1.1. Seguridad en dispositivos port´atiles
1.1.3. Nuevas propuestas para la seguridad
Debido a que el WEP no es considerado un protocolo seguro, y no puede cubrir los requisitos de seguridad que las WLANs demandan, ha sido necesario que se desarrollen nuevos m´etodos de seguridad. Nuevos esquemas han sido propuestos y est´an agrupados dentro del est´andar IEEE 802.11i.
Acceso protegido por el Wi-Fi (WPA)
ElWi-Fi Protected Access(WPA) ha sido sugerido por el grupo de trabajo del 802.11 con la finalidad de corregir las fallas en la seguridad encontradas en el WEP. Ha sido pensado como un “parche” en software sobre el hardware existente [18].
Para eliminar las debilidades del WEP, dentro del WPA se ha definido el Protocolo de Integridad de Llave Temporal (TKIP por sus siglas en ingl´es). La instalaci´on de este protocolo puede llegar a incluir una actualizaci´on del firmware y del driver de la tarjeta. Los requerimientos para que pueda ser ejecutado en el hardware existente imponen grandes restricciones [19]:
Todos los sistemas desarrollados deben ser actualizables en software o en firmware. Deben permitir que la implementaci´on actual del WEP no sea modificada.
El rendimiento no debe ser disminuido con las modificaciones.
WPA incluye una funci´on hash para defenderse del ataque FMS [30], un c´odigo de integri- dad de mensaje (MICpor sus siglas en ingl´es) y un manejador de llave basado en el 802.11X para evitar la reutilizaci´on de llaves y facilitar la distribuci´on de llaves [18]. La figura 1.10 ilustra el proceso de encapsulamiento.
La llave temporal (TK) de 16 bytes es obtenida del esquema de manejo de llave durante la autenticaci´on, y es introducida a la funci´on hash junto con la direcci´on (6 bytes) del emi- sor (TA) y los 48 bits del IV, frecuentemente llamado contador de secuencia del TKIP. La funci´on hash proporciona una llave para el RC4 de 16 bytes donde los tres primeros bytes son derivados del IV. La llave es utilizada s´olo para una trama de WEP, debido a que el
IV es implementado como un contador que se incrementa con cada paquete, por lo que la llave es tambi´en utilizada como una llave por paquete. ElIV tambi´en es utilizado como una defensa contra los ataques de reenv´ıo, por lo que el receptor no aceptar´a paquetes con un valor de IV menor o igual a los recibidos con anterioridad [18].
Para una mayor comprensi´on de WPA v´ease [18, 19]. En [14] se presenta un nuevo es- quema de control de acceso que utiliza algunas de las propiedades descritas anteriormente.
Llave Temporal
Llave del MIC
Texto en Claro Mensaje
Cifrado
Llave del R C4 Dirección del Emisor
Dirección del Emisor IV de 48 bits
Dirección del Receptor
Mezclador de Llave MIC WEP ||
Figura 1.10: Proceso de Encapsulamiento del WPA
Algunos de los problemas que presenta el WPA son analizados en [18], entre los cuales se encuentra el hecho de requerir una actualizaci´on en el firmware de la tarjeta de red. Lo anterior debido a que est´a definido como una expansi´on al WEP.
Otro de los detalles que hacen deficiente al WPA es el hecho de requerir el uso de dos llaves, una de 128 bits utilizada por el mezclador de llave para generar una llave de cifrado, y otra de 64 bits utilizada por elMIC. Adem´as que los procesos para realizar el cifrado y la autenticaci´on de la informaci´on requieren de m´ultiples ciclos de reloj [19].
En [18] se da la descripci´on de un posible ataque al WPA. Los autores remarcan que su art´ıculo no significa que el WPA haya sido roto, sino que destacan la importancia de una buena implementaci´on y el conservar en completo secreto la llave de cada paquete.
El CCMP
CCMP son las siglas de Counter-Mode-CBC-MAC Protocol (v´ease la secci´on A.2 para una descripci´on de los algoritmos MAC). Al igual que el WPA, est´a pensado para sustituir al WEP, pero tiene la ventaja de ser implementado sin considerar el hardware existente. El AES (Advanced Encryption Standardv´ease el cap´ıtulo 2) ha sido escogido como el algoritmo para el cifrado [19].
Ninguno de los modos de operaci´on desarrollados para el AES ofrecen un balance ade- cuado para las aplicaciones m´oviles. Algunas de las caracter´ısticas deseables son [19]:
de intercambio de llaves, y al mismo tiempo minimizar el tiempo del c´alculo de la expansi´on de llaves para el AES.
Proveer protecci´on de integridad al encabezado del paquete, as´ı como al resto de la informaci´on.
Permitir pre-c´omputo para reducir los retrasos.
Soportar paralelizaci´on para incrementar el rendimiento. Implementaciones econ´omicas en tama˜no.
Evitar modos de operaci´on que est´en bajo derechos de autor.
El nuevo modo denominado CCM, fue dise˜nado por Whiting et al. [41], y est´a concebi- do para cumplir con los puntos listados anteriormente. El CCM utiliza el Modo de Conteo (CTR) para el cifrado y el CBC-MAC para la autenticaci´on. Ambos utilizan ´unicamente la primitiva de cifrado del AES tanto para el emisor como para el receptor.
El CCM utiliza la misma llave tanto para la confidencialidad como para la integridad, lo que es tradicionalmente inseguro, pero el CCM lo evita al garantizar que el espacio del modo del conteo jam´as se mezcle con el vector de inicializaci´on del CBC-MAC. La intuici´on detr´as del CCM es que si el AES se comporta como una permutaci´on pseudoaleatoria, entonces la salida del cifrador en cada uno de los modos deber´a ser independiente [19]. La figura 1.11 ilustra el proceso del CCMP.
Texto en Claro Construir IV y CTR Codificar el número de secuencia del paquete Calcular y agregar el CBC-MAC Calcular el modo de cifrado Número de secuencia del paquete IV CTR Texto Cifrado Llave
Figura 1.11: El Proceso del CCMP
WEP WPA CCMP Cifrador y tama˜no de llave RC4 40 ´o 104 bits para el cifrado RC4 128 bits para cifrado y 64 bits pa- ra autenticaci´on
AES 128 bits
Vida ´util de la llave 24 bits de protec- ci´on en el IV
48 bits de IV 48 bits de IV Llave por paquete Concatenaci´on de
IV con la llave base
Funci´on de mezcla- do del TKIP
No se necesita Integridad del encabe-
zado del paquete
Ninguna Direcci´on Origen y Destino protegidas por la funci´on hash
CCM
Funci´on de integridad CRC32 Funci´on hash CCM Detecci´on de ataques
de reenv´ıo
Ninguna Secuencia del IV Secuencia del IV Manejo de llave Ninguno IEEE 802.1X IEEE 802.1X
Cuadro 1.2: Diferencias entre los esquemas de seguridad para el IEEE802.11
En esta tesis, abordaremos el modo de operaci´on CCM, y se dar´an los lineamientos de su implementaci´on en una arquitectura de Hardware Reconfigurable, con la finalidad, de proporcionar una alternativa de implementaci´on a bajo costo.