Temporal Key
Integrity Protocol
TKIP (/ˌtiːˈkɪp/, jako „tee-kip“) nebo Temporal Key
Integrity Protocol je v informatice označení pro zastaralý
bezpečnostní protokol v rámci zabezpečení WPA pro bezdrátové sítě Wi-Fi. TKIP je
definován standardem IEEE 802.11i a jeho účelem bylo rychlé překlenutí
nedostatků šifrování WEP bez nutnosti zásahů do hardware bezdrátových síťových
zařízení. Protokol TKIP byl kritizován v další plné verzi standartu 802.11 a
není již považován za bezpečný. Místo TKIP a WPA by mělo být používáno
zabezpečení WPA2 (s protokolem CCMP a šifrou AES).
Historie
Na
konci 90. let 20. století nastal prudký rozvoj a nasazování bezdrátových sítí.
Ze své podstaty bezdrátové sítě poskytují menší nebo žádné soukromí, protože
komunikaci lze odposlouchávat kdekoliv v dosahu rádiového signálu, který proniká
i skrze pevné překážky. Proto bylo jako součást původního standardu IEEE
802.11 již v roce 1997 schváleno zabezpečení WEP (Wired Equivalent Privacy),
které mělo poskytnout obdobné zabezpečení, jako má drátová počítačová síť
(např. kroucená dvojlinka). Kvůli neúplnosti standardu a dalším vadám v jeho
implementaci byl však WEP v srpnu 2001 prolomen, takže pouhým pasivním
naslouchání bezdrátového provozu bylo možné vypočítat šifrovací klíč použité
šifry RC4.
Dne 23. července 2004 byl jako reakce na prolomení WEP přijat
standard IEEE 802.11i. Wi-Fi Alliance však již 31. října 2002 adoptovala část
nadcházejícího standardu pod obchodním názvem WPA (Wi-Fi Protected Access). TKIP
je též součástí WPA2, ve kterém Wi-Fi Alliance akceptovala zbývající hlavní
prvky IEEE 802.11i (tj. CCMP jako náhradu TKIP a šifru AES jako náhradu
WEP).Chybná citace Chyba v tagu <ref>; chybné názvy, např. je jich příliš
mnoho WPA používá stejnou šifru RC4, jako prolomený WEP, avšak protokol TKIP měl
odstranit jeho slabá místa (zejména slabý inicializační vektor). Protokol TKIP
umožňuje bezpečnou výměnu šifrovacích klíčů mezi komunikujícími body nejen na
počátku komunikace, ale i v jejím průběhu. Hlavní výhodou TKIP je možnost
zachování stávajícího hardwaru (tj. bezdrátových síťových zařízení) vyráběných
po roce 1999, která interně zajišťovala šifrování WEP (tj. šifry RC4). Zlepšení
zabezpečení tak bylo možné realizovat pouhou aktualizací obslužného software. Na
straně klienta (počítače připojujícího se k bezdrátové síti) je nasazen
tzv. suplikant (prosebník), což je univerzální démon běžící v pozadí a
zajišťující autentizaci klienta a správu šifrovacích klíčů pomocí TKIP.
Na přístupových bodech (AP) bezdrátové sítě bylo vylepšení zabezpečení pomocí
pouhé softwarové aktualizace možné až pro zařízení vyráběná po roce 2003 z
důvodu větší náročnosti na jejich výpočetní výkon nutný pro implementaci TKIP.
Technická specifikace
Slabinou protokolu WEP (předchůdce protokolu TKIP) je
využívání předsdíleného symetrického klíče po dobu celé komunikace všemi
účastníky bezdrátové komunikace. Proto v protokolu TKIP došlo k výrazné změně,
kdy je pro každý paket používán jiný klíč. Klíč je vytvořen ze základního klíče
(zvaného Pairwise Transient Key), MAC adresy přijímající stanice a pořadového
čísla rámce. Operace, která provádí sloučení těchto údajů, je navržena tak, aby
kladla minimální výkonnostní nároky na stanici či přístupový bod.
Základní
klíč je generován při každé asociaci klienta k přístupovému bodu
pomocí hashovací algoritmu. Hashování je prováděno nad číslem relace
a inicializačním vektorem, který se skládá z náhodných čísel v kryptografii
označovaných jako nonce (anglicky number used once). Inicializační vektor je
vytvářen klientem a přístupovým bodem obdobně jako tomu bývá u MAC adresy. V
případě použití autentizace protokolem 802.1X je číslo relace unikátní a je
bezpečně přenášeno autentizačním serverem, kde je pro zabezpečení používán
předsdílený klíč.
Každý přijatý rámec používá unikátní 48bitové číslo, které
je inkrementováno při každém přijetí rámce a je použito jak pro inicializační
vektor, tak i pro část základního klíče. Přidáním pořadového čísla ke klíči byla
dosažena odlišnost šifrovacího klíče každého paketu, která přispěla k odstranění
problému zvaného collision attack, se kterým se potýkal WEP. Pořadové číslo
použité i v inicializačním vektoru odstranilo problém možnosti použít opakovaně
stejný rámec (tzv. replay attacks), který byl v komunikaci již dříve použit,
protože umožňuje rámec s nesprávným pořadovým číslem odmítnout. Integrita rámců
je navíc v TKIP chráněna 64bitovým algoritmem MICHAEL.
Bezpečnost
TKIP
používá stejné základní bezpečnostní mechanismy jako WEP a v důsledku toho
nebylo dosaženo očekávané bezpečnosti. Kombinace klíčů TKIP protokolu
eliminuje WEP key recovery útoky. Nové rozšíření protokolu WPA zapříčinily i
nové typy útoků,ale naštěstí ne v takovém rozsahu jako tomu bylo u WEP.
Beck-Tews útok
TKIP je zranitelný k útokům typu keystream recovery attack,
pokud se povede úspěšně vykonat kód tohoto útoku, tak je dovoleno útočníkovi
přenést 7-15 paketů dat. Také byla publikována možnostTKIP-specific útoku, ke
kterému dne 8.listopadu 2008 programátoři Martin Beck a Erik Tews uvolnili
detaily.
Útok je rozšířením WEP chop-chop attack. Protože WEP
využívá kryptograficky nezabezpečený mechanismus kontrolního součtu CRC32,
útočník může hádat individuální bajty paketu a přístupový bod (AP) bude podle
toho zamítat nesprávné odhady. Ve výsledku útočník docílí toho, že pokud byl
odhad úspěšný, tak je to schopen detekovat a následně pokračovat v odhadu
zbývajících paketů. U původního chop-chop útoku útočník musel čekat po úspěšném
odhadu nejméně 60 sekund před pokračováním útoku. Protože protokol TKIP
pokračoval v užíváni kontrolního součtového mechanismu CRC32. Toto omezení je
implementováno v rozšíření MIC kód zvaném MICHAEL. Pokud jsou přijaty dva
nesprávné MICHAEL MIC kódy v intervalu 60 sekund, tak přístupový bod (AP) změní
TKIP session key. Proto tedy bude nutné při útoku Beck-Tews čekat vhodně dlouhou
dobu, aby se těmto opatřením předešlo. Odhadovaná doba odhalení 12 bajtů
Beck-Tews útoku je okolo 12 min na běžné síti.
Pokud útočník má již přístup k
celému šifrovanému paketu, tak pro příjímání čistého textu stejného paketu
útočník musí získat přístup k keystremu daného paketu (MIC kód relace). Použitím
této informace útočník může zkonstruhovat nový paket a přijmout ho na dané síti.
K obcházení WPA implementované replay ochrany Beck-Tews útoku využívá Quality of
Service (QoS) kanál pro přijetí ARP poisoning útoku, Denial of Service a jíné
podobné útoky.
V říjnu roku 2009 Halvorsen udělal další pokrok, povolil
útočníkovi vložit velký malicious paket (596 bajtů) během přibližně 18 minut a
25 sekund.
Ohigashi-Morii útok
Založeno na Beck-Tews útoku. Japonští
vědcí Toshihiro Ohigashi a Masakatu Morii nahlásili jednoduší a rychlejší
implementaci podobného útoku.Základem jsou podobné metody útoků, ale používá se
zde man-in-the-middle útok, který nevyžaduje od přístupového bodu povolenou
službu QoS.
Stejně jako Beck-Tews útok je útok efektivní proti TKIP a ne
proti WPA využívající AES.
Poslední novinky
ZDNet vyhlásil 18.června 2010,
že WEP & TKIP budou brzy zakázány wi-fi zařízeních sdružením Wi-Fi Alliance.