Chuyên đề Tổng quan về bảo mật wep trong mạng wireless lan

dài và các thao tác chuyển dịch hoán đổi, rất dễ dàng trong tính toán logic. Về mặt lý thuyết, RC4 không phải là một hệ thống mã hóa hoàn toàn an toàn bởi vì nó tạo ra một dòng giả ngẫu nhiên chính, không phải byte thực sự ngẫu nhiên. Nhưng nó đủ chắc chắn an toàn cho các ứng dụng, nếu được áp dụng đúng. Kết luận Chương này đã trình bày một số vấn đề cơ bản phương thức bảo mật WEP trong mạng WireLess Lan như: các định nghĩa, thuật ngữ, các vấn đề về bảo mật như xác thực, mã hóa, khóa sử dụng trong WEP, giá trị IV kết hợp với khóa, các thuật toán sử dụng để mã hóa như RC4, CRC...và cơ chế hoạt động của giao thức bảo mật WEP. Qua đó cho thấy một cái nhìn tổng quan về bảo mật WEP. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 56 CHƯƠNG 3 ĐIỂM YẾU CỦA PHƯƠNG THỨC BẢO MẬT WEP VÀ NHỮNG PHƯƠNG THỨC THAY THẾ 3.1.Điểm yếu của phương thức bảo mật WEP 3.1.1.Phương thức bảo mật WEP là không chắc chắn WEP nằm trong trong tiêu chuẩn 802,11 IEEE vào năm 1997,cho đến năm 1999 khi mà hệ thống đã được triển khai rộng rãi với sự ra đời của IEEE 802.11b và Wi-Fi thì nó đã không còn được ứng dụng rộng rãi. Hầu hết các nhà cung cấp cho phép mở rộng khóa từ 40-bit lên 104-bit (128 bit nếu sử dụng cả IV), và điều này cũng đã được thông qua trong Wi-Fi. Đã bắt đầu có những lo ngại về bảo mật WEP và các chuyên gia đã chỉ ra một số vấn đề. Đặc biệt, sự yếu kém của các phương pháp xác thực, như được mô tả các phần trước, và giai đoạn xác thực đã bị bỏ hoàn toàn. Tuy nhiên, các nhà sản xuất vẫn lo ngại về sức mạnh bảo mật của WEP. Nói cách khác, họ sợ rằng một cuộc tấn công nghiêm trọng và lớn có thể thành công. Vì những mối quan tâm và những khó khăn trong việc quản lý khóa, Ủy ban Tiêu chuẩn IEEE 802.11 đưa ra một nhóm nhiệm vụ mới để xem xét nâng cấp các phương pháp tiếp cận an ninh. Các ủy ban IEEE 802.11 là, về cơ bản,là một tổ chức tự nguyện. Các cuộc họp được tổ chức khoảng sáu lần một năm. Những cuộc họp này gồm các bài thuyết trình kỹ thuật, các cuộc thảo luận, soạn thảo văn bản, và xem xét ý kiến biểu quyết. Trong khi các nhóm nghiên cứu về IEEE 802,11 được xem xét những cách tiếp cận mới, cộng đồng nghiên cứu về bảo mật cũng nhìn lại về WEP. Trong những ngày đầu, bảo mật không được quan tâm nhiều vì mạng WireLess Lan chưa phải là một công nghệ phổ biến rộng rãi. Nhưng vào năm 2000 nó đã được xuất hiện ở khắp mọi nơi và nhiều trường đại học đã cài đặt. Các nhà nghiên cứu về bảo mật đã nghiên cứu trực tiếp về Wi- Fi LAN. Như đã làm hầu hết mọi người, họ nhận ra tiềm năng lợi thế, nhưng, cũng ngay lập tức đặt câu hỏi liệu các quy định về bảo mật đã thật sự hiệu quả. Năm 2000 một các báo cáo nghiên cứu nêu bật sự yếu kém và các lỗ hổng về bảo mật (Walker, 2000; Arbaugh et al., 2001; Borisov et al, 2001.). Cuối cùng, một cuộc tấn công Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 57 đã được thử nghiệm và cho thấy các khóa có thể được tìm thấy trong vòng vài giờ, bất kể độ dài khoá. Qua nhiều sự tấn công cho thấy: thật dễ dàng để lấy được các key này và truy nhập vào mạng Wi-Fi hay dữ liệu người dùng. "Công nghệ bảo mật WEP đã bị tê liệt hoàn toàn - một đứa trẻ con cũng dễ dàng làm được điều này. WEP không còn bảo đảm được sự an toàn cho người dùng Wi-Fi" Ralf-Philipp Weinmann - nhà nghiên cứu bảo mật - tác giả công cụ aircrack-ptw có thể crack WEP chỉ trong mấy phút, nhận định. Ông Weinmann và các đồng nghiệp đã tiết lộ aircrack trong đầu năm 2007, nhưng trước đó đã có ba nhóm nghiên cứu khác trong năm 2001, 2004 và 2005 cũng đã chỉ ra cách để xâm nhập WEP. Sự tấn công thử nghiệm gần đây nhất, được tạo ra bởi Ramachandran of AirTight Networks: lừa một máy tính đăng nhập vào một mạng Wi-Fi đã được kiểm soát. Từ đó, nó sẽ khai thác hệ thống "basic hand-shaking" trong Wi-Fi để lấy dữ liệu và phân tích ra key mã hóa. Và cơ hội để người dùng khôi phục lại là khá thấp. Theo đó, những người sử dụng kết nối dải rộng cũng có nguy cơ trở thành "miếng mồi" cho hacker. Tuy nhiên, Mark West - bộ phận kỹ thuật của Geek Squad cho biết: "Nhiều người vẫn bị ép buộc sử dụng WEP với các khuyết điểm mà họ không ưa chút nào." WEP bao gồm một số cơ chế bảo mật. Để đánh giá về khả năng anh ninh của WEP, chúng ta sẽ tìm hiểu các cơ chế cần thiết cho bảo mật: • Xác thực (Authentication). • Điều khiển truy cập (Access control). • Chống tấn công replay (Replay prevention) • Phát hiện sửa đổi thông tin (Replay prevention) • Thông điệp riêng tư (Message privacy) • Khóa bảo vệ (Key protection) Thật không may, WEP đều có lỗ hổng ở tất cả các cơ chế trên. Chúng ta sẽ xem xét kĩ từng phần. 3.1.2. Điểm yếu của xác thực (Authentication) trong phương thức WEP Xác thực là một quy trình nhằm cố gắng xác minh nhận dạng số (digital identity) của phần truyền gửi thông tin (sender) trong giao thông liên lạc chẳng hạn như một yêu cầu đăng nhập. Phần gửi cần phải xác thực có thể là một người dùng sử dụng một máy tính, bản thân một máy tính hoặc một chương trình ứng dụng máy tính (computer program). Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 58 Trong một mạng lưới tín nhiệm, việc "xác thực" là một cách để đảm bảo rằng người dùng chính là người mà họ nói họ là, và người dùng hiện đang thi hành những chức năng trong một hệ thống, trên thực tế, chính là người đã được ủy quyền để làm những việc đó. Trong thế giới không dây, thường cần xác thực lẫn nhau. Mạng muốn xác thực về người sử dụng, nhưng người sử dụng cũng muốn xác thực rằng mạng đó chính là mạng mình cần liên kết. Các chuyên gia bảo mật chỉ ra rằng việc sử dụng khóa bí mật khác nhau trong quá trình xác thực là cần thiết. Việc sử dụng các khóa xuất phát là đề xuất bởi vì khóa chính hiếm khi hoặc không bao giờ lộ ra khi bị tấn công. Tóm lại, quy tắc cơ bản về xác thực trong mạng LAN không dây là: • Phương thức chứng minh danh tính hiệu quả và không bị giả mạo. • Phương thức được duy trì liên tục và không bị chuyển đổi. • Xác thực lẫn nhau (Mutual authentication). • Khóa độc lập và không phục thuộc vào mã hóa hay các khóa khác Thật không may là WEP lại không đảm bảo được đầy đủ các yêu cầu trên. Ở phần trước đã nói, WEP xác thực dựa vào một cơ chế yêu cầu, đáp ứng. Trước tiên, AP sẽ gửi một chuỗi ngẫu nhiên các con số. Thứ hai, các thiết bị di động mã hóa chuỗi và gửi nó trở lại. Thứ ba, AP giải mã chuỗi và so sánh với chuỗi gốc. Sau đó nó có thể chọn để chấp nhận các thiết bị và gửi thông báo thành công. Các khóa được sử dụng cho quá trình này giống như khóa được sử dụng để mã hóa, do đó phá vỡ quy tắc 4. Không xác thực được các điểm truy cập với các thiết bị di động vì một điểm truy cập giả mạo có thể giả vờ là nó đã kiểm tra các chuỗi mã hóa và gửi tin nhắn thành công mà không cần biết khóa. Do đó vi phạm quy tắc 3. Quy tắc 2 là bị phá hỏng vì không có mã thông báo cung cấp để xác nhận giao dịch tiếp theo, làm cho toàn bộ quá trình xác thực là vô ích. Quy tắc 1 có vẻ như không liên quan đến việc tạo ra lỗ hổng trong bảo mật WEP. Sẽ khá thú vị khi nghiên cứu tại sao quy tắc này cũng bị vi phạm. Trong quá trình xác thực các điểm truy cập gửi một chuỗi ngẫu nhiên của 128 byte. Cách thức để tạo ra các chuỗi ngẫu nhiên này là không xác định, nhưng hy vọng rằng nó sẽ khác nhau với mỗi cố gắng xác thực. Các trạm di động mã hóa chuỗi và gửi nó trở lại. Có vẻ là tốt, nhưng với thuật toán mã hóa vào thời điểm này việc tạo ra một chuỗi các byte giả ngẫu nhiên còn gọi là chuỗi khóa và sau đó XOR nó với dữ liệu chưa được mã hóa. Bây giờ theo dõi bất kỳ một giao tác của dữ liệu chưa được mã hóa yêu cầu . Vì vậy, Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 59 đơn giản chỉ bằng cách XORing hai giá trị với nhau, đối phương sẽ có một bản sao của các byte ngẫu nhiên RC4. Xem phương trình cở bản: P R = C (Bản chưa được mã hóa XOR byte ngẫu nhiên = bản mã hóa) Và hãy nhớ rằng XORing hai lần sẽ trở lại với giá trị ban đầu (đó là giải mã): Nếu P R = C sau đó C R = P Tương tự, XORing các bản mã với bản ban đầu sẽ được chuỗi khóa ngẫu nhiên: Nếu P R = C sau đó C P = R Bây giờ kẻ tấn công biết chuỗi khóa tương ứng với giá trị IV đã cho. Bây giờ kẻ tấn công chỉ cần yêu cầu chứng thực, chờ văn bản đáp ứng, sau đó XOR với chuỗi khóa đã bắt được trước đó, và trả về kết quả với IV. Như trong quá trình xác thực bình thường, để kiểm tra kết quả các điểm truy cập gắn thêm các IV (lựa chọn bởi kẻ tấn công) cho khóa bí mật và tạo ra những chuỗi khóa RC4 ngẫu nhiên. Đây tất nhiên sẽ giống byte mà kẻ tấn công đã tìm ra bởi vì khóa và IV cũng tương tự như trước đó. Vì vậy khi điểm truy cập giải mã thông điệp bằng cách XOR với chuỗi khóa RC4, và thấy nó phù hợp. Như vậy kẻ tấn công đã được "chứng thực" mà mà không cần biết được khóa bí mật. Mặc dù kẻ tấn công có thể được chứng thực theo cách này, nhưng sau đó cũng không thể làm gì tiếp bởi vì frame đã được mã hóa với WEP. Vì vậy, kẻ tấn công cần phải phá vỡ mã hóa WEP. Tuy nhiên, thậm chí còn có thêm tin xấu. Đối với một số phương pháp tấn công khoá mật mã, đối phương cần có một mẫu phù hợp của bản rõ và bản mã. Đôi khi kẻ tấn công khá khó khăn để có được mẫu thích hơp, và có nhiều phương pháp phức tạp mà hắn có thể sử dụng để có được một mẫu. Và đáng tiếc là phương pháp xác thực WEP đã cung cấp một mẫu 128-byte cho hắn. Tệ hơn, nó là mẫu của 128 byte đầu tiên của chuỗi khóa, và dễ bị tổn thương nhất khi bị tấn công. Vì vậy, cách tiếp cận này không những không xác thực., mà còn thực sự giúp đối phương tấn công khóa mã hó. Tốt hơn là ta nên bỏ qua nó. Hầu hết các hệ thống hiện nay không sử dụng giai đoạn xác thực WEP. 3.1.3. Điều khiển truy cập (Access control) Kiểm soát truy cập là cho phép hay từ chối một thiết bị di động giao tiếp với mạng. Người ta thường nhầm lẫn với xác thực. Xác thực là chứng nhận bạn là ai,còn điều khiển truy cập không làm theo điều đó. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 60 Nói chung, quá trình điều khiển truy cập thường được kiểm soát bởi một danh sách các thiết bị được cho phép. Nó cũng có thể được thực hiện bằng cách cho phép truy cập vào bất cứ ai có thể chứng minh là sở hữu một xác thực nào đó hoặc một số thông khác. IEEE 802.11 không định nghĩa thế nào kiểm soát truy cập được thực hiện. Tuy nhiên, nhận dạng của các thiết bị chỉ được thực hiện bởi địa chỉ MAC, do đó, có một danh sách các địa chỉ MAC. Nhiều hệ thống thực hiện một cách đơn giản, theo đó có một danh sách địa chỉ MAC cho phép được truy cập vào các điểm truy cập, ngay cả khi hệ thống đang hoạt động mà không có WEP. Tuy nhiên, vì địa chỉ MAC có thể dễ dàng bị giả mạo, nên đây là một cơ chế bảo mật không an toàn. Nếu không thể tin tưởng địa chỉ MAC, thì WEP chỉ còn khóa mã hóa. Nếu các trạm di động không biết chính xác khóa WEP, khi đó frame gửi đi sẽ có một lỗi ICV khi giải mã. Vì vậy, các frame sẽ bị loại bỏ và thiết bị bị từ chối. 3.1.4.Chống tấn công replay (Replay prevention) Hãy giả sử bạn là một kẻ tấn công một mạng WireLess Lan và bạn có thể nắm bắt tất cả các frame được gửi giữa một điểm truy cập và một thiết bị di động. Bạn phát hiện một người dùng mới dùng máy tính xách tay để kết nối với mạng. Có lẽ điều đầu tiên sẽ xảy ra là máy chủ gửi cho người đó một thông báo đăng nhập và người đó phải nhập tên người dùng và mật khẩu của mình. Tất nhiên, bạn không thể xem các thông tin thực tế bởi vì chúng được mã hóa. Tuy nhiên, bạn có thể có thể đoán những gì đang xảy ra, dựa trên độ dài của thông tin đó Sau đó, bạn nhận thấy những người sử dụng đã đóng cửa và đi về nhà. Và, bây giờ là cơ hội của bạn. Bạn dùng máy của mình và sử dụng địa chỉ MAC của người sử dụng và kết nối với mạng. Bây giờ, nếu thành công, bạn sẽ nhận được một thông báo để đăng nhập Một lần nữa, bạn sẽ không thể giải mã nó, nhưng bạn có thể đoán được một số thông tin từ kích thước. Vì vậy, bây giờ bạn gửi một bản sao của thông báo người sử dụng hợp pháp được gửi tại điểm đó. Bạn đang phát lại thông báo cũ mà không cần phải biết nội dung. Nếu không có phương thức bảo vệ chống replay, các điểm truy cập sẽ giải mã một cách chính xác thông tin đó, sau đó, nó bắt đầu được mã hóa với một khóa hợp lệ trước khi bạn có thể ghi nó.Điểm truy cập sẽ gửi thông báo đến máy chủ đăng nhập, và chấp nhận nó như là một đăng nhập hợp lệ. Bạn, một kẻ tấn công, đã đăng nhập thành công vào mạng và máy chủ. Đây là một vi phạm nghiêm trọng đến vấn đề bảo mật. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 61 Có nhiều ví dụ khác, mà cuộc tấn công replay có thể phá được an ninh mạng, trừ khi được thiết kế đặc biệt để phát hiện và loại bỏ các bản sao cũ của thông báo. Các giao thức bảo mật không dây chỉ nên cho phép có một bản sao của thông báo. Đến thời điểm này, không ai còn ngạc nhiên khi nhận ra rằng WEP không hề có bảo vệ chống lại lại tấn công replay. Điều đó không được tính đến khi thiết kế WEP. Vậy nên có thể nói là phương thức chống tấn công Replay không bị hỏng, mà đơn giản là nó không hề tồn tại trong WEP. 3.1.5. Phát hiện sửa đổi thông tin WEP có một cơ chế được thiết kế để ngăn ngừa thay đổi tin nhắn. Có thể sử dụng những cách thức phức tạp để sửa đổi thông báo. Nhiều người khi nghĩ về việc thay đổi nội dung của thông điệp đều nghĩ đến việc nội dung của thông điệp đó được thay đổi một cách rõ ràng. Ví dụ, việc thay đổi tài khoản ngân hàng được gửi tiền hoặc số tiền chuyển đến. Tuy nhiên, trong thực tế sửa đổi trên quy mô lớn sẽ rất khó vì cần phải đọc được thông điệp gốc và giả mạo nó. Nếu không thể giải mã thông điệp, rõ ràng là sẽ khó khăn hơn trong việc sửa đổi bản thông tin được mã hóa. Tuy nhiên, trong trường hợp này có thể sửa đổi để trích xuất thông tin. Một bài báo kỹ thuật của Borisov et al. (2001) đề xuất một phương pháp để khai thác dữ liệu "bit flipping", trong đó một số bit mã hóa sẽ được thay đổi. Vị trí của IP header thường được biết đến vì sau khi mã hóa WEP không sắp xếp lại các vị trí byte. Bởi vì header IP có một trường là checksum, chỉ cần thay đổi một bit của header thì checksum sẽ thất bại. Tuy nhiên, nếu thay đổi bit trong trường checksum, có thể sẽ dẫn đến trùng khớp. Các nhà nghiên cứu đã chỉ ra rằng, nếu sửa một vài bit thích hợp thì khung IP có thể được chấp nhân, và dựa vào thông tin đáp ứng trở lại, họ cuối cùng có thể giải mã các phần của một khung. Để ngăn chặn giả mạo, WEP bao gồm có một trường kiểm tra gọi là kiểm tra tính toàn vẹn giá trị (ICV). Chúng tôi xem lại phần trước về các định dạng frame. Ý tưởng về ICV là khá đơn giản: tính toán giá trị kiểm tra hoặc CRC (cyclic redundancy kiểm tra) trên tất cả các dữ liệu được mã hóa, thêm giá trị kiểm tra vào cuối dữ liệu, và sau đó mã hóa toàn bộ. Nếu một người nào đó thay đổi một chút trong bản mã, dữ liệu khi được giải mã sẽ không sẽ khoong có giá trị kiểm tra thích hợp và phát hiện là đã có sự sửa đổi. Vì ICV được mã hóa, nên không thể tính toán chính xác giá trị của nó để sửa đổi sao cho những thay đổi đã thực hiện trở nên thích hợp. ICV được sử dụng để bảo mật cho bản mã này. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 62 Nhưng nếu kẻ tấn công biết khóa, hắn có thể sửa đổi dữ liệu và tính toán lại giá trị ICV trước khi mã hóa lại và gửi frame đi. Một lần nữa Borisov et al. chỉ ra lỗ hổng về mặt logic. Phương pháp CRC được sử dụng để tính toán các ICV được gọi là một phương pháp tuyến tính. Với phương pháp này, bạn có thể dự đoán các bit trong ICV sẽ được thay đổi nếu bạn thay đổi chỉ một bit trong thông điệp. ICV là 32 bit. Hãy giả sử các thông điệp là 8.000 bit (1.000 byte) và bạn thay đổi ở 5.244 bit. Bạn có thể tính toán được các bit trong ICV bị thay đổi. Thường không chỉ một bit bị thay đổi nhưng sự kết hợp của các bit mà sẽ thay đổi. Lưu ý rằng ta sử dụng từ "thay đổi", không phải "đặt" hoặc "rõ ràng." Bạn không cần phải biết giá trị thực sự của văn bản, bạn chỉ cần biết rằng nếu bạn thay đổi giá trị của một số bit trong dữ liệu, bạn vẫn có thể giữ giá trị của ICV hợp lệ bằng cách thay đổi kết hợp một số bit của nó. Thật không may, bởi vì WEP hoạt động bằng cách XOR dữ liệu để có được bản mã, bit bị thay đổi sẽ tồn tại quá trình mã hóa. Flipping một bit trong bảng gốc sẽ dẫn đến thay đổi các bit tương tự trong bản mã, và ngược lại. Giả thiết cho rằng các ICV được bảo vệ chỉ bởi khóa không còn được cho là đúng. giá trị thực tế của nó là bảo vệ, nhưng có thể thay đổi nhiều bit của nó. Có thể thay đổi các bit tương ứng với một sự thay đổi trong dữ liệu, như vậy hoàn toàn có thể đánh bại cơ chế bảo mật này. Thực tế là WEP không cung cấp bảo vệ hiệu quả chống lại bản mã sửa đổi. 3.1.6. Thông điệp riêng tư (Message privacy) Một vấn đề lớn: tấn công các phương pháp mã hóa WEP. Chúng ta đã thấy các cơ chế bảo mật ở phần trên là không hiệu quả, nhưng phương thức mã hóa vẫn được duy trì, thì những việc mà kẻ tấn công có thể làm là rất hạn chế. Có hai mục tiêu chính trong tấn công mã hóa: giải mã thông điệp và được khóa. Sự thành công cuối cùng là để có được khóa. Một khi kẻ tấn công có khóa, hắn có thể tự do khám phá và tìm kiếm các thông tin có giá trị. Sở hữu khóa có nghĩa là truy cập được vào các thông tin bí mật và đi qua được các lớp an ninh bên trong, chẳng hạn như mật khẩu bảo vệ máy chủ và hệ điều hành. Tuy nhiên, đặt vấn đề truy cập mạng trái phép qua một bên. Nếu một kẻ tấn công có được khóa, sẽ không bị phát hiện, và có đủ thời gian để tìm kiếm thông tin hữu ích. Nếu một cuộc tấn công được phát hiện, các khóa WEP có thể được thay đổi, bảo mật được thiết lập lại. Cách tốt nhất để lấy được khóa là có được thông điệp gốc. Nếu có thông điệp gốc, kẻ tấn công có thể thực hiện rất nhiều kiểu tấn công khác nhau như sửa đổi thông điệp và phát lại. Các thông tin này cũng có thể được sử dụng như một bàn đạp để lấy được khóa. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 63 Có ba điểm yếu kém trong cách RC4 được sử dụng trong WEP và hãy xem xét từng trường hợp riêng biệt: • Tái sử dụng giá trị kiểm tra tính toàn vẹn ICV (integrity check value) • Sự yếu kém của khóa được tạo bởi RC4 • Trực tiếp tấn công khóa Tái sử dụng giá trị kiểm tra tính toàn vẹn ICV (integrity check value) Một trong những nhà mật mã học đầu tiên chỉ ra điểm yếu của WEP là Jesse Walker của Intel. Tháng 10 năm 2000 ông đã trình bày với Ủy ban Tiêu chuẩn IEEE 802,11 về vấn đề "Không an toàn với bất kỳ kích thước nào của khóa, phân tích của sự đóng gói WEP." Walker chỉ ra một số điểm yếu, và đặc biệt tập trung vào vấn đề tái sử dụng IV. Hãy xem xét IV được sử dụng như thế nào. Thay vì sử dụng một khóa bí mật cố định, khóa bí mật được gắn thêm một giá trị IV 24-bit và sau đó là sự kết hợp khóa bí mật và IV để tạo thành khoá mã hóa. Giá trị của IV được gửi trong một frame để các thiết bị nhận có thể thực hiện giải mã. Một mục đích của IV là để đảm bảo rằng hai thông điệp giống hệt nhau sẽ không cho ra bản mã giống nhau. Tuy nhiên, có một mục đích thứ hai và quan trọng hơn liên quan đến cách sử dụng WEP XOR để tạo ra các bản mã. Giả sử vào thời điểm này không có chỉ IV và khoá bí mật được sử dụng để mã hóa. Đối với mỗi khung hình, thuật toán RC4 được khởi tạo với giá trị khóa trước khi bắt đầu phát sinh chuỗi khóa giả ngẫu nhiên. Nhưng nếu khóa được giữ cố định, các thuật toán RC4 được khởi tạo có trạng thái giống nhau vào mọi thời điểm. Do đó chuỗi khóa sẽ là một chuỗi byte giống nhau cho mỗi frame. Điều này là rất nguy hiểm bởi vì, nếu kẻ tấn công có thể tìm ra chuỗi khóa chính là gì, anh ta có thể dễ dàng giải mã từng frame bằng cách XOR frame với trình tự đã biết. Bằng cách thêm vào khóa giá trị IV trong từng thời điểm, RC4 được khởi tạo với trạng thái khác nhau cho mỗi frame và dẫn đến chuỗi khóa khác nhau cho mỗi lần mã hóa, như vậy sẽ tốt hơn nhiều. Nhưng có thật là giá trị IV là khác nhau cho mỗi frame. Nếu IV là một giá trị không đổi, sẽ không khá trường khóa là cố định. Chúng ta thấy rằng nếu IV là hằng số thì sẽ vô ích.Việc sử dụng giá trị IV khác nhau cho mỗi frame là cần thiết. Nhưng có một số giới hạn các IV có thể vì vậy tuy sử dụng IV khác nhau cho hầu hết các frame nhưng cuối cùng bắt đầu phải tái sử dụng IV đã được sử dụng trong quá khứ. Điều này là không thể chấp nhận được, nhưng nó là chính xác những gì WEP thực hiện. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 64 Tại sao tái sử dụng IV lại là một vấn đề. Chúng ta đã chắc chắn rằng IV nên là khác nhau cho mỗi frame. Trực quan, bạn có thể nghĩ rằng cách tiếp cận tốt nhất là tạo ra một giá trị ngẫu nhiên. Tuy nhiên, với lựa chọn ngẫu nhiên thì khả năng bạn sẽ nhận được một IV lặp lãi là rất dễ xảy ra. Điều này được gọi là mẫu thuẫn ngày sinh nhật Cách tốt nhất để phân bổ IV đơn giản là gia tăng giá trị sau mỗi lần. Điều này sẽ gia tăng thời gian để một giá trị IV lặp đi lặp lại. Tuy nhiên, với một IV 24-bit, một xung đột IV (sử dụng một giá trị trước đó) sẽ xảy ra sau khi 224 frame đã được truyền (gần 17.000.000). IEEE 802.11b có khả năng truyền tải 500 frame một giây và đôi khi còn nhiều hơn. Với 500 frame một giây, toàn bộ giá trị IV sẽ dùng hết trong khoảng bảy giờ. Trong thực tế có khả năng tái sử dụng là sớm hơn nhiều vì có thể có nhiều thiết bị truyền, mỗi lần gia tăng sẽ sử dụng một giá trị IV riêng biệt (giả định các khóa mặc định được sử dụng). Tái sử dụng IV là chắc chắn trong WEP vì vậy chúng ta hãy nhìn lại tại sao xung đột là một vấn đề. Mâu thuẫn ngày sinh (Birthday Paradox ) BirthDay attack" là tên của một cuôc tấn công, tên này được sử dụng để nói về một loại tấn công "brute-force".Tên cuộc tấn công đựoc đặt như vậy xuất phát từ một kết quả khảo sát đầy ngạc nhiên: Trong một nhóm 23 người, khả năng 2 người hay nhiều hơn 2 ngươi có cùng ngày sinh sẽ đạt xác xuất lớn hơn ½. Nếu một hàm số nào đó, khi đưa vào một biến số ngẫu nhiên, cho ra một kết quả có giá trị nằm trong vùng giá trị bằng, giống nhau k, thì sau khoảng 1,2 k ^1/2 [1,2 x căn k] phép thử lặp lại với các biến số đầu vào khác nhau, ta sẽ có các kết quả giống hệt nhau. Trong trường hợp "BirthDay paradox" thì thấy k=365. Nếu bạn biết các chuỗi khóa tương ứng với một giá trị IV đã cho, bạn ngay lập tức có thể giải mã bất kỳ frame nào tiếp theo mà sử dụng cùng một IV (và khóa bí mật). Điều này đúng bất kể là khóa bí mật là 40 bit, 104 bit, hoặc 1.040 bit. Để giải mã tất cả các thông điệp, bạn sẽ phải biết chuỗi khóa với mỗi giá trị IV có thể. Bởi vì có gần 17.000.000 giá trị IV có thể, nên đây có vẻ là một nhiệm vụ khó khăn. Tuy nhiên, nó không phải là không thể: Nếu bạn muốn lưu 1.500-byte chuỗi khóa, cho mỗi giá trị IV có thể, bạn cần một không gian lưu trữ của 23Gbytes-khá khả thi trên đĩa cứng của một máy tính hàng ngày. Với cơ sở dữ liệu như vậy, bạn có thể giải mã tất cả các thông điệp được gửi mà không cần biết được khóa bí mật. Tuy nhiên, bạn vẫn phải tìm hiểu tất cả những chuỗi khóa đó. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 65 Giả sử bạn đã nắm bắt hai thông điệp được mã hóa bằng cách sử dụng cùng một IV và khóa bí mật. Bạn biết rằng chuỗi khóa là như nhau trong cả hai trường hợp, mặc dù bạn chưa biết chính xác nó là bao nhiêu. Ta sẽ phân tích: C1 = P1 KS (Bản mã1 = bản gốc1 XOR với chuỗi khóa) Và C2 = P2 KS (Bản mã1 = bản gốc1 XOR với chuỗi khóa) Với chuỗi khóa là như nhau trong mỗi trường hợp Nếu bạn XOR C1 và C2, KS biến mất: C1 C2 = (P1 KS) (P2 KS) = P1 P2 KS KS = P1 P2 Điều này đúng vì XOR cùng một giá trị hai lần sẽ đưa bạn trở lại giá trị ban đầu của bạn. Vậy, nếu kẻ tấn công có một thông điệp là XOR của hai bản gốc thì có hữu ích không? Vẫn chưa. Tuy nhiên, một số các giá trị của bản gốc chắc chắn được biết đến, chẳng hạn như một số trường nhất định trong header. Một số trường khác giá trị là không được biết, nhưng mục đích của nó thì được biết đến. Ví dụ, trường địa chỉ IP có một bộ giới hạn các giá trị có thể có trong hầu hết các mạng. Các phần của văn bản thường được mã hóa ASCII , có thể là bàn đạp cho kẻ tấn công. Trong một khoảng thời gian, nếu bạn thu thập đủ mẫu của IV, bạn có thể đoán phần đáng kể của chuỗi khóa và do đó giải mã được nhiều hơn nữa. Nó giống như một tòa nhà bị sụp đổ: Mỗi khối bị bạn phá vỡ đi làm cho nó càng có thể sụp đổ hoàn toàn. Giống như bạn có một số các chữ cái trong một từ và bạn cố gắng đoán các câu văn. Một khi bạn thành công cho một IV, bạn có thể giải mã tất cả các frame tiếp theo bằng cách sử dụng IV và tạo ra frame giả mạo bằng cách sử dụng cùng một IV. Mặc dù bạn không hề biết khóa. Điểm yếu của khóa RC4 Thuật toán RC4 sẽ sinh ra số giả ngẫu nhiên (giả ngẫu nhiên). Một khi có một chuỗi các byte giả ngẫu nhiên, chúng ta có thể sử dụng chúng để mã hóa dữ liệu bằng chức năng XOR. Như chúng ta đã thấy, sử dụng toán tử đơn giản XOR sẽ là nguồn gốc của sự yếu Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 66 kém nếu nó không được áp dụng một cách chính xác, nhưng bây giờ, chúng ta hãy tập trung vào các chuỗi giả ngẫu nhiên, hoặc chuỗi khóa. Ý tưởng cơ bản mã hóa RC4 là tạo ra một chuỗi các trình tự giả ngẫu nhiên của các byte được gọi là khóa dòng, sau đó được kết hợp với các dữ liệu bằng cách sử dụng toán tử OR (XOR). Toán tử XOR kết hợp hai byte và tạo ra một byte duy nhất. Nó làm điều này bằng cách so sánh các bit tương ứng trong từng byte. Nếu chúng bằng nhau, kết quả là 0, nếu chúng khác nhau, kết quả là 1. Ví dụ như hình 3.1 Hình 3.1: Toán tử XOR Mỗi byte giả ngẫu nhiên được tạo ra bằng cách chọn một giá trị duy nhất từ các hoán vị dựa trên hai giá trị chỉ số, i và j, mà cũng thay đổi từng thời gian. Có rất nhiều hoán vị của 255 giá trị có thể được thực hiện. Trong thực tế, kết hợp với hai chỉ số, có 512 * 256! (Giai thừa) khả năng, là một số quá lớn để tính toán trên bất kỳ máy tính chúng ta có. Khả năng của RC4 là khá mạnh mẽ mặc nó rất đơn giản. Rát khó để phân biệt một chuỗi giả ngẫu nhiên RC4 với một chuỗi ngẫu nhiên thực sự. RC4 đã được nghiên cứu bởi nhiều nhà mật mã học và chưa có phương pháp tốt nhất để phân biệt một chuỗi RC4 với một chuỗi ngẫu nhiên thật sự. Nó đòi hỏi cầm biết một mẫu liên tục của 1Gbyte của chuỗi đó trước khi khẳng định rằng chuỗi đó được tạo ra bởi RC4. Thực tế là RC4 có một nhược điểm khá quan trọng. Để hiểu rõ sự yếu kém, chúng ta xem RC4 làm việc như thế nào. Đầu tiên nó tạo ra một bảng (S-box) từ 0-255 giá trị. Sau đó nó tạo ra một bảng 256-byte thứ hai với khoá, lặp đi lặp lại đến.khi bảng đó đầy. Sau đó, nó sắp xếp lại các S-box dựa trên giá trị trong bảng khóa. Đây là giai đoạn khởi tạo. Các byte giả ngẫu nhiên đầu tiên được tạo ra bằng cách sắp xếp lại các S-box một lần nữa. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 67 Vấn đề ở đây là không có sắp xếp lại nhiều giữa các thiết lập ban đầu của bảng chính và giả ngẫu nhiên các byte giả ngẫu nhiên đầu tiên. Fluhrer et al. (2001) phân tích thực tế này "Điểm yếu trong tạo khóa của thuật toán RC4." Họ cho thấy rằng đối với một số giá trị quan trọng, mà họ gọi là các khóa yếu, một số lượng không cân xứng của các bit trong byte đầu tiên của chuỗi khóa (bytes giả ngẫu nhiên) đã được xác định bởi một vài bit của khóa. Nhìn vào điểm yếu này theo cách khác: Một cách lý tưởng nếu bạn thay đổi bất kỳ bit nào trong khoá, sau đó sẽ tạo nên chuỗi khóa hoàn toàn khác nhau. Mỗi bit nên có một cơ hội 50% là khác nhau từ các dòng chính trước đó. Các nghiên cứu đã chỉ ra rằng đây không phải là sự trùng hợp. Một số bit của khoá có ảnh hưởng lớn hơn các bit khác. Một số bit khác lại không có ảnh hưởng (trên vài byte đầu tiên của chuỗi khóa). Điều này là xấu vì hai lý do. Trước tiên, nếu bạn giảm số lượng các bit có hiệu quả, sẽ dễ dàng hơn để tấn công khóa. Thứ hai, vài byte đầu tiên của bản gốc thường dễ dàng hơn để đoán. Ví dụ, trong WEP nó thường là tiêu đề LLC mà bắt đầu với cùng một giá trị thập lục phân "AA". Nếu bạn biết bản gốc, bạn có thể lấy được chuỗi khóa và bắt đầu tấn công khóa. Có một cách rất đơn giản để tránh sự yếu kém: Huỷ vài byte đầu tiên của chuỗi khóa RC4. Một giới thiệu của RSA Labs là để loại bỏ 256 byte đầu tiên của chuỗi khóa, nhưng tất nhiên WEP không làm được điều này và thay đổi như vậy có nghĩa là các hệ thống cũ sẽ không còn tương thích. Bạn có thể nghĩ rằng điều này không phải là quá xấu. Bạn có thể cố gắng không sử dụng một khóa yếu; hoặc nếu bạn biết được những khóa yếu, bạn có thể tránh được chúng, phải không? Hãy nghĩ lại. Hãy nhớ rằng các IV được thêm vào khóa bí mật. Và IV là luôn luôn thay đổi. Vì vậy, sớm hay muộn, khóa yếu được tạo ra. Những cách tấn công trực tiếp lên khóa (Direct Key Attacks) Trong một bài báo, Fluhrer et al. chỉ ra rằng sử dụng một giá trị IV thêm vào khóa bí mật tạo ra một điểm yếu rất lớn vì nó cho phép kẻ tấn công chờ đợi một khóa yếu để trực tiếp tấn công. Có hai trường hợp, một là IV được nối vào sau khóa bí mật và hai là IV được nối vào trước. Các trường hợp thêm vào trước là dễ bị tổn thương, và đó là trường hợp có liên quan cho WEP. Ý tưởng là dựa trên khai thác các vấn đề trong các byte đầu tiên của khóa yếu. Đầu tiên bạn biết bản gốc qua một vài byte đầu tiên. Xem xét quá trình truyền phát để tìm Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 68 kiếm một khóa yếu phát sinh bởi các IV. Bây giờ bạn có một sự tương quan giữa các bản mã, bản gốc, và các byte khóa bí mật. Chỉ có một số giới hạn các giá trị có thể cho các byte đầu tiên của khóa bí mật mà có thể phù hợp với bản gốc và bản mã. Sau khi thu được khoảng 60 thông điệp như vậy, những kẻ tấn công có thể đoán các byte đầu tiên của khóa Phương pháp này có thể được điều chỉnh để tấn công lần lượt mỗi byte khóa bí mật để cuối cùng toàn bộ khóa bí mật có thể được trích xuất. Lưu ý rằng tăng kích thước khóa từ 40 bit đến 104 bit chỉ có nghĩa là phải mất 2,5 lần thời gian để trích xuất khóa. Tất cả các điểm yếu trước đây của WEP đều không nghiêm trọng bằng cuộc tấn công này. Hãy nhớ rằng chiết xuất các khóa là mục tiêu cuối cùng của kẻ tấn công, và đây là một phương pháp chiết xuất trực tiếp các khóa trong thời gian tuyến tính. 3.2.Những phương thức tấn công hay gặp 3.2.1.Phương thức dò mã dùng chung Mã khóa dùng chung – Shared key có vai trò quan trọng trong cả 2 quá trình mã hóa và giải mã, vì vậy một trong những cách phá WEP mà kẻ tấn công hay dùng là dò ra mã khóa dùng chung đó dựa trên việc bắt gói tin, tổng hợp số liệu. Chúng ta sẽ biểu diễn quá trình mã hóa và giải mã dưới dạng toán học để phân tích nguyên lý phá mã khóa chung mã hóa. - Gọi Z là kết quả sau khi thực hiện mã hóa RC4 tức là Z = RC4(Key, IV). - Gọi phần dữ liệu chưa mã hóa lúc đầu là P (gồm CRC và Packet), dữ liệu sau khi mã hóa là C, ta có C = P Z. Như vậy phía phát sẽ truyền đi gói tin gồm có mã IV và chuỗi C. Ở phía thu sẽ tách riêng IV và C: - Xây dựng giá trị Z theo công thức Z = RC4(Key, IV) giống như ở bên phát. - Sau đó tìm lại P theo công thức C Z = (P Z) Z = P (Z Z ) = P Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 69 Như đã đề cập ở trên về khả năng giá trị IV lặp lại giống nhau, khi kẻ tấn công bắt được các gói tin đã mã hóa và tìm được các cặp gói tin có mã IV giống nhau thì quá trình bẻ khóa sẽ như sau: - Vì 2 gói tin cùng dùng một mã khóa chung, lại có IV giống nhau vì vậy giá trị Z cũng sẽ giống nhau Z = RC4(Key, IV). - Giả sử gói tin thứ nhất có chứa thông tin mã hóa là C tức là C = P Z. - Giả sử gói tin thứ hai có chứa thông tin mã hóa là C’ tức là C’ = P’ Z. - Kẻ tấn công bắt được cả hai gói tin đã mã hóa là C và C’. - Nếu thực hiện phép toán C C’ thì sẽ được kết quả là C C’= (P Z) (P’ Z) = (P P’) (Z Z) = P P’ - Vì biết C và C’ nên sẽ biết giá trị P P’. - Nếu biết được P thì sẽ suy ra P’, cùng với C và C’ tính ra được Z = C P - Biết Z, có IV, có thể dò ra được giá trị Key bằng các thuật toán giải mã RC4. Hình 3.2: Quá trình mã hóa khi truyền đi Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 70 Hình 3.3: Quá trình giải mã khi nhận về 3.2.2. Bắt được bản tin gốc trao đổi giữa điểm truy cập và máy khách Việc biết được P tức là 1 bản tin (lúc chưa mã hóa) trao đổi giữa Client và AP ở thời điểm nào đó về lý thuyết có vẻ là khó vì số lượng bản tin truyền đi là cực kỳ nhiều nhưng thực tế lại có thể biết được bằng cách sau: Kẻ tấn công làm cho Client và AP phải trao đổi với nhau liên tục, mật độ cao 1 bản tin (mà kẻ tấn công đã biết trước) trong khoảng thời gian đó. Như vậy xác suất bản tin trao đổi trong thời khoảng thời đó là bản tin mà kẻ tấn công biết trước là rất cao (vì còn có bản tin trao đổi của các kết nối khác, nhưng số lượng ít hơn). Phương pháp thực hiện như sau: Thực hiện từ bên ngoài mạng không dây Phương pháp này được thực hiện khi mạng không dây có kết nối với mạng bên ngoài. Kẻ tấn công từ mạng bên ngoài sẽ gửi liên tục các gói tin đến máy Client trong mạng không dây, gói tin đơn giản nhất có thể gửi là gói tin Ping dùng giao thức ICMP, khi đó bản tin giữa AP và Client sẽ là các bản tin ICMP đó. Như vậy hắn đã biết được bản tin gốc P. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 71 Hình 3.4: Mô tả quá trình thực hiện từ bên ngoài mạng không dây Thực hiện ngay từ bên trong mạng không dây Việc thực hiện bên trong sẽ phức tạp hơn một chút, và phải dựa trên nguyên lý Sửa bản tin khai thác từ điểm yếu của thuật toán tạo mã kiểm tra tính toàn vẹn ICV. Kẻ tấn công sẽ bắt 1 gói tin truyền giữa Client và AP, gói tin là chứa bản tin đã được mã hóa, sau đó bản tin sẽ bị sửa một vài bit (nguyên lý bit-flipping) để thành 1 bản tin mới, đồng thời giá trị ICV cũng được sửa thành giá trị mới sao cho bản tin vẫn đảm bảo được tính toàn vẹn ICV. Nguyên lý Bit-Flipping có như sau: Hình 3.5: Mô tả nguyên lý Bit - Flipping Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 72 Kẻ tấn công sẽ gửi bản tin đã sửa này đến AP. AP sau khi kiểm tra ICV, thấy vẫn đúng nó sẽ gửi bản tin đã giải mã cho tầng xử lý lớp 3. Vì bản tin sau khi mã hóa bị sửa 1 vài bit nên đương nhiên bản tin giải mã ra cũng bị sai, khi đó tầng xử lý ở lớp 3 sẽ gửi thông báo lỗi, và AP chuyển thông báo lỗi này cho Client. Nếu kẻ tấn công gửi liên tục lặp đi lặp lại bản tin lỗi này cho AP thì AP cũng sẽ gửi liên tục các thông báo lỗi cho Client. Mà bản tin thông báo lỗi này thì có thể xác định rõ ràng đối với các loại thiết bị của các hãng và kẻ tấn công đương nhiên cũng sẽ biết. Như vậy hắn đã biết được bản tin gốc P. Hình 3.6: Mô tả quá trình thực hiện từ bên trong mạng không dây Tóm lại, khi tìm được các cặp gói tin có IV giống nhau, kẻ tấn công tìm cách lấy giá trị P (có thể bẳng cách đẩy các gói tin P giống nhau vào liên tục) thì khả năng kẻ tấn công đó dò ra mã khóa dùng chung (shared key) là hoàn toàn có thể thực hiện được. 3.2.Những phương thức thay thế 3.2.1. Cải tiến trong phương pháp chứng thực và mã hóa WEP Để tăng cường tính bảo mật của WEP, tổ chức IEEE 802.11 đã đưa ra giao thức tích hợp khóa tạm thời TKPI – Temporal Key Integrity Protocol. TKIP bổ sung 2 phần chính cho WEP là: • Kiểm tra tính toàn vẹn của bản tin (MIC-Message Integrity Check). • Thay đổi mã khóa cho từng gói tin (Per packet keying). Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 73 Bổ sung trường MIC Giá trị kiểm tra tính toàn vẹn của bản tin MIC - Message Integrity Check được bổ sung vào 802.11 để khắc phục những nhược điểm của phương pháp kiểm tra toàn vẹn dữ liệu ICV. • MIC bổ sung thêm số thứ tự các trường trong khung dữ liệu (AP sẽ loại bỏ những khung nào sai số thứ tự đó), để tránh trường hợp kẻ tấn công chèn các gói tin giả mạo sử dụng lại giá trị IV cũ. • MIC bổ sung thêm 1 trường tên là MIC vào trong khung dữ liệu để kiểmsự toàn vẹn dữ liệu nhưng với thuật toán kiểm tra phức tạp, chặt chẽ hơn ICV. Hình 3.2 Cấu trúc khung dữ liệu trước và sau khi bổ sung Trường MIC dài 4 byte được tổng hợp từ các thông số theo hàm HASH: Thay đổi mã khóa theo từng gói tin Vì việc dùng giá trị khóa dùng chung trong một khoảng thời gian có thể bị kẻ tấn công dò ra trước khi kịp đổi nên người ta đưa ra một phương pháp là thay đổi mã khóa này theo từng gói tin. Nguyên lý thực hiện đơn giản bằng cách thay vì đưa giá trị Mã khóa tới đầu vào của bộ RC4, người ta sẽ kết hợp mã khóa này với IV bằng hàm băm Hash, rồi đưa kết quả này (gọi là Mã khóa tổ hợp) tới đầu vào của bộ RC4. Vì mã RC4 thay đổi liên tục (tăng tuần tự) theo mỗi gói tin nên Mã khóa tổ hợp cũng thay đổi liên tục dù mã khóa chưa đổi. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 74 Hình 3.3: Cấu trúc bên trong của trường MIC Hàm băm Hash Đây là một loại hàm mã hóa dữ liệu thỏa mãn các yêu cầu sau: • Tóm lược mọi bản tin có độ dài bất kỳ thành một chuỗi nhị phân có độ dài xác định. • Từ chuỗi nhị phân này không thể tìm lại bản tin nguyên thủy ban đầu (hàm tóm lược là hàm một chiều). • Bất kỳ một thay đổi dù rất nhỏ ở bản tin nguyên thủy cũng dẫn đến sự thay đổi của chuỗi tóm lược. • Các hàm tóm lược này phải thỏa mãn tính chất “không va chạm” có nghĩa là với hai bản tin bất kỳ khác nhau, cùng dùng một hàm tóm lược rất khó có thể cho ra hai chuỗi tóm lược có nội dung giống nhau. Điều này rất có ích trong việc chống giả mạo nội dung bức điện. Thay đổi mã khóa theo từng gói tin Vì việc dùng giá trị khóa dùng chung trong một khoảng thời gian có thể bị kẻ tấn công dò ra trước khi kịp đổi nên người ta đưa ra một phương pháp là thay đổi mã khóa này theo từng gói tin. Nguyên lý thực hiện đơn giản bằng cách thay vì đưa giá trị Mã khóa tới đầu vào của bộ RC4, người ta sẽ kết hợp mã khóa này với IV bằng hàm băm Hash, rồi đưa kết quả này (gọi là Mã khóa tổ hợp) tới đầu vào của bộ RC4. Vì mã RC4 thay đổi liên tục (tăng tuần tự) theo mỗi gói tin nên Mã khóa tổ hợp cũng thay đổi liên tục dù mã khóa chưa đổi. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 75 Hình 3.4: Môt tả quá trình mã hóa khi truyền đi sau khi bổ sung Để đảm bảo hơn nữa, Cisco đưa ra quy ước là giá trị IV vẫn để tăng tuần tự nhưng AP dùng giá trị IV lẻ còn Client dùng giá trị IV chẵn như vậy giá trị IV của AP và Client sẽ không bao giờ trùng nhau và mã khóa tổ hợp của AP và Client cũng sẽ không bao giờ trùng nhau. 3.2.2. Chuẩn chứng thực 802.1x Nhược điểm chính đầu tiên của 802.11 là chưa đưa ra được một cách chắc chắn tính xác thực và tính toàn vẹn của bất kỳ khung nào trong mạng không dây. Các khung trong mạng không dây có thể bị sửa đổi hoặc bị giả mạo một cách dễ dàng. Đồng thời nó cũng không đưa ra được giải pháp ngăn chặn cũng như nhận biết được sự tấn công một cách dễ dàng. Chứng thực một chiều tức là Client chứng thực tới AP là nhược điểm chính thứ hai. Vì vậy 802.1x đã được thiết kế để cho phép có sự chứng thực tính hợp pháp của AP với Client. Mục đích của nó là đưa ra để khẳng định người dùng sẽ chỉ kết nối với mạng “đúng”. Ở mạng hữu tuyến, việc kết nối tới đúng mạng có thể đơn giản như theo đường dây dẫn. Truy nhập theo đường dây dẫn giúp cho người dùng nhận biết được mạng “đúng”. Nhưng trong mạng không dây, đường truyền vật lý là không tồn tại, vì vậy phải có một số cơ cấu khác được thiết kế cho mạng để chứng thực mạng với người dùng. Chuẩn chứng thực 802.1x đã ra đời nhằm thu thập các thông tin chứng thực từ người dùng và chấp nhận hay từ chối truy cập được dựa trên những thông tin đó. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 76 3.2.2. Nguyên lý RADIUS Server Việc chứng thực của 802.1x được thực hiện trên một server riêng, server này sẽ quản lý các thông tin để xác thực người sử dụng như tên đăng nhập (username), mật khẩu (password), mã số thẻ, dấu vân tay, vv.. Khi người dùng gửi yêu cầu chứng thực, server này sẽ tra cứu dữ liệu để xem người dùng này có hợp lệ không, được cấp quyền truy cập đến mức nào, vv.. Nguyên lý này được gọi là RADIUS (Remote Authentication Dial−in User Service) Server – Máy chủ cung cấp dịch vụ chứng thực người dùng từ xa thông qua phương thức quay số. Phương thức quay số xuất hiện từ ban đầu với mục đích là thực hiện qua đường điện thoại, ngày nay không chỉ thực hiện qua quay số mà còn có thể thực hiện trên những đường truyền khác nhưng người ta vấn giữ tên RADIUS như xưa. Hình 3.5: Mô hình chứng thực sử dụng RADIUS Server Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 77 Các quá trình liên kết và xác thực được tiến hành như mô tả trong hình trên, và thực hiện theo các bước sau: Hình 3.6 Hoạt động của RADIUS SERVER 1. Máy tính Client gửi yêu cầu kết nối đến AP 2. AP thu thập các yêu cầu của Client và gửi đến RADIUS server 3. RADIUS server gửi đến Client yêu cầu nhập user/password. 4. Client gửi user/password đến RADIUS Server. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 78 5. R ADIUS server kiểm tra user/password có đúng không, nếu đúng thì RADIUS server sẽ gửi cho Client mã khóa chung. 6. Đồng thời RADIUS server cũng gửi cho AP mã khóa này và đồng thời thông báo với AP về quyền và phạm vi đƃợc phép truy cập của Client này. 7. Client và AP thực hiện trao đổi thông tin với nhau theo mã khóa được cấp. Để nâng cao tính bảo mật, RADIUS Server sẽ tạo ra các khóa dùng chung khác nhau cho các máy khác nhau trong các phiên làm việc (session) khác nhau, thậm chí là còn có cơ chế thay đổi mã khóa đó thường xuyên theo định kỳ. Khái niệm khóa dùng chung lúc này không phải để chỉ việc dùng chung của các máy tính Client mà để chỉ việc dùng chung giữa Client và AP. 3.2.3. Tiêu chuẩn an ninh WPA/WPA2 Tổ chức Liên minh các nhà sản xuất lớn về thiết bị wifi – Wifi Alliance, được thành lập để giúp đảm bảo tính tương thích giữa các sản phẩm wifi của các hãng khác nhau. Nhằm cải thiện mức độ an toàn về mặt thông tin trong mạng 802.11 mà không cần yêu cầu nâng cấp phần cứng, Wifi Alliance thông qua TKIP như một tiêu chuẩn bảo mật cần thiết khi triển khai mạng lưới được cấp chứng nhận Wifi. Kiểu bảo mật này được gọi với tên là WPA. WPA ra đời trước khi chuẩn IEEE 802.11i – 2004 được chính thức thông qua. Nó bao gồm việc quản lý khóa và quá trình xác thực. Tiếp sau đó, WPA2 được đưa ra, như một tiêu chuẩn bảo mật bám sát hơn theo chuẩn 802.11i của IEEE. Điểm khác biệt lớn nhất giữa WPA và WPA2 là thay vì sử dụng AES để đảm bảo tính bảo mật và toàn vẹn dữ liệu thì WPA dùng TKIP cho việc mã hóa và thuật toán Michael cho việc xác thực trên từng gói dữ liệu. Mỗi phiên bản của WPA đều được chia thành hai loại: Personal dành cho hộ gia đình và văn phòng quy mô nhỏ, Enterprise dành cho doanh nghiệp lớn có cơ sở hạ tầng mạng đầy đủ. Điểm khác biệt duy nhất đáng kể giữa hai loại này là ở hình thức có được khóa PMK. Với Personal, khóa PMK sinh ra từ khóa tĩnh được nhập vào thủ công trên AP và các STA. Rõ ràng cách làm này là không khả thi đối với các mạng lưới có quy mô lớn. Do đó trong Enterprise, khóa PMK nhận được từ quá trình xác thực IEEE 802.1X/EAP. Việc cấp phát khóa này là hoàn toàn tự động và tương đối an toàn. Sau khi đã xác thực lẫn nhau rồi, STA và Máy chủ xác thực xây dựng khóa PMK dựa trên các thông tin đã biết. Khóa này là giống nhau trên cả STA và Máy chủ xác thực. Máy chủ xác thực sẽ tiến hành Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 79 sao chép một bản khóa PMK này rồi gửi về cho AP. Lúc này, cả AP và STA đều đã nhận được khóa PMK phù hợp. Trong thực tế, Máy chủ xác thực thường được sử dụng là Máy chủ RADIUS. WPA được đánh giá là kém an toàn hơn so với người anh em WPA2. Tuy nhiên, lợi thế của WPA là không yêu cầu cao về phần cứng. Do WPA sử dụng TKIP mã hóa theo thuật toán RC4 giống như WEP nên hầu hết các card mạng không dây cũ hỗ trợ WEP chỉ cần được nâng cấp firmware là có thể hoạt động tương thích với tiêu chuẩn của WPA. WPA2 sử dụng CCMP/AES cho việc mã hóa dữ liệu và kiểm tra tính toàn vẹn của gói tin. CCMP/AES là một cơ chế mã hóa rất mạnh và phức tạp do đó yêu cầu cao về năng lực xử lý của chip. Cũng chính vì điều này mà hiện nay WPA2 chưa được triển khai rộng dãi như WPA. Lý do là WPA2 cần phải nâng cấp về mặt phần cứng, tốn kém hơn nhiều so với viêc cập nhật firmware đối với WPA. Tuy nhiên, với các hệ thống mạng yêu cầu mức độ an ninh cao thì khuyến nghị nên sử dụng WPA2. Việc lựa chọn tiêu chuẩn an ninh nào là hoàn toàn phụ thuộc vào sự cân bằng giữa tiềm lực tài chính và mức độ an toàn thông tin cần đảm bảo. So sánh giữa WEP, WPA và WPA2 WEP WPA WPA2 Là thành phần tùy chọn trong chuẩn IEEE 802.11 Tiêu chuẩn an ninh của WiFi Alliance đặt ra Tương tự như WPA Khóa WEP được cấu hình thủ công trên AP và các STA Khuyến nghị nên sử dụng xác thực 802.1X/EAP để nhận khóa tự động Tương tự như WPA Sử dụng mã hóa dòng Tương tự như WEP Sử dụng mã hóa khối. Có hỗ trợ mã hóa dòng (TKIP) Mã hóa trên từng gói tin dựa vào việc thay đổi giá trị IV, giá trị IV được kết hợp trực tiếp với PMK để Sử dụng phương pháp mã hóa tiên tiến và phức tạp hơn, quá trình tạo khóa có thông qua khóa trung gian Tương tự như WPA Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 80 hình thành khóa PTK Độ dài khóa nhỏ, 64 bit hay 128 bit Độ dài khóa lớn, kết hợp nhiều thành phần thông tin để sinh khóa Tương tự như WPA Sử dụng thuật toán CRC để kiểm tra tính toàn vẹn dữ liệu. Mức độ tin cậy thấp Sử dụng thuật toán Micheal để tính toán ra mã MIC. Có độ tin cậy cao hơn CRC Sử dụng CCMP/AES tính toán mã MIC. Có độ tin cậy cao nhất Không có khả năng xác thực 2 chiều Hỗ trợ xác thực 2 chiều, sử dụng IEEE802.1X/EAP Tương tự như WPA Phương pháp đơn giản, không yêu cầu về năng lực phần cứng cao Tương đối phức tạp hơn WEP nhưng cũng không yêu cầu cao về phần cứng Phức tạp, yêu cầu cao về năng lực sử lý phần cứng Thích hợp với mạng quy mô nhỏ Phù hợp với cả mạng quy mô nhỏ và trung bình Phù hợp với các mạng lớn, quy mô cỡ doanh nghiệp Kết luận Chương này đã trình bày về những điểm yếu kém của phương thức bảo mật WEP từ xác thực cho đến mã hóa, những kiểu tấn công thường gặp có thể phá vỡ bảo mật WEP, và nêu ra cách tối ưu WEP, một số phương thức thay thế khác như đang nghiên cứu và phát triển phương thức WEP không chuẩn, hoặc sử dụng bảo mật WPA/WPA2. Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 81 KẾT LUẬN Mặc dù có những nhược điểm nghiêm trọng, bảo mật WEP vẫn tốt hơn là không dùng cơ chế mã hóa nào cho mạng không dây!. WEP có thể được xem như là một cơ chế bảo mật ở mức độ thấp nhất, cần thiết được triển khai khi không thể sử dụng các biện pháp khác tốt hơn. Điều này phù hợp cho các tình huống sử dụng các thiết bị không dây cũ chưa có hỗ trợ WPA, hoặc các tình huống có yêu cầu về độ bảo mật thấp như mạng không dây gia đình, mạng không dây cộng đồng … Do đó em đã chọn hướng nghiên cứu của đề tài này là “Điểm yếu của bảo mật WEP và các phương thức thay thế”. Sau thời gian thực hiện, em đã hoàn thành chuyên đề với các nội dung chính sau: 1. Tìm hiểu về mạng WireLess Lan, các mô hình và vấn đề về an ninh trong mạng không dây.Tìm hiểu về nguyên lí hoạt động của WEP. Cơ chế xác thức và mã hóa. 2. Tổng quan về phương pháp bảo mật WEP như định nghĩa, các quá trình xác thực và mã hóa, cơ chế hoạt động… 3. Tìm hiểu những điểm yếu trong phương pháp bảo mật WEP như xác thực, mã hóa và đề cập đến các phương thức bảo mật tốt hơn như nghiên cứu WEP không chuẩn. Trong quá trình thực hiện chuyên đề này, em được hướng dẫn, giúp đỡ và hỗ trợ của thầy giáo Hoàng Trọng Minh. Em xin trân trọng gửi lời cảm ơn sâu sắc đến Ths.Hoàng Trọng Minh - Học Viện Công Nghệ Bưu Chính Viễn Thông - Hà Nội – người thầy đã trực tiếp, tận tình hướng dẫn, định hướng nội dung và luôn giải đáp những thắc mắc của em. Tuy nhiên do còn nhiều hạn chế khách quan, kiến thức và không có kinh nghiệm thực tế nên chuyên đề của em không tránh khỏi những thiếu sót, em mong nhận được sự góp ý của thầy cô giáo và các bạn để ngày càng hoàn thiện thêm kiến thức của mình. Xin trân trọng cảm ơn./. . Chuyên Đề Tốt Nghiệp Giao thức bảo mật WEP trong WLAN Đinh Việt Khánh TC17 82 TÀI LIỆU THAM KHẢO 1. Jon Edney, William A.Arbaugh, “Real 802.11 Security: Wi-Fi Protected Access and 802.11i” July 15, 2003 2. Harry G. Perros , “Connection-oriented Networks SONET/SDH, ATM, MPLS and OPTICAL network” John Wiley & Sons Ltd, The Atrium, Southern Gate, Chichester, West Sussex PO19 8SQ, England, 2005. 3. Kevin H. Liu, “IP over WDM”, QOptics Inc, Oregon, USA, 2002. 4. Joan Serrat and Alex Galis, “Deploying and managing IP over WDM networks”. For a complete listing of the Artech House Telecommunications Library, ARTECH HOUSE, INC, 685 Canton Street ,Norwood, MA 02062, 2003. 5. Biswanath Mukherjee-,“Optical WDM network”, University of California, Davis, CA 95616 USA, 2006. Jinhui Xu, Chunming Qiao, Jikai Li, and Guang Xu, “Efficient Channel Scheduling Algorithms in Optical Burst Switched Networks”, Department of Computer Science and Engineering, State University of New York at Buffalo, 201 Bell Hall, Buffalo, NY 14260, USA, 200