Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

WLAN-Verschlüsselung

Seite 2: WEP und WEPplus

Inhaltsverzeichnis

WEP liefert einen mäßigen Abhörschutz, weil der Initialization Vector (IV) mit 24 Bit recht kurz festgelegt ist. Deshalb wiederholen sich in einem voll ausgelasteten WLAN die effektiven Schlüssel des Generators nach ein paar Stunden.

Die primäre Zielsetzung von WEP (Wired Equivalent Privacy) besteht darin, die Vertraulichkeit von Daten angesichts der Abhörbarkeit des Funkverkehrs zu garantieren. Das IEEE-Komitee hatte anno 1999 von vornherein nicht im Sinn, ein perfektes Verschlüsselungsverfahren zu entwerfen, wie man es etwa für Electronic Banking verlangt. Dafür bringen die Applikationen – im einfachsten Fall ein Web Browser – selbst hochwertige Verschlüsselungsverfahren wie etwa SSL mit. Es wäre unsinnig, den Aufwand auf der Funkebene zu wiederholen. Gewünscht war lediglich, dass Anwendungen, die auf Kabel-LANs ganz ohne Chiffrierung arbeiten, wieder ein adäquates Maß an Mitleseresistenz bekommen.

WPA überspringt auf älterer WLAN-Hardware die Installation des Pairwise Key und verwendet nur Gruppenschlüssel. EAP hindert dabei Lauscher am Mitlesen.

Nachdem WEP sich dank des WLAN-Booms in den Folgejahren schnell ausbreitete, wurden Schwächen offenbar: Das Hauptproblem ist sein 24 Bit kurzer Initialization Vector (IV). Weil dieser sich bei einem voll ausgelasteten Funknetz schon nach wenigen Stunden wiederholt, bekommen Schnüffler eine Vorlage zur Kryptanalyse. Nebenbei treten bei der Erzeugung der effektiven Schlüssel (Generator im Bild) bisweilen "schwache" Schlüssel auf, die dem Angreifer bei der Kryptanalyse helfen. Eine detaillierte Beschreibung von WEP würde diesen Artikel sprengen, Interessierte können sie im Beitrag "Luft- Löcher" aus c 't 15/2001 sowie einem deutschsprachigen Techpaper von Lancom Systems nachlesen. Das Problem von WEP ist übrigens nicht etwa der verwendete RC4-Algorithmus, sondern seine Implementierung.

Ein erster Ansatz, die WEP-Schwächen zu mildern, erschien kurz darauf mit WEPplus. Es überspringt beim Chiffrieren schlicht die bekannten schwachen Schlüssel und nötigt damit einen Angreifer, auf IV-Wiederholungen zu warten, also den ganzen Datenverkehr mitzuschneiden. Doch auch mit WEPplus sollte ein WLAN-Nutzer den Schlüssel regelmäßig erneuern, wenn er dauerhaft sicher sein will, dass niemand die Daten mitliest. Deshalb haben sich vor allem beim Firmeneinsatz Verfahren zum dynamischen Schlüsselaustausch etabliert.

Da die WLAN-Chiphersteller kostenträchtige Neuentwürfe ihrer Halbleiter vermeiden möchten, die auch zur Inkompatibilität mit den bisher verkauften Produkten führen würden, bleibt als Ausweg, sich von fest konfigurierten WEPSchlüsseln zu verabschieden und diese bei jedem Verbindungsaufbau dynamisch auszuhandeln. Dafür hat sich dabei das Extensible Authentication Protocol (EAP) durchgesetzt. Sein primärer Zweck ist die Authentifizierung, also der geregelte Zugang zu einem Netzwerk. Die Möglichkeit, einen WEP-Schlüssel für die WLAN-Verbindung zu installieren, fällt dabei als Nebeneffekt ab [Siehe dazu 1, 2].

EAP diente ursprünglich nur zur Identitätsprüfung von LAN-Clients. Bei Funknetzen kann es zusätzlich zur sicheren Übergabe individueller Sitzungsschlüssel dienen.

Ferner bietet EAP die Möglichkeit, dass sich Client und Server gegenseitig ihrer Identität vergewissern können. Schlägt das fehl, bricht der Client den Zugangsversuch ab. Er ist damit ebenfalls gegen von Hackern aufgestellte "wilde" APs gefeit. EAP erlaubt dabei verschiedene Authentifizierungsverfahren: Gängig ist beispielsweise EAP-TLS, bei dem Server und Client Zertifikate austauschen [2]. Bei der Variante EAP-TTLS liefert nur der Server ein Zertifikat, der Client identifiziert sich über einen Benutzernamen und ein Passwort.

Während der Authentifizierungsphase mit EAP-TLS entsteht zwischen Server und Client ein sicherer Tunnel. Anschließend sendet der Radius-Server dem AP das Master Secret, einen während der Verhandlung berechneten Sitzungsschlüssel. Auch wenn man das Kabel-LAN meist als sicher betrachten kann, erfolgt das verschlüsselt. Mit dem Sitzungsschlüssel übernimmt der AP den Tunnel und schickt dem Client darüber einen WEP-Schlüssel. Je nach Fähigkeiten der AP-Hardware kann das ein Sitzungsschlüssel sein, also ein individueller WEP-Schlüssel, der nur für Datenpakete zwischen dem AP und genau diesem Client benutzt wird, oder ein Gruppenschlüssel, den der AP für die Kommunikation mit mehreren Clients benutzt.

Klassische WLAN-Chipsätze kennen vier Gruppenschlüssel, von denen der Anwender in der Regel nur einen benutzt. Bei einem individuellen Sitzungsschlüssel enthält die WLAN-Hardware im AP einen Speicher für die MAC-Adressen der Clients und ihre Schlüssel. Mit dieser Zuordnung kann der Access Point die Pakete seiner Clients (de)chiffrieren.

Der Clou bei EAP ist, dass der Access Point über den fortbestehenden EAP-Tunnel die WEP-Schlüssel seiner Clients regelmäßig wechseln kann (Rekeying), lange bevor sie durch IV-Kollisionen Gefahr laufen, knackbar zu werden. Eine gängige Nutzungszeit für dynamische WEP-Schlüssel sind fünf Minuten. Nachteilig ist die Komplexität: Die Pflege des zentralen Radius-Servers und der dort gespeicherten Zertifikate ist im allgemeinen nur in größeren Firmen mit IT-Abteilung sinnvoll.

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: WLAN

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten