임시 키 무결성 프로토콜

Temporal Key Integrity Protocol
임시 키 무결성 프로토콜
일반
디자이너와이파이 얼라이언스
초간출판2002년 10월 31일; 19년 전(2002-10-31년)
파생된 위치유선 등가 개인 정보 보호
암호상세
키 사이즈128비트
최고의 공개 암호 분석
사용되지 않음

시간적무결성 프로토콜(TKIP /tiːˈkɪp/)IEEE 802.11 무선 네트워킹 표준에서 사용되는 보안 프로토콜이다. TKIP는 IEEE 802.11i 태스크 그룹과 Wi-Fi Alliance가 레거시 하드웨어를 교체할 필요 없이 WEP를 대체하기 위한 중간 솔루션으로 설계했다. 이것은 WEP의 파괴가 실행 가능한 링크 계층 보안 없이 Wi-Fi 네트워크를 떠났고, 이미 배치된 하드웨어에 대한 해결책이 필요했기 때문에 필요했다. 그러나 TKIP 자체는 더 이상 안전하다고 여겨지지 않으며, 2012년 802.11 표준 개정에서는 더 이상 사용되지 않았다.[1]

배경

2002년 10월 31일, 와이파이 연합은 WPA(Wi-Fi Protected Access)라는 이름으로 TKIP를 승인했다.[2] IEEE는 2004년 7월 23일 IEEE 802.11i-2004를 발표하면서 802.1XAES 기반 CCMP와 같은 보다 강력한 솔루션과 함께 TKIP의 최종 버전을 승인했다.[3] 와이파이 얼라이언스는 곧 WPA2라는 마케팅 이름으로 전체 사양을 채택했다.[4]

TKIP는 2009년 1월 IEEE에 의해 폐지하기로 결의되었다.[1]

기술적 세부사항

TKIP와 관련 WPA 표준은 WEP 보호 네트워크에서 발생하는 보안 문제를 해결하기 위해 세 가지 새로운 보안 기능을 구현한다. 먼저 TKIP는 비밀 루트 키를 초기화 벡터와 결합한 키 믹싱 기능을 구현한 후 RC4 암호 초기화에 전달한다. 이에 비해 WEP는 초기화 벡터를 루트 키에 연결했을 뿐이며, 이 값을 RC4 루틴에 전달하였다. 이를 통해 RC4 기반 WEP 관련 주요 공격이 대부분 허용되었다.[5] 둘째, WPA는 재생 공격으로부터 보호하기 위해 시퀀스 카운터를 구현한다. 잘못 수신된 패킷은 액세스 포인트에 의해 거부된다. 마지막으로 TKIP는 64비트 MIC(메시지 무결성 검사)를 실시하고, 새로운 키(임시 키)를 사용할 때마다 시퀀스 번호를 다시 초기화한다.[6]

경미한 업그레이드로 기존 WEP 하드웨어에서 실행할 수 있도록 TKIP는 암호로 RC4를 사용한다. TKIP도 리키 메카니즘을 제공한다. TKIP는 모든 데이터 패킷이 고유한 암호화 키(Interim Key/Temporal Key + Packet Sequence Counter)[citation needed]로 전송되도록 한다.

키 믹싱은 공격자에게 키 하나를 사용하여 암호화된 데이터를 상당히 적게 제공함으로써 키 디코딩의 복잡성을 증가시킨다. WPA2는 또한 새로운 메시지 무결성 코드인 MIC를 구현한다. 메시지 무결성 검사는 위조된 패킷이 받아들여지지 않도록 방지한다. WEP에서는 콘텐츠가 해독되지 않았더라도 알려진 패킷을 변경할 수 있었다.

보안

TKIP는 WEP와 동일한 기반 메커니즘을 사용하며, 결과적으로 다수의 유사한 공격에 취약하다. 메시지 무결성 검사, 패키지별 키 해싱, 브로드캐스트 키 회전 및 시퀀스 카운터는 많은 공격을 억제한다. 키 믹싱 기능은 WEP 키 복구 공격도 없앤다.

이러한 변화에도 불구하고, 이러한 추가의 일부의 약점은 좁기는 하지만 새로운 공격을 가능하게 했다.

패킷 스푸핑 및 암호 해독

TKIP는 성공적으로 실행될 경우 공격자가 공격 대상 네트워크에서 임의 패킷을 전송하고 해독할 수 있는 MIC 키 복구 공격에 취약하다.[7] 현재 공개적으로 이용할 수 있는 TKIP 전용 공격은 Pairwise Master Key나 Pairwise Temporary Key를 나타내지 않는다. 2008년 11월 8일 마틴 벡과 에릭 테우스는 MIC 키를 복구하고 몇 개의 패킷을 전송하는 방법을 상세히 기술한 논문을 발표했다.[8] 이 공격은 2013년 Mathy Vanhoef와 Frank Piessens에 의해 개선되었으며, 공격자가 임의의 패킷을 해독할 수 있는 방법을 보여준다.[7]

공격의 근거는 WEP 찹찹 공격의 연장선상에 있다. WEP는 암호화된 안전하지 않은 체크섬 메커니즘(CRC32)을 사용하기 때문에 공격자는 패킷의 개별 바이트를 추측할 수 있으며, 무선 액세스 포인트는 그 추측의 정확성을 확인하거나 부정할 것이다. 만약 추측이 정확하다면, 공격자는 추측이 정확하다는 것을 감지하고 패킷의 다른 바이트를 계속 추측할 수 있을 것이다. 그러나 WEP 네트워크에 대한 찹찹 공격과 달리 공격자는 잘못된 추측(CRC32 메커니즘의 성공적인 우회) 후 공격을 계속하기 전에 최소 60초 이상 기다려야 한다. TKIP가 CRC32 체크섬 메커니즘을 계속 사용하고 있지만 Michael이라는 이름의 추가 MIC 코드를 구현하기 때문이다. 60초 이내에 두 개의 잘못된 Michael MIC 코드가 수신되면 액세스 지점은 TKIP 세션 키를 다시 키핑하여 향후 키 스트림을 변화시킬 수 있는 대응책을 실행하게 된다. 이에 따라 TKIP에 대한 공격은 이런 대응책을 피하기 위해 적절한 시간을 기다릴 것이다. ARP 패킷은 그 크기에 의해 쉽게 식별되며, 이 패킷의 내용 대부분은 공격자에게 알려지기 때문에, 공격자가 위의 방법을 사용하여 추측해야 하는 바이트 수(약 14바이트)는 다소 적다. 벡과 테우스는 공격자가 최대 28바이트의 3-7 패킷을 전송할 수 있는 일반적인 네트워크에서 약 12분 만에 12바이트의 복구가 가능하다고 추정한다.[8] Vanhoef와 Piessens는 단편화에 의존하여 이 기술을 개선하여 공격자가 각각 최대 112바이트의 크기로 임의의 많은 패킷을 전송할 수 있게 했다.[7] Vanhoef-Piessens 공격은 또한 공격의 선택의 임의 패킷을 해독하는 데 사용될 수 있다.

공격자는 이미 전체 암호문 패킷에 대한 액세스 권한을 가지고 있다. 동일한 패킷의 전체 일반 텍스트를 검색할 때 공격자는 세션의 MIC 코드뿐만 아니라 패킷의 키스트림에도 액세스할 수 있다. 이 정보를 이용하여 공격자는 새로운 패킷을 구성하여 그것을 네트워크로 전송할 수 있다. WPA가 구현한 재생 보호를 피하기 위해 공격들은 QoS 채널을 사용하여 새로 생성된 패킷을 전송한다. 이러한 패킷을 전송할 수 있는 공격자는 ARP 중독 공격, 서비스 거부 및 기타 유사한 공격을 포함하여 네트워크와 연관될 필요 없이 얼마든지 구현할 수 있다.

로열 할로웨이 공격

런던 Royal Holloway에 있는 정보 시큐리티 그룹의 보안 연구자들은 기본적인 RC4 암호화 메커니즘을 이용하는 TKIP에 대한 이론적인 공격을 보고했다. TKIP는 시퀀스 카운터의 낮은 16비트 값(재생 공격을 방지하기 위해 사용)이 24비트 "IV"로 확장되는 WEP와 유사한 키 구조를 사용하며, 이 시퀀스 카운터는 항상 새로운 패킷마다 증가한다. 공격자는 이 키 구조를 이용하여 RC4에 대한 기존 공격을 개선할 수 있다. 특히 같은 데이터를 여러 번 암호화하면 공격자는 2개의24 연결에서만 이 정보를 배울 수 있다.[9][10][11] 이들은 이번 공격이 실용성 위기에 놓였다고 주장하면서도 시뮬레이션만 했을 뿐 실제 공격은 시연되지 않고 있다.

노모레 공격

2015년 KU Leuven의 보안 연구원들이 TLS와 WPA-TKIP 모두에서 RC4에 대한 새로운 공격을 제시했다. 무수한 발생 모노레(NOMORE) 공격이라고 불리는 이 공격은 실제로 입증된 최초의 공격이다. WPA-TKIP에 대한 공격은 1시간 이내에 완료할 수 있으며, 공격자가 임의의 패킷을 해독하고 주입할 수 있다.[12]

레거시

2010년 6월 18일, ZDNet은 WEP와 TKIP가 곧 와이파이 제휴에 의해 와이파이 기기에 대한 허가를 받지 못하게 될 것이라고 보고했다.[13] 그러나 2013년 조사에서는 아직도 널리 사용되고 있는 것으로 나타났다.[7]

참고 항목

참조

  1. ^ a b "802.11mb Issues List v12" (excel). 20 January 2009. p. CID 98. The use of TKIP is deprecated. The TKIP algorithm is unsuitable for the purposes of this standard
  2. ^ "Wi-Fi Alliance Announces Standards-Based Security Solution to Replace WEP". Wi-Fi Alliance. 2002-10-31. Archived from the original on 2008-01-03. Retrieved 2007-12-21.
  3. ^ "IEEE 802.11i-2004: Amendment 6: Medium Access Control (MAC) Security Enhancements" (PDF). IEEE Standards. 2004-07-23. Retrieved 2007-12-21.
  4. ^ "Wi-Fi Alliance Introduces Next Generation of Wi-Fi Security". Wi-Fi Alliance. 2004-09-01. Archived from the original on 2008-01-03. Retrieved 2007-12-21.
  5. ^ Edney, Jon; Arbaugh, William A. (2003-0KHGHJFGDBDGBFC 20-6). Real 802.11 Security: Wi-Fi Protected Access and 802.11i. Addison Wesley Professional. {{cite book}}: 날짜 값 확인: date= (도움말)
  6. ^ IEEE-SA 표준 위원회. 무선 LAN 매체 접속 제어(MAC) 및 물리 계층(PHY) 사양 커뮤니케이션 매거진, IEEE, 2007.
  7. ^ a b c d Vanhoef, Mathy; Piessens, Frank (May 2013). Practical Verification of WPA-TKIP Vulnerabilities (PDF). Proceedings of the 8th ACM SIGSAC Symposium on Information, Computer and Communications Security. ASIA CCS '13. pp. 427–436. doi:10.1145/2484313.2484368. ISBN 9781450317672. S2CID 7639081.
  8. ^ a b 마틴 벡 & 에릭 테우스 "WEP와 WPA에 대한 실제 공격"은 [1]에서 확인할 수 있다.
  9. ^ AlFardan; et al. (2013-07-08). "On the Security of RC4 in TLS and WPA" (PDF). Information Security Group, Royal Holloway, University of London.
  10. ^ Paterson; et al. (2014-03-01). "Plaintext Recovery Attacks Against WPA/TKIP" (PDF). Information Security Group, Royal Holloway, University of London.
  11. ^ Paterson; et al. (2014-03-01). "Big Bias Hunting in Amazonia: Large-Scale Computation and Exploitation of RC4 Biases (Invited Paper)". Advances in Cryptology – ASIACRYPT 2014. Lecture Notes in Computer Science. Vol. 8874. Information Security Group, Royal Holloway, University of London. pp. 398–419. doi:10.1007/978-3-662-45611-8_21. ISBN 978-3-662-45607-1.
  12. ^ "RC4 NOMORE". www.rc4nomore.com. Retrieved 2019-05-21.
  13. ^ WEP와 TKIP를 차버리는 와이파이 연합... 머지않아