臨時密鑰完整性協議
臨時密鑰完整性協議(英文:Temporal Key Integrity Protocol,縮寫:TKIP)是一種用於IEEE 802.11無線網絡標準中的替代性安全協議,由電氣電子工程師學會(IEEE)802.11i任務組和Wi-Fi聯盟設計,用以在不需要升級硬件的基礎上替代有線等效加密(WEP)協議。由於WEP協議的薄弱造成了數據鏈路層安全被完全跳過,且由於已經應用的大量按照WEP要求製造的網絡硬件急需更新更可靠的安全協議,在此背景下臨時密鑰完整性協議應運而生。需要注意的是,臨時密鑰完整性協議自2012年的802.11標準中,已不再視為安全,且即將廢棄。[1]
| 概述 | |
|---|---|
| 設計者 | Wi-Fi聯盟 |
| 首次發布 | 2002年10月 |
| 衍生自 | 有線等效加密 |
| 密碼細節 | |
| 密鑰長度 | 128位元 |
| 最佳公開破解 | |
| 大東-森井攻擊 | |
歷史
2002年10月31日,Wi-Fi聯盟提出臨時密鑰完整性協議,歸類於WPA標準的一部分。[2] 。IEEE隨後在2004年7月23日的IEEE 802.11i-2004報告中背書臨時密鑰完整性協議並同時提出基於計數器模式密碼塊鏈消息完整碼協議的802.1X和AES協議這些更堅固的安全協議。[3]之後Wi-Fi聯盟接受了IEEE的相關報告並冠以「WPA2」這個商業名稱發布。[4]
臨時密鑰完整性協議隨後由於安全性原因於2009年1月被IEEE廢棄[1]。ZDNet於2010年7月18日的報告中表明Wi-Fi聯盟應當禁止所有Wi-Fi設備使用WEP和臨時密鑰完整性協議。[5]
技術細節
臨時密鑰完整性協議和相關的WPA標準應用了3個新的安全功能以解決WEP協議的安全漏洞。
- TKIP使用密鑰混合功能。該功能混合了根密鑰(Root Secret key)和初始化向量,而後再通過RC4初始化。在WEP中初始化向量基本上被直接連在根密鑰上而後直接通過RC4,從而造成了RC4為基礎的WEP可以被輕而易舉的使用相關密鑰攻擊而破解。[6]
- WPA使用序列計數器(Sequence Counter)以防禦回放攻擊(Replay Attacks)。當數據包的順序不符合規定時將會被連接點自動拒收。[7]
- 臨時密鑰完整性協議使用64位信息完整性代碼(Message Integrity Check, MIC)以防止假包或者數據包篡改。
為了讓該協議可以在老式WEP硬件上使用,臨時密鑰完整性協議仍使用RC4為其核心加密算法,臨時密鑰完整性協議同時提供了密鑰再生成算法加固協議。
密鑰混合增加了破解密鑰的難度,並且給攻擊者持久有限且加密數據用以破解。WPA2更應用了信息完整性代碼以防止篡改發生。在老式WEP下在知道數據包內容的情況下可以輕易篡改即使是已加密的數據包。
安全性
臨時密鑰完整性協議與WEP的核心算法時一樣的,所以也就造成了其註定面對相似破解WEP攻擊時的薄弱。由此TKIP的加強功能就非常重要。信息完整性代碼,單包哈希計算,廣播密鑰輪換和序列計數器避免了很多以前可以很對WEP的攻擊。混合密鑰功能避免了針對WEP的密鑰恢復攻擊。
但即使包括了這些安全功能,TKIP仍然可以被一些改進的攻擊破解。
貝克-特夫斯攻擊
臨時密鑰完整性協議與WEP協議由於使用相同的RC4加密算法,對於密鑰流恢復攻擊有天生弱點。如果該攻擊成功,可以讓攻擊者成功傳送7至15個數據包。當前公開的針對臨時密鑰完整性協議的攻擊方式中無法泄露對偶主密鑰或者對偶臨時密鑰。2008年11月8日,馬丁·貝克( Martin Beck)和艾瑞克·特夫斯(Erik Tews)發布了一種針對TKIP WPA的貝克-特夫斯攻擊法(Beck-Tews Attacks)。[8]
Beck-Tews攻擊可以看做是針對WEP的斷續攻擊(Chop-Chop Attack)的延展。因為WEP所使用的查和(Checksum)算法CRC32在密碼學上並不安全,攻擊者可以猜測到數據包中的單個字節,而後連接點會對猜測正確與否作出確認或拒絕傳輸。如果猜測正確,攻擊者可以發現猜測正確並繼續猜測下一個字節。不過相較於針對WEP的斷續攻擊,攻擊者如果猜錯必須額外等待60秒才能繼續猜測。這是因為儘管臨時密鑰完整性協議仍然使用CRC32查和算法,但由於使用了序列計數器(稱為Michael)而可以拖延攻擊。如果一個接入點在60秒內收到了2個Michael序列計數器錯誤,接入點隨後將啟動反制措施,重組臨時密鑰完整性協議的對話密鑰(Session Key),從而改變隨後的密鑰流。由此,Beck-Tews攻擊則等待一個適當的時間從而避免該反制措施。由於地址解析協議包(ARP包)可以非常簡單通過包大小鑑別,並且包中內容通常很容易猜到(大多ARP包內容相似),從而留給攻擊者需要猜測的包大小則變得非常有限(大約為14字節)。通常來說在尋常的網絡配置下只需要12分鐘即可破解12加密字節。
當攻擊者可以接觸到全部的加密包內容後,對於餘下在每個包內的明碼內容進行去除,攻擊者即可輕易獲得包內的密鑰流,同時還可獲得對話的MIC碼。應用這些信息攻擊者可以重建新的數據包並在網絡上傳送。Beck-Tews攻擊使用QoS通道傳送新組建的數據包從而繞開WPA應用的回放攻擊防護。由此攻擊者可以傳送數據包以達到其他攻擊方式,比如ARP欺騙攻擊,拒絕式攻擊或其他類似攻擊。
2009年10月,挪威科技大學的費恩·霍爾沃森(Finn M Helvorsen)及其同事更進一步,使得攻擊者可以在18分25秒內注入一個比普通ARP包異常大的包(596字節)。[9]
大東-森井攻擊
日本的研究學者大東俊博和森井昌克以貝克-特夫斯攻擊法為基礎,發布了一種更簡單且更快速的類似攻擊方式——「大東-森井攻擊」(Ohigashi-Morii Attack)。[10]該種攻擊在使用貝克-特夫斯攻擊的同時使用中間人攻擊,同時不需要接入點必須使用QoS。
鑑於這種攻擊方法是基於貝克-特夫斯攻擊,所以該種攻擊僅僅對臨時密鑰完整性協議有效,對於使用AES的WPA協議則無效。
相關條目
引用
- ^ 1.0 1.1 802.11mb Issues List v12 (excel): CID 98. 20 Jan 2009 [2014-04-23]. (原始內容存檔於2014-11-16).
The use of TKIP is deprecated. The TKIP algorithm is unsuitable for the purposes of this standard
- ^ Wi-Fi Alliance Announces Standards-Based Security Solution to Replace WEP. Wi-Fi Alliance. 2002-10-31 [2007-12-21]. (原始內容存檔於2008-01-03).
- ^ IEEE 802.11i-2004: Amendment 6: Medium Access Control (MAC) Security Enhancements (pdf). IEEE Standards. 2004-07-23 [2007-12-21]. (原始內容存檔 (PDF)於2007-11-29).
- ^ Wi-Fi Alliance Introduces Next Generation of Wi-Fi Security. Wi-Fi Alliance. 2004-09-01 [2007-12-21]. (原始內容存檔於2008-01-03).
- ^ Wi-Fi Alliance to dump WEP and TKIP ... not soon enough. [2014-04-23]. (原始內容存檔於2011-09-27).
- ^ Edney, Jon; Arbaugh, William A. Real 802.11 Security: Wi-Fi Protected Access and 802.11i. Addison Wesley Professional. 2003-07-15. ISBN 0-321-13620-9.
- ^ IEEE-SA Standards Board. Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications. Communications Magazine, IEEE, 2007.
- ^ Martin Beck & Erik Tews, "Practical attacks against WEP and WPA", available at [1] (頁面存檔備份,存於網際網路檔案館).
- ^ Finn M. Halvorsen, Olav Haugen, Martin Eian, Stig F. Mjølsnes. An Improved Attack on TKIP. Springer, Berlin, Heidelberg: 120–132. 2009-10-14 [2018-04-02]. ISBN 9783642047657. doi:10.1007/978-3-642-04766-4_9. (原始內容存檔於2020-10-12) (英語).
- ^ A Practical Message Falsification Attack on WPA (PDF). [2014-04-23]. (原始內容 (PDF)存檔於2011-08-19).