Eigentlich entworfen um drahtlosen Übertragungen eine dem Kabel vergleichbare Abhörsicherheit zu bieten, weist WEP einige gravierende Sicherheitslücken auf.
Schon bei der Entwicklung des Standard 802.11 war dem IEEE klar, dass zum Schutz der übertragenen Daten ein zusätzlicher Mechanismus notwendig ist. Schließlich sind in drahtlosen Netzen die Informationsströme nicht auf ein physikalisch abgeschlossenes System wie beispielsweise ein Kabel beschränkt, sondern für jeden Lauscher frei abhörbar. Aus diesem Grund wurde die Wired Equivalent Privacy (WEP) Bestandteil des Standards 802.11 und gilt damit für alle seine Ableger wie 802.11a, 802.11b und zukünftig 802.11g. Leider sind dem IEEE – wohl aus Mangel an Kryptographie-Experten – bei der Spezifikation einige Fehler unterlaufen, die WEP vergleichsweise einfach angreifbar machen.
Die Arbeitsweise
Um in drahtlosen Netzen eine Sicherheit zu gewährleisten, die in etwa den kabelgebundenen Netzen entspricht, sind drei Bereiche abzudecken: Abhörsicherheit, Zugangskontrolle und Datenintegrität. Es gilt zu verhindern, dass übertragene Inhalte von Unbefugten gelesen, fremden Stationen Zugang zum Netz gewährt oder aber Übertragungen manipuliert werden. Für all diese Aufgaben sollte WEP eine Lösung bieten.
Dazu bedient es sich eines 40 oder 104 Bit langen Schlüssels (Key), der sowohl dem Access Point wie auch dem WLAN-Client bekannt sein muss. Dieser Basisschlüssel lässt sich meist über die Management-Software des Access Point oder die Eigenschaften der WLAN-Karte einstellen.
Sowohl am Access Point wie auch beim Client sind die zu verwendenden WEP-Schlüssel manuell zu konfigurieren.
Dabei leistet sich die Industrie eine kleine Unsauberkeit: Die meisten Produkte unterstützen derzeit WEP-40 und WEP-128, wobei die Zahl angeblich die Länge des verwendeten Schlüssels bezeichnet. Richtig müsste es jedoch entweder WEP-64 und WEP-128 oder WEP-40 und WEP-104 heißen. Denn der vom Anwender frei wählbare Bereich des Schlüssels umfasst je nach Verfahren entweder 40 oder 104 Bit. Diesen werden dann intern noch 24 Bit, der so genannte Initialisierungsvektor (Initialization Vector), vorangestellt, was zu einer Schlüssellänge von 64 oder 128 Bit führt.
Aus diesem Startwert berechnet der WEP-Algorithmus ein fortwährenden Strom aus Chiffrierbits (Stream Cipher). Mit diesen werden die zu übertragenden Daten mithilfe der logischen Exklusiv-Oder-Funktion (XOR) kodiert. Vor das auf diesem Weg entstandene Datenpaket wird der Initialisierungsvektor gestellt und das Ergebnis an den Empfänger geschickt. Anhand des mitgelieferten Initialisierungsvektors ist dieser in der Lage, denselben Chiffrierstrom zu berechnen, der zur Verschlüsselung der Informationen verwendet wurde. Durch erneute Anwendung der XOR-Funktion entschlüsselt der Empfänger die erhaltenen Informationen.
Die Übermittlung des zur Codierung verwendeten Initialisierungsvektors im Klartext ist eine der Schwachstellen von WEP.
Dieses Verfahren hat gleich mehrere Nachteile. Erster Schwachpunkt ist der „geheime“ Schlüssel, der zusammen mit dem Initialisierungsvektor der Speisung des RC4-Generators dient. Die wenigsten WLAN-Lösungen sehen vor, jeder Station einen eigenen Schlüssel zuzuweisen. Vielmehr verwenden alle Clients und auch der Access Point ein und denselben Key. Doch der ist zur Decodierung des verschlüsselten Datenverkehrs oft gar nicht notwendig.
Der Knackpunkt dabei ist der Initialisierungsvektor, und die Rolle, die er bei der Verschlüsselung über den Chiffrierstrom spielt. Beim Einsatz von Chiffrierströmen ist nämlich tunlichst darauf zu achten, dass nie zwei Nachrichten mit demselben Schlüssel kodiert werden. Der Grund ist einfache Mathematik. Nennen wir den Schlüssel einfach S, die Nachrichten N1 und N2, dann ergeben sich die codierten Informationen C1 und C2 nach folgenden Formeln:
C1 = N1 xor S
C2 = N2 xor S
Fängt nun ein Lauscher beide codierten Nachrichten ab, kann er eine einfache Berechnung anstellen:
C1 xor C2 = N1 xor S xor N2 xor S
Oder umgruppiert:
C1 xor C2 = N1 xor N2 xor S xor S
Da sich die beiden XOR-Verknüpfungen mit S gegenseitig aufheben ergibt sich also:
C1 xor C2 = N1 xor N2
Mit anderen Worten: der Lauscher ist im Besitz der XOR-Verknüpfung beider Originalnachrichten. Mithilfe einfacher stochastischer Verfahren lässt sich damit in vielen, wenn nicht den meisten Fällen der Originaltext beider Nachrichten herausfinden.
Neueste Kommentare
Noch keine Kommentare zu TechReport: Wireless Security
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.