Как расшифровать transient key
СОДЕРЖАНИЕ
Криптография с открытым ключом и с переходным ключом
Однако в системах с временными ключами пара ключей назначается на короткий промежуток времени, а не на конкретное лицо или организацию. Данные, подписанные определенным закрытым ключом, связываются с определенным временем и датой. Пара ключей активна только в течение нескольких минут, после чего закрытый ключ уничтожается безвозвратно. Следовательно, в отличие от систем с открытым ключом, системы с временным ключом не зависят от долговременной безопасности личных ключей.
Обеспечение целостности данных с помощью временных меток временного ключа
В качестве дополнительной меры безопасности все запросы подписей, сделанные в течение определенного интервала, сохраняются в журнале, который объединяется и добавляется к открытому ключу в начале следующего интервала. Этот механизм делает невозможным вставку новых «подписанных событий» в цепочку интервалов постфактум.
Перекрестная проверка
Отдельная цепочка временных интервалов ключей может быть перекрестно сертифицирована с другими цепочками временных ключей и экземплярами серверов. Посредством перекрестной сертификации сервер A подписывает цепочку интервалов сервера B, подписанные данные которой являются определением интервала. Фактически, закрытые ключи от Сервера B используются для подписи открытых ключей Сервера A. На схеме экземпляр сервера перекрестно сертифицирован с двумя другими экземплярами сервера (синим и оранжевым). Перекрестная сертификация требует, чтобы временная метка для интервала согласовывалась с временной меткой перекрестно сертифицирующего сервера в пределах допустимых допусков, которые определяются пользователем и обычно имеют продолжительность в несколько сотен миллисекунд.
Сетевые архивы
Вместе с интервалами в сетевом архиве хранятся перекрестные сертификаты. В сети с временными ключами архив представляет собой логическую базу данных, которую можно хранить и реплицировать в любой системе, чтобы обеспечить проверку данных, которые имеют временные метки и подписаны временными ключами. Карта набора доступных архивов хранится в каждой цифровой подписи, созданной в системе. Каждый раз, когда перекрестная сертификация завершается в начале интервала, карта архива обновляется и публикуется на всех серверах в сети.
Проверка
В течение интервала временный закрытый ключ используется для подписи данных, связанных с доверенными отметками времени и сертификатами подлинности. Чтобы проверить данные позже, получатель обращается к постоянному открытому ключу в течение соответствующего интервала времени. Открытый ключ, применяемый к цифровой подписи, может быть передан через опубликованные криптографические процедуры для распаковки хэша исходных данных, который затем сравнивается со свежим хешем сохраненных данных для проверки целостности данных. Если подпись успешно расшифровывается с использованием опубликованного открытого ключа определенного интервала, получатель может быть уверен, что подпись была создана в течение этого периода времени. Если расшифрованные и свежие хэши совпадают, получатель может быть уверен, что данные не были подделаны с тех пор, как временный закрытый ключ создал временную метку и подписал данные.
Как расшифровать transient key
Азы протокола WPA2
И щете путь к более безопасным Wi-Fi-коммуникациям? Протокол WPA2 (Wi-Fi Protected Access 2) обеспечит вашим данным конфиденциальность и целостность. Последние два термина прежде никак не ассоциировались с сетями Wi-Fi.
Низкий уровень безопасности, несомненно, долго оставался одним из главных недостатков сетей Wi-Fi. Будучи основанными на технологии VPN, первые БЛВС обеспечивали безопасность данных на уровне 3, что (помимо дополнительных накладных расходов на инкапсулирование, проблем с роумингом, гарантированным качеством обслуживания, поддержкой клиентов и масштабируемостью) сохраняло уязвимость сети IP для атак. Реализованный на уровне 2 протокол WPA2 защищает беспроводную сеть значительно лучше. Однако лишь он один не способен обеспечить должную безопасность корпоративной сети. Управление же доступом по этому протоколу в сочетании с основанным на портах протоколом аутентификации IEEE 802.1X позволяет исключить возникновение большинства проблем безопасности. Применение этой пары протоколов не защитит вас от “нелегальных” устройств, атак типа “отказ в обслуживании” (denial-of-service) или какого-либо другого вмешательства извне, но обеспечит безопасность беспроводных коммуникаций.
Спецификация WPA2 организации Wi-Fi Alliance является значительным усовершенствованием механизма безопасности WEP (Wired Equivalent Privacy) исходного стандарта 802.11 (более подробную информацию по протоколу WEP можно найти по адресу www.nwc.com/go/1702rd7.jhtml). Протокол WEP был уязвимым для атак и скверно реализовывался производителями, поэтому он так и не нашел применения в корпоративных сетях. Слабые места WEP и то, что их весьма просто использовать в вероломных целях, стимулировали разработку стандарта 802.11i, который был утвержден и опубликован в 2004 г. В рамках проекта стандарта 802.11i организация Wi-Fi Alliance разработала протокол WPA, а позднее — WPA2, обеспечивающий более высокий уровень безопасности, чем первая версия WPA.
Полную версию данной статьи смотрите в 10-ом номере журнала за 2006 год.
WPA поддерживает использующий метод шифрования RC4 протокол TKIP (Temporal Key Integrity Protocol) и может быть программно реализован путем обновления драйвера или встроенного ПО. Ча-стая ротация ключей и наличие счетчика пакетов предотвращают атаки с воспроизведением пакетов (packet replay) или их повторным вводом (packet re-injection). Протокол WPA обеспечивает контроль целостности данных, используя метод контрольной суммы MIC (Message Integrity Code), иногда называемый “Michael”. Данный метод подвержен атакам “грубой силы” (brute-force attacks), но при этом передача сетевого трафика на минуту автоматически приостанавливается и, если основанная на WPA точка доступа детектирует в течение 60 с более одной ошибки MIC протокола TKIP, сеансовые ключи переустанавливаются, снижая, таким образом, риск атак до минимума.
Между тем протокол WPA2 задействует новый метод шифрования (получивший название CCMP — Counter-Mode with CBC-MAC Protocol), основанный на более мощном, чем RC4, алгоритме шифрования AES (Advanced Encryption Standard).
Как WPA, так и WPA2 работают в двух режимах аутентификации: персональном (Personal) и корпоративном (Enterprise). В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-разрядный ключ, иногда именуемый предварительно распределяемым ключом (PreShared Key — PSK). Ключ PSK, а также идентификатор SSID (Service Set Identifier) и длина последнего вместе образуют математический базис для формирования главного парного ключа (Pairwise Master Key — PMK), который используется для инициализации четырехстороннего квитирования связи и генерации временного парного или сеансового ключа (Pairwise Transient Key — PTK), для взаимодействия беспроводного пользовательского устройства с точкой доступа. Как и статическому протоколу WEP, протоколу WPA2-Personal присуще наличие проблем распределения и поддержки ключей, что делает его более подходящим для применения в небольших офисах, нежели на предприятиях.
Зато в протоколе WPA2-Enterprise успешно решаемы проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством корпоративных сервисов аутентификации обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль; аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг соединения и направляют аутентификационные пакеты на соответствующий сервер аутентификации (как правило, это сервер RADIUS). Базой для режима WPA2-Enterprise служит стандарт 802.1X, поддерживающий основанную на контроле портов аутентификацию пользователей и машин, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа.
К основным компонентам аутентификации 802.1X относятся клиентский “запросчик” (supplicant), аутентификатор и сервер аутентификации.
Согласно спецификации 802.1X, клиентский запросчик — это устройство, запрашивающее доступ к сети. Хотя обычно под ним подразумевается ноутбук или какое-либо другое мобильное устройство, на поверку клиентским запросчиком в конечном счете оказывается установленное на этом устройстве ПО, инициализирующее и отвечающее на команды 802.1X (см. www.nwc.com/go/1702rd4.jhtml).
Аутентификатор (обычно это точка доступа, хотя в централизованной архитектуре доступа он может размещаться на коммутаторе/контроллере) аутентифицирует клиент для доступа к сети. Это устройство обрабатывает запросы от клиентского запросчика, сохраняя сетевой интерфейс заблокированным до тех пор, пока не получит от сервера аутентификации указание на его разблокирование. В свою очередь, последний принимает и обрабатывает запрос на аутентификацию. Хотя обычно в качестве сервера аутентификации используется сервер RADIUS, в данной ситуации можно использовать не всякий такой сервер, а лишь тот, что совместим с методами аутентификации EAP (Extensible Authentication Protocol; дополнительную информацию по протоколу EAP можно найти по адресу http://nwc.com/go/1702rd8.jhtml) клиентского запросчика.
Клиент (клиентский запросчик) и точка доступа (аутентификатор) обмениваются трафиком EAP по протоколу уровня 2 EAPoL (EAP over LAN). Клиентский запросчик не способен взаимодействовать с сервером RADIUS посредством протокола уровня 3: когда точка доступа получает трафик EAP от клиента, она преобразует его в соответствующий запрос RADIUS и передает серверу RADIUS на обработку. Если клиентский запросчик шифрует данные, то аутентификатор не может проверить содержимое запроса, но способен извлекать из ответа такие атрибуты, как назначенная клиенту виртуальная сеть VLAN.
Выполнив процедуру аутентификации 802.1X, клиент получает от сервера аутентификации главный ключ (Master Key — MK), который “привязывается” к данному сеансу аутентификации. На основе этого ключа на клиенте и на сервере аутентификации генерируется один и тот же парный главный ключ (Pairwise Master Key — PMK). Аутентификатор (в данном случае точка доступа) получает ключ PMK от сервера аутентификации посредством предварительно определенного атрибута RADIUS. Обладая ключом PMK, клиент и точка доступа генерируют парный временный ключ (Pairwise Transient Key — PTK), фактически не обмениваясь им. Такая процедура генерации ключей становится возможной благодаря использованию четырехстороннего квитирования связи, предотвращающего развертывание атак типа man-in-the-middle, нацеленных на перехват служебной информации.
В WPA2 имеется три типа ключей PTK: ключ подтверждения ключа (Key Confirmation Key — KCK), применяющийся для проверки целостности кадра EAPOL-Key (используется в контрольной сумме MIC); ключ шифрования ключа (Key Encryption Key — KEK), используемый для шифрования группового временного ключа (Group Transient Key — GTK) и временные ключи (Temporal Keys — TK) — для шифрования трафика.
Все “привязанные” к точке доступа беспроводные устройства должны “уметь” расшифровывать широковещательный и многоадресный трафик. Они выполняют это посредством одного и того же временного группового ключа GTK. Если точка доступа изменяет ключ GTK — например, по причине его компрометации, то она генерирует новый ключ, используя простое двухстороннее квитирование связи и ключ KEK для шифрования ключа GTK.
При осуществлении клиентским устройством роуминга между двумя точками доступа полный процесс его аутентификации сервером RADIUS может занимать сотни миллисекунд (а то и несколько секунд), что является неприемлемым для телефонов Wi-Fi или потоковых видеоприложений ноутбуков. Поэтому большинство корпоративных беспроводных устройств оснащаются такими предусмотренными спецификацией 802.11i возможностями, как предварительная аутентификация и кэширование ключа PMK, позволяющими минимизировать связанную с роумингом задержку.
Предварительная аутентификация позволяет мобильному клиенту аутентифицироваться на другой, расположенной поблизости точке доступа, оставаясь “привязанным” к своей первичной точке доступа. При применении кэширования PMK клиенту, вернувшемуся с обслуживаемой роумингом территории “домой”, не нужно выполнять полную процедуру повторной аутентификации 802.1X.
В основе стандарта WPA2 лежит метод шифрования AES, пришедший на смену стандартам DES и 3DES в качестве отраслевого стандарта де-факто. Требующий большого объема вычислений, стандарт AES нуждается в аппаратной поддержке, которая не всегда имеется в старом оборудовании БЛВС.
Для аутентификации и обеспечения целостности данных WPA2 использует протокол CBC-MAC (Cipher Block Chaining Message Authentication Code), а для шифрования данных и контрольной суммы MIC — режим счетчика (Counter Mode — CTR). Код целостности сообщения (MIC) протокола WPA2 представляет собой не что иное, как контрольную сумму и в отличие от WEP и WPA обеспечивает целостность данных для неизменных полей заголовка 802.11. Это предотвращает атаки типа packet replay с целью расшифровки пакетов или компрометации криптографической информации.
Для расчета MIC используется 128-разрядный вектор инициализации (Initialization Vector — IV), для шифрования IV — метод AES и временный ключ, а в итоге получается 128-разрядный результат. Далее над этим результатом и следующими 128 бит данных выполняется операция “исключающее ИЛИ”. Результат ее шифруется посредством AES и TK, а затем над последним результатом и следующими 128 бит данных снова выполняется операция “исключающее ИЛИ”. Процедура повторяется до тех пор, пока не будет исчерпана вся полезная нагрузка. Первые 64 разряда полученного на самом последнем шаге результата используются для вычисления значения MIC.
Для шифрования данных и MIC используется основанный на режиме счетчика алгоритм. Как и при шифровании вектора инициализации MIC, выполнение этого алгоритма начинается с предварительной загрузки 128-разрядного счетчика, где в поле счетчика вместо значения, соответствующего длине данных, берется значение счетчика, установленное на единицу. Таким образом, для шифрования каждого пакета используется свой счетчик.
С применением AES и TK шифруются первые 128 бит данных, а затем над 128-бит результатом этого шифрования выполняется операция “исключающее ИЛИ”. Первые 128 бит данных дают первый 128-разрядный зашифрованный блок. Предварительно загруженное значение счетчика инкрементально увеличивается и шифруется посредством AES и ключа шифрования данных. Затем над результатом этого шифрования и следующими 128 бит данных снова выполняется операция “исключающее ИЛИ”.
Процедура повторяется до тех пор, пока не зашифруются все 128-разрядные блоки данных. После этого окончательное значение в поле счетчика сбрасывается в ноль, счетчик шифруется с использованием алгоритма AES, а затем над результатом шифрования и MIC выполняется операция “исключающее ИЛИ”. Результат последней операции пристыковывается к зашифрованному кадру.
После подсчета MIC с использованием протокола CBC-MAC производится шифрование данных и MIC. Затем к этой информации спереди добавляется заголовок 802.11 и поле номера пакета CCMP, пристыковывается концевик 802.11 и все это вместе отправляется по адресу назначения.
Расшифровка данных выполняется в обратном шифрованию порядке. Для извлечения счетчика задействуется тот же алгоритм, что и при его шифровании. Для дешифрации счетчика и зашифрованной части полезной нагрузки применяются основанный на режиме счетчика алгоритм расшифровки и ключ TK. Результатом этого процесса являются расшифрованные данные и контрольная сумма MIC. После этого, посредством алгоритма CBC-MAC, осуществляется перерасчет MIC для расшифрованных данных. Если значения MIC не совпадают, то пакет сбрасывается. При совпадении указанных значений расшифрованные данные отправляются в сетевой стек, а затем клиенту.
Не совсем как дважды два
Большинство новейших корпоративных беспроводных систем либо поддерживают стандарт WPA2, либо допускают их модернизацию до WPA2. Однако, если у вас нет сервера аутентификации или сервера RADIUS, который обслуживал бы необходимые методы аутентификации EAP, вам придется реализовать это обслуживание. Кроме того, у вас, вероятно, имеются ноутбуки и PC-карты, не поддерживающие WPA2 ввиду отсутствия у них необходимых аппаратных средств шифрования AES. Иногда эту функциональность позволяет активизировать модернизация встроенного ПО или драйвера.
Еще одной проблемой является наделение возможностями WPA2 встроенных или малогабаритных устройств, таких, как карманные компьютеры, телефоны Wi-Fi, считыватели штрихкода и беспроводные принт-серверы. Эти решения обычно отстают по своим возможностям безопасно-сти из-за проблем с интеграцией и относительно продолжительного цикла их замены.
С помощью протокола WEP или WPA вы можете создать отдельный идентификатор SSID в рамках отдельной виртуальной ЛВС с ограниченным, контролируемым доступом к вашей сети. Примером могут служить телефоны Wi-Fi, которые поддерживают только WEP или WPA-PSK: учитывая тот факт, что эти телефоны должны взаимодействовать только с инфраструктурой VoIP, вам следует запретить их доступ ко всей корпоративной сети. Конечно, голосовые вызовы по-прежнему остаются чувствительными к дешифрации, поэтому имеет смысл дождаться появления радиотелефонов, поддерживающих тот или иной метод аутентификации 802.1X.
Внедрение протокола WPA2 на ваших настольных системах и ноутбуках не всегда оказывается простой задачей. Если применяемый вами метод аутентификации EAP не поддерживается операционной системой беспроводной станции, то вы можете задействовать клиентское ПО, имеющееся на компакт-диске вашей беспроводной карты, или инсталлировать и сконфигурировать клиентское ПО сторонней фирмы и управлять им. При отсутствии возможности разом перевести на протокол WPA2 всех своих пользователей наложите на вашу систему новый идентификатор SSID, использующий WPA2 или смешанное шифрование. После этого вы сумеете перевести свои устройства на WPA2, например, по территориальному принципу.
Так или иначе, с точки зрения корпоративной безопасности технология Wi-Fi готова к повсеместному внедрению. Протокол WPA2 обеспечивает шифрование и целостность данных, а будучи использованным с механизмами аутентификации 802.1X, — полную безопасность передачи данных по беспроводным каналам связи..
| № 10 ‘2006 |
| СОДЕРЖАНИЕ |
