1) O documento propõe um mecanismo de autenticação baseado em ECDH para redes IEEE 802.11 chamado ImprovedHandshake que fornece autenticação e derivação segura de chaves sem aumentar significativamente a sobrecarga do handshake. 2) O ImprovedHandshake adapta o protocolo 4-way handshake usando chaves públicas baseadas em ECDH para derivar a chave PTK de forma que um atacante não possa reproduzir, solucionando uma vulnerabilidade atual. 3) Experimentos mostraram que o ImprovedHandshake introdu

1. Um Mecanismo de Autenticação Baseado em ECDH para Redes IEEE 802.11 SBSeg 2010 Eduardo Ferreira de Souza Paulo André da S. Gonçalves

3. Trabalhos Relacionados

4. Mecanismo Proposto

5. Avaliação Experimental da Proposta

7. Cada vez mais utilizadas

8. Necessidade de se prover alto grau de segurança

9. Protocolos de segurança para a camada enlace

10. WPA (2003) e IEEE 802.11i (WPA2) (2004)

11. Emenda IEEE 802.11w (2009)Proteção aos quadros de dados Estende WPA e WPA2 adicionando proteção aos quadros de gerenciamento

13. Autenticação corporativa

14. Servidor de autenticação

15. Autenticação pessoal

16. Chaves pré-compartilhadas (PSK)Chave_2 Chave_3 PSK PSK PSK

18. PTK (PairwiseTransientKey)

19. Representa um conjunto de chaves temporárias

20. Exclusiva para cada par cliente/ponto de acesso

21. Utilizada, principalmente, para a criptografia de quadros e verificação da integridade

22. Seu sigilo é importante!PTK_1 Chave_2 PTK_2 Chave_3 PTK_3 PSK PTK_1 PSK PTK_2 PSK PTK_3

24. A derivação da PTK de qualquer cliente pode ser reproduzida por um atacante que conheça a PSK

25. Vulnerabilidade independe do protocolo usado

26. WPA, WPA2 e a recente emenda IEEE 802.11wPSK PTK_1 PSK PTK_1 PTK_2 PSK PTK_2

28. Comuns em shoppings, aeroportos e redes domésticas

29. Não há processo de autenticação de dispositivos na rede sem fio

30. Os usuários podem precisar, no máximo, fornecer credenciais (e.g. CPF ou login/senha) para acesso à Internet

32. Não há criptografia na camada enlace

33. Dados do usuário estão vulneráveisOlá!

35. Derivação indevida da PTK

36. Falta de autenticação em redes abertasPSK PTK_1 Olá! PSK PTK_1 PTK_2 PSK PTK_2

38. Objetivos

39. autenticar mutuamente o cliente e o ponto de acesso

40. permitir a derivação de uma PTK comum e exclusiva a eles

41. Chave mestra (PMK)

42. na autenticação pessoal é a própria PSK

43. na autenticação coorporativa ela é única para cada cliente

44. Mensagens trocadas

45. pequenas variações de acordo com o protocolo usado

46. Descrição genérica do 4-way handshake

47. principais parâmetros trocados

48. considera o WPA, o WPA2 e a emenda IEEE 802.11wPMK PTK PMK PTK

49. O 4-WayHandshake S A S e A: Cliente e AP SA e AA: MACs de S e de A SNonce e ANonce: Nonces de S e de A MICPTK: Verificador de Integridade Define ANonce [AA, ANonce] Define SNonce Calcula PTK [SA, SNonce, MICPTK(…)] Calcula PTK Verifica MICPTK [AA, ANonce, MICPTK(…)] Verifica MICPTK [SA] Autenticação finalizada PTK = PRF (PMK, “Pairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(ANonce, SNonce) || Max(ANonce, SNonce))

51. PTK = PRF (PMK, “Pairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(ANonce, SNonce) || Max(ANonce, SNonce))

52. Se um atacante pertencer à própria rede (no caso de autenticação pessoal):

53. Todos os parâmetros da PRF serão conhecidos apenas escutando-se o canal

55. Permite que duas entidades derivem chaves seguras, mesmo que o canal de comunicação seja inseguro

57. Não implementa a proposta

58. Fraquezas

59. Baseado no protocolo Diffie-Hellman(DH)

60. Necessita de chaves públicas grandes

61. Grande overhead de processamento

62. Utiliza a chave mestra diretamente na cifra de mensagensS A Cifra as msgs com a PMK Cálculo da chave K Cifra as msgs com K

64. Não implementa a proposta

65. Fraquezas

66. Baseado no protocolo DH

67. Necessita de chaves públicas grandes

68. Grande overhead de processamento

69. 6 mensagens trocadasS A Cálculo da chave K Cifra os nonces com K

71. DH exige chaves públicas significativamente maiores

72. DH exige maior processamento, espaço de armazenamento e consumo de energia

73. Ataques em tempo subexponencial para DH

74. Ataques apenas em tempo exponencial para ECDHTamanho, em bits, das chaves públicas

77. (1) A gera uma chave privada kA; ecalcula a chave pública Apub= kA × G

78. (2) S gera uma chave privada kS; ecalcula a chave pública Spub= kS × G

79. (2) S calcula K = kS× Apub

80. (3) A calcula K = kA × SpubS A 1 [Apub] 2 [Spub] 3

82. Adaptação do 4-way handshake

83. Baseado em ECDH

84. Visa solucionar ambos os problemas apresentados

85. Derivação indevida da PTK

86. Falta de autenticação em redes abertas

87. Requisitos

88. Ter baixo overhead em relação aos trabalhos relacionados

89. Não aumentar significativamente a duração do 4-way handshake

90. Propõe adicionalmente:

92. (2) S gera Spriv e Spub; S calcula Ke; S deriva PTK

93. (3) A calcula Ke; A deriva PTK; A verifica MICPTK

94. (4) S verifica MICPTK

95. (5) Autenticação finalizada; A e S possuem a PTK3 [AA, Apub, MICPTK(…)] 4 [SA] 5 PTK= PRF (PMK, Ke, “Ellipticpairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub))

97. Adaptação para prover autenticação automática, sem a necessidade do fornecimento de chaves pelos usuários

98. Pequena modificação nos argumentos utilizados na derivação da PTK

99. Antes ... PTK = PRF (PMK, Ke, “Ellipticpairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub))

100. Depois ... PTK = PRF (Ke, “Ellipticpairwisekeyexpansion”, Min(AA, SA) || Max(AA, SA) || Min(Apub, Spub) || Max(Apub, Spub))

101. A segurança da PTK é garantida pela segurança da Ke

102. Uso em redes com método de autenticação corporativa

103. O ImprovedHandshakeé inerentemente mais seguro

105. Qual a duração média do ImprovedHandshake? Depende da curva elíptica!

106. Qual o aumento médio no tamanho das mensagens do ImprovedHandshake quando comparado ao 4-wayhandshake? Depende da curva elíptica!

108. Desenvolvido para WPA, IEEE 802.11i (WPA2) e para tais protocolos com a emenda IEEE 802.11w

109. Avaliado com as quinze curvas elípticas recomendadas pelo NIST

111. Em “Resolving WPA Limitations in SOHO and Open Public Wireless Networks” o aumento é maior do que 85%

112. Em “Um Mecanismo de Proteção de Nonces para a Melhoria da Segurança de Redes IEEE 802.11i” o aumento é maior do que 164%

113. Duração entre 3 e 5 ms superior ao 4-wayhandshake

114. Tais acréscimos podem ser considerados baixos, visto que o tempo do 4-way handshakefoi de 15,08 ms* O tamanho médio das mensagens do 4-way handshakeé de 112 bytes

116. Curva elíptica P-192 se mostra mais adequada

117. aumento médio de 36 bytesno tamanho das mensagens trocadas durante o handshake

118. aumenta o handshake em pouco mais de 3 ms

119. Pode ser usado com todos os protocolos

120. WPA, IEEE 802.11i (WPA2) e estes dois acrescidos pela emenda IEEE 802.11w

121. Permite simples extensão para redes abertas

122. provê autenticação automática