Protocolo de integridad de clave temporal

El Protocolo de Integridad de Clave Temporal ( TKIP , por sus siglas en inglés ) es un protocolo de seguridad utilizado en el estándar de redes inalámbricas IEEE 802.11 . El TKIP fue diseñado por el grupo de trabajo IEEE 802.11i y la Wi-Fi Alliance como una solución provisional para reemplazar el WEP sin requerir el reemplazo del hardware heredado. Esto fue necesario porque la ruptura del WEP había dejado a las redes Wi-Fi sin una seguridad viable en la capa de enlace y se requería una solución para el hardware ya implementado. Sin embargo, el TKIP en sí ya no se considera seguro y quedó obsoleto en la revisión de 2012 del estándar 802.11. ^[1]

Fondo

El 31 de octubre de 2002, la Wi-Fi Alliance respaldó TKIP bajo el nombre de Wi-Fi Protected Access (WPA) . ^[2] El IEEE respaldó la versión final de TKIP, junto con soluciones más robustas como 802.1X y el CCMP basado en AES , cuando publicaron IEEE 802.11i-2004 el 23 de julio de 2004. ^[3] Poco después, la Wi-Fi Alliance adoptó la especificación completa bajo el nombre comercial WPA2 . ^[4]

El IEEE decidió dejar obsoleto el TKIP en enero de 2009. ^[1]

Detalles técnicos

TKIP y el estándar WPA relacionado implementan tres nuevas características de seguridad para abordar los problemas de seguridad encontrados en redes protegidas WEP. Primero, TKIP implementa una función de mezcla de claves que combina la clave raíz secreta con el vector de inicialización antes de pasarlo a la inicialización del cifrado RC4 . WEP, en comparación, simplemente concatenó el vector de inicialización con la clave raíz y pasó este valor a la rutina RC4. Esto permitió la gran mayoría de los ataques de clave relacionados con WEP basados ​​en RC4 . ^{[5] Segundo, WPA implementa un contador de secuencia para proteger contra ataques de repetición. Los paquetes recibidos fuera de orden serán rechazados por el punto de acceso. Finalmente, TKIP implementa una} verificación de integridad de mensajes (MIC) de 64 bits y reinicializa el número de secuencia cada vez que se usa una nueva clave (clave temporal). ^[6]

Para poder funcionar en hardware WEP heredado con actualizaciones menores, TKIP utiliza RC4 como su cifrado. TKIP también proporciona un mecanismo de renovación de claves . TKIP garantiza que cada paquete de datos se envíe con una clave de cifrado única (clave provisional/clave temporal + contador de secuencia de paquetes). ^{[ cita requerida ]}

La combinación de claves aumenta la complejidad de la decodificación de las claves al proporcionar al atacante una cantidad sustancialmente menor de datos que hayan sido cifrados con una sola clave. WPA2 también implementa un nuevo código de integridad de mensajes, MIC. La comprobación de integridad de mensajes impide que se acepten paquetes falsificados. Con WEP era posible alterar un paquete cuyo contenido se conocía incluso si no había sido descifrado.

Seguridad

TKIP utiliza el mismo mecanismo subyacente que WEP y, en consecuencia, es vulnerable a una serie de ataques similares. La comprobación de la integridad de los mensajes, el hash de claves por paquete , la rotación de claves de difusión y un contador de secuencias desalientan muchos ataques. La función de mezcla de claves también elimina los ataques de recuperación de claves WEP.

A pesar de estos cambios, la debilidad de algunas de estas adiciones ha permitido nuevos ataques, aunque más limitados.

Falsificación y descifrado de paquetes

TKIP es vulnerable a un ataque de recuperación de clave MIC que, si se ejecuta con éxito, permite a un atacante transmitir y descifrar paquetes arbitrarios en la red atacada. ^[7] Los ataques específicos de TKIP disponibles públicamente actualmente no revelan la clave maestra por pares ni las claves temporales por pares. El 8 de noviembre de 2008, Martin Beck y Erik Tews publicaron un artículo que detallaba cómo recuperar la clave MIC y transmitir algunos paquetes. ^[8] Este ataque fue mejorado por Mathy Vanhoef y Frank Piessens en 2013, donde aumentaron la cantidad de paquetes que un atacante puede transmitir y mostraron cómo un atacante también puede descifrar paquetes arbitrarios. ^[7]

La base del ataque es una extensión del ataque chop-chop de WEP . Debido a que WEP utiliza un mecanismo de suma de comprobación criptográficamente inseguro ( CRC32 ), un atacante puede adivinar bytes individuales de un paquete, y el punto de acceso inalámbrico confirmará o negará si la suposición es correcta o no. Si la suposición es correcta, el atacante podrá detectar que la suposición es correcta y continuará adivinando otros bytes del paquete. Sin embargo, a diferencia del ataque chop-chop contra una red WEP, el atacante debe esperar al menos 60 segundos después de una suposición incorrecta (una elusión exitosa del mecanismo CRC32) antes de continuar el ataque. Esto se debe a que, aunque TKIP continúa utilizando el mecanismo de suma de comprobación CRC32, implementa un código MIC adicional llamado Michael. Si se reciben dos códigos MIC Michael incorrectos en 60 segundos, el punto de acceso implementará contramedidas, lo que significa que volverá a introducir la clave de sesión de TKIP, cambiando así los flujos de claves futuros. En consecuencia, los ataques a TKIP esperarán un tiempo adecuado para evitar estas contramedidas. Debido a que los paquetes ARP se identifican fácilmente por su tamaño, y la gran mayoría de los contenidos de este paquete serían conocidos por un atacante, el número de bytes que un atacante debe adivinar utilizando el método anterior es bastante pequeño (aproximadamente 14 bytes). Beck y Tews estiman que la recuperación de 12 bytes es posible en aproximadamente 12 minutos en una red típica, lo que permitiría a un atacante transmitir de 3 a 7 paquetes de 28 bytes como máximo. ^[8] Vanhoef y Piessens mejoraron esta técnica al confiar en la fragmentación, lo que permite a un atacante transmitir una cantidad arbitraria de paquetes, cada uno de 112 bytes como máximo. ^[7] Los ataques de Vanhoef-Piessens también se pueden utilizar para descifrar paquetes arbitrarios de la elección del atacante.

Un atacante ya tiene acceso a todo el paquete de texto cifrado. Al recuperar todo el texto sin formato del mismo paquete, el atacante tiene acceso al flujo de claves del paquete, así como al código MIC de la sesión. Con esta información, el atacante puede construir un nuevo paquete y transmitirlo por la red. Para eludir la protección de repetición implementada por WPA, los ataques utilizan canales QoS para transmitir estos paquetes recién construidos. Un atacante capaz de transmitir estos paquetes puede implementar cualquier cantidad de ataques, incluidos ataques de envenenamiento de ARP , denegación de servicio y otros ataques similares, sin necesidad de estar asociado con la red.

Ataque en Royal Holloway

Un grupo de investigadores de seguridad del Grupo de Seguridad de la Información de Royal Holloway, Universidad de Londres, informó sobre un ataque teórico a TKIP que explota el mecanismo de cifrado RC4 subyacente . TKIP utiliza una estructura de clave similar a WEP con el valor bajo de 16 bits de un contador de secuencia (utilizado para evitar ataques de repetición) que se expande al "IV" de 24 bits, y este contador de secuencia siempre se incrementa en cada nuevo paquete. Un atacante puede utilizar esta estructura de clave para mejorar los ataques existentes a RC4. En particular, si los mismos datos se cifran varias veces, un atacante puede obtener esta información de solo 2 conexiones ^{de 24 bits} . ^{[9] [10] [11]} Si bien afirman que este ataque está al borde de la practicidad, solo se realizaron simulaciones y el ataque no se ha demostrado en la práctica.

NO MÁS ataque

En 2015, investigadores de seguridad de la Universidad Ku Leuven presentaron nuevos ataques contra RC4 tanto en TLS como en WPA-TKIP. Se trata del primer ataque de este tipo que se demostró en la práctica, denominado ataque NOMORE (Numerous Occurrence MOnitoring & Recovery Exploit). El ataque contra WPA-TKIP puede completarse en una hora y permite a un atacante descifrar e inyectar paquetes arbitrarios. ^[12]

Legado

El 18 de junio de 2010, ZDNet informó que la alianza Wi-Fi pronto prohibiría el uso de WEP y TKIP en dispositivos Wi-Fi. ^[13] Sin embargo, una encuesta realizada en 2013 mostró que todavía se utilizaba ampliamente. ^[7]

El estándar IEEE 802.11n prohíbe que la velocidad de datos supere los 54 Mbps si se utiliza TKIP como cifrado Wi-Fi. ^[14]

Véase también

• Controlador de interfaz de red inalámbrica
• Ministerio de Defensa Civil
• Acceso protegido a Wi-Fi
• IEEE 802.11i-2004

Referencias

1. "802.11mb Issues List v12" (excel) . 20 de enero de 2009. p. CID 98. El uso de TKIP está en desuso. El algoritmo TKIP no es adecuado para los fines de esta norma.
2. "Wi-Fi Alliance anuncia una solución de seguridad basada en estándares para reemplazar a WEP". Wi-Fi Alliance . 2002-10-31. Archivado desde el original el 2008-01-03 . Consultado el 2007-12-21 .
3. "IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad del control de acceso al medio (MAC)" (PDF) . Estándares IEEE . 2004-07-23. Archivado desde el original (PDF) el 17 de mayo de 2005 . Consultado el 21 de diciembre de 2007 .
4. "Wi-Fi Alliance presenta la próxima generación de seguridad Wi-Fi". Wi-Fi Alliance . 2004-09-01. Archivado desde el original el 2008-01-03 . Consultado el 2007-12-21 .
5. Edney, Jon; Arbaugh, William A. (15 de julio de 2003). Seguridad 802.11 real: acceso protegido Wi-Fi y 802.11i . Addison Wesley Professional . ISBN 978-0-321-13620-6.
6. IEEE-SA Standards Board. Especificaciones de capa física (PHY) y control de acceso al medio (MAC) para redes LAN inalámbricas. Revista de comunicaciones , IEEE, 2007.
7. Vanhoef, Mathy; Piessens, Frank (mayo de 2013). "Verificación práctica de vulnerabilidades WPA-TKIP". Actas del 8º simposio ACM SIGSAC sobre seguridad de la información, las computadoras y las comunicaciones (PDF) . ASIA CCS '13. págs. 427–436. doi :10.1145/2484313.2484368. ISBN 9781450317672.S2CID7639081  .​
8. Martin Beck y Erik Tews, "Ataques prácticos contra WEP y WPA", disponible en [1].
9. AlFardan; et al. (8 de julio de 2013). "Sobre la seguridad de RC4 en TLS y WPA" (PDF) . Grupo de Seguridad de la Información, Royal Holloway, Universidad de Londres. Archivado desde el original (PDF) el 22 de septiembre de 2013. Consultado el 4 de enero de 2015 .
10. Paterson; et al. (1 de marzo de 2014). "Ataques de recuperación de texto simple contra WPA/TKIP" (PDF) . Grupo de Seguridad de la Información, Royal Holloway, Universidad de Londres.
11. Paterson; et al. (1 de marzo de 2014). "Big Bias Hunting in Amazonia: Large-Scale Computation and Exploitation of RC4 Biases (Artículo invitado)". Avances en criptología – ASIACRYPT 2014. Apuntes de clase en informática. Vol. 8874. Grupo de seguridad de la información, Royal Holloway, Universidad de Londres. págs. 398–419. doi :10.1007/978-3-662-45611-8_21. ISBN 978-3-662-45607-1.
12. "RC4 NOMORE". www.rc4nomore.com . Consultado el 21 de mayo de 2019 .
13. La Wi-Fi Alliance abandonará WEP y TKIP... pero no lo suficientemente pronto
14. "La velocidad de datos no superará los 54 MBPS cuando el cifrado WEP o TKIP esté activo".