Dragonblood: Neue Lücken in WLAN-Verschlüsselung WPA3 könnten WPA3.1 nötig machen
Während Gerätehersteller fleißig das löchrige WPA3 in Produkte integrieren, sieht es so aus, als ob neue Lücken eine nicht-kompatible Version 3.1 nötig machen.
- Fabian A. Scherschel
Im April hatten die beiden Sicherheitsforscher Mathy Vanhoef und Eyal Ronen ernste Sicherheitslücken in der Passwörtprüfung des neuen WLAN-Sicherheitsstandards WPA3 entdeckt und Dragonblood getauft. Vanhoef war mit der Entdeckung des KRACK-Angriffs auf WPA2 im Jahr 2017 überhaupt erst dafür verantwortlich gewesen, dass die Standardisierungsorganisation Wi-Fi Alliance den WPA3-Standard entwickelt hatte.
Nun sieht es so aus, als könnten durch Vanhoef und Ronen neu veröffentlichte Dragonblood-Lücken dafür sorgen, dass ein WPA3.1 aus der Taufe gehoben werden muss. Diese neue Version des Sicherheits-Standards wäre nicht abwärtskompatibel zu WPA3.
Nachbesserungen an WPA3 anfällig für zwei neue Angriffe
Während Vanhoef und Ronen, Sicherheitsforscher an Universitäten TU Leuven in Belgien und Tel Aviv in Israel, neue Schwachstellen im Protokoll der Wi-Fi Alliance entdeckten, sind Hardware-Hersteller unterdes munter dabei, den unsicheren WPA3-Standard in neuen Geräten auf den Markt zu bringen.
WLAN-fähige Geräte, welche die Wi-Fi-6-Zertifizierung erhalten wollen, müssen bereits WPA3 unterstützen. Innerhalb eines Jahres will die Wi-Fi Alliance für alle neuen WLAN-Geräte WPA3-Unterstützung vorschreiben. Geräte, die den Standard nicht unterstützen würden dann nicht mehr mit dem begehrten Wi-Fi-Logo werben dürfen. Und das, obwohl WPA3 zwar die Sicherheit von WLAN-Geräten deutlich erhöht, dennoch aber weiterhin angreifbar ist.
In einer neuen wissenschaftlichen Veröffentlichung und dazugehörigen Ausführungen auf der Dragonblood-Übersichtsseite zeigen Vanhoef und Ronen, dass die von der Wi-Fi Alliance nach der ersten Entdeckung der Sicherheitsforscher vorgeschlagenen Workarounds für einen sicheren Einsatz des WPA3-Protokolls ungenügend sind. Die neuen Sicherheitslücken CVE-2019-13377 und CVE-2019-13456 erlauben es Angreifern erneut, Informationen auszulesen, die bei den Krypto-Operationen des Protokolls entstehen. Das kann unter bestimmten Umständen dazu missbraucht werden, Anmelde-Passwörter eines betroffenen Netzwerks mit Gewalt auszulesen (ein sogenannter Brute-Force-Angriff).
Brainpool-Kurven angreifbar
Die erste der beiden Lücken (CVE-2019-13377) betrifft den in WPA3 neu eingeführten Schlüssel-Austauschmechanismus zwischen Endpunkten – das sogenannte Dragonfly-Protokoll. In ihrer Veröffentlichung aus dem April hatten die Sicherheitsforscher gezeigt, dass die Nutzung bestimmter elliptischer Kurven im WPA2/3-Mischbetrieb dazu führen kann, dass ein Angreifer die Verwendung der schwächeren Kurve erzwingen kann. Das wiederum kann missbraucht werden, um wichtige Geheimnisse aus dem Schlüsselaustausch zu knacken – eine Downgrade-Attacke. Die Wi-Fi Alliance hatte daraufhin die Verwendung alternativer elliptischer Kurven empfohlen. Wie die Sicherheitsforscher nun zeigen, sind aber auch diese sogenannten Brainpool-Kurven angreifbar.
Bei Verwendung der Brainpool-Kurven konnten die Forscher demnach Informationen auslesen, über die sie auf Geheimnisse aus dem Krypto-Prozess schließen und schließlich Passwörter rekonstruieren können. Dieser Seitenkanal-Angriff ist möglich, da bei der Verwendung der Brainpool-Kurven zur Erzeugung von Hash-Werten bestimmte Prozesse mehrmals wiederholt werden müssen. Angreifer können das Timing dieser mathematischen Operationen messen und so auf Geheimnisse schließen, die den Prozess als Ganzes kompromittieren. Die Forscher konnten dies nach eigenen Angaben auf einem aktuellen Linux-System erfolgreich durchführen und mit den resultierenden Informationen per Brute-Force-Angriff WPA3-Passwörter knacken.
Neue Lücken in EAP-PWD
Die zweite neu entdeckte Lücke (CVE-2019-13456) trifft das seltener verwendete EAP-PWD-Verfahren (EAP steht für Extensible Authentication Protocol) in der Umsetzung des Open-Source-Softwareprojektes FreeRADIUS. FreeRADIUS-Komponenten werden von vielen Herstellern in ihren Produkten verwendet, um von Firmen und großen Organisationen benötigte WLAN-Konnektivität bereitzustellen. Auch EAP-PWD mit FreeRADIUS ist nach Erkenntnissen der Sicherheitsforscher für Seitenkanal-Angriffe anfällig. Die Forscher schafften es hier ebenfalls, kritische Informationen auszulesen.
Möglich wird auch dieser zweite Angriff, weil bestimmte Krypto-Operationen mehrfach ausgeführt werden und sich deshalb, so implizieren Vanhoef und Ronen in ihrer knappen Beschreibung des Problems, ebenfalls timen lassen. Nebenbei entdeckten sie, dass die Firmware von WLAN-Chips des Herstellers Cypress diese Wiederholungen nicht so oft ausführt, wie in den Vorschriften der Wi-Fi Alliance stipuliert wird. Vermutlich schwächt das die kryptografische Belastbarkeit der Umsetzung. Allerdings erschwert es auch den Angriff der Sicherheitsforscher – macht ihn aber nach deren Aussage bei weitem nicht unmöglich. Sie vermuten, dass schwachbrüstige Hardware einfach nicht genug Rechenleistung entbehren kann, um diese Rechenoperationen wie vorgeschrieben auszuführen, weswegen sich der Hersteller mit weniger Wiederholungen begnügte.
Erneut harte Kritik an der Wi-Fi Alliance
Wie auch schon bei ihrer ersten Veröffentlichung kritisieren Mathy Vanhoef und Eyal Ronen die für die Entwicklung und Zertifizierung des WPA3-Standards verantwortliche Wi-Fi Alliance heftig. Die neuerlich entdeckten Lücken zeigten, dass das Vorgehen der Organisation "im besten Fall unverantwortlich, im schlimmsten Fall unfähig" sei. Die Sicherheitsforscher kritisieren, dass die Wi-Fi Alliance den sicherheitskritischen WPA3-Algorithmus hinter verschlossenen Türen entwickelt und die öffentliche Security-Gemeinde nicht an dem Prozess beteiligt. Die von Vanhoef und seinen Kollegen in WPA2 und WPA3 aufgedeckten Sicherheitsmängel geben diesen Vorwürfen der Forscher dabei viel Gewicht. Es sei offensichtlich, so die Forscher, dass es "überraschend schwer" sei "Dragonfly und WPA3 ohne Side-Channel-Lücken" umzusetzen. Unausgesprochener Subtext der Autoren: Nehmt unsere Hilfe vorher an, damit ihr nachher nicht nachbessern müsst.
Wenigstens werden alle von Vanhoef und Ronen entdeckten Lücken momentan in einer Überarbeitung des Protokolls behoben. Vanhoef geht davon aus, dass dies eventuell eine neue Version WPA3.1 nach sich zieht. Seiner Einschätzung nach werden diese Änderungen dazu führen, dass die neue Version mit aktuell im Einsatz befindlichen WPA3-Umsetzungen nicht kompatibel ist. Bleibt zu hoffen, dass die Wi-Fi Alliance und Gerätehersteller diese abgesicherte Version auf den Markt bekommen, bevor Vanhoef oder seine Kollegen neue Lücken aufdecken, die den Standard wieder obsolet machen.
Lesen Sie dazu auch auf heise online:
(fab)