Der 128 Bit lange Group Master Key (GMK) steht analog zum Pairwise Master Key an der Spitze der IEEE-802.11i-Gruppenschlüsselhierarchie. Unter ihm liegt der Group Temporal Key (GTK), der mithilfe einer Pseudozufallszahlenfunktion aus dem GMK erzeugt wird. Er ist bei TKIP 256 Bit lang, bei CCMP 128 Bit, da nur zwei temporäre 128-Bit-Schlüssel für TKIP bzw. einer für CCMP benötigt werden. Die EAPOL-Schlüssel entfallen, da der Schlüsselaustausch nur über die paarweisen Schlüssel abgewickelt wird.

Die Aufteilung des GTK in die temporären Schlüssel zur Verschlüsselung und Integritätssicherung erfolgt analog dem Vorgehen beim PTK (siehe About Security #109).

TKIP-Gruppenschlüsselhierarchie

CCMP-Gruppenschlüsselhierarchie

Erzeugung des GMK

Der GMK wird vom Access Point erzeugt und nur von diesem verwendet. Da er nicht für die Authentifikation verwendet wird, werden für seine Berechnung keine Access-Point-spezifischen Informationen verwendet, sondern er ist eine reine Zufallszahl.

Erzeugung und Verteilung des GTK

Der GTK wird ebenfalls auf dem Access Point erzeugt. Als Parameter gehen der GMK, die Markierung "Group key expansion" als Kennzeichnung, dass es sich um einen Gruppenschlüssel handelt, die MAC-Adresse des Access Points und ein analog zum ANonce und SNonce erzeugter Zufallswert, genannt GNonce, in die Berechnung ein:
GTK = PRF(GMK, "Group key expansion", MAC-Adresse, GNonce)
PRF ist wie bei der Berechnung des PTK eine Pseudozufallszahlenfunktion.

Die Verteilung des GTK erfolgt im Rahmen des 4-Wege-Handshakes für die Erzeugung der temporären paarweisen Schlüssel (siehe About Security #110) in den Schritten 3 und 4:

• Schritt 3:
  Der Access Point sendet den GTK an den Client. Die Übertragung erfolgt durch den EAPOL-Schlüssel geschützt, außerdem wird der EAPOL-MIC-Wert des GTK übertragen.
• Schritt 4:
  Der Client antwortet mit dem empfangenen, durch den EAPOL-Schlüssel verschlüsselten EAPOL-MIC. Stimmt der mit dem übertragenen Wert überein, wurde der GTK nicht manipuliert und die verschlüsselte Kommunikation kann beginnen.

Wechsel der Schlüssel

Wird ein Client aus dem WLAN entfernt, wird sein paarweiser Schlüssel nach seiner Abmeldung aus dem Netz vom Access Point gelöscht. Bei einem erneuten Verbindungsaufbau wird ein neuer paarweiser Schlüssel erzeugt.

Damit ein abgemeldeter Client keine Multicast-Nachrichten mehr entschlüsseln kann, muss der GTK nach der Abmeldung eines Clients ausgetauscht werden. Dazu erzeugt der Access Point einen neuen GTK und verteilt ihn an die Clients. Bei einer hohen Fluktuation der Clients könnte dies den Multicast-Verkehr zu sehr beeinträchtigen: Wird auf den neuen Gruppenschlüssel umgeschaltet, bevor alle Clients ihn installiert haben, werden die Clients, die noch den alten Gruppenschlüssel verwenden, vom Multicast-Verkehr ausgesperrt. Im umgekehrten Fall würden alle Clients ausgesperrt, die den neuen Gruppenschlüssel bereits installiert haben. Als Gegenmaßnahme werden dann zwei Gruppenschlüssel, die über eine Schlüssel-ID ausgewählt werden, eingesetzt: Der Access Point verteilt den neuen Gruppenschlüssel und sendet währenddessen die Multicast-Nachrichten weiterhin mit dem alten Gruppenschlüssel. Erst wenn alle Clients den neuen Gruppenschlüssel installiert haben, wird der Multicast-Verkehr damit verschlüsselt und der alte Gruppenschlüssel gelöscht.

TKIP und CCMP

TKIP (siehe About Security #108) wurde nur aus Gründen der Kompatibilität zu vorhandenen IEEE-802.11-Geräten in den Standard aufgenommen. Es kann im Mischbetrieb parallel zu CCMP eingesetzt werden.

CCMP (Counter Mode/CBC-MAC, vollständig "Counter Mode with Cipher Block Chaining Message Authentication Code Protocol") basiert auf CCM (informelle Beschreibung in RFC 3610) in Verbindung mit AES (siehe About Security #74/ #75) mit einer Block- und Schlüssellänge von jeweils 128 Bit.

Der für die Verschlüsselung eingesetzte Counter Mode ist eine Betriebsart für Blockchiffren, bei der ein Zähler verschlüsselt und mit der Nachricht XOR-verknüpft wird. Durch die XOR-Verknüpfung wird für Ver- und Entschlüsselung der gleiche Schlüsselblock verwendet, ein separater Entschlüsselungsblock wird nicht benötigt.

CBC-MAC wird für die Authentisierung und dem Schutz der Integrität genutzt. Mit CBC (Cipher Block Chaining) wird eine Prüfsumme berechnet, indem jeder AES-verschlüsselte Datenblock mit seinem Nachfolger XOR-verknüpft und das Ergebnis wieder mit AES verschlüsselt wird. Der letzte Block wird als Prüfsumme (Message Authentication Code, MAC) verwendet.

CCMP wird in der nächsten Folge genauer beschrieben.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Mobile Security – WPA, WPA2 und IEEE 802.11i"

• About Security #108: Mobile Security – Wi-Fi Protected Access (WPA)
• About Security #109: Mobile Security – IEEE 802.11i Schlüsselhierarchien
• About Security #110: Mobile Security – IEEE 802.11i Pairwise Master Key
• About Security #111: Mobile Security – IEEE 802.11i Gruppenschlüssel
• About Security #112: Mobile Security – IEEE 802.11i Verschlüsselung
• About Security #113: Mobile Security – IEEE 802.11i Authentifizierung
• About Security #114: Mobile Security – IEEE 802.11i Pairwise Master Key
• About Security #115: Mobile Security – Sicherheit von WEP, WPA und IEEE 802.11i
• About Security #116: Mobile Security – Sicherheit von WEP, WPA und IEEE 802.11i, Teil 2
• About Security #117: Mobile Security – WLAN-Hotspots