臨時(shí)密鑰完整性協(xié)議是一種用于IEEE 802.11無線網(wǎng)絡(luò)標(biāo)準(zhǔn)中的替代性安全協(xié)議。

簡(jiǎn)介

臨時(shí)密鑰完整性協(xié)議

(英文:

T

emporal

K

ey

I

ntegrity

P

rotocol,簡(jiǎn)稱

TKIP

)是一種用于IEEE 802.11無線網(wǎng)絡(luò)標(biāo)準(zhǔn)中的替代性安全協(xié)議。TKIP協(xié)議由美國(guó)電氣電子工程師學(xué)會(huì)(IEEE)802.11i 任務(wù)組和Wi-Fi聯(lián)盟設(shè)計(jì)用以在不需要升級(jí)硬件的基礎(chǔ)上替代有線等效加密(WEP)協(xié)議。由于WEP協(xié)議的薄弱造成了數(shù)據(jù)鏈路層安全被完全跳過,且由于已經(jīng)應(yīng)用的大量按照WEP要求制造的網(wǎng)絡(luò)硬件急需更新更可靠的安全協(xié)議,在此背景下TKIP應(yīng)運(yùn)而生。需要注意的是TKIP協(xié)議自2012年的802.11標(biāo)準(zhǔn)中以不再視為完全且即將廢棄。

歷史

2002年10月31日,Wi-Fi聯(lián)盟提出臨時(shí)密鑰完整性協(xié)議,歸類于WPA標(biāo)準(zhǔn)的一部分。。IEEE隨后在2004年7月23日的IEEE 802.11i-2004報(bào)告中背書臨時(shí)密鑰完整性協(xié)議并同時(shí)提出基于計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議的802.1X和AES協(xié)議這些更堅(jiān)固的安全協(xié)議。之后Wi-Fi聯(lián)盟接受了IEEE的相關(guān)報(bào)告并冠以“

WPA2

”這個(gè)商業(yè)名稱發(fā)布。

臨時(shí)密鑰完整性協(xié)議隨后由于安全性原因于2009年1月被IEEE廢棄。ZDNet于2010年7月18日的報(bào)告中表明Wi-Fi聯(lián)盟應(yīng)當(dāng)禁止所有Wi-Fi設(shè)備使用WEP和臨時(shí)密鑰完整性協(xié)議。

技術(shù)細(xì)節(jié)

1.

TKIP使用密鑰混合功能。該功能混合了根密鑰(Root Secret key)和初始化向量,而后再通過RC4初始化。在WEP中初始化向量基本上被直接連在根密鑰上而后直接通過RC4,從而造成了RC4為基礎(chǔ)的WEP可以被輕而易舉的使用相關(guān)密鑰攻擊而破解。

2.

WPA使用序列計(jì)數(shù)器(Sequence Counter)以防御回放攻擊(Replay Attacks)。當(dāng)數(shù)據(jù)包的順序不匹配規(guī)定時(shí)將會(huì)被連接點(diǎn)自動(dòng)拒收。

3.

臨時(shí)密鑰完整性協(xié)議使用64位信息完整性代碼(Message Integrity Check, MIC)以防止假包或者數(shù)據(jù)包篡改。

為了讓該協(xié)議可以在老式WEP硬件上使用,臨時(shí)密鑰完整性協(xié)議仍使用RC4為其核心加密算法,臨時(shí)密鑰完整性協(xié)議同時(shí)提供了密鑰再生成算法加固協(xié)議。

密鑰混合增加了破解密鑰的難度,并且給攻擊者持久有限且加密數(shù)據(jù)用以破解。WPA2更應(yīng)用了信息完整性代碼以防止篡改發(fā)生。在老式WEP下在知道數(shù)據(jù)包內(nèi)容的情況下可以輕易篡改即使是已加密的數(shù)據(jù)包。

安全性

臨時(shí)密鑰完整性協(xié)議與WEP的核心算法時(shí)一樣的,所以也就造成了其注定面對(duì)相似破解WEP攻擊時(shí)的薄弱。由此TKIP的加強(qiáng)功能就非常重要。信息完整性代碼,單包哈希計(jì)算,廣播密鑰輪換和序列計(jì)數(shù)器避免了很多以前可以很對(duì)WEP的攻擊?;旌厦荑€功能避免了針對(duì)WEP的密鑰恢復(fù)攻擊。

但即使包括了這些安全功能,TKIP仍然可以被一些改進(jìn)的攻擊破解。

貝克-特夫斯攻擊

臨時(shí)密鑰完整性協(xié)議與WEP協(xié)議由于使用相同的RC4加密算法,對(duì)于密鑰流恢復(fù)攻擊有天生弱點(diǎn)。如果該攻擊成功,可以讓攻擊者成功傳送7至15個(gè)數(shù)據(jù)包。當(dāng)前公開的針對(duì)臨時(shí)密鑰完整性協(xié)議的攻擊方式中無法泄露對(duì)偶主密鑰或者對(duì)偶臨時(shí)密鑰。2008年11月8日,馬丁·貝克( Martin

Beck

)和艾瑞克·特夫斯(Erik

Tews

)發(fā)布了一種針對(duì)TKIP WPA的

貝克-特夫斯攻擊法

(Beck-Tews Attacks)。

Beck-Tews攻擊可以看做是針對(duì)WEP的斷續(xù)攻擊(Chop-Chop Attack)的延展。因?yàn)閃EP所使用的查和(Checksum)算法CRC32在密碼學(xué)上并不安全,攻擊者可以猜測(cè)到數(shù)據(jù)包中的單個(gè)字節(jié),而后連接點(diǎn)會(huì)對(duì)猜測(cè)正確與否作出確認(rèn)或拒絕傳輸。如果猜測(cè)正確,攻擊者可以發(fā)現(xiàn)猜測(cè)正確并繼續(xù)猜測(cè)下一個(gè)字節(jié)。不過相較于針對(duì)WEP的斷續(xù)攻擊,攻擊者如果猜錯(cuò)必須額外等待60秒才能繼續(xù)猜測(cè)。這是因?yàn)楸M管臨時(shí)密鑰完整性協(xié)議仍然使用CRC32查和算法,但由于使用了序列計(jì)數(shù)器(稱為Michael)而可以拖延攻擊。如果一個(gè)接入點(diǎn)在60秒內(nèi)收到了2個(gè)Michael序列計(jì)數(shù)器錯(cuò)誤,接入點(diǎn)隨后將啟動(dòng)反制措施,重組臨時(shí)密鑰完整性協(xié)議的對(duì)話密鑰(Session Key),從而改變隨后的密鑰流。由此,Beck-Tews攻擊則等待一個(gè)適當(dāng)?shù)臅r(shí)間從而避免該反制措施。由于地址解析協(xié)議包(ARP包)可以非常簡(jiǎn)單通過包大小鑒別,并且包中內(nèi)容通常很容易猜到(大多ARP包內(nèi)容相似),從而留給攻擊者需要猜測(cè)的包大小則變得非常有限(大約為14字節(jié))。通常來說在尋常的網(wǎng)絡(luò)配置下只需要12分鐘即可破解12加密字節(jié)。

當(dāng)攻擊者可以接觸到全部的加密包內(nèi)容后,對(duì)于余下在每個(gè)包內(nèi)的明碼內(nèi)容進(jìn)行去除,攻擊者即可輕易獲得包內(nèi)的密鑰流,同時(shí)還可獲得對(duì)話的MIC碼。應(yīng)用這些信息攻擊者可以重建新的數(shù)據(jù)包并在網(wǎng)絡(luò)上傳送。Beck-Tews攻擊使用QoS通道傳送新組建的數(shù)據(jù)包從而繞開WPA應(yīng)用的回放攻擊防護(hù)。由此攻擊者可以傳送數(shù)據(jù)包已達(dá)到其他攻擊方式,比如ARP欺騙攻擊,拒絕式攻擊或其他類似攻擊。

2009年10月,挪威科技大學(xué)的費(fèi)恩·霍爾沃森(Finn M Helvorsen)及其同事更進(jìn)一步,使得攻擊者可以在18分25秒內(nèi)注入一個(gè)比普通ARP包異常大的包(596字節(jié))。

大東-森井攻擊

日本的研究學(xué)者大東俊博和森井昌克以貝克-特夫斯攻擊法為基礎(chǔ),發(fā)布了一種更簡(jiǎn)單且更快速的類似攻擊方式——“大東-森井攻擊”(Ohigashi-Morii Attack)。該種攻擊在使用貝克-特夫斯攻擊的同時(shí)使用中間人攻擊,同時(shí)不需要接入點(diǎn)必須使用QoS。

鑒于這種攻擊方法是基于貝克-特夫斯攻擊,所以改種攻擊僅僅對(duì)臨時(shí)密鑰完整性協(xié)議有效,對(duì)于使用AES的WPA協(xié)議則無效。