WPA-TKIP lại bị tấn công

Hi all,

Hồi tháng 11 năm kia, Beck-Tews http://dl.aircrack-ng.org/breakingwepandwpa.pdf) đề ra một phương thức tấn công chuẩn WPA-TKIP (từ giờ gọi là tấn công Beck-Tews) trong đó mất khoảng 12-15 phút thì Beck-Tews có thể:

+ tìm được plaintext của 1 encrypted ARP packet (hay 1 encrypted DNS packet, tuy nhiên trong paper của Beck-Tews thì chỉ mô tả ARP packet thôi) -1-

+ chôm được MIC key (là key dùng để kiểm tra tính toàn vẹn của một packet) -2-

Từ -1-, Beck-Tews sẽ biết được 1 keystream từ access point đến wireless client bằng cách XOR plaintext và ciphertext của cái ARP frame. Kết hợp với -2-, Beck-Tews sẽ có thể tạo ra được các fake ARP packet hay DNS packet rồi gửi đến wireless client khiến cho các client này có thể bị đầu độc ARP hay DNS.

Ngoài ra sau khi đã recover được 1 keystream rồi thì Beck-Tews chỉ mất từ 4'-5' để recover thêm các keystream khác mà thôi. Đương nhiên các keystream này cũng có thể được sử dụng để tạo fake packet.

Hạn chế của Beck-Tews là:

+ mạng WPA-TKIP phải hỗ trợ tính năng Quality of Service

+ thời gian để recover keystream đầu tiên khá lớn, từ khoảng 12-15 phút

Và 29/08/2010 có lẽ như 2 hạn chế này của Beck-Tews đã được khắc phục bởi tấn công Ohigashi-Morri http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf):

Ohigashi-Morii wrote:

Trích dẫn :

Abstract. In 2008, Beck and Tews have proposed a practical attack on
WPA. Their attack (called the Beck-Tews attack) can recover plaintext
from an encrypted short packet, and can falsify it. The execution time
of the Beck-Tews attack is about 12-15 minutes. However, the attack
has the limitation, namely, the targets are only WPA implementations
those support IEEE802.11e QoS features. In this paper, we propose a
practical message falsification attack on any WPA implementation. In
order to ease targets of limitation of wireless LAN products, we apply
the Beck-Tews attack to the man-in-the-middle attack. In the man-in-
the-middle attack, the user’s communication is intercepted by an attacker
until the attack ends. It means that the users may detect our attack when
the execution time of the attack is large. Therefore, we give methods for
reducing the execution time of the attack. As a result, the execution time
of our attack becomes about one minute in the best case.

Mình chưa xem kỹ tấn công của Ohigashi-Morii nên chưa thể bình luận gì thêm về các claim của họ.

Sở dĩ mình viết bài này (và các bài tiếp theo) vì mình thấy Beck-Tews và Ohigashi-Morii đều có nguồn gốc từ tấn công chopchop, mà tấn công chopchop lại rất giống mấy dạng tấn công side-channel mà mình có dịp tìm hiểu trong thời gian vừa qua.

Sở dĩ chopchop thành công là vì access-point tiết lộ 1 bit duy nhất khi thực hiện kiểm tra checksum của encrypted packet: báo cho phía gửi dữ liệu biết checksum đúng hay sai.

Loạt bài này hi vọng sẽ giới thiệu được dạng tấn công 1-bit side channel này, vốn có thể áp dụng cho cả asymmetric key cryptosystem và symmetric key cryptosystem, rồi từ đó sẽ diễn giải chi tiết tấn công chopchop cũng như Beck-Tews và Ohigashi-Morii.

Mình cho rằng dạng tấn công 1-bit side channel rất thú vị, và rất dễ gặp trong thực tế (thì WPA-TKIP là một ví dụ đó), bởi vì việc báo lỗi khi xử lý dữ liệu không thành công là rất phổ biến.

Mình dùng từ hi vọng vì hiện tại mình mới chỉ hiểu và triển khai thành công 1-bit side channel cho symmetric key cryptosystem. Các vấn đề còn lại thì đều đang trong quá trình tìm hiểu, thành ra rất welcome bạn nào có hứng thú với đề tài này.


-m