簡介
臨時密鑰完整性協定(英文:
Temporal
Key
Integrity
Protocol,簡稱
TKIP)是一種用於
IEEE 802.11無線網路標準中的替代性安全協定。TKIP協定由美國電氣電子工程師學會(IEEE)802.11i 任務組和
Wi-Fi聯盟設計用以在不需要升級硬體的基礎上替代
有線等效加密(WEP)協定。由於WEP協定的薄弱造成了
數據鏈路層安全被完全跳過,且由於已經套用的大量按照WEP要求製造的網路硬體急需更新更可靠的安全協定,在此背景下TKIP應運而生。需要注意的是TKIP協定自2012年的802.11標準中以不再視為完全且即將廢棄。
歷史
2002年10月31日,
Wi-Fi聯盟提出臨時密鑰完整性協定,歸類於
WPA標準的一部分。。IEEE隨後在2004年7月23日的IEEE 802.11i-2004報告中背書臨時密鑰完整性協定並同時提出基於
計數器模式密碼塊鏈訊息完整碼協定的802.1X和
AES協定這些更堅固的安全協定。之後Wi-Fi聯盟接受了IEEE的相關報告並冠以“
WPA2”這個商業名稱發布。
臨時密鑰完整性協定隨後由於安全性原因於2009年1月被IEEE廢棄。ZDNet於2010年7月18日的報告中表明Wi-Fi聯盟應當禁止所有Wi-Fi設備使用WEP和臨時密鑰完整性協定。
技術細節
臨時密鑰完整性協定和相關的WPA標準套用了3個新的安全功能以解決WEP協定的安全漏洞。
TKIP使用密鑰混合功能。該功能混合了根密鑰(Root Secret key)和
初始化向量,而後再通過
RC4初始化。在WEP中初始化向量基本上被直接連在根密鑰上而後直接通過RC4,從而造成了RC4為基礎的WEP可以被輕而易舉的使用相關密鑰攻擊而破解。
WPA使用序列計數器(Sequence Counter)以防禦回放攻擊(Replay Attacks)。當數據包的順序不匹配規定時將會被連線點自動拒收。
臨時密鑰完整性協定使用64位信息完整性代碼(Message Integrity Check, MIC)以防止假包或者數據包篡改。
為了讓該協定可以在老式WEP硬體上使用,臨時密鑰完整性協定仍使用
RC4為其核心加密算法,臨時密鑰完整性協定同時提供了密鑰再生成算法加固協定。
密鑰混合增加了破解密鑰的難度,並且給攻擊者持久有限且加密數據用以破解。WPA2更套用了信息完整性代碼以防止篡改發生。在老式WEP下在知道數據包內容的情況下可以輕易篡改即使是已加密的數據包。
安全性
臨時密鑰完整性協定與WEP的核心算法時一樣的,所以也就造成了其注定面對相似破解WEP攻擊時的薄弱。由此TKIP的加強功能就非常重要。信息完整性代碼,單包哈希計算,廣播密鑰輪換和序列計數器避免了很多以前可以很對WEP的攻擊。混合密鑰功能避免了針對WEP的密鑰恢復攻擊。
但即使包括了這些安全功能,TKIP仍然可以被一些改進的攻擊破解。
貝克-特夫斯攻擊
臨時密鑰完整性協定與WEP協定由於使用相同的RC4加密算法,對於密鑰流恢復攻擊有天生弱點。如果該攻擊成功,可以讓攻擊者成功傳送7至15個
數據包。當前公開的針對臨時密鑰完整性協定的攻擊方式中無法泄露對偶主密鑰或者對偶臨時密鑰。2008年11月8日,馬丁·貝克( Martin
Beck)和艾瑞克·特夫斯(Erik
Tews)發布了一種針對TKIP WPA的
貝克-特夫斯攻擊法(Beck-Tews Attacks)。
Beck-Tews攻擊可以看做是針對WEP的斷續攻擊(Chop-Chop Attack)的延展。因為WEP所使用的查和(Checksum)算法
CRC32在密碼學上並不安全,攻擊者可以猜測到數據包中的單個位元組,而後連線點會對猜測正確與否作出確認或拒絕傳輸。如果猜測正確,攻擊者可以發現猜測正確並繼續猜測下一個位元組。不過相較於針對WEP的斷續攻擊,攻擊者如果猜錯必須額外等待60秒才能繼續猜測。這是因為儘管臨時密鑰完整性協定仍然使用CRC32查和算法,但由於使用了序列計數器(稱為Michael)而可以拖延攻擊。如果一個
接入點在60秒內收到了2個Michael序列計數器錯誤,接入點隨後將啟動反制措施,重組臨時密鑰完整性協定的對話密鑰(Session Key),從而改變隨後的密鑰流。由此,Beck-Tews攻擊則等待一個適當的時間從而避免該反制措施。由於
地址解析協定包(ARP包)可以非常簡單通過包大小鑑別,並且包中內容通常很容易猜到(大多ARP包內容相似),從而留給攻擊者需要猜測的包大小則變得非常有限(大約為14
位元組)。通常來說在尋常的網路配置下只需要12
分鐘即可破解12加密位元組。
當攻擊者可以接觸到全部的加密包內容後,對於餘下在每個包內的明碼內容進行去除,攻擊者即可輕易獲得包內的密鑰流,同時還可獲得對話的MIC碼。套用這些信息攻擊者可以重建新的數據包並在網路上傳送。Beck-Tews攻擊使用QoS通道傳送新組建的數據包從而繞開WPA套用的回放攻擊防護。由此攻擊者可以傳送數據包已達到其他攻擊方式,比如
ARP欺騙攻擊,拒絕式攻擊或其他類似攻擊。
2009年10月,挪威科技大學的費恩·霍爾沃森(Finn M Helvorsen)及其同事更進一步,使得攻擊者可以在18分25秒內注入一個比普通ARP包異常大的包(596位元組)。
大東-森井攻擊
日本的研究學者大東俊博和森井昌克以貝克-特夫斯攻擊法為基礎,發布了一種更簡單且更快速的類似攻擊方式——“大東-森井攻擊”(Ohigashi-Morii Attack)。該種攻擊在使用貝克-特夫斯攻擊的同時使用
中間人攻擊,同時不需要接入點必須使用QoS。
鑒於這種攻擊方法是基於貝克-特夫斯攻擊,所以改種攻擊僅僅對臨時密鑰完整性協定有效,對於使用AES的WPA協定則無效。