lehetséges kulcsot. Könnyen kiszámolható, hogy 64 bites kódolásnál a k ulcs mérete 40 bit, tehát összesen 2⁴⁰ lehetséges kulcs van. Ha 100 000 kulcsot nézünk meg másodpercenként, akkor ahhoz hogy biztos megtaláljuk a kulcsot 127 napra lenne szükségünk. 104 bit-es kulcsnál ez az érték 6520836420927105974 évig tarta na.

A másik a szótár alapú támadás, mely azt használja ki hogy a felhasználók általában egyszerű szavakat vagy azok kombinációit használják kulcsként. Ha van egy jó szótárunk megfelelő mennyiségű lehetséges szóval és a felhasználó értelmes szavakból álló kulc sot használ, akkor nagy valószínűséggel megtaláljuk azt. A gond az, hogy nem lehetünk benne biztosak, hogy a módszer megtalálja a kulcsot, a felhasználók többsége ugyanis tisztában van az egyszerű jelszók gyenge tulajdonságával.

Wi-Fi Protected Access

A WEP-nek az RC4 implementációjából származó hiányosságait a WiFi Alliance a WPA ajánlás kiadásával próbálta meg kiküszöbölni. Így kötelezővé tette a felhasználó hitelesítését, törekedett az erősebb titkosításra, a kulcs menedzsment megvalósítására és a v isszajátszás elleni védekezésre. A Wi-fi Szövetség által létrehozott WPA tette lehetővé a biztonságos vezeték nélküli hálózati eszközök fejlesztésének megkezdését, amíg az IEEE 802.11i-csoport befejezi a szabvány elkészítését. A Wi-fi Szövetség ekkora (20 04) már előkészítette a WPA2 szabványt is, ami már az IEEE 802.11i szabvány végleges vázlatára épült. 2006-ban a WPA2 immár kötelező ajánlássá vált, a WiFi Certified logót csak olyan termék viselhette, amely a támogatta a WPA2-t.

A WPA-nak és a WPA2-nek is egyaránt fontos eleme a kötelező autentikáció. A WPA2-ről érdemes részletesebben beszélni, hiszen manapság gyakorlatilag általánosan elterjedt a használata. A WPA2-t kétféleképpen is használhatjuk, az ún. Personal illetve Entrep rise módokban. Az előbbi megfeleltethető a már említett SOHO környezetnek, míg a másik magától értetődően a nagyvállalati környezet. Personal módban előre osztott kulcsokkal (PSK-Pre-shared Key), Enterprise módban az IEEE 802.1X-ben leírt autentikációs és hozzáférés vezérlési megoldásokkal és az EAP-pal (Extensible Authentication Protocol). Az EAP több metódusát támogatja a WiFi Alliance, például a GSM-telefonok SIM kártyáján alapuló azonosítást vagy a TLS protokoll használatát.

A titkosítás terén a WPA-ban az RC4-en alapuló TKIP-t (Temporal Key Integrity Protocol) használta, azonban ennek vannak a WEP-örökségre visszavezethető gyengeségei, amelyek elsősorban rövid, részlegesen ismert tartalmú csomagok esetén növeli a törés esély ét. A WPA2-ben ezért erősebb titkositást választottak, a CCMP-t (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) 128 bites AES blokkrejtjelezővel.