臨時金鑰完整性協定
臨時金鑰完整性協定(英文:Temporal Key Integrity Protocol,縮寫:TKIP)是一種用於IEEE 802.11無線網絡標準中的替代性安全協定,由電氣電子工程師學會(IEEE)802.11i任務組和Wi-Fi聯盟設計,用以在不需要升級硬件的基礎上替代有線等效加密(WEP)協定。由於WEP協定的薄弱造成了數據鏈路層安全被完全跳過,且由於已經應用的大量按照WEP要求製造的網絡硬件急需更新更可靠的安全協定,在此背景下臨時金鑰完整性協定應運而生。需要注意的是,臨時金鑰完整性協定自2012年的802.11標準中,已不再視為安全,且即將廢棄。[1]
概述 | |
---|---|
設計者 | Wi-Fi聯盟 |
首次發佈 | 2002年10月 |
衍生自 | 有線等效加密 |
密碼細節 | |
金鑰長度 | 128位元 |
最佳公開破解 | |
大東-森井攻擊 |
歷史
2002年10月31日,Wi-Fi聯盟提出臨時金鑰完整性協定,歸類於WPA標準的一部分。[2] 。IEEE隨後在2004年7月23日的IEEE 802.11i-2004報告中背書臨時金鑰完整性協定並同時提出基於計數器模式密碼塊鏈訊息完整碼協定的802.1X和AES協定這些更堅固的安全協定。[3]之後Wi-Fi聯盟接受了IEEE的相關報告並冠以「WPA2」這個商業名稱發佈。[4]
臨時金鑰完整性協定隨後由於安全性原因於2009年1月被IEEE廢棄[1]。ZDNet於2010年7月18日的報告中表明Wi-Fi聯盟應當禁止所有Wi-Fi裝置使用WEP和臨時金鑰完整性協定。[5]
技術細節
臨時金鑰完整性協定和相關的WPA標準應用了3個新的安全功能以解決WEP協定的安全漏洞。
- TKIP使用金鑰混合功能。該功能混合了根金鑰(Root Secret key)和初始化向量,而後再通過RC4初始化。在WEP中初始化向量基本上被直接連在根金鑰上而後直接通過RC4,從而造成了RC4為基礎的WEP可以被輕而易舉的使用相關金鑰攻擊而破解。[6]
- WPA使用序列計數器(Sequence Counter)以防禦回放攻擊(Replay Attacks)。當封包的順序不符合規定時將會被連接點自動拒收。[7]
- 臨時金鑰完整性協定使用64位元資訊完整性代碼(Message Integrity Check, MIC)以防止假包或者封包篡改。
為了讓該協定可以在老式WEP硬件上使用,臨時金鑰完整性協定仍使用RC4為其核心加密演算法,臨時金鑰完整性協定同時提供了金鑰再生成演算法加固協定。
金鑰混合增加了破解金鑰的難度,並且給攻擊者持久有限且加密數據用以破解。WPA2更應用了資訊完整性代碼以防止篡改發生。在老式WEP下在知道封包內容的情況下可以輕易篡改即使是已加密的封包。
安全性
臨時金鑰完整性協定與WEP的核心演算法時一樣的,所以也就造成了其註定面對相似破解WEP攻擊時的薄弱。由此TKIP的加強功能就非常重要。資訊完整性代碼,單包雜湊計算,廣播金鑰輪換和序列計數器避免了很多以前可以很對WEP的攻擊。混合金鑰功能避免了針對WEP的金鑰恢復攻擊。
但即使包括了這些安全功能,TKIP仍然可以被一些改進的攻擊破解。
貝克-特夫斯攻擊
臨時金鑰完整性協定與WEP協定由於使用相同的RC4加密演算法,對於金鑰流恢復攻擊有天生弱點。如果該攻擊成功,可以讓攻擊者成功傳送7至15個封包。當前公開的針對臨時金鑰完整性協定的攻擊方式中無法泄露對偶主金鑰或者對偶臨時金鑰。2008年11月8日,馬丁·貝克( Martin Beck)和艾瑞克·特夫斯(Erik Tews)發佈了一種針對TKIP WPA的貝克-特夫斯攻擊法(Beck-Tews Attacks)。[8]
Beck-Tews攻擊可以看做是針對WEP的斷續攻擊(Chop-Chop Attack)的延展。因為WEP所使用的查和(Checksum)演算法CRC32在密碼學上並不安全,攻擊者可以猜測到封包中的單個位元組,而後連接點會對猜測正確與否作出確認或拒絕傳輸。如果猜測正確,攻擊者可以發現猜測正確並繼續猜測下一個位元組。不過相較於針對WEP的斷續攻擊,攻擊者如果猜錯必須額外等待60秒才能繼續猜測。這是因為儘管臨時金鑰完整性協定仍然使用CRC32查和演算法,但由於使用了序列計數器(稱為Michael)而可以拖延攻擊。如果一個存取點在60秒內收到了2個Michael序列計數器錯誤,存取點隨後將啟動反制措施,重組臨時金鑰完整性協定的對話金鑰(Session Key),從而改變隨後的金鑰流。由此,Beck-Tews攻擊則等待一個適當的時間從而避免該反制措施。由於地址解析協定包(ARP包)可以非常簡單通過包大小鑑別,並且包中內容通常很容易猜到(大多ARP包內容相似),從而留給攻擊者需要猜測的包大小則變得非常有限(大約為14位元組)。通常來說在尋常的網絡組態下只需要12分鐘即可破解12加密位元組。
當攻擊者可以接觸到全部的加密包內容後,對於餘下在每個包內的明碼內容進行去除,攻擊者即可輕易獲得包內的金鑰流,同時還可獲得對話的MIC碼。應用這些資訊攻擊者可以重建新的封包並在網絡上載送。Beck-Tews攻擊使用QoS通道傳送新組建的封包從而繞開WPA應用的回放攻擊防護。由此攻擊者可以傳送封包以達到其他攻擊方式,比如ARP欺騙攻擊,拒絕式攻擊或其他類似攻擊。
2009年10月,挪威科技大學的費恩·霍爾華生(Finn M Helvorsen)及其同事更進一步,使得攻擊者可以在18分25秒內注入一個比普通ARP包異常大的包(596位元組)。[9]
大東-森井攻擊
日本的研究學者大東俊博和森井昌克以貝克-特夫斯攻擊法為基礎,發佈了一種更簡單且更快速的類似攻擊方式——「大東-森井攻擊」(Ohigashi-Morii Attack)。[10]該種攻擊在使用貝克-特夫斯攻擊的同時使用中間人攻擊,同時不需要存取點必須使用QoS。
鑑於這種攻擊方法是基於貝克-特夫斯攻擊,所以該種攻擊僅僅對臨時金鑰完整性協定有效,對於使用AES的WPA協定則無效。
相關條目
參照
- ^ 1.0 1.1 802.11mb Issues List v12 (excel): CID 98. 20 Jan 2009 [2014-04-23]. (原始內容存檔於2014-11-16).
The use of TKIP is deprecated. The TKIP algorithm is unsuitable for the purposes of this standard
- ^ Wi-Fi Alliance Announces Standards-Based Security Solution to Replace WEP. Wi-Fi Alliance. 2002-10-31 [2007-12-21]. (原始內容存檔於2008-01-03).
- ^ IEEE 802.11i-2004: Amendment 6: Medium Access Control (MAC) Security Enhancements (pdf). IEEE Standards. 2004-07-23 [2007-12-21]. (原始內容存檔 (PDF)於2007-11-29).
- ^ Wi-Fi Alliance Introduces Next Generation of Wi-Fi Security. Wi-Fi Alliance. 2004-09-01 [2007-12-21]. (原始內容存檔於2008-01-03).
- ^ Wi-Fi Alliance to dump WEP and TKIP ... not soon enough. [2014-04-23]. (原始內容存檔於2011-09-27).
- ^ Edney, Jon; Arbaugh, William A. Real 802.11 Security: Wi-Fi Protected Access and 802.11i. Addison Wesley Professional. 2003-07-15. ISBN 0-321-13620-9.
- ^ IEEE-SA Standards Board. Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications. Communications Magazine, IEEE, 2007.
- ^ Martin Beck & Erik Tews, "Practical attacks against WEP and WPA", available at [1] (頁面存檔備份,存於互聯網檔案館).
- ^ Finn M. Halvorsen, Olav Haugen, Martin Eian, Stig F. Mjølsnes. An Improved Attack on TKIP. Springer, Berlin, Heidelberg: 120–132. 2009-10-14 [2018-04-02]. ISBN 9783642047657. doi:10.1007/978-3-642-04766-4_9. (原始內容存檔於2020-10-12) (英語).
- ^ A Practical Message Falsification Attack on WPA (PDF). [2014-04-23]. (原始內容 (PDF)存檔於2011-08-19).