![Page 1: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/1.jpg)
Sicurezza su Reti Wi-Fi
Mario MarcelliFabio Faruoli
Claudio Bortone
![Page 2: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/2.jpg)
Sommario
n Introduzionen Crittografazione del trafficon Sistemi di autenticazionen Crittoanalisi del WEP
![Page 3: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/3.jpg)
Introduzione
n La parola inglese “wireless”, letteralmente “senzacavi”, è oggi utilizzata per indicare tutto l’insieme ditecnologie che permettono l’interconnetività disistemi senza l’utilizzo di cablaggi.
n Da questo punto di vista i nostri stessi telefonicellulari sono implementazioni “wireless”, sebbenetale termine sia più comunemente utilizzato nelcampo più strettamente informatico.
![Page 4: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/4.jpg)
Institute of Electrical and Electronical Engeneers
![Page 5: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/5.jpg)
Gli Standard Wireless
![Page 6: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/6.jpg)
Dispositivi WirelessIn generale le architetture per sistemi wireless sono basate due
tipologie di dispositivi:• Access Point ( AP);• Wireless Terminal (WT).Access Point = bridge che collega la sottorete wireless con quella
cablata.
![Page 7: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/7.jpg)
Scenario di una WLAN
![Page 8: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/8.jpg)
VantaggiI vantaggi di questa tecnologia possono essere riassunti come
segue:
n di facile configurazionen di facile installazionen alta mobilitàn utile per accrescere la collaborazione tra gli utenti
![Page 9: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/9.jpg)
Autenticazione
Attualmente lo standard 802.11b per effettuare l'autenticazione prevededue modalità:
A. OSA (Open Systems Authentication), meno sicuro poichè non prevedenessun metodo di autenticazione, pertanto l'accesso è garantito atutti
B. SKA (Shared Key Authentication), prevede invece l'utilizzo di chiavicondivise, rendendo pertanto il sistema di accesso più sicuro.
![Page 10: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/10.jpg)
WEP
WEP (Wired Equivalent Privacy) scelto dal comitato IEEE 802.11 comestandard per la cifratura:• algoritmo di cifratura RC4• chiavi condivise (shared key) di lunghezza variabile da 40 a 104 bit• soluzioni proprietarie fino a 256 bit• anche per l’autenticazione con l’AP
Obiettivi del WEPAutenticazionen Riconoscimento dell’autore e non ripudio del messaggio
Confidenza (riservatezza)n I dati devono protetti dall’intercettazione di persone non
autorizzateIntegritàn I dati non devono essere modificati
![Page 11: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/11.jpg)
Funzionamento di WEP
![Page 12: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/12.jpg)
Creazione della chiave WEP
La password da utilizzare è immessa almomento della configurazione degli apparati.
Si possono utilizzare sequenze alfanumeriche di5 o 13 caratteri a seconda della chiaveutilizzabile:
5 x 8 = 40 bit13 x 8 = 104 bit
Es: AA BB CC DD EE FF AA BB CC DD EE FF 00
![Page 13: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/13.jpg)
Algoritmo RC4RC4 è un cifrario a flusso progettato da Ron Rivest (la “R” di RSA) nel 1987.Era un segreto commerciale della RSA Security, ma nel 1994 è stato inviato in
maniera anonima a una mailing list su Internet, e da allora è stato ampiamenteanalizzato.
A partire da una chiave (lunga da 1 a 256 ottetti), genera una sequenzapseudocasuale (keystream) utilizzata per cifrare e decifrare (mediante XOR) unflusso dati.
![Page 14: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/14.jpg)
Algoritmo a due fasi
L’algoritmo RC4 è composto da due fasi:
n Key Schedulingn Inizializza i fattori generativi della chiave. Genera
una permutazione che appare casuale dellashared key; la permutazione è ciclica con unperiodo molto lungo (più di 10100 ).
n Pseudo Random Generationn Genera la chiave (keystream)
![Page 15: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/15.jpg)
Key Scheduling Algorithm (KSA)
n in S si inseriscono i valori da 0 a 255: S[n] = n;n in un altro vettore temporaneo K (di 256 ottetti) si inserisce la
chiave (ripetendola se più corta);n i contatori i e j si inizializzano a zero;n si percorre S scambiando (scrambling) l’elemento corrente (i-
esimo) con un altro determinato usando la chiave:n Inizializzazione
n i=0, j=0;n For i=0 to N-1
n S[i]=i;
n Scrambling (Mischiare)n For i=0 to N-1
n j=(j+S[i]+K[i]) mod L; /* L = sizeof(K) */n SWAP(S[i],S[j]);
![Page 16: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/16.jpg)
Pseudo Random Generation Algorithm (PRGA)
n Si reinizializzano i e j a zero e si scarta K (la chiave non vienepiù utilizzata).i=0, j=0;
n Si percorre il vettore S, scambiando l’elemento corrente (i-esimo)con un altro determinato dallo stato corrente di S e j. Pergenerare un ottetto Z del keystream, dallo stato corrente (S, i,j):n LOOP (pari al numero ottetti della Keystream):
n i=(i+1)mod L; j=(j+S[i]) mod L;n SWAP(S[i], S[j]);n Output z = (S[(S[i]+S[j] ) mod L]) mod L;
n Considerando S, i, j, RC4 può trovarsi in ben 256! _ 2562 (circa21700, o 5,62 _ 10511) stati.
![Page 17: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/17.jpg)
RC4: ESEMPIO(1)
![Page 18: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/18.jpg)
RC4: ESEMPIO(2)
Codificare la parola “HI”Password = “6152” (shared Key,
conosciuta sia da Alice che da Bob)Lunghezza L = 4
n K[0]=6n K[1]=1n K[2]=5n K[3]=2
1. Inizializzazione S[L]; S[0]=0, S[1]=1, S[2]=2, S[3]=3
![Page 19: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/19.jpg)
RC4: ESEMPIO(3)2. SWAP S;First Loop
Valori Iniziali:S[0]=0, S[1]=1, S[2]=2, S[3]=3K[0]=6, K[1]=1, K[2]=5, K[3]=2i=0, j=0
Equazioni:j=(j+S[0]+K[0]) mod 4 = (0+0+6) mod 4 = 2SWAP(S[0],S[2]) = S[0]=2, S[2]=0
Valori Finali:S[0]=2, S[1]=1, S[2]=0, S[3]=3K[0]=6, K[1]=1, K[2]=5, K[3]=2i=0, j=2
![Page 20: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/20.jpg)
RC4: ESEMPIO(4)2. SWAP S;Second Loop
Valori Iniziali:S[0]=2, S[1]=1, S[2]=0, S[3]=3K[0]=6, K[1]=1, K[2]=5, K[3]=2i=1, j=2
Equazioni:j=(j+S[1]+K[1]) mod 4 = (2+1+1) mod 4 = 0SWAP(S[1],S[0]) = S[1]=2, S[0]=1
Valori Finali:S[0]=1, S[1]=2, S[2]=0, S[3]=3K[0]=6, K[1]=1, K[2]=5, K[3]=2i=1, j=0
![Page 21: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/21.jpg)
RC4: ESEMPIO(5)2. SWAP S;Third Loop
Valori InizialiS[0]=1, S[1]=2, S[2]=0, S[3]=3K[0]=6, K[1]=1, K[2]=5, K[3]=2i=2, j=0
Equazioni:j=(j+S[2]+K[2]) mod 4 = (0+0+5) mod 4 = 1SWAP(S[2],S[1]) = S[2]=2, S[1]=0
Valori Finali:S[0]=1, S[1]=0, S[2]=2, S[3]=3K[0]=6, K[1]=1, K[2]=5, K[3]=2i=2, j=1
![Page 22: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/22.jpg)
RC4: ESEMPIO(6)2. SWAP S;Fourth Loop
Valori InizialiS[0]=1, S[1]=0, S[2]=2, S[3]=3K[0]=6, K[1]=1, K[2]=5, K[3]=2i=3, j=1
Equazioni:j=(j+S[3]+K[3]) mod 4 = (1+3+2) mod 4 = 2SWAP(S[3],S[2]) = S[3]=2, S[2]=3
Valori Finali:S[0]=1, S[1]=0, S[2]=3, S[3]=2K[0]=6, K[1]=1, K[2]=5, K[3]=2i=3, j=2
![Page 23: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/23.jpg)
RC4: ESEMPIO(7)3. PRGA;Initialization
Valori Inizialii=0, j=0
First LoopValori Iniziali
S[0]=1, S[1]=0, S[2]=3, S[3]=2i=0, j=0
Algoritmo:i=0+1=1j=0+S[1]=0+0=0SWAP(S[1],S[0]) = S[1]=1, S[0]=0
Valori Finali:S[0]=0, S[1]=1, S[2]=3, S[3]=3i=1, j=0z1 = S[S[0]+S[1]]=S[0+1]=1 = 00000001
![Page 24: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/24.jpg)
RC4: ESEMPIO(8)3. PRGA;
Second LoopValori Iniziali
S[0]=0, S[1]=1, S[2]=3, S[3]=2i=1, j=0
Algoritmo:i=1+1=2j=0+S[2]=0+3=3SWAP(S[2],S[3]) = S[2]=2, S[3]=3
Valori Finali:S[0]=0, S[1]=1, S[2]=2, S[3]=3i=2, j=3z2 = S[S[2]+S[3]] = S[(2+3) mod 4] = S[1] = 1 = 00000001
![Page 25: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/25.jpg)
RC4: ESEMPIO(8)3. PRGA;
Second LoopValori Iniziali
S[0]=0, S[1]=1, S[2]=3, S[3]=2i=1, j=0
Algoritmo:i=1+1=2j=0+S[2]=0+3=3SWAP(S[2],S[3]) = S[2]=2, S[3]=3
Valori Finali:S[0]=0, S[1]=1, S[2]=2, S[3]=3i=2, j=3z2 = S[S[2]+S[3]] = S[(2+3) mod 4] = S[1] = 1 = 00000001
![Page 26: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/26.jpg)
RC4: ESEMPIO(9)4. Cifratura del testo
H (ASCII) = 072 (ANSI) = 01001000 (Binario)I (ASCII) = 073 (ANSI) = 01001001 (Binario)
Operazione di XOR:H _ z1 = 01001000 _ 00000001 = 01001001 = II _ z2 = 01001001 _ 00000001 = 01001000 = H
5. Testo Cifrato: IH
HI CifraturaKey=6152 IH
![Page 27: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/27.jpg)
RC4: ESEMPIO(fine)
Nella realtà:La chiave non è staticaSi utilizza l’initialization vector (IV)
Si giustappone la Keystream all’ IV:Si genera una chiave diversa per ogni pacchetto
![Page 28: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/28.jpg)
WPA: il presente della sicurezza
Le debolezze del WEP sono note. Lo standard di sicurezza dellaIEEE riguardo alle WLAN è ancora un draft.
Un’associazione di costruttori (WI-FI Alliance) si è mossa per offrireuna soluzione immediata per il problema della sicurezza:
WPA= Wi-Fi Protected Accessn E’ utilizzato sugli standard IEEE 802.11in Incrementa in maniera significativa il livello di protezionen Garantisce una compatibilità all’indietro e all’avanti
![Page 29: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/29.jpg)
WPA e TKIP
WPA: maggiori garanzie di sicurezzan impiego del Temporary Key Integrity Protocol (TKIP):
gestisce dinamicamente le chiavi (2 gerarchie di chiavi: PairwiseHierarchy e Group Hierarchy) e fa un controllo di integrità delpacchetto.E’ responsabile della generazione di una nuova chiave WEP perciascuna sessione instaurata.
n introduce anche una serie di regole per la generazione degli IV,per il rilevamento di attacchi di forza bruta e per la costruzionedella chiave che viene usata dall’algoritmo RC4.
![Page 30: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/30.jpg)
Meccanismi di Autenticazione
Fabio Faruoli
![Page 31: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/31.jpg)
Processo di Autenticazione
- L’autenticazione e’ uno degli elementi piu’critici nella sicurezza
- Una buona infrastruttura di autenticazioneprotegge dalla maggior parte degli attacchi
![Page 32: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/32.jpg)
Processo di autenticazione
- È formato da tre fasi: 1. Autenticazione 2. Autorizzazione 3. Accounting
![Page 33: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/33.jpg)
Autenticazione
- Consente a un entita’ ( una persona o unsistema) di dichiarare la sua identita’ aun’altra entita’
- Di solito l’entita’ che vuole identificarsi devedimostrare la conoscenza di un segretoall’altra
- Autenticarsi significa disporre di credenziali
![Page 34: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/34.jpg)
AutenticazioneLe credenziali possono essere di alcuni tipi:Quello che sai
- Password, pin.
Quello che hai - Token, badge, smartcard
Quello che sei- Impronte digitali, riconoscimento vocale, analisi della retina
Combinazioni:- Quello che hai + quello che sai . Token con pass dinamiche- Quello che sei + quello che sai . Impronte digitali + pin .
![Page 35: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/35.jpg)
Autorizzazione
- Dopo avere verificato l’identita’ del soggettoil sistema informatico deve determinare isuoi diritti e privilegi
- Es: consentire ad un utente dell’area marketingdi potere accedere alle sole risorse (reti,fileserver, web interno, etc) del marketing enon a quelle dell’amministrazione
![Page 36: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/36.jpg)
Accounting
- La registrazione di eventi relativi alleautenticazioni e autorizzazioni
- Es:user pippo logged in on 7 Mar 2002 on port 12Failed password for user mario on 8 Mar 2002
![Page 37: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/37.jpg)
Protocolli di autenticazione
- Lo scambio delle credenziali deve essereimmune allo sniffing
- Per questo e’ fondamentale avere dei solidimeccanismi per gestire l’autenticazione.
- I meccanismi sono definiti come protocolli diautenticazione ma non tutti sono sicuri
- La combinazione di questi protocolli assiemead altre tecnologie di autenticazione sono ilfondamento della sicurezza del Wi-Fi
![Page 38: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/38.jpg)
Protocolli di autenticazione
- I protocolli di autenticazione definiscono dellemetodologie per lo scambio di credenziali fradue peer
- I protocolli più diffusi sono:-PAP-CHAP-MS-CHAP v1/v2-EAP
![Page 39: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/39.jpg)
Protocollo PAP- PAP: Password Authentication Protocol
-Il modulo base di autorizzazioneusername e password viene trasferitosulla rete e confrontato con una tabelladelle coppie username-password cherisiede nel server
- La password attraversa la rete inchiaro
![Page 40: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/40.jpg)
Protocollo CHAP
- CHAP: Challenge Authentication PasswordProtocol
- L’autenticatore invia, dopo aver stabilito laconnessione, un challenge al client che chiededi essere autenticato.
- Il client prova di essere in possesso delloshared secret rispondendo al suo challenge .
![Page 41: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/41.jpg)
Protocollo CHAPcleartext password
challenge
Random challenge
R = MD5(password,challenge)
R (16 byte)
MD5(password,challenge)=R
acknowledge
AuthenticatorPeer
cleartext password
![Page 42: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/42.jpg)
Protocollo MS-CHAP v1
- MS-CHAP v1:Microsoft Challenge HandshakeAuthentication Protocol v1
- E' una versione proprietaria del protocolloCHAP sviluppata da Microsoft
- Supporta esclusivamente l'autenticazione delclient verso il server
- Utilizza lo schema di autenticazione LanManager (LM)
- Invia i dati cifrati utilizzando il protocollo MPPE(Microsoft Point-to-Point Encryption).
![Page 43: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/43.jpg)
Protocollo MS-CHAP v2
- MS-CHAP v2: Microsoft ChallengeHandshake Authentication Protocol v2
- Supporta la mutua autenticazione- Utilizza esclusivamente lo schema di
autenticazione NTLM- Invia i dati cifrati utilizzando il protocollo MPPE
(Microsoft Point-to-Point Encryption)
![Page 44: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/44.jpg)
- Requisiti che si vogliono raggiungere per il Wi-Fi con l’802.1x:-Mutua autenticazione fra utente e network-Cifratura delle credenziali inviate-Generazione dinamica delle chiavi
crittografiche (WEP, TKIP, etc)
802.1X
![Page 45: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/45.jpg)
- È composto da tre elementi:-Supplicant-Authenticator-Authentication server
802.1X
![Page 46: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/46.jpg)
Protocollo EAP
- EAP: Extensible Authentication Protocol- È utilizzato per selezionare uno specifico
meccanismo di autenticazione, negoziato traSupplicant e Authenticator
![Page 47: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/47.jpg)
802.1x utilizza per l’autenticazione il protocollo EAP
802.1X - EAP
![Page 48: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/48.jpg)
Ethernet
Access Point
Radius Server
802.1X: Esempio
EAPOW-Start
EAP-Response/Identity
Radius-Access-Challenge
EAP-Response (credentials)
Access blockedAssociation
Radius-Access-Accept
EAP-Request/Identity
EAP-Request
Radius-Access-Request
Radius-Access-Request
RADIUS
EAPOW
Laptop computer
Wireless
802.11802.11 Associate-Request
EAP-Success
EAPOW-Key (WEP)
802.11 Associate-Response
Access allowed
![Page 49: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/49.jpg)
06 - I metodi EAP
- EAP-MD5- EAP-SIM / EAP-AKA- EAP-LEAP- EAP-TLS Transport Layer Security- EAP-TTLS Tunnelled TLS- EAP-PEAP Protected EAP- Fast EAP
![Page 50: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/50.jpg)
EAP-TLS
TLS: Transport Layer Security- Proposta di standardizzazione dell’ SSL
(Secure Socket Layer) da parte di Netscape- la prima versione di TLS può essere
considerata come SSL v3.1
![Page 51: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/51.jpg)
EAP-TLSPrivatezza del collegamento La crittografia
è usata dopo un handshake iniziale perdefinire una chiave segreta. Per crittografare idati è usata la crittografia simmetrica
Autenticazione L'identità nelle connessionipuò essere autenticata usando la crittografiaasimmetrica, o a chiave pubblica. Così iclients sono sicuri di comunicare con ilcorretto server, prevenendo ogniinterposizione
Affidabilità verifica che i dati spediti tra cliente server non siano stati alterati durante latrasmissione.
![Page 52: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/52.jpg)
Sviluppi Futuri: 802.11i
- 802.11i risolverà problemi di sicurezzadell’802.11
- Utilizza 802.1x per l’autenticazione- I suoi elementi sono:
-WPA-TKIP-Message Integrity Check
- 802.11i non e’ ancora definito completamentema alcune sue feature sono gia’ utilizzate
![Page 53: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/53.jpg)
WEP (In) Security
Claudio Bortone
![Page 54: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/54.jpg)
Sommarion Introduzionen Debolezza degli stream ciphern Attacco FMS (Fluhrer, Mantin, Shamir)n Riutilizzo del key stream
n 2 messaggi con lo stesso K (key stream)n Trovare un P (plaintext)
n Dizionario di decrittazionen Problemi di CRC
n Message modificationn Message injection
n Authentication spoofingn Bibliografia
![Page 55: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/55.jpg)
Implementazioni WEPn Lo standard IEEE802.11 prevede due
implementazioni di WEP:n classica, con chiave a 40 bitn estesa, con chiave a 128 bit
n Versioni WEP anche a 256 bit ma fuoristandard
Con 128 bit è praticamente impossibilericavare la shared key attraverso
attacchi brute-force
![Page 56: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/56.jpg)
WEP Security goalsn Confidenzialità
n solamente gli interlocutori devono conoscere il contenuto deimessaggi scambiati
n Autenticazionen la rete deve essere utilizzata solamente da chi è autorizzato a farlo
n Integrità dei datin i dati scambiati non debbono essere contraffatti
n In tutti e tre i casi la sicurezza risiede nella difficoltà di ricercadella chiave attraverso attacchi tipo brute-force
n … vedremo che indipendentemente dal tipo di implementazioneWEP utilizzata, gli obiettivi di sicurezza prefissati non vengonogarantiti!
![Page 57: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/57.jpg)
Wireless Equivalent Privacy
n Ricordiamo che WEP utilizza l'algoritmo dicrittazione di tipo stream cipher RC4
n Questo tipo di algoritmi operano tramitel'espansione di una chiave “corta” (in WEPformata dalla concatenazione dell'IV e dellaWEP key o shared key) in un flusso infinito dibit pseudo-random (key stream).
n Lo XOR tra il key stream e ed il messaggio inchiaro (plaintext) effettuato dal trasmettitoreproduce il testo cifrato (ciphertext)
![Page 58: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/58.jpg)
Debolezza degli Stream Cipher
n Esiste una ben nota debolezza degli algoritmistream cipher:
n crittando 2 messaggi diversi con lo stesso keystream, dal conseguente ciphertext sipossono ricavare facilmente informazioniriguardanti i due messaggi
n … vediamo come!
![Page 59: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/59.jpg)
Un po’ di logica …
n Supponiamo che:n P1 e P2 siano due messaggi in chiaro (plaintext)n K sia la chiave (keystream) con cui vengono
crittografati i due messaggi
n ricordando che :
identitàAA =⊕
![Page 60: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/60.jpg)
Un po’ di logica …
21
)2()1(21
22
11
PP
KPKPCC
KPC
KPC
⊕=
=⊕⊕⊕=⊕
⊕=
⊕=
Ottenendo così lo XOR del plaintext
![Page 61: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/61.jpg)
Un po’ di logica …
Se conoscessimo uno dei due plaintext …
2
)21(1
)21(1
P
PPP
CCP
=
=⊕⊕=
=⊕⊕
… otterremmo l’altro con un semplice XOR
![Page 62: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/62.jpg)
Un po’ di logica …
Inoltre se conoscessimo un plaintext ed ilcorrispondente ciphertext …
K
KPP
CP
=
=⊕⊕=
=⊕
)1(1
11
… otterremmo la key stream!
![Page 63: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/63.jpg)
Un po’ di logica …
La conoscenza della chiave K permette dieffettuare attacchi statistici per il
recupero del testo in chiaro!
![Page 64: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/64.jpg)
Attacco FMS
n Fluhrer, Mantin e Shamir hanno dimostrato ladebolezza dell'algoritmo KSA (Key SchedulingAlgorithm) dell'RC4 utilizzatonell’implementazione WEP
n Il loro attacco si basa sull'utilizzo del soloprimo byte della sequenza pseudo-randomprodotto dall'output generator di RC4
![Page 65: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/65.jpg)
Attacco FMS
n L'equazione associata a questo byte è
S[S[1] + S[1]]
n Dopo la fase di setup, questo byte dipendeunicamente da 3 valori dell'array di stato
S[1], S[S[1]], S[S[1] + S[1]]
![Page 66: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/66.jpg)
Attacco FMS
n L'attacco consiste nel ricavare informazionisulla chiave osservando questo valore.
n Utilizzando la terminologia di Fluhrer e altrichiameremo resolved il pacchetto che assumeil particolare stato in cui :
“il suo IV è tra quelli che portano l'algoritmoKSA a rilasciare informazioni sulla chiave”
![Page 67: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/67.jpg)
Attacco FMS
n L'attacco è statistico per sua natura, ognipacchetto resolved ci dà una probabilità del 5%associata all' ipotesi di chiave corretta ed unaprobabilità di 95% di ipotesi di chiave errata
L'osservazione di un numero sufficiente dipacchetti "resolved" porta sicuramente alla
rivelazione della shared key utilizzata da WEP
![Page 68: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/68.jpg)
Riutilizzo del key stream
n Perchè sia possibile sfruttare levulnerabilità prima esposte devonoessere soddisfatte due condizioni:n esistano messaggi crittati con lo stesso key
streamn conoscenza parziale di parte di questi
messaggi
![Page 69: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/69.jpg)
2 Messaggi con lo stesso Kn Sappiamo che il key stream K utilizzato in
WEP, è generato dall'inizialization vector v edalla WEP key k come:
n quindi K dipende unicamente da v e da k
n Possiamo fare alcune considerazioni ...
),(4 kvRCK =
![Page 70: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/70.jpg)
2 Messaggi con lo stesso Kn Generalmente la WEP key k è una
chiave fissa (gli amministratori reteraramente la cambiano)
n In pratica il keystream K dipende soloda v
n ricordiamo che v viene trasmesso inchiaro sulla rete e quindi l’attaccantepuò facilmente verificare se un IVvenga riutilizzato
![Page 71: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/71.jpg)
2 Messaggi con lo stesso K
n Inoltre considerando che:n la dimensione di v è di 24 bitn il pacchetto di livello 2 utilizzato in
IEEE802.11 ha una dimensione massima di1500 byte
n Potremmo effettuare una stimasull'intervallo di tempo massimo primadel riutilizzo di un IV
![Page 72: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/72.jpg)
2 Messaggi con lo stesso K
n Ovvero nella versione classica di WEPdovremmo attendere al massimo 5 ore primadi vedere un IV duplicato
sec180002sec)1011(
8150024
11
1500 2416
@⋅⋅⋅
⋅=⋅
-bit
bit
bitbit
Mbps
byte
![Page 73: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/73.jpg)
2 Messaggi con lo stesso Kn E se non bastasse:
n alcune schede wifi resettano il loro IV a 0 ognivolta che vengono attivate e incrementano di1 ogni pacchetto inviato
n lo standard non specifica come debbanoessere calcolati gli IV quindi estremizzando unapparato potrebbe utilizzare sempre lo stessoIV senza essere fuori standard
n ogni volta che si verifica una collisione ilpacchetto viene rispedito con lo stesso IV
![Page 74: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/74.jpg)
Trovare Pn Risalire ad un plaintext:
n dal traffico IP rilevato in una rete wireless (IPutilizza strutture ben definite all'interno di unpacchetto)
n sequenze di login, generalmente le stesse pertutti gli utenti
n messaggi di benvenuton invio di e-mail ad un utente per poi attendere che
passi attraverso il link wireless.(e-mail di spamsicuramente non desterebbero allarmi)
n …
![Page 75: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/75.jpg)
Dizionario di decrittazione
n Abbiamo visto come ottenere la key stream Ka partire da un plaintext P1 e dal suocorrispondente ciphertext C1
K
KPP
CP
=
=⊕⊕=
=⊕
)1(1
11
![Page 76: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/76.jpg)
Dizionario di decrittazione
n Con questa key stream K si può decrittarequalsiasi pacchetto che sia stato crittato conlo stesso IV
n E' quindi possibile creare una tabella chemetta in relazione un pacchetto con ilcorrispondente IV
n nel WEP classico richiederà uno spazio diGB251500224 =⋅
![Page 77: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/77.jpg)
Dizionario di decrittazione
n Il vantaggio nell'utilizzo di questo sistema ènella velocità di decrittazione dei pacchetti
n lo svantaggio invece è nel tempo dinecessario alla creazione della tabellacompleta.
n questo approccio è risulta sconveniente nelcaso di utilizzo di chiavi WEP di lunghezzamaggiore di 40 bit
![Page 78: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/78.jpg)
Problemi di CRCn Il protocollo WEP utilizza un campo di
controllo di integrità(o checksum) chedovrebbe assicurare che i pacchetti nonvengano modificati durante il transito
n il meccanismo checksum CRC (CiclicRedundant Code) applicato allo stream cipherutilizzato in WEP, garantisce solo l'integrità dipacchetti che siano stati modificati da errorinel canale e non contro attacchi maliziosi
n vediamo come sfruttare questa debolezza ...
![Page 79: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/79.jpg)
Message modification
n Mostriamo come un messaggio possa esseremodificato in transito senza che questo vengarilevato, utilizziamo la proprietà di linearitàdei checksum CRC:
( ) ( ) ( )YcX=cYXc ⊕⊕
![Page 80: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/80.jpg)
Message modification
n sia C un ciphertext intercettato prima cheabbia raggiunto la destinazione
n sia P il plaintext associato a Cn allora:
n Con <P,c(P)> pari alla concatenazione delplaintext con il suo checksum
><⊕= P,c(P)(v,k)RCC 4
![Page 81: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/81.jpg)
Message modificationn E' possibile trovare un
nuovo ciphertext C'associato al plaintext P':
n con _ sceltoarbitrariamente dalmalintenzionato
n Quindi sfruttando lalinearita del CRC…
ÄPP' ⊕=
)()()( ÄPcÄcPc ⊕=⊕
![Page 82: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/82.jpg)
Message modification
n … è possibile ottenere C’
><⊕=
>⊕<⊕=
>⊕⊕<⊕=
><⊕><⊕=
><⊕=
)'(,'4
)(,'4
4
4
PcP(v,k) RC
ÄPcP(v,k) RC
c(ÄcÄ,c(P)P(v,k) RC
]Ä,c(Ä) P,c(P)[(v,k) RC
= Ä,c(Ä) C C'
![Page 83: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/83.jpg)
Message injection
n Ora mostreremo come il WEP nonfornisca un valido controllo di acesso,per fare questo utilizzamo un'altraproprietà del checksum :
il checksum WEP è funzione delmessaggio
![Page 84: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/84.jpg)
Message injection
n Un malintenzionato conoscendo un plaintextP e il corrispondente ciphertext C potrebbeinviare un nuovo messaggio P' da luigenerato (injection)
),(4)'(,''
),(4)),(4(
kvRCPcPC
kvRCkvRCPPCP
⊕>=<
=⊕⊕=⊕
![Page 85: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/85.jpg)
Message injection
n il nuovo pacchetto utilizzerà lo stessoIV dell'originale
n questo non è un problema poiché, comeè stato già detto, lo standard nonspecifica come debbano essere variatigli IV
![Page 86: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/86.jpg)
Authentication spoofing
n Il meccanismo di associazione di una stazionemobile ad un access point è qui descritto:n la stazione mobile, all'accensione, invia all'access
point una richiesta di autenticazionen l'access point risponderà con una stringa random
di 128 bit inviata in chiaro (challenge)n la stazione mobile cifrerà la stringa con la chiave
WEP e la reinvierà all'access pointn l'access point verificherà se la stringa ricevuta è
stata cifrata con la chiave WEP corretta
![Page 87: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/87.jpg)
Authentication spoofingn Un malintenzionato quindi, sniffando un una
sequenza di autenticazione leggittima
potrebbe facilmente ricavare una coppiaplaintext/ciphertext valida da cui ricavare il
corrispondente key stream
n il che è sufficiente per inviare la rispostacorretta al challenge (inviato in chiaro)lanciato dall'access point
![Page 88: Sicurezza su Reti Wi-Fi - dia.uniroma3.itdispense/merola/critto/tesine/Wi-Fi.pdf · Sicurezza su Reti Wi-Fi Mario Marcelli Fabio Faruoli Claudio Bortone. Sommario nIntroduzione nCrittografazione](https://reader031.vdocuments.net/reader031/viewer/2022022113/5c67dd4809d3f226188c5ab2/html5/thumbnails/88.jpg)
Bibliografia
n Nikita Borisov, Ian Goldberg, David Wagner -Intercepting Mobile Communications: TheInsecurity of 802.11
n Scott Fluhrer, Itsik Mantin, Adi Shamir -Weaknesses in the Key Scheduling Algorithmof RC4
n Adam Subblefield, John Ioannidis, Aviel D.Rubin - Using the Fluhrer, Mantin and ShamirAttack to Break WEP