0911 CESAR WiFi .pdf



Nom original: 0911_CESAR_WiFi.pdfTitre: Attaques Wi-Fi WPA - Séparer le bon grain de l'ivraie dans le buzz ambiantAuteur: Cédric Blancher

Ce document au format PDF 1.4 a été généré par LaTeX with beamer class version 3.07 / dvips + GPL Ghostscript 8.70, et a été envoyé sur fichier-pdf.fr le 22/05/2010 à 12:42, depuis l'adresse IP 84.100.x.x. La présente page de téléchargement du fichier a été vue 2561 fois.
Taille du document: 958 Ko (55 pages).
Confidentialité: fichier public


Aperçu du document


Attaques Wi-Fi WPA — C´
edric Blancher — 1/31

Attaques Wi-Fi WPA
S´eparer le bon grain de l’ivraie dans le buzz
ambiant
C´edric Blancher

cedric.blancher@eads.net
Computer Security Research Lab
EADS Innovation Works

sid@rstack.org
Rstack Team
http://sid.rstack.org/

Conf´
erence C&ESAR - Rennes - 24-26 Novembre 2009
http://www.cesar-conference.fr/

Attaques Wi-Fi WPA — C´
edric Blancher — 2/31

Agenda

1

Cassons de la PSK
Authentification WPA/WPA2
Fonctionnement du cassage de PSK
Comparons des impl´ementations

2

Failles sur TKIP
Comment fonctionne TKIP
La fameuse attaque sur TKIP

3

Conclusion

Attaques Wi-Fi WPA — C´
edric Blancher — 3/31

Introduction

´
Etat
des lieus de la s´ecurit´e Wi-Fi
WEP est `a proscrire sans aucun d´ebat
WPA arrive `a la rescousse d`es 2003
802.11i/WPA2 est ratifi´e depuis 2004

Attaques Wi-Fi WPA — C´
edric Blancher — 3/31

Introduction

´
Etat
des lieus de la s´ecurit´e Wi-Fi
WEP est `a proscrire sans aucun d´ebat
WPA arrive `a la rescousse d`es 2003
802.11i/WPA2 est ratifi´e depuis 2004

Ce qu’on peut en dire...
On est loin de la perfection
Mais on peut atteindre un niveau de s´ecurit´e
int´eressant

Attaques Wi-Fi WPA — C´
edric Blancher — 4/31

WPA, c’est quoi ?

En attendant 802.11i, la Wi-Fi alliance propose WPA
Bas´e sur 802.11i Draft 3
Propose des authentifications PSK ou EAP
refonte du chiffrement : TKIP

Attaques Wi-Fi WPA — C´
edric Blancher — 5/31

Et WPA2 ?

WPA2 est la mise `a jour de WPA suite `a la
ratification de 802.11i
Tr`es peu de diff´erence niveau s´ecurit´e
Introduction du chiffrement CCMP (AES)
Backporting de CCMP sur WPA

Attaques Wi-Fi WPA — C´
edric Blancher — 5/31

Et WPA2 ?

WPA2 est la mise `a jour de WPA suite `a la
ratification de 802.11i
Tr`es peu de diff´erence niveau s´ecurit´e
Introduction du chiffrement CCMP (AES)
Backporting de CCMP sur WPA

WPA vs. WPA2 ?
WPA 6= PSK + TKIP
WPA ≃ WPA2

Attaques Wi-Fi WPA — C´
edric Blancher — 6/31

Agenda

1

Cassons de la PSK
Authentification WPA/WPA2
Fonctionnement du cassage de PSK
Comparons des impl´ementations

2

Failles sur TKIP
Comment fonctionne TKIP
La fameuse attaque sur TKIP

3

Conclusion

Attaques Wi-Fi WPA — C´
edric Blancher — 7/31

Modes d’authentification
Secret partag´e (PSK)
EAP/802.1x

EAP Auth
PSK

PMK

4 Way Handshake

PTK

PBKDF2

Hi´erarchie de cl´es
L’authentification fournit la Master Key (MK)
La Pairwise Master Key (PMK) est d´eriv´ee de la
MK

Attaques Wi-Fi WPA — C´
edric Blancher — 8/31

One key to rule them all...
La MK est la racine de toutes les autres cl´es
Pairwise Master Key
Cl´es d’´echange de cl´es
Cl´es de chiffrement
Cl´es de MIC quand n´ecessaires
KEK
PMK

4 Way Handshake

PTK

TEK
TMK

Conclusion
R´ecup´erer la Master Key == R´ecup´erer tout le reste

Attaques Wi-Fi WPA — C´
edric Blancher — 9/31

L’option PSK

La MK est votre PSK
La PMK est d´eriv´ee de la MK par PBKDF2()
PMK
PSK

PBKDF2

En mode PSK
Poss´eder la PSK == Tout contrˆoler

Attaques Wi-Fi WPA — C´
edric Blancher — 10/31

Calcul de la PMK

La Master Key (MK)
C’est le secret partag´e dit PSK
8 `a 63 caract`eres ASCII imprimables (code 32 `a
126)

La Pairwise Master Key (PMK)
PMK = PBKDF 2(SSID, PSK )
PBKDF2() est con¸cue pour ˆetre lente

Attaques Wi-Fi WPA — C´
edric Blancher — 11/31

Four-Way Handshake
Le Four-Way Handshake fournit l’authentification en
mode PSK
Random ANonce

Random SNonce
ANonce
Computes PTK

SNonce + MIC

Enc(GTK) + MIC
Installs PTK
and GTK

Computes PTK,
GMK and GTK

ACK + MIC
Installs PTK

Les MICs sont calcul´es `a partir de la PTK

Attaques Wi-Fi WPA — C´
edric Blancher — 12/31

L’attaque
R´ecup´erer les donn´ees utiles
Captur´ees pendant le Handshake
On peut forcer ce Handshake
Ne porte que pour un SSID pr´ecis

Attaques Wi-Fi WPA — C´
edric Blancher — 12/31

L’attaque
R´ecup´erer les donn´ees utiles
Captur´ees pendant le Handshake
On peut forcer ce Handshake
Ne porte que pour un SSID pr´ecis

Tester une PSK

Attaques Wi-Fi WPA — C´
edric Blancher — 12/31

L’attaque
R´ecup´erer les donn´ees utiles
Captur´ees pendant le Handshake
On peut forcer ce Handshake
Ne porte que pour un SSID pr´ecis

Tester une PSK
1

Pour chaque candidat, d´eriver la PMK associ´ee

Attaques Wi-Fi WPA — C´
edric Blancher — 12/31

L’attaque
R´ecup´erer les donn´ees utiles
Captur´ees pendant le Handshake
On peut forcer ce Handshake
Ne porte que pour un SSID pr´ecis

Tester une PSK
1

Pour chaque candidat, d´eriver la PMK associ´ee

2

Calculer la PTK (4xHMAC-SHA1 sur PMK et
al´ea)

Attaques Wi-Fi WPA — C´
edric Blancher — 12/31

L’attaque
R´ecup´erer les donn´ees utiles
Captur´ees pendant le Handshake
On peut forcer ce Handshake
Ne porte que pour un SSID pr´ecis

Tester une PSK
1

Pour chaque candidat, d´eriver la PMK associ´ee

2

Calculer la PTK (4xHMAC-SHA1 sur PMK et
al´ea)

3

Calculer le MIC (1xHMAC-SHA1 ou MD5) et le
comparer `a celui du Handshake captur´e

Attaques Wi-Fi WPA — C´
edric Blancher — 13/31

La fonction PBKDF2

Algorithme
x1 = HMAC_SHA1(MK, SSID + ’\1’);
x2 = HMAC_SHA1(MK, SSID + ’\2’);
for(i=1;i<4096;i++) {
x1 = HMAC_SHA1(MK, x1);
x2 = HMAC_SHA1(MK, x2);
}
return x1 + x2;

Attaques Wi-Fi WPA — C´
edric Blancher — 14/31

Coˆut de l’attaque

PBKDF2 n´ecessite 8192 appels `a HMAC-SHA1, et au
moins 8 pour le MIC
HMAC-SHA1 implique 2 SHA1
SHA1 n´ecessite quelques 961 cycles
Soit un total de 15,7M operations

Attaques Wi-Fi WPA — C´
edric Blancher — 14/31

Coˆut de l’attaque

PBKDF2 n´ecessite 8192 appels `a HMAC-SHA1, et au
moins 8 pour le MIC
HMAC-SHA1 implique 2 SHA1
SHA1 n´ecessite quelques 961 cycles
Soit un total de 15,7M operations

Comparaison avec MD5
Cracker un MD5 n´ecessite un peu plus de 300
op´erations...

Attaques Wi-Fi WPA — C´
edric Blancher — 15/31

Chiffres
Vitesse th´eorique de PBKDF2
Perfect SSE2, 3Ghz single x86 core : 500
checks/s
Impl´ementation CELL parfaite : 2,840 checks/s
Impl´ementation CELL Linux : 2,440 checks/s

Attaques Wi-Fi WPA — C´
edric Blancher — 15/31

Chiffres
Vitesse th´eorique de PBKDF2
Perfect SSE2, 3Ghz single x86 core : 500
checks/s
Impl´ementation CELL parfaite : 2,840 checks/s
Impl´ementation CELL Linux : 2,440 checks/s

Implementations pratiques...

Attaques Wi-Fi WPA — C´
edric Blancher — 15/31

Chiffres
Vitesse th´eorique de PBKDF2
Perfect SSE2, 3Ghz single x86 core : 500
checks/s
Impl´ementation CELL parfaite : 2,840 checks/s
Impl´ementation CELL Linux : 2,440 checks/s

Implementations pratiques...
Aircrack sur Xeon E5405 (4x2Ghz) : 650
checks/s

Attaques Wi-Fi WPA — C´
edric Blancher — 15/31

Chiffres
Vitesse th´eorique de PBKDF2
Perfect SSE2, 3Ghz single x86 core : 500
checks/s
Impl´ementation CELL parfaite : 2,840 checks/s
Impl´ementation CELL Linux : 2,440 checks/s

Implementations pratiques...
Aircrack sur Xeon E5405 (4x2Ghz) : 650
checks/s
FPGA Pico Computing FX60 : 1,000 checks/s

Attaques Wi-Fi WPA — C´
edric Blancher — 15/31

Chiffres
Vitesse th´eorique de PBKDF2
Perfect SSE2, 3Ghz single x86 core : 500
checks/s
Impl´ementation CELL parfaite : 2,840 checks/s
Impl´ementation CELL Linux : 2,440 checks/s

Implementations pratiques...
Aircrack sur Xeon E5405 (4x2Ghz) : 650
checks/s
FPGA Pico Computing FX60 : 1,000 checks/s
CELL : 2,300 checks/s

Attaques Wi-Fi WPA — C´
edric Blancher — 15/31

Chiffres
Vitesse th´eorique de PBKDF2
Perfect SSE2, 3Ghz single x86 core : 500
checks/s
Impl´ementation CELL parfaite : 2,840 checks/s
Impl´ementation CELL Linux : 2,440 checks/s

Implementations pratiques...
Aircrack sur Xeon E5405 (4x2Ghz) : 650
checks/s
FPGA Pico Computing FX60 : 1,000 checks/s
CELL : 2,300 checks/s
CUDA sur 295GTX : 20,000 check/s

Attaques Wi-Fi WPA — C´
edric Blancher — 16/31

Faits
Est-ce qu’on peut brute-forcer des PSKs
L’espace de cl´e est ´enorme
PBKDF2 est lente
Un facteur 100 permet de gagner un caract`ere

Attaques Wi-Fi WPA — C´
edric Blancher — 16/31

Faits
Est-ce qu’on peut brute-forcer des PSKs
L’espace de cl´e est ´enorme
PBKDF2 est lente
Un facteur 100 permet de gagner un caract`ere

Temps de cassage...
Supposons 100,000 check/s :

Attaques Wi-Fi WPA — C´
edric Blancher — 16/31

Faits
Est-ce qu’on peut brute-forcer des PSKs
L’espace de cl´e est ´enorme
PBKDF2 est lente
Un facteur 100 permet de gagner un caract`ere

Temps de cassage...
Supposons 100,000 check/s :
34 ans pour couvrir 8 caract`eres alphanum.

Attaques Wi-Fi WPA — C´
edric Blancher — 16/31

Faits
Est-ce qu’on peut brute-forcer des PSKs
L’espace de cl´e est ´enorme
PBKDF2 est lente
Un facteur 100 permet de gagner un caract`ere

Temps de cassage...
Supposons 100,000 check/s :
34 ans pour couvrir 8 caract`eres alphanum.
1051 ans pour couvrir l’espace minimum

Attaques Wi-Fi WPA — C´
edric Blancher — 16/31

Faits
Est-ce qu’on peut brute-forcer des PSKs
L’espace de cl´e est ´enorme
PBKDF2 est lente
Un facteur 100 permet de gagner un caract`ere

Temps de cassage...
Supposons 100,000 check/s :
34 ans pour couvrir 8 caract`eres alphanum.
1051 ans pour couvrir l’espace minimum
2146 ans pour 9 caract`eres alphanum.

Attaques Wi-Fi WPA — C´
edric Blancher — 16/31

Faits
Est-ce qu’on peut brute-forcer des PSKs
L’espace de cl´e est ´enorme
PBKDF2 est lente
Un facteur 100 permet de gagner un caract`ere

Temps de cassage...
Supposons 100,000 check/s :
34 ans pour couvrir 8 caract`eres alphanum.
1051 ans pour couvrir l’espace minimum
2146 ans pour 9 caract`eres alphanum.
Comparison : on peut casser du MD5 `a 900M
checks/s...

Attaques Wi-Fi WPA — C´
edric Blancher — 17/31

Agenda

1

Cassons de la PSK
Authentification WPA/WPA2
Fonctionnement du cassage de PSK
Comparons des impl´ementations

2

Failles sur TKIP
Comment fonctionne TKIP
La fameuse attaque sur TKIP

3

Conclusion

Attaques Wi-Fi WPA — C´
edric Blancher — 18/31

TKIP d´etaill´e (1)
TKIP est un algorithme de Key Scheduling au-dessus
de WEP
Int´egrit´e assur´ee par l’algorithme Michael

TEK

Hash #1

Hash #2

"WEP" Key

PPK
24 + 104 bits

128 bits

TSC 48 bits
Encrypted payload

WEP
Source MAC

Destination MAC
Michael

Cleartext data

MIC

TMK
64 bits

Le TSC est un compteur de s´equence

CRC32
ICV

Attaques Wi-Fi WPA — C´
edric Blancher — 19/31

TKIP d´etaill´e (2)

Chiffrement
MP1(TA, TEK , TSCn) = TTAKn
MP2(TEK , TSCn, TTAKn) = PPKn
PPKn = (IVn k Kn)
Enc = WEP(Clear k MIC )

D´echiffrement
V´erification de TSCn
Clear k MIC = WEP −1 (Enc)
V´erification du MIC

Attaques Wi-Fi WPA — C´
edric Blancher — 20/31

Attaque sur WPA ?

Publication intitul´ee ”WPA gone in 900 seconds” par
Beck and Tews
Publi´ee en novembre 2008
Concerne TKIP, et seulement TKIP

Attaques Wi-Fi WPA — C´
edric Blancher — 20/31

Attaque sur WPA ?

Publication intitul´ee ”WPA gone in 900 seconds” par
Beck and Tews
Publi´ee en novembre 2008
Concerne TKIP, et seulement TKIP

Principe g´en´eral
Adaptation de chopchop `a TKIP
Cassage de la cl´e MIC
R´eutilisation de keystream

Attaques Wi-Fi WPA — C´
edric Blancher — 21/31

Adaptation de chopchop `a TKIP
Le MIC est cens´e bloquer les attaques de type
chopchop
Application de contre-mesures
Envoi par la STA d’un message MIC-Failure
Probl`eme : MIC-Failure = ”chopchop r´eussi”

Attaques Wi-Fi WPA — C´
edric Blancher — 21/31

Adaptation de chopchop `a TKIP
Le MIC est cens´e bloquer les attaques de type
chopchop
Application de contre-mesures
Envoi par la STA d’un message MIC-Failure
Probl`eme : MIC-Failure = ”chopchop r´eussi”

Limitations
Ne fonctionne que dans le sens AP vers STA
1 MIC-Failure autoris´e toutes les 60s

Attaques Wi-Fi WPA — C´
edric Blancher — 21/31

Adaptation de chopchop `a TKIP
Le MIC est cens´e bloquer les attaques de type
chopchop
Application de contre-mesures
Envoi par la STA d’un message MIC-Failure
Probl`eme : MIC-Failure = ”chopchop r´eussi”

Limitations
Ne fonctionne que dans le sens AP vers STA
1 MIC-Failure autoris´e toutes les 60s
L’attaque devrait ´echouer `a cause du TSC

Attaques Wi-Fi WPA — C´
edric Blancher — 22/31

R´ecup´eration du MIC

` supposer qu’on puisse contourner le TSC,
A
l’attaquant peut d´echiffrer une trame `a 1 octet/min
On obtient Clair + MIC
Michael est faible : vous r´ecup´erez la cl´e de MIC
R´ecup´eration d’un Keystream de la longueur de
la trame

Attaques Wi-Fi WPA — C´
edric Blancher — 22/31

R´ecup´eration du MIC

` supposer qu’on puisse contourner le TSC,
A
l’attaquant peut d´echiffrer une trame `a 1 octet/min
On obtient Clair + MIC
Michael est faible : vous r´ecup´erez la cl´e de MIC
R´ecup´eration d’un Keystream de la longueur de
la trame

Oui mais...
La v´erification du TSC devrait bloquer la r´eutilisation
du keystream

Attaques Wi-Fi WPA — C´
edric Blancher — 23/31

Contourner le TSC

802.11e d´efinit la QoS, connue sous le nom de WME
Le trafic peut ˆetre ´eclat´e selon la QoS
8 (voire 16) files sont disponibles pour la QoS
Chaque file pˆ
oss`ede son propre TSC

Attaques Wi-Fi WPA — C´
edric Blancher — 23/31

Contourner le TSC

802.11e d´efinit la QoS, connue sous le nom de WME
Le trafic peut ˆetre ´eclat´e selon la QoS
8 (voire 16) files sont disponibles pour la QoS
Chaque file pˆ
oss`ede son propre TSC

R´eutilisation du TSC...
On peut rejouer un TSCn sur un file diff´erente, moins
utilis´ee
On peut r´ealiser notre chopchop
On peut r´eutiliser le Keystream

Attaques Wi-Fi WPA — C´
edric Blancher — 24/31

D´eveloppement r´ecents

Annonce d’un MitM sur WPA suite `a un papier
japonais (octobre)
Am´elioration de l’attaque de Beck et Tews
Utilisation d’un MitM physique
Papier norv´egien tout r´ecent (novembre)
Utilisation de trafic DHCP en lieu et place d’ARP
Pistes de recherche int´eressantes

Attaques Wi-Fi WPA — C´
edric Blancher — 25/31

Agenda

1

Cassons de la PSK
Authentification WPA/WPA2
Fonctionnement du cassage de PSK
Comparons des impl´ementations

2

Failles sur TKIP
Comment fonctionne TKIP
La fameuse attaque sur TKIP

3

Conclusion

Attaques Wi-Fi WPA — C´
edric Blancher — 26/31

Cassage de PSK

Probl`eme de s´ecurit´e r´eel, mais...
Probl`eme r´ecurrent de la faiblesse des mots de
passe
Faisabilit´e questionnable
Annonces clairement exag´er´ees.

Attaques Wi-Fi WPA — C´
edric Blancher — 26/31

Cassage de PSK

Probl`eme de s´ecurit´e r´eel, mais...
Probl`eme r´ecurrent de la faiblesse des mots de
passe
Faisabilit´e questionnable
Annonces clairement exag´er´ees.

Pour info...
Premier papier sur le sujet : 2003

Attaques Wi-Fi WPA — C´
edric Blancher — 27/31

Failles TKIP

L’attaque sur TKIP fonctionne
D´echiffrement de trame dans le sens AP vers
STA
` la vitesse de 1 octet par minute
A
Permet de g´en´erer 8 trames arbitraire au
minimum


Aperçu du document 0911_CESAR_WiFi.pdf - page 1/55
 
0911_CESAR_WiFi.pdf - page 3/55
0911_CESAR_WiFi.pdf - page 4/55
0911_CESAR_WiFi.pdf - page 5/55
0911_CESAR_WiFi.pdf - page 6/55
 




Télécharger le fichier (PDF)


0911_CESAR_WiFi.pdf (PDF, 958 Ko)

Télécharger
Formats alternatifs: ZIP Texte




Documents similaires


bky12rp
info
projet unix calculette
espaces vectoriels applications lineaires
fiche de personnage
m2400045 fre crieur

Sur le même sujet..




🚀  Page générée en 0.026s