IEEE 802.11i-2004 , o 802.11i para abreviar, es una enmienda al IEEE 802.11 original , implementado como Wi-Fi Protected Access II (WPA2). El borrador del estándar fue ratificado el 24 de junio de 2004. Este estándar especifica los mecanismos de seguridad para las redes inalámbricas , reemplazando la cláusula breve de autenticación y privacidad del estándar original por una cláusula de seguridad detallada . En el proceso, la enmienda desaprobó la privacidad equivalente por cable (WEP) rota , mientras que más tarde se incorporó al estándar IEEE 802.11-2007 publicado .
Reemplazo de WEP
802.11i reemplaza la especificación de seguridad anterior, Privacidad equivalente por cable (WEP), que demostró tener vulnerabilidades de seguridad. El acceso protegido Wi-Fi (WPA) había sido introducido previamente por Wi-Fi Alliance como una solución intermedia para las inseguridades WEP. WPA implementó un subconjunto de un borrador de 802.11i. Wi-Fi Alliance se refiere a su implementación interoperable aprobada del 802.11i completo como WPA2 , también llamado RSN (Robust Security). 802.11i utiliza el cifrado de bloque del Estándar de cifrado avanzado (AES) , mientras que WEP y WPA utilizan el cifrado de flujo RC4 . [1]
Operación de protocolo
IEEE 802.11i mejora IEEE 802.11-1999 al proporcionar una red de seguridad robusta (RSN) con dos nuevos protocolos: el protocolo de enlace de cuatro vías y el protocolo de enlace de clave de grupo. Estos utilizan los servicios de autenticación y el control de acceso al puerto descritos en IEEE 802.1X para establecer y cambiar las claves criptográficas apropiadas. [2] [3] La RSN es una red de seguridad que solo permite la creación de asociaciones de redes de seguridad robustas (RSNA), que son un tipo de asociación utilizado por un par de estaciones (STA) si el procedimiento para establecer autenticación o asociación entre ellos incluyen el apretón de manos de 4 vías. [4]
El estándar también proporciona dos protocolos de confidencialidad e integridad de datos RSNA, TKIP y CCMP , siendo la implementación de CCMP obligatoria ya que los mecanismos de confidencialidad e integridad de TKIP no son tan robustos como los de CCMP. [5] El objetivo principal de implementar TKIP era que el algoritmo se pudiera implementar dentro de las capacidades de la mayoría de los dispositivos antiguos que solo admitían WEP.
El proceso de autenticación inicial se lleva a cabo utilizando una clave precompartida (PSK) o siguiendo un intercambio EAP a través de 802.1X (conocido como EAPOL , que requiere la presencia de un servidor de autenticación). Este proceso asegura que la estación del cliente (STA) esté autenticada con el punto de acceso (AP). Después de la autenticación PSK o 802.1X, se genera una clave secreta compartida, denominada clave maestra por pares (PMK). En la autenticación de PSK, la PMK es en realidad la PSK, [6] que normalmente se deriva de la contraseña de WiFi sometiéndola a una función de derivación de claves que utiliza SHA-1 como función de hash criptográfica . [7] Si se llevó a cabo un intercambio EAP 802.1X, la PMK se deriva de los parámetros EAP proporcionados por el servidor de autenticación.
Apretón de manos de cuatro vías
El protocolo de enlace de cuatro vías [8] está diseñado para que el punto de acceso (o autenticador) y el cliente inalámbrico (o suplicante) puedan probarse independientemente entre sí que conocen el PSK / PMK, sin revelar la clave. En lugar de revelar la clave, el punto de acceso (AP) y el cliente cifran los mensajes entre sí, que solo pueden descifrarse utilizando el PMK que ya comparten, y si el descifrado de los mensajes fue exitoso, esto demuestra el conocimiento del PMK. El protocolo de enlace de cuatro vías es fundamental para la protección del PMK de puntos de acceso maliciosos, por ejemplo, el SSID de un atacante que se hace pasar por un punto de acceso real, para que el cliente nunca tenga que decirle al punto de acceso su PMK.
El PMK está diseñado para durar toda la sesión y debe exponerse lo menos posible; por lo tanto, es necesario derivar claves para cifrar el tráfico. Se utiliza un protocolo de enlace de cuatro vías para establecer otra clave denominada clave transitoria por pares (PTK). El PTK se genera mediante la concatenación de los siguientes atributos: PMK, AP nonce (ANonce), STA nonce (SNonce), dirección MAC de AP y dirección MAC de STA. Luego, el producto se somete a una función pseudoaleatoria . El protocolo de enlace también produce la GTK (clave temporal de grupo), que se utiliza para descifrar el tráfico de difusión y multidifusión .
Los mensajes reales intercambiados durante el protocolo de enlace se muestran en la figura y se explican a continuación (todos los mensajes se envían como tramas clave EAPOL ):
- El AP envía un valor nonce (ANonce) a la STA junto con un Key Replay Counter, que es un número que se utiliza para hacer coincidir cada par de mensajes enviados y descartar los mensajes repetidos. El STA ahora tiene todos los atributos para construir el PTK.
- El STA envía su propio valor nonce (SNonce) al AP junto con un Código de integridad de mensaje (MIC), incluida la autenticación, que en realidad es un Código de autenticación e integridad de mensaje (MAIC), y el Contador de reproducción de claves que será el mismo como Mensaje 1, para permitir que AP coincida con el Mensaje 1 correcto.
- El AP verifica el Mensaje 2, verificando MIC, RSN, ANonce y Key Replay Counter Field, y si es válido construye y envía el GTK con otro MIC.
- La STA verifica el Mensaje 3, marcando el MIC y el Campo de Contador de Reproducción de Clave, y si es válido envía una confirmación al AP.
La clave transitoria por pares (64 bytes) se divide en cinco claves independientes:
- 16 bytes de clave de confirmación de clave EAPOL (KCK): se utiliza para calcular MIC en el mensaje de clave WPA EAPOL
- 16 bytes de clave de cifrado de clave EAPOL (KEK): el AP utiliza esta clave para cifrar los datos adicionales enviados (en el campo 'Datos clave') al cliente (por ejemplo, RSN IE o GTK)
- 16 bytes de clave temporal (TK): se utilizan para cifrar / descifrar paquetes de datos de unidifusión
- 8 bytes de Michael MIC Authenticator Tx Key: se utiliza para calcular MIC en paquetes de datos de unidifusión transmitidos por el AP
- 8 bytes de Michael MIC Authenticator Rx Key: se utiliza para calcular MIC en paquetes de datos de unidifusión transmitidos por la estación
La clave temporal de grupo (32 bytes) se divide en tres claves independientes:
- 16 bytes de clave de cifrado temporal de grupo: se utiliza para cifrar / descifrar paquetes de datos de multidifusión y difusión
- 8 bytes de Michael MIC Authenticator Tx Key: se utiliza para calcular MIC en paquetes de multidifusión y difusión transmitidos por AP
- 8 bytes de Michael MIC Authenticator Rx Key: actualmente no se utilizan ya que las estaciones no envían tráfico de multidifusión
Las claves Michael MIC Authenticator Tx / Rx tanto en el PTK como en el GTK solo se usan si la red está usando TKIP para cifrar los datos.
Se ha demostrado que este apretón de manos de cuatro vías es vulnerable a KRACK .
Apretón de manos de teclas de grupo
Es posible que la clave temporal de grupo (GTK) utilizada en la red deba actualizarse debido a la expiración de un temporizador preestablecido. Cuando un dispositivo sale de la red, la GTK también debe actualizarse. Esto es para evitar que el dispositivo reciba más mensajes de multidifusión o difusión del AP.
Para manejar la actualización, 802.11i define un protocolo de enlace de claves de grupo que consiste en un protocolo de enlace bidireccional:
- El AP envía el nuevo GTK a cada STA en la red. La GTK está encriptada usando la KEK asignada a esa STA y protege los datos contra alteraciones mediante el uso de un MIC .
- La STA reconoce el nuevo GTK y responde al AP.
Descripción general de CCMP
CCMP se basa en el modo Contador con CBC-MAC (CCM) del algoritmo de cifrado AES. CCM combina CTR para confidencialidad y CBC-MAC para autenticación e integridad. CCM protege la integridad tanto del campo de datos MPDU como de partes seleccionadas del encabezado IEEE 802.11 MPDU.
Jerarquía de claves
RSNA define dos jerarquías clave:
- Jerarquía de claves por pares para proteger el tráfico de unidifusión
- GTK, una jerarquía que consta de una única clave para proteger el tráfico de difusión y multidifusión
La descripción de las jerarquías de claves utiliza las dos funciones siguientes:
- L (Str, F, L) - Desde Str comenzando desde la izquierda, extraiga los bits F a F + L – 1.
- PRF-n: función pseudoaleatoria que produce n bits de salida, existen las versiones 128, 192, 256, 384 y 512, cada una de las cuales genera esta cantidad de bits.
La jerarquía de claves por pares utiliza PRF-384 o PRF-512 para derivar claves específicas de sesión de un PMK, generando un PTK, que se particiona en un KCK y un KEK más todas las claves temporales utilizadas por el MAC para proteger la comunicación unidifusión.
La GTK será un número aleatorio que también se genera usando PRF-n, generalmente PRF-128 o PRF-256, en este modelo, la jerarquía de claves de grupo toma una GMK (Clave maestra de grupo) y genera una GTK.
Formatos de trama MAC
Campo de control de fotogramas
Subcampo | Versión de protocolo | Tipo | Subtipo | A DS | De DS | Más fragmentos | Rever | Gestión de energía | Más datos | Marco protegido | Pedidos |
Bits | 2 bits | 2 bits | 4 bits | 1 bit | 1 bit | 1 bit | 1 bit | 1 bit | 1 bit | 1 bit | 1 bit |
Campo de marco protegido
"El campo de la trama protegida tiene 1 bit de longitud. El campo de la trama protegida se establece en 1 si el campo del cuerpo de la trama contiene información que ha sido procesada por un algoritmo de encapsulación criptográfica. El campo de la trama protegida se establece en 1 solo dentro de las tramas de datos de tipo Datos y dentro de las tramas de gestión de tipo Gestión, subtipo Autenticación. El campo de trama protegida se establece en 0 en todas las demás tramas. Cuando el campo de trama protegida de bit se establece en 1 en una trama de datos, el campo del cuerpo de la trama se protege utilizando la encapsulación criptográfica algoritmo y expandido como se define en la Cláusula 8. Sólo se permite WEP como algoritmo de encapsulación criptográfica para tramas de gestión del subtipo Autenticación ". [8]
Ver también
- Infraestructura de privacidad y autenticación WLAN (WAPI), método de seguridad inalámbrica centralizada de China
- IEEE 802.1AE MACsec
Referencias
- ^ "IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad de control de acceso medio (MAC)" (PDF) . Estándares IEEE . 2004-07-23 . Consultado el 21 de diciembre de 2007 .
- ^ IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad de control de acceso al medio (MAC) (PDF) , Estándares IEEE , 2004-07-23, p. 14 , consultado el 9 de abril de 2010
- ^ IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad de control de acceso al medio (MAC) (PDF) , Estándares IEEE , 2004-07-23, p. 14 , consultado el 9 de abril de 2010 ,
RSNA se basa en IEEE 802.1X para proporcionar servicios de autenticación y utiliza el esquema de administración de claves IEEE 802.11
- ^ IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad de control de acceso al medio (MAC) (PDF) , Estándares IEEE , 2004-07-23, p. 5 , consultado el 9 de abril de 2010
- ^ IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad de control de acceso al medio (MAC) (PDF) , Estándares IEEE , 2004-07-23, p. 43 , consultado el 9 de abril de 2010
- ^ "Enmienda 6 del estándar IEEE 802.11i-2004: Mejoras en la seguridad del control de acceso al medio (MAC)" (PDF) . pag. 33.
- ^ "Enmienda 6 del estándar IEEE 802.11i-2004: Mejoras en la seguridad del control de acceso al medio (MAC)" (PDF) . pag. 165.
- ^ a b "Enmienda 6 del estándar IEEE 802.11i-2004: Mejoras en la seguridad del control de acceso al medio (MAC)" (PDF) .
- ^ "Sección de formatos de tramas MAC" . Archivado desde el original el 27 de abril de 2018 . Consultado el 27 de abril de 2018 .
- General
- "IEEE 802.11-2007: Control de acceso al medio de LAN inalámbrica (MAC) y especificaciones de la capa física (PHY)" . IEEE . 2007-03-08.
- "La evolución de la seguridad inalámbrica 802.11" (PDF) . ITFFROC. 2010-04-18.
enlaces externos
- Vulnerabilidad en el protocolo WPA2, agujero196 [1] , [2]