URL dieser Newsmeldung:

In dieser Folge geht es weiter um die Beschreibung von IEEE 802.11i, zuerst um die Beschreibung der Gruppenschlüssel.

Der 128-Bit-lange Group Master Key (GMK) steht analog zum Pairwise Master Key an der Spitze der Gruppenschlüssel-Hierarchie. Unter ihm liegt der Group Temporal Key (GTK), der mithilfe einer Pseudozufallszahlenfunktion aus dem GMK erzeugt wird. Er ist bei TKIP 256-Bit-lang, bei CCMP 128 Bit, da nur zwei temporäre 128-Bit-Schlüssel für TKIP bzw. einer für CCMP benötigt werden. Die EAPOL-Schlüssel entfallen, da der Schlüsselaustausch nur über die paarweisen Schlüssel abgewickelt wird.

Die Aufteilung des GTK in die temporären Schlüssel zur Verschlüsselung und Integritätssicherung erfolgt analog dem Vorgehen beim PTK (siehe About Security #109).

TKIP-Gruppenschlüsselhierarchie

	Group Master Key (GMK) 128 Bit
Group Temporal Key (GTK) 256 Bit
Sitzungsschlüssel 128 Bit		Michael-Key 2x 64 Bit
Schutz der Multicast-Datenübertragung

CCMP-Gruppenschlüsselhierarchie

	Group Master Key (GMK) 128 Bit
	Group Temporal Key (GTK) 128 Bit
	Sitzungs- und Integritätsschlüssel 128 Bit
	Schutz der Multicast-Datenübertragung

Erzeugung des GMK
Der GMK wird vom Access-Point erzeugt und nur von diesem verwendet. Da er nicht für die Authentifikation verwendet wird, werden für seine Berechnung keine Access-Point-spezifischen Informationen verwendet, sondern er ist eine reine Zufallszahl.

Erzeugung und Verteilung des GTK
Der GTK wird ebenfalls auf dem Access-Point erzeugt. Als Parameter gehen der GMK, die Markierung "Group key expansion" als Kennzeichnung, dass es sich um einen Gruppenschlüssel handelt, die MAC-Adresse des Access-Points und ein analog zum ANonce und SNonce erzeugter Zufallswert, genannt GNonce, in die Berechnung ein:
GTK = PRF(GMK, "Group key expansion", MAC-Adresse, GNonce)
PRF ist wie bei der Berechnung des PTK eine Pseudozufallszahlenfunktion.

Die Verteilung des GTK erfolgt im Rahmen des 4-Wege-Handshakes für die Erzeugung der temporären paarweisen Schlüssel (siehe About Security #110) in den Schritten 3 und 4:

• Schritt 3:
  Der Access-Point sendet den GTK an den Client. Die Übertragung erfolgt durch den EAPOL-Schlüssel geschützt, außerdem wird der EAPOL-MIC-Wert des GTK übertragen.
• Schritt 4:
  Der Client antwortet mit dem empfangenen, durch den EAPOL-Schlüssel verschlüsselten, EAPOL-MIC. Stimmt der mit dem übertragenen Wert überein, wurde der GTK nicht manipuliert und die verschlüsselte Kommunikation kann beginnen.

Wechsel der Schlüssel
Wird ein Client aus dem WLAN entfernt, wird sein paarweiser Schlüssel nach seiner Abmeldung aus dem Netz vom Access-Point gelöscht. Bei einem erneuten Verbindungsaufbau wird ein neuer paarweiser Schlüssel erzeugt.

Damit ein abgemeldeter Client keine Multicast-Nachrichten mehr entschlüsseln kann, muss der GTK nach der Abmeldung eines Clients ausgetauscht werden. Dazu erzeugt der Access-Point einen neuen GTK und verteilt ihn an die Clients. Bei einer hohen Fluktuation der Clients könnte dies den Multicast-Verkehr zu sehr beeinträchtigen: Wird auf den neuen Gruppenschlüssel umgeschaltet, bevor alle Clients ihn installiert haben, werden die Clients, die noch den alten Gruppenschlüssel verwenden, vom Multicast-Verkehr ausgesperrt. Im umgekehrten Fall würden alle Clients ausgesperrt, die den neuen Gruppenschlüssel bereits installiert haben. Als Gegenmaßnahme werden dann zwei Gruppenschlüssel, die über eine Schlüssel-ID ausgewählt werden, eingesetzt: Der Access-Point verteilt den neuen Gruppenschlüssel und sendet währenddessen die Multicast-Nachrichten weiterhin mit dem alten Gruppenschlüssel. Erst wenn alle Clients den neuen Gruppenschlüssel installiert haben, wird der Multicast-Verkehr damit verschlüsselt und der alte Gruppenschlüssel gelöscht.

TKIP und CCMP
TKIP (siehe About Security #108) wurde nur aus Gründen der Kompatibilität zu vorhandenen IEEE 802.11-Geräten in den Standard aufgenommen. Es kann im Mischbetrieb parallel zu CCMP eingesetzt werden.

CCMP (Counter-Mode/CBC-MAC, vollständig "Counter Mode with Cipher Block Chaining Message Authentication Code Protocol") basiert auf CCM (informelle Beschreibung in RFC 3610) in Verbindung mit AES (siehe About Security #74/75) mit einer Block- und Schlüssellänge von jeweils 128 Bit.

Der für die Verschlüsselung eingesetzte Counter-Mode ist eine Betriebsart für Blockchiffren, bei der ein Zähler verschlüsselt und mit der Nachricht XOR-verknüpft wird. Durch die XOR-Verknüpfung wird für Ver- und Entschlüsselung der gleiche Schlüsselblock verwendet, ein separater Entschlüsselungsblock wird nicht benötigt.

CBC-MAC wird für die Authentisierung und dem Schutz der Integrität genutzt. Mit CBC (Cipher Block Chaining) wird eine Prüfsumme berechnet, indem jeder AES-verschlüsselte Datenblock mit seinem Nachfolger XOR-verknüpft und das Ergebnis wieder mit AES verschlüsselt wird. Der letzte Block wird als Prüfsumme (Message Authentication Code, MAC) verwendet.

CCMP wird in der nächsten Folge genauer beschrieben.

Carsten Eilers

 Zur Umfrage zum 111. Geburtstag von About Security (https://www.surveymonkey.com/s.aspx?sm=NRNlyOuQplxTmj0bnj6FOQ_3d_3d)