IEEE 802.11i-2004

Versión estándar IEEE

IEEE 802.11i-2004 , o 802.11i para abreviar, es una enmienda al IEEE 802.11 original , implementado como Wi-Fi Protected Access II (WPA2). El borrador del estándar fue ratificado el 24 de junio de 2004. Este estándar especifica los mecanismos de seguridad para redes inalámbricas , reemplazando la breve cláusula de autenticación y privacidad del estándar original por una cláusula de seguridad detallada . En el proceso, la enmienda desaprobó la privacidad equivalente a cable (WEP), que estaba rota , mientras que más tarde se incorporó al estándar IEEE 802.11-2007 publicado .

Reemplazo de WEP

802.11i reemplaza la especificación de seguridad anterior, Wired Equivalent Privacy (WEP), que demostró tener vulnerabilidades de seguridad. Wi-Fi Protected Access (WPA) había sido introducido previamente por la Wi-Fi Alliance como una solución intermedia a las inseguridades de WEP. WPA implementó un subconjunto de un borrador de 802.11i. La Wi-Fi Alliance se refiere a su implementación interoperable aprobada de la totalidad de 802.11i como WPA2 , también llamada RSN (Robust Security Network). 802.11i hace uso del cifrado de bloques Advanced Encryption Standard (AES) , mientras que WEP y WPA utilizan el cifrado de flujo RC4 . ^[1]

Operación del protocolo

IEEE 802.11i mejora IEEE 802.11-1999 al proporcionar una Red de Seguridad Robusta (RSN) con dos nuevos protocolos: el protocolo de enlace de cuatro vías y el protocolo de enlace de clave de grupo. Estos utilizan los servicios de autenticación y el control de acceso a puertos descritos en IEEE 802.1X para establecer y cambiar las claves criptográficas adecuadas. ^[2]^[3] La RSN es una red de seguridad que sólo permite la creación de asociaciones de red de seguridad robusta (RSNA), que son un tipo de asociación utilizada por un par de estaciones (STA) si el procedimiento para establecer la autenticación o asociación entre ellas incluye el protocolo de enlace de cuatro vías. ^[4]

El estándar también proporciona dos protocolos de confidencialidad e integridad de datos RSNA, TKIP y CCMP , siendo obligatoria la implementación de CCMP ya que los mecanismos de confidencialidad e integridad de TKIP no son tan robustos como los de CCMP. ^[5] El objetivo principal de implementar TKIP era que el algoritmo pudiera implementarse dentro de las capacidades de la mayoría de los dispositivos antiguos que solo admitían WEP.

El proceso de autenticación inicial se lleva a cabo utilizando una clave precompartida (PSK), o siguiendo un intercambio EAP a través de 802.1X (conocido como EAPOL , que requiere la presencia de un servidor de autenticación). Este proceso garantiza que la estación cliente (STA) esté autenticada con el punto de acceso (AP). Después de la autenticación PSK o 802.1X, se genera una clave secreta compartida, llamada Pairwise Master Key (PMK). En la autenticación PSK, la PMK es en realidad la PSK, ^[6] que normalmente se deriva de la contraseña WiFi al pasarla por una función de derivación de clave que utiliza SHA-1 como función hash criptográfica . ^[7] Si se llevó a cabo un intercambio EAP 802.1X, la PMK se deriva de los parámetros EAP proporcionados por el servidor de autenticación.

Apretón de manos de cuatro vías

El protocolo de enlace de cuatro vías ^[8] está diseñado para que el punto de acceso (o autenticador) y el cliente inalámbrico (o solicitante) puedan demostrarse mutuamente de forma independiente que conocen la PSK/PMK, sin revelar nunca la clave. En lugar de revelar la clave, el punto de acceso (AP) y el cliente cifran los mensajes entre sí (que solo se pueden descifrar utilizando la PMK que ya comparten) y, si el descifrado de los mensajes se realizó correctamente, esto demuestra el conocimiento de la PMK. El protocolo de enlace de cuatro vías es fundamental para la protección de la PMK frente a puntos de acceso maliciosos (por ejemplo, el SSID de un atacante que se hace pasar por un punto de acceso real), de modo que el cliente nunca tenga que decirle al punto de acceso su PMK.

La PMK está diseñada para durar toda la sesión y debe exponerse lo menos posible; por lo tanto, es necesario obtener claves para cifrar el tráfico. Se utiliza un protocolo de enlace de cuatro vías para establecer otra clave llamada clave transitoria por pares (PTK). La PTK se genera concatenando los siguientes atributos: PMK, AP nonce (ANonce), STA nonce (SNonce), dirección MAC de AP y dirección MAC de STA. Luego, el producto se somete a una función pseudoaleatoria . El protocolo de enlace también produce la GTK (clave temporal de grupo), que se utiliza para descifrar el tráfico de multidifusión y difusión.

Los mensajes reales intercambiados durante el protocolo de enlace se muestran en la figura y se explican a continuación (todos los mensajes se envían como fotogramas clave EAPOL ):

El AP envía un valor nonce (ANonce) a la STA junto con un contador de reproducción de claves, que es un número que se utiliza para hacer coincidir cada par de mensajes enviados y descartar los mensajes reproducidos. La STA ahora tiene todos los atributos para construir la PTK.
La STA envía su propio valor nonce (SNonce) al AP junto con un Código de integridad del mensaje (MIC), que incluye autenticación, que en realidad es un Código de integridad y autenticación del mensaje (MAIC), y el Contador de reproducción de clave que será el mismo que el Mensaje 1, para permitir que el AP coincida con el Mensaje 1 correcto.
El AP verifica el Mensaje 2, comprobando MIC, RSN, ANonce y el campo Contador de repetición de clave, y si es válido, construye y envía el GTK con otro MIC.
La STA verifica el Mensaje 3, verificando el MIC y el Campo Contador de Reproducción de Clave, y si es válido envía una confirmación al AP.

Protocolo de enlace de claves grupales

Es posible que sea necesario actualizar la clave temporal de grupo (GTK) que se utiliza en la red debido a la expiración de un temporizador preestablecido. Cuando un dispositivo abandona la red, también es necesario actualizar la GTK. Esto es para evitar que el dispositivo reciba más mensajes de multidifusión o difusión del AP.

Para gestionar la actualización, 802.11i define un protocolo de enlace de clave de grupo que consiste en un protocolo de enlace bidireccional:

El AP envía la nueva GTK a cada STA de la red. La GTK se cifra utilizando la KEK asignada a esa STA y protege los datos contra la manipulación mediante el uso de un MIC .
La STA reconoce el nuevo GTK y responde al AP.

Descripción general del CCMP

CCMP se basa en el modo Contador con CBC-MAC (CCM) del algoritmo de cifrado AES. CCM combina CTR para la confidencialidad y CBC-MAC para la autenticación y la integridad. CCM protege la integridad tanto del campo de datos MPDU como de partes seleccionadas del encabezado MPDU IEEE 802.11.

Jerarquía de claves

RSNA define dos jerarquías clave:

Jerarquía de claves por pares para proteger el tráfico de unidifusión
GTK, una jerarquía que consta de una única clave para proteger el tráfico de multidifusión y difusión

La descripción de las jerarquías clave utiliza las dos funciones siguientes:

L(Str, F, L) - Desde Str comenzando desde la izquierda, extrae los bits F a F+L–1.
PRF-n - Función pseudoaleatoria que produce n bits de salida, existen versiones de 128, 192, 256, 384 y 512, cada una de estas produce esta cantidad de bits.

La jerarquía de claves por pares utiliza PRF-384 o PRF-512 para derivar claves específicas de la sesión a partir de una PMK, generando una PTK, que se divide en una KCK y una KEK más todas las claves temporales utilizadas por la MAC para proteger la comunicación de unidifusión.

La GTK será un número aleatorio que también se genera utilizando PRF-n, normalmente PRF-128 o PRF-256; en este modelo, la jerarquía de claves de grupo toma una GMK (clave maestra de grupo) y genera una GTK.

Formatos de trama MAC

Campo de control de marco

Campo de control de trama ^[9]
Subcampo	Versión del protocolo	Tipo	Subtipo	Para DS	Desde DS	Más fragmentos	Rever	Gestión de energía	Más datos	Marco protegido	Pedidos
Pedazos	2 bits	2 bits	4 bits	1 bit	1 bit	1 bit	1 bit	1 bit	1 bit	1 bit	1 bit

Campo de marco protegido

"El campo Marco protegido tiene una longitud de 1 bit. El campo Marco protegido se establece en 1 si el campo Cuerpo del marco contiene información que ha sido procesada por un algoritmo de encapsulación criptográfica. El campo Marco protegido se establece en 1 solo dentro de marcos de datos de tipo Datos y dentro de marcos de administración de tipo Administración, subtipo Autenticación. El campo Marco protegido se establece en 0 en todos los demás marcos. Cuando el campo Marco protegido de 1 bit se establece en 1 en un marco de datos, el campo Cuerpo del marco se protege utilizando el algoritmo de encapsulación criptográfica y se expande como se define en la Cláusula 8. Solo se permite WEP como algoritmo de encapsulación criptográfica para marcos de administración de subtipo Autenticación". ^[8]

Véase también

Infraestructura de privacidad y autenticación WLAN (WAPI), el método de seguridad inalámbrica centralizado de China
IEEE 802.1AE MACsec

Referencias

^ "IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad del control de acceso al medio (MAC)" (PDF) . Estándares IEEE . 2004-07-23. Archivado desde el original (PDF) el 17 de mayo de 2005 . Consultado el 21 de diciembre de 2007 .(Enlace roto)
^ IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad del control de acceso al medio (MAC) (PDF) , IEEE Standards , 2004-07-23, p. 14, archivado desde el original (PDF) el 17 de mayo de 2005 , consultado el 2010-04-09
^ IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad del control de acceso al medio (MAC) (PDF) , IEEE Standards , 2004-07-23, p. 14, archivado desde el original (PDF) el 17 de mayo de 2005 , consultado el 2010-04-09 , RSNA se basa en IEEE 802.1X para proporcionar servicios de autenticación y utiliza el esquema de gestión de claves IEEE 802.11
^ IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad del control de acceso al medio (MAC) (PDF) , IEEE Standards , 2004-07-23, p. 5, archivado desde el original (PDF) el 17 de mayo de 2005 , consultado el 2010-04-09
^ IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad del control de acceso al medio (MAC) (PDF) , IEEE Standards , 2004-07-23, p. 43, archivado desde el original (PDF) el 17 de mayo de 2005 , consultado el 2010-04-09(Enlace roto)
^ "Enmienda 6 a la norma IEEE 802.11i-2004: Mejoras en la seguridad del control de acceso al medio (MAC)" (PDF) . pág. 33.
^ "Enmienda 6 a la norma IEEE 802.11i-2004: Mejoras en la seguridad del control de acceso al medio (MAC)" (PDF) . pág. 165.
^ ab "Enmienda 6 del estándar IEEE 802.11i-2004: Mejoras en la seguridad del control de acceso al medio (MAC)" (PDF) .
^ "Sección de formatos de trama MAC". Archivado desde el original el 27 de abril de 2018. Consultado el 27 de abril de 2018 .

General

"IEEE 802.11-2007: Especificaciones de control de acceso al medio (MAC) y capa física (PHY) para redes LAN inalámbricas". IEEE . 2007-03-08.
"La evolución de la seguridad inalámbrica 802.11" (PDF) . ITFFROC. 18 de abril de 2010.

Enlaces externos

Vulnerabilidad en el protocolo WPA2, hole196 [1] Archivado el 13 de noviembre de 2015 en Wayback Machine , [2]

[80211i-1] "IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad del control de acceso al medio (MAC)" (PDF) . Estándares IEEE . 2004-07-23. Archivado desde el original (PDF) el 17 de mayo de 2005 . Consultado el 21 de diciembre de 2007 .(Enlace roto)

[2] IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad del control de acceso al medio (MAC) (PDF) , IEEE Standards , 2004-07-23, p. 14, archivado desde el original (PDF) el 17 de mayo de 2005 , consultado el 2010-04-09

[3] IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad del control de acceso al medio (MAC) (PDF) , IEEE Standards , 2004-07-23, p. 14, archivado desde el original (PDF) el 17 de mayo de 2005 , consultado el 2010-04-09 , RSNA se basa en IEEE 802.1X para proporcionar servicios de autenticación y utiliza el esquema de gestión de claves IEEE 802.11

[4] IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad del control de acceso al medio (MAC) (PDF) , IEEE Standards , 2004-07-23, p. 5, archivado desde el original (PDF) el 17 de mayo de 2005 , consultado el 2010-04-09

[5] IEEE 802.11i-2004: Enmienda 6: Mejoras de seguridad del control de acceso al medio (MAC) (PDF) , IEEE Standards , 2004-07-23, p. 43, archivado desde el original (PDF) el 17 de mayo de 2005 , consultado el 2010-04-09(Enlace roto)

[6] "Enmienda 6 a la norma IEEE 802.11i-2004: Mejoras en la seguridad del control de acceso al medio (MAC)" (PDF) . pág. 33.

[7] "Enmienda 6 a la norma IEEE 802.11i-2004: Mejoras en la seguridad del control de acceso al medio (MAC)" (PDF) . pág. 165.

[:0-8] "Enmienda 6 del estándar IEEE 802.11i-2004: Mejoras en la seguridad del control de acceso al medio (MAC)" (PDF) .

[9] "Sección de formatos de trama MAC". Archivado desde el original el 27 de abril de 2018. Consultado el 27 de abril de 2018 .