近期粗浅的阅读了信息安全四大顶会之一的CCS 17的一篇论文,在此稍微做一些梳理。
Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2
本文主要介绍WPA协议的密钥重装漏洞。该漏洞的关键在于协议认证加密过程(authenticate encryption)的四次握手阶段,通过操作(manipulate)握手报文和重放来实现攻击效果,并且只能通过中间人攻击的方式利用该漏洞,可以实现解密、修改、伪造、重放通信数据包等攻击效果。造成该漏洞的根本原因在于协议在设计时未明确定义如何安装协商的密钥,这就意味着在实现的时候,可能允许多次密钥安装的情况发生,多次密钥安装则需要重置用于保护数据私密性的nonces和replay counter变量。
这里的密钥重装指的是使协商好的密钥生效,即在之后的通信过程应用该密钥加密数据报文。
802.11i修订
自从有研究表明WEP协议被完全攻破了,IEEE则提供了一个比较鲁棒的解决方案,即对802.11的修订,形成802.11i。802.11i定义了四次握手和两个数据加密协议----(WPA-)TKIP和(AES-)CCMP。802.11i标准的实现有WPA和WPA2协议,两者在技术上是完全相同的,只是WPA2强制要求使用更安全的CCMP,而对TKIP的要求是可选的,WPA则相反。
私密性保障
通信双方加密部分分为握手报文加密和通信数据报文加密。密钥的协商和生成构成了安全通信的基础。四次握手则提供了基于PMK(Pairwise Master Key)和PTK(Pairwise Transient Key)的相互认证机制。
在此次握手过程,客户端被称为Supplicant,认证方(Authenticator)被称为AP。
握手之前有一个认证和协商(Authentication and Association)阶段,使得AP和Supplicant获得PMK,PMK将用于生成PTK。
PTK是由PMK、Authenticator Nonce(ANonce)、Supplicant Nonce(SNonce)、通信双方的MAC地址生成。生成PTK之后,PTK会被分解为KCK(Key Confirmation Key),KEK(Key Encryption Key)和TK(Temporal Key),KCK和KEK用来保护握手报文,而TK将被用于加密通信数据帧,具体的用法会结合数据帧私密性协议如前面提到的TKIP、CCMP和GCMP等协议。关系图如下:
如果无线局域网用到的协议是WPA2,四次握手还会传输GTK(Group Termporal Key)。PTK是成对传输密钥,用于单播数据帧加解密,GTK是组临时密钥,用于组播数据帧和广播数据帧的加解密。
在局域网WPA通信过程中,每个Supplicant都有自己独自的PTK,所有的Supplicant和AP会共同拥有一个相同的GTK。
四次握手
-
握手的报文格式(EAPOL frame)如下:
EAPOL Frame
header定义了报文的序号,即四次握手过程中第几次握手报文;replay counter用来检测重放帧;nonce将被supplicant和AP用来生成session key。RSC和group key有关,MIC用于完整性校验,由KCK生成。
-
四次握手流程
4-way-handshake
图中的 MsgN(r, Nonce; GTK)的意思如下:
N表示四次握手中第N次握手报文,message N,参数r表示replay counter,Nonce表示生成的随机数;分号后面的数据将被加密并组成数据域,加密方法是前面提到过的KEK。
- 第一次握手 :AP向Supplicant发送一个携带ANonce的EAPOL-KEY frame
- 第二次握手:Supplicant一旦收到第一条握手报文,将生成自己的SNonce,并生成了PTK;然后发送第二条握手报文,该报文包含SNonce。
- 第三次握手:AP收到SNonce后,它也生成了自己的PTK,然后发送GTK给Supplicant,形成第三次握手报文。
- 第四次握手:握手结束,Supplicant向AP回复第四条报文,并且之后开始安装PTK和GTK,使之在之后的通信中生效。AP收到第四条报文,也安装PTK和GTK,用于后面的加密通信。
四次握手总结起来就是,前两次握手传输Nonce,后两次握手用来传输Group key。
数据私密性保障
802.11i修订定义了两种数据私密性协议,用来后面的数据通信部分加密,分别是TKIP和CCMP,2012年又添加了一种新的数据私密性协议GCMP。当用到TKIP协议加密数据时候,PTK中的TK将被进一步取出一个128 bit数据作为TKIP密钥的一部分,除此之外,TKIP密钥的组成部分还包括发送方的MAC地址和一个动态增加的Nonce,这个Nonce将在每次传输一个数据帧后自增,同时也作为replay counter防止重放攻击,当Supplicant安装TK时,这个Nonce会被初始化为1。然而这个协议TKIP本身也有问题,即如果给出原文和MIC数据,可以用Michael算法恢复MIC密钥。同理CCMP的密钥也是由发送方的MAC地址、nonce和一些传输帧的标志组成,当安装TK时,该nonce将被初始化为0,并随着后面报文的传输,其nonce也会一直递增。GCMP是基于AES-GCM协议的,它的密钥也是由MAC地址和nonce组成,并且当安装TK时,也会被初始化为0,之后会一直递增。
这里的重点在于这些私密性协议的密钥的随机性由Nonce部分保证,除此之外其它组成部分值如MAC地址都是可预测的,并且这个Nonce值在安装TK时会被初始为一个定值,这就给了后面的密钥重装攻击提供了一个入口,后面的攻击的发生也确实利用了这一点。
重装密钥攻击
因为Msg3的接收,将使supplicant先回复一个Msg4,并且同时装载PTK和GTK,使之生效,这个过程一个非常重要的事情,就是将通信私密性协议密钥的随机性保障—Nonce初始化为一个定值如0或者1,依具体的私密性协议而定。密钥重装攻击的一个前提在于Supplicant接收重传的Msg3,如果拒绝接受重传的Msg3,就不能重置nonce值,攻击就起不了作用了,确实有WPA2协议的实现拒绝接收重传的Msg3,如Windows和iOS,本漏洞对该平台就没有影响。
另外,此重装密钥攻击必须在Supplicant和AP之间获得一个中间人的位置,因为需要利用AP和Supplicant的真实MAC地址,该地址也是密钥的组成部分之一。
最后一个问题就是一些特定实现的版本对只接收加密重传的Msg3,而此时AP还没有装载PTK,重传的Msg3未加密使得Supplicant直接忽略掉,但是有方法可以绕过这种限制,总的原理也和接收plaintxt的差不多。下面便是完整的重装密钥攻击过程。
攻击流程如下图所示:
首先,攻击者使用一个基于中间人攻击方式channel,实现Supplicant和AP的所有通信报文经过自己的channel,这样攻击者可以肆意操控(manipulate)握手报文,比如阻塞其中某一个握手报文。
在图中的stage 1阶段,攻击者阻塞了来自Supplicant的Msg4,此时Supplicant已经装载了PTK和GTK,并且开始打开802.1x端口。并在第二阶段开始传输正常的通信数据帧。而AP端却一直也没有收到来自Supplicant的Msg4,于是重传了一个Msg3。此时攻击者将重传的Msg3转发给Supplicant,导致Supplicant重置用于私密性协议的nonce变量为一个定值,由于已经装载了PTK和GTK,Supplicant发送的Msg4将是加密的Msg4,而AP端由于未装载PTK和GTK,所以会拒绝加密的Msg4,将导致握手失败。但是802.11标准有一个非常细致的提示:“AP端可以接收在四次握手中备用过的replay counter,不一定要最新的”,所以可以将开始阻塞的Msg4重放给AP,此时即完成了四次握手,实践中确实是这样,一些AP接收重放的Msg4。
一个问题:除了初始的握手阶段,这种攻击方式是如何保证能破解任意一个报文的呢?
可以通过两种方式来实现:(1)作为中间人的攻击者,可以等待任意长的时间,而足够多的Msg3,可以做到随时重放,导致Supplicant高频重置nonce,数据帧可以被攻击者任意截获破解、甚至伪造;(2)攻击者还可以随时解除认证,导致Supplicant重新认证连接,执行一次新的四次握手。
小结
密钥重载攻击利用了密钥组成部分的随机性因子的nonce可以被预测,相当于通信密钥被泄漏了。这种攻击的成功并不是说明四次握手协议的安全性设计有问题,作者也有提到,此漏洞没有违背四次握手的安全性,原因归结于实现过程的问题以及规范标准的表述不清。
另一方面,此漏洞造成的影响也十分有限,因为它只能破解基于明文传输的网络报文比如HTTP,那些支持HTTPS协议的网站的报文仍然是安全的,因为破解能得到的内容还是TLS加密的密文,同时也体现了网络安全的纵深防御是非常必要和有效的。
