Angriffe auf WPA

Schon länger ist bekannt, dass WPA (Wi-Fi Protected Access)-- verbesserter Nachfolger der seit drei Jahren gebrochenen WLAN-Standardverschlüsselung WEP - seine eigenen Sicherheitsproblemchen hat. Zu simpel gewählte Pre-Shared Keys machen dem Angreifer den Einbruch leichter.

WPA läuft entweder im Enterprise-Modus, bei dem ein Authentifizierungsserver die Identität eines Anwenders überprüft, oder im PSK-Modus (Pre-Shared Key). Letzterer vereinfacht den Einsatz daheim oder in kleinen Firmen, wo sich keine IT-Abteilung um den Serverbetrieb kümmern kann. PSK arbeitet mit einem vorab ausgetauschten Geheimnis (Pre-Shared Key in Form einer Passphrase), das die WLAN-Geräte (Basisstation und Client) zum Ermitteln des individuellen Sitzungsschlüssels verwenden.

Nun hat das TinyPEAP-Team ein Tool zum Offline-Angriff auf WPA-PSK ins Netz gestellt. Der WPA Cracker setzt voraus, dass ein Angreifer mittels Sniffing-Tools wie beispielsweise Ethereal bestimmte Pakete während der WPA-Authentifizierungsphase aufzeichnen kann. Aus diesen Paketen versucht das Tool entweder per Brute Force (Durchprobieren aller möglichen Kombinationen) oder mit einer Wörterbuchattacke den während der WPA-Authentifizierung ausgetauschten Pairwise Master Key (PMK) zu rekonstruieren.

Auch andere Verfahren, die während der Authentifizierungsphase Pre-Shared Keys übertragen, sind grundsätzlich angreifbar, wie der Artikel "Einbruch ins VPN" auf heise Security belegt. Hier lässt sich aus den mitgeschnittenen Daten der Schlüssel ebenfalls rekonstruieren. Auch alle Challenge-Response-Verfahren, wie etwa die in Windowsnetzwerken übliche Übertragung eines NTLM-Hashes, die keinen gesicherten Kommunikationskanal nutzen, sind prinzipiell anfällig für Wörterbuch- und Brute-Force-Angriffe.

Hat ein WPA-Cracker den PMK erfolgreich ermittelt, was er beispielsweise anhand der in jedem WPA-Paket enthaltenen Michael-Prüfsumme (MIC) testen kann, dann ist auch die Passphrase bekannt. Das erlaubt dem Angreifer das Eindringen ins beobachtete WLAN. Mit dem rekonstruierten PMK kann er die Daten der aufgezeichneten Sitzung entschlüsseln. Glücklicherweise ist die Ermittlung des PMK aus der Passphrase sehr rechenintensiv, auf einem typischen WLAN-Access-Point braucht sie einige hundert Millisekunden. So kann denn auch der WPA Cracker auf einem Pentium-M-System mit 1400 MHz lediglich 16 bis 18 Kandidaten pro Sekunde testen.

Die Gefahr einer erfolgreichen Wörterbuchattacke besteht prinzipiell bei allen Authentifizierungsverfahren, auch dem in WPA2, wenn diese dem Anwender erlauben, zu schlichte Passwörter oder Passphrasen zu verwenden. Eine brauchbare Passphrase ist deutlich länger als die bei WPA/WPA2 mindestens geforderten acht Zeichen, außerdem beschränkt sie sich nicht allein auf Buchstaben, auch Ziffern und Sonderzeichen sollten vorkommen. Während Cracker Orts- oder Personennamen im Handumdrehen anhand passender Dictionaries überprüfen können, hält eine Passphrase wie beispielsweise 5Hn#9.!bz2b( solchen Versuchen erheblich länger stand. Dieses Beispiel ist freilich mit der Veröffentlichung auch "verbrannt".

WPA im Enterprise-Modus ist von diesem Angriff nicht betroffen, weil dabei auch während der Authentifizierungsphase ein individueller, temporärer Schlüssel zum Einsatz kommt, den beispielsweise ein Radius-Server bereitstellt. Mit brauchbaren Passphrasen kann man auch WPA-PSK als sicher ansehen, denn bislang ist kein Erfolg versprechender, direkter Angriff auf die per Funk fließenden chiffrierten Daten bekannt. Der von WEP bekannte Angriff auf schwache Schlüssel mit Airsnort oder ähnlichen Tools läuft bei WPA wegen des doppelt so langen Intialization Vectors ins Leere: Einer Schätzung zufolge müsste man selbst in einem mit 500 MBit/s funkenden WLAN von übermorgen erst nach rund 200 Jahren den Schlüssel erneuern.

Einzelheiten zu seinem Angriffstool schildert der Autor Takehiro Takahashi in einem fünfseitigen White Paper. Detaillierten Einblick in WPA und 802.11i inklusive der kritischen Authentifizierungsphase liefert der c't-Beitrag Jenseits von WEP. Alternative Authentifizierungsverfahren und den Einsatz eines eigenen Radius-Servers beschreiben die Artikel Schlüsseldienst und Torwächter. (ea)