Cryptography Reference
In-Depth Information
Wenn umgekehrt der Access Point eine Nachricht an Alice schickt, dann läuft das
Protokoll mit vertauschten Rollen ab. Der WEP-Schlüssel bleibt dabei über län-
gere Zeit konstant, während sich der Initialisierungsvektor mit jeder verschlüssel-
ten Nachricht ändert. Dadurch ist gewährleistet, dass ein Sitzungsschlüssel nur
einmal eingesetzt wird.
WEP-Sicherheitsprobleme
WEP entstand zu einer Zeit, als die Entwicklung kryptografischer Netzwerkpro-
tokolle längst kein Hexenwerk mehr war. Fachleute und Fachliteratur zu diesem
Thema gab es damals bereits genug. Umso erstaunlicher ist es, dass WEP einige
erhebliche Schwächen aufweist, die bereits in der Konzeptionsphase hätten auf-
fallen müssen. Eine Schwachstelle ist beispielsweise der Initialisierungsvektor,
dessen Länge nur 24 Bit beträgt. Wie man leicht nachrechnet, gibt es 2
24
, also
etwa 16,7 Millionen Werte, die der Initialisierungsvektor annehmen kann. Nach
dem Geburtstagsproblem benötigt Mallory nur etwa 4.000 abgefangene Nach-
richten, um mit einer Wahrscheinlichkeit von 50 Prozent auf einen doppelt vor-
kommenden Initialisierungsvektor zu stoßen. Ein solcher führt zu zwei mit glei-
chem Schlüssel verschlüsselten Paketen, und das ist bei einer Stromchiffre eine
Todsünde (siehe Abschnitt 16.1).
Einen noch besseren Angriff fanden 2001 Fluhrer, Mantin und Shamir
[FlMaSh]. Es handelt sich dabei genau genommen um einen Angriff auf RC4, der
im Zusammenhang mit WEP besonders gut funktioniert. Diesen Angriff kennen
Sie bereits aus Abschnitt 16.2. Ioannidis, Rubin und Stubblefield setzten diese
Attacke in eine praktische Implementierung um und testeten diese in einem WEP-
gesicherten WLAN [IoRuSt]. Sie benötigten jeweils etwa 5 bis 6 Millionen abge-
fangene Datenpakete, um den Schlüssel zu rekonstruieren. In einem stark fre-
quentierten Netz dauert das Sammeln einer solchen Datenmenge nur ein paar
Stunden.
Inzwischen haben Andrei Pyshkin, Erik Tews und Ralf-Philipp Weinmann
[PyTeWe] sowie Andreas Klein [Klein] die Fluhrer-Mantin-Shamir-Attacke sogar
noch verbessert (siehe Abschnitt 16.2). Mithilfe der neuen Erkenntnisse genügen
40.000 Datenpakete, um mit 50-prozentiger Wahrscheinlichkeit den Schlüssel
bestimmen zu können. Bei 85.000 Paketen beträgt die Wahrscheinlichkeit
95 Prozent. In der Praxis dauert es etwa eine Minute, um auf diese Weise den
Schlüssel eines WEP-gesicherten WLANs zu ermitteln. Auf weitere Schwachstellen
in WEP machten Nikita Borisov und Ian Goldberg aufmerksam [BoGoWa]. Unter
anderem wiesen sie darauf hin, dass manche WLAN-Karten als Initialisierungs-
vektor keine Zufallszahl verwenden, sondern lediglich einen Wert hochzählen. Das
Fazit der beiden war daher eindeutig: »Wired Equivalent Privacy (WEP) isn't.«
