БЕЗПЕКА ПРОТОКОЛІВ БЕЗПРОВІДНИХ МЕРЕЖ: ВРАЗЛИВОСТІ ЗАСТОСУВАННЯ PMKID
08.06.2022 00:36
[1. Інформаційні системи і технології]
Автор: Горошко Володимир Олександрович, студент спеціальності «Кібербезпека», 4 курс, Національний університет «Львівська політехніка»
Для кращого розуміння проблеми розглянемо протокол 802.11r, а саме Fast BSS Transition та PMKSA кешування, що пов’язані із породженням та застосуванням вразливості PMKID (Pairwise Master Key ID).
Fast BSS Transition - слугує додатком до стандартів 802.11 IEEE та призначений для виключення процесу EAPoL-Key “рукостискання” під час реасоціації між станцією і двома точками доступу (асоційованою та неасоційованою), що розташовані у одному ESS та Mobility Domain при умові появи більш сильного сигналу від останньої згаданої.
PMKSA кешування - теж слугує додатком до стандартів 802.11 IEEE та призначене для виключення виснажливого процесу визначення асоціації безпеки PMK (наприклад аутентифікації у 00-0F-AC:8 та 00-0F-AC:5 AKM), аналогічно під час реасоціації у одному ESS. Варто зауважити, що додаток включає два види кешування:
• Sticky Key кешування (SKC) - призначене для реасоціації/швидкого “блукання” назад до точки доступу, з якою станція уже була асоційована.
• Opportunistic Key кешування (OKC) - призначене для реасоціації/швидкого “блукання” до точки доступу, з якою станція ще була асоційована.
Замітка:
• Service Set - група безпровідних мережевих пристроїв, що охарактеризовані спільним SSID.
• Basic Service Set (BSS) - підгрупа Service Set’у, пристрої якої використовують спільні характеристики доступу (частоту, безпеку). Дана підгрупа визначена за допомогою Basic Service Set Identifier (BSSID), що поширений між усіма пристроями всередині неї. Існує три типи BSS: Infrastructure (access point), Independent (ad-hoc) та Mesh (mesh станції та профілі).
• Extended Service Set (ESS) - сукупність декількох Infrastructure BSS, що здається однією мережею.
• Mobility Domain - сет BSS, що присутні у одному ESS та ідентифіковані за допомогою одного і того ж Mobility Domain Identifier (MDID).
• 00-0F-AC:4 - AKM сют FT аутентифікації на основі PSK, із FT менеджментом ключів.
• 00-0F-AC:5 - AKM сют 802.1X аутентифікації, із RSNA менеджментом ключів / PMKSA кешуванням .
• 00-0F-AC:6 - AKM сют відкритої аутентифікації на основі PSK, із RSNA менеджментом ключів.
Fast Transition BSS
Дозволяє станції перемістить від однієї BSS до іншої, перебуваючи у одному ESS на основі наперед частково обчисленого Pairwise Master Key та отриманої частини Pairwise Master Key Security Association, за допомогою:
• Визначення логічних атрибутів;
• Визначення ієрархії ключів.
Згідно стандарту 802.11, “блукання” визначає переміщення забезпеченої асоціації від однієї BSS до нової незнайомої, що забезпечене реасоціацією. У середовищах, що залучають “блукання”, лише станції відповідальні за початок “блукання” (хоча точки доступу також можуть на це впливати, використовуючи поле неминучої деасоціації, у BSS Transition Management запитах). Дані рішення базуються на порогових значеннях індикаторів “сили” отриманого сигналу (RSSI - received signal strength indicator), що зазвичай рівні 5 dB. Таким чином, асоціювавшись до однієї точки доступу, при активному/пасивному скануванні, станція отримуватиме відповіді від BSS, що знаходяться у одному ESS, та порівнюватиме RSSI. Поштовхом до реасоціації, що передує відповідному обміну пакетів аутентифікації, може бути наступна умова: | RSSI (не асоційованої BSS) | - | RSSI (асоційованої BSS) | ≥ 5dB.
Замітка:
• dBm (децибел-мілівати) - величина виміру сили сигналу, логарифмічний аналог mW (міліват).
• dB (децибел) - відносна величина, що використовується для демонстрації затухання/збільшення сигналу.
PMKSA кешування
Дозволяє станції повернутись або перемістить до раніше асоційованої або незнайомої BSS відповідно за допомогою SKC та OKC, перебуваючи у одному ESS - на основі наперед обчисленого Pairwise Master Key та отриманої Pairwise Master Key Security Association, за допомогою обчислення ідентифікатора для Pairwise Master Key, визначеного як PMKID.
Розглянувши протокол “блукання”, швидкого переміщення та методи кешування PMKSA, можемо описати можливі вразливості пов’язані з PMKID. Ознайомлюючись з:
SKC та OKC - можна побачити, що утримування ідентифікатора PMK без впровадження надбудови додаткової ієрархії ключів надає можливість уникнути виснажливого процесу визначення асоціації безпеки для стандартів із аутентифікації 802.1X та SAE (Simultaneous Authentication of Equals), а також у випадку повторного підключення, що все ж вимагає здійснити 802.11 EAPoL-Key рукостискання, аби забезпечити секретність ключів PTKSA за допомогою одноразових випадкових значень. Згідно стандарту, ми знаємо що утримування ідентифікатора у розглянутих принципах було первинно впроваджено та підтримувалось ще й іншим AKM, як от стандарт відкритої аутентифікації на основі PSK. Проте розглянемо привабливість PMKID з точки зору зловмисника, враховуючи доступність, фатальність та актуальність:
У випадку із 00–0F-AC:5, згідно обчислення ідентифікатора фатальність розкриття PMKSA, з обчислювальної-теоретичної точки зору, вимагає обчислення Master та Master Session ключів, що при застосуванні методів, вразливих до словникового підбору (EAP-MD5, EAP-LEAP), є можливим та приносить порушення інформаційної властивості лише залученої сесії.
Проте, з точки зору доступності та початку криптоаналізу PMKID:
1)для ap-less застосування лише під час реасоції, PMKID розкривається зі сторони станції. Проте, для здійснення криптоаналізу на даному етапі, зловмисник попередньо повинен був дізнатись вхідні значення згідно вразливого EAP методу.
2) для client-less, зловмиснику необхідно успішно здійснити аутентифікацію, аби дізнатись PMKID.
Таким чином, актуальність атаки PMKID на 00–0F-AC:5 - надзвичайно низька через неефективність єдиного варіанту, що вимагає додаткових зусиль та умови використання визнаних вразливих методів EAP.
У випадку із 00-0F-AC:6, згідно обчислення ідентифікатора фатальність розкриття PMKSA, з обчислювальної-теоретичної точки зору, вимагає лише обчислення PSK на основі обраної фрази: у 00–0F-AC:6 PMK = PSK. З точки зору доступності та початку криптоаналізу PMKID:
1) для ap-less застосування, зловмиснику необхідно лише отримати Reassociation Request, що буде успішно відправлене через використання Open System аутентифікації, попередньо підмінивши BSS та забезпечивши сильніший сигнал.
2) для client-less, зловмиснику необхідно лише отримати M1 EAPoL-Key рукостискання, що буде успішно відправлене через використання Open System аутентифікації, попередньо підмінивши фізичну адресу на адресу асоційованої станції.
Проте, попри можливість залучення SKC або OKC, згідно стандарту, їх використання не надає жодної вигоди з точки зору затрат. Через це, точки доступу із 00–0F-AC:6 AKM за замовчуванням не застосовують утримання ідентифікаторів ключів для PMKSA для згаданих методів. Таким чином, актуальність атаки PMKID на 00–0F-AC:6 спирається на явне увімкнення автономного кешування.
Fast BSS Transition: можна побачити, що, попри утримання ідентифікатора PMK на основі додаткової ієрархії ключів, розподіл PMKSA на PMKSA0 та PMKSA1 надає можливість уникнути певної міри виснажливого процесу визначення асоціації безпеки, у випадку “переміщення”, що не вимагає здійснення окремого 802.11 EAPoL-Key рукостискання. Забезпечуються forward та future секретності PTKSA за допомогою Nounce значень під час обміну Reassociation Request/Response. Згідно стандарту ми знаємо, що утримування ідентифікатора згідно ієрархії було впроваджено та підтримувалось декількома AKM, проте, у даному випадку, використаємо найбільш потенційно схильний до вразливості AKM - 00-0F-AC:4. Розглянемо привабливість PMKID з точки зору зловмисника, враховуючи доступність, фатальність та актуальність, відповідно до залучених PMKSAi :
Фатальність розкриття PMKSA0, згідно до ідентифікатора, визначеного як PMKR0Name, з обчислювальної-теоретичної точки зору, вимагає лише обчислення PSK на основі обраної фрази, що є основою PMK-R0-Data. З точки зору доступності та початку криптоаналізу PMKID, визначеним PMKR0Name:
1) для ap-less застосування, попередньо забезпечивши умову для сильнішого сигналу та Mobility Domain, зловмиснику необхідно лише отримати Authentication від станції, що міститиме ідентифікатор, S0KH-ID та R0KH-ID, що достатньо для обчислення PMK-R0-Data, оскільки MDID та SSID попередньо визначені згідно середовища атаки.
2) client-less - застосування не є можливими через порядок розголошення ідентифікатора, що починається зі станції - зловмисника.
Таким чином, актуальність атаки на PMKID згідно Fast BSS Transition 00–0F-AC:4 AKM - висока через високе застосування стандарту та рівнозначність актуальності злого двійника.
Фатальність розкриття PMKSA1 згідно до ідентифікатора, визначеного як PMKR1Name, з обчислювальної-теоретичної точки зору, вимагає розкриття PMKSA0. Відповідним чином, інші фактори також базуються на цьому.
Згідно проведеного аналізу загроз та факторів доступності, фатальності та актуальності найбільш доцільна для розгляду вразливість наявна у Fast BSS Transition стандарті при умові застосування 00–0F-AC:4 AKM.
Література
1. IEEE P802.11 Wireless LANs IEEE 802.1X. URL: Pre-Authentication https://grouper.ieee.org/groups/802/1/files/public/docs2002/aboba-pre-authentication.pdf.
2. AN1287: RS9116N Wi-Fi Roaming Application Note. URL: https://www.silabs.com/documents/login/application-notes/an1287-rs9116n-wi-fi-roaming-application-note.pdf.
_____________________
Науковий керівник: Марчук Михайло Володимирович, доктор фізико-математичних наук, професор кафедри захисту інформації Національного університету «Львівська політехніка»