Temporal Protocolo de integridad de clave ( TKIP / t i k ɪ p / ) es un protocolo de seguridad utilizado en el IEEE 802.11 estándar de red inalámbrica. TKIP fue diseñado por el grupo de tareas IEEE 802.11i y Wi-Fi Alliance como una solución provisional para reemplazar WEP sin requerir el reemplazo de hardware heredado. Esto era necesario porque la ruptura de WEP había dejado a las redes Wi-Fi sin una capa de enlace viable .seguridad, y se requería una solución para el hardware ya implementado. Sin embargo, TKIP en sí ya no se considera seguro y quedó obsoleto en la revisión de 2012 del estándar 802.11. [1]
General | |
---|---|
Diseñadores | Alianza Wi-Fi |
Publicado por primera vez | 31 de octubre de 2002 |
Derivado de | Privacidad equivalente por cable |
Detalle de cifrado | |
Tamaños de clave | 128 bits |
Mejor criptoanálisis público | |
Obsoleto |
Fondo
El 31 de octubre de 2002, Wi-Fi Alliance aprobó TKIP con el nombre de Acceso protegido Wi-Fi (WPA) . [2] El IEEE aprobó la versión final de TKIP, junto con las soluciones más robustas tales como 802.1X y la AES basada CCMP , cuando publicaron IEEE 802.11i-2004 el 23 de julio de 2004. [3] Alianza El Wi-Fi poco después adoptó la especificación completa con el nombre comercial WPA2 . [4]
El IEEE resolvió que TKIP quedaría obsoleto en enero de 2009. [1]
Detalles técnicos
TKIP y el estándar WPA relacionado implementan tres nuevas características de seguridad para abordar los problemas de seguridad encontrados en las redes protegidas por WEP. Primero, TKIP implementa una función de mezcla clave [ ¿cuál? ] que combina la clave raíz secreta con el vector de inicialización antes de pasarla a la inicialización del cifrado RC4 . En comparación, WEP simplemente concatenó el vector de inicialización a la clave raíz y pasó este valor a la rutina RC4. Esto permitió la gran mayoría de los ataques de claves relacionados con WEP basados en RC4 . [5] En segundo lugar, WPA implementa un contador de secuencia para proteger contra ataques de repetición. Los paquetes recibidos fuera de servicio serán rechazados por el punto de acceso. Finalmente, TKIP implementa una verificación de integridad de mensajes (MIC) de 64 bits y reinicializa el número de secuencia cada vez que se usa una nueva clave (clave temporal). [6]
Para poder ejecutarse en hardware WEP heredado con actualizaciones menores, TKIP usa RC4 como cifrado. TKIP también proporciona un mecanismo de cambio de clave . TKIP garantiza que cada paquete de datos se envíe con una clave de cifrado única ( clave provisional / clave temporal + contador de secuencia de paquetes). [ cita requerida ]
La combinación de claves aumenta la complejidad de decodificar las claves al proporcionar al atacante sustancialmente menos datos que se han cifrado con cualquier clave. WPA2 también implementa un nuevo código de integridad de mensajes, MIC. La verificación de la integridad del mensaje evita que se acepten paquetes falsificados. Con WEP era posible alterar un paquete cuyo contenido era conocido incluso si no había sido descifrado.
Seguridad
TKIP utiliza el mismo mecanismo subyacente que WEP y, en consecuencia, es vulnerable a varios ataques similares. La verificación de integridad del mensaje, el hash de clave por paquete , la rotación de clave de transmisión y un contador de secuencia desalientan muchos ataques. La función de mezcla de claves también elimina los ataques de recuperación de claves WEP.
A pesar de estos cambios, la debilidad de algunas de estas adiciones ha permitido nuevos ataques, aunque más estrechos.
Suplantación y descifrado de paquetes
TKIP es vulnerable a un ataque de recuperación de clave MIC que, si se ejecuta con éxito, permite a un atacante transmitir y descifrar paquetes arbitrarios en la red que está siendo atacada. [7] Los ataques específicos de TKIP disponibles al público en la actualidad no revelan la clave maestra por pares ni las claves temporales por pares. El 8 de noviembre de 2008, Martin Beck y Erik Tews publicaron un documento que detalla cómo recuperar la clave MIC y transmitir algunos paquetes. [8] Este ataque fue mejorado por Mathy Vanhoef y Frank Piessens en 2013, donde aumentan la cantidad de paquetes que un atacante puede transmitir y muestran cómo un atacante también puede descifrar paquetes arbitrarios. [7]
La base del ataque es una extensión del ataque chop-chop de WEP . Debido a que WEP utiliza un mecanismo de suma de comprobación criptográficamente inseguro ( CRC32 ), un atacante puede adivinar bytes individuales de un paquete, y el punto de acceso inalámbrico confirmará o negará si la suposición es correcta o no. Si la suposición es correcta, el atacante podrá detectar que la suposición es correcta y continuar adivinando otros bytes del paquete. Sin embargo, a diferencia del ataque chop-chop contra una red WEP, el atacante debe esperar al menos 60 segundos después de una suposición incorrecta (una elusión exitosa del mecanismo CRC32) antes de continuar con el ataque. Esto se debe a que, aunque TKIP sigue utilizando el mecanismo de suma de comprobación CRC32, implementa un código MIC adicional llamado Michael. Si se reciben dos códigos MIC de Michael incorrectos dentro de los 60 segundos, el punto de acceso implementará contramedidas, lo que significa que cambiará la clave de la sesión TKIP, cambiando así los flujos de claves futuros. En consecuencia, los ataques a TKIP esperarán una cantidad de tiempo adecuada para evitar estas contramedidas. Debido a que los paquetes ARP se identifican fácilmente por su tamaño, y un atacante conocería la gran mayoría del contenido de este paquete, el número de bytes que un atacante debe adivinar utilizando el método anterior es bastante pequeño (aproximadamente 14 bytes). Beck y Tews estiman que la recuperación de 12 bytes es posible en aproximadamente 12 minutos en una red típica, lo que permitiría a un atacante transmitir de 3 a 7 paquetes de 28 bytes como máximo. [8] Vanhoef y Piessens mejoraron esta técnica confiando en la fragmentación , permitiendo que un atacante transmita muchos paquetes arbitrarios, cada uno con un tamaño máximo de 112 bytes. [7] Los ataques Vanhoef-Piessens también se pueden usar para descifrar paquetes arbitrarios de la elección del ataque.
Un atacante ya tiene acceso a todo el paquete de texto cifrado. Al recuperar todo el texto sin formato del mismo paquete, el atacante tiene acceso al flujo de claves del paquete, así como al código MIC de la sesión. Con esta información, el atacante puede construir un nuevo paquete y transmitirlo en la red. Para eludir la protección de reproducción implementada por WPA, los ataques utilizan canales de QoS para transmitir estos paquetes recién construidos. Un atacante capaz de transmitir estos paquetes puede implementar cualquier número de ataques, incluidos ataques de envenenamiento ARP , denegación de servicio y otros ataques similares, sin necesidad de estar asociado con la red.
Ataque Royal Holloway
Un grupo de investigadores de seguridad del Information Security Group en Royal Holloway, Universidad de Londres, informó de un ataque teórico a TKIP que explota el mecanismo de cifrado RC4 subyacente . TKIP utiliza una estructura de clave similar a WEP con el valor bajo de 16 bits de un contador de secuencia (utilizado para evitar ataques de repetición) que se expande en el "IV" de 24 bits, y este contador de secuencia siempre se incrementa en cada nuevo paquete. Un atacante puede utilizar esta estructura clave para mejorar los ataques existentes en RC4. En particular, si los mismos datos se cifran varias veces, un atacante puede obtener esta información de solo 2 24 conexiones. [9] [10] [11] Si bien afirman que este ataque está al borde de la practicidad, solo se realizaron simulaciones y el ataque no se ha demostrado en la práctica.
NOMORE ataque
En 2015, los investigadores de seguridad de KU Leuven presentaron nuevos ataques contra RC4 tanto en TLS como en WPA-TKIP. Apodado el ataque Numerous Occurrence MOnitoring & Recovery Exploit (NOMORE), es el primer ataque de este tipo que se demostró en la práctica. El ataque contra WPA-TKIP se puede completar en una hora y permite que un atacante descifre e inyecte paquetes arbitrarios. [12]
Legado
ZDNet informó el 18 de junio de 2010 que WEP y TKIP pronto serían rechazados en dispositivos Wi-Fi por la alianza Wi-Fi. [13] Sin embargo, una encuesta en 2013 mostró que todavía estaba en uso generalizado. [14]
Ver también
- Controlador de interfaz de red inalámbrica
- CCMP
- Acceso protegido Wi-Fi
- IEEE 802.11i-2004
Referencias
- ^ a b "Lista de problemas de 802.11mb v12" (excel) . 20 de enero de 2009. pág. CID 98.
El uso de TKIP está en desuso. El algoritmo TKIP no es adecuado para los propósitos de esta norma.
- ^ "Wi-Fi Alliance anuncia una solución de seguridad basada en estándares para reemplazar WEP" . Alianza Wi-Fi . 2002-10-31. Archivado desde el original el 3 de enero de 2008 . Consultado el 21 de diciembre de 2007 .
- ^ "IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad de control de acceso al medio (MAC)" (PDF) . Estándares IEEE . 2004-07-23 . Consultado el 21 de diciembre de 2007 .
- ^ "Wi-Fi Alliance presenta la próxima generación de seguridad Wi-Fi" . Alianza Wi-Fi . 2004-09-01. Archivado desde el original el 3 de enero de 2008 . Consultado el 21 de diciembre de 2007 .
- ^ Edney, Jon; Arbaugh, William A. (15 de julio de 2003). Seguridad real 802.11: acceso protegido Wi-Fi y 802.11i . Addison Wesley Professional . ISBN 978-0-321-13620-6.
- ^ Junta de normas IEEE-SA. Especificaciones de la capa física (PHY) y el control de acceso al medio (MAC) de la LAN inalámbrica. Revista de comunicaciones , IEEE, 2007.
- ^ a b c Vanhoef, Mathy; Piessens, Frank (mayo de 2013). Verificación práctica de vulnerabilidades WPA-TKIP (PDF) . Actas del 8º Simposio ACM SIGSAC sobre Seguridad de la Información, Computación y Comunicaciones . ASIA CCS '13. págs. 427–436. doi : 10.1145 / 2484313.2484368 . ISBN 9781450317672. S2CID 7639081 .
- ^ a b Martin Beck y Erik Tews, "Ataques prácticos contra WEP y WPA", disponible en [1] .
- ^ AlFardan; et al. (08 de julio de 2013). "Sobre la seguridad de RC4 en TLS y WPA" (PDF) . Grupo de seguridad de la información, Royal Holloway, Universidad de Londres.
- ^ Paterson; et al. (1 de marzo de 2014). "Ataques de recuperación de texto sin formato contra WPA / TKIP" (PDF) . Grupo de seguridad de la información, Royal Holloway, Universidad de Londres.
- ^ Paterson; et al. (1 de marzo de 2014). "Gran caza de sesgos en la Amazonia: cálculo y explotación a gran escala de sesgos RC4 (artículo invitado)". Avances en Criptología - ASIACRYPT 2014 . Apuntes de conferencias en informática. 8874 . Grupo de seguridad de la información, Royal Holloway, Universidad de Londres. págs. 398–419. doi : 10.1007 / 978-3-662-45611-8_21 . ISBN 978-3-662-45607-1.
- ^ "RC4 NOMORE" . www.rc4nomore.com . Consultado el 21 de mayo de 2019 .
- ^ Wi-Fi Alliance para volcar WEP y TKIP ... no lo suficientemente pronto
- ^ Vanhoef, Mathy; Piessens, Frank (mayo de 2013). Verificación práctica de vulnerabilidades WPA-TKIP (PDF) . Actas del 8º Simposio ACM SIGSAC sobre Seguridad de la Información, Computación y Comunicaciones . ASIA CCS '13. págs. 427–436. doi : 10.1145 / 2484313.2484368 . ISBN 9781450317672. S2CID 7639081 .