| | 1 | [[PageOutline(1-6)]] |
| | 2 | = IEEE 802.11 - Autenticazione e privacy = |
| | 3 | |
| | 4 | ,,20061114-1114 Roma,,[[BR]] |
| | 5 | 802.11 fornisce un servizio di autenticazione diviso in due sottotipi: |
| | 6 | |
| | 7 | * Open System |
| | 8 | * Shared Key |
| | 9 | |
| | 10 | I due sottotipi svolgono un algoritmo di autenticazione e sono indicati nel |
| | 11 | corpo del frame che gestisce l'autenticazione;questi tipi di frames devono |
| | 12 | essere scambiati solo tra due nodi( una stazione e un AP in un BSS,tra due |
| | 13 | stazioni in un IBSS ) e non possono essere in broadcast. |
| | 14 | |
| | 15 | == Autenticazione ''Open System'' == |
| | 16 | |
| | 17 | L'autenticazione Open System e' basata sull'algoritmo di autenticazione piu' |
| | 18 | semplice tra quelli disponibili (detto anche algoritmo ''null''). Ogni stazione |
| | 19 | che utilizza questo algoritmo puo' essere autenticata se l'authenticationType |
| | 20 | della stazione che gestisce le autenticazioni e' settato su ''Open System''. |
| | 21 | |
| | 22 | L'autenticazione ''Open System'' (o meglio l'algoritmo utilizzato da questo |
| | 23 | sottotipo) e' divisa in due sottosequenze; la prima determina l'identificazione |
| | 24 | della stazione e la richiesta di autenticazione, la seconda determina il |
| | 25 | risultato dell'autenticazione (se e' corretto le due stazioni sono |
| | 26 | mutuamente autenticate). |
| | 27 | |
| | 28 | == Autenticazione ''Shared Key'' == |
| | 29 | |
| | 30 | L'autenticazione Shared Key supporta l'autenticazione di stazioni se almeno una |
| | 31 | delle due stazioni conosce la chiave condivisa segreta, la quale e' parte |
| | 32 | fondamentale dell'algoritmo. L'algoritmo e' completato senza il bisogno di |
| | 33 | trasmettere la chiave segreta in chiaro ma servendosi del meccanismo WEP. |
| | 34 | Infatti questo meccanismo di autenticazione funziona solamente se il meccanismo |
| | 35 | WEP e' implementato e se l'algoritmo ''Shared Key'' e' implementato nelle |
| | 36 | stazioni che gia' implementano WEP. |
| | 37 | |
| | 38 | La chiave segreta viene consegnata da una stazione all'altra mediante un canale |
| | 39 | sicuro che e' indipendente da 802.11;la chiave e' contenuta in un attributo |
| | 40 | write-only denominato MIB che viene spedito dal livello MAC. |
| | 41 | [[BR]],,SoujaK: ''a quanto ne so, MIB denota l'insieme di attributi di un |
| | 42 | sottolivello e non il nome di questo specifico attributo'',,[[BR]] |
| | 43 | |
| | 44 | Dato che l'attributo e' ''write-only'' il valore della chiave rimane all'interno |
| | 45 | di MAC. Durante il processo di autenticazione tra due stazioni vengono inviati |
| | 46 | un ''challenge'' e un ''encrypted challenge'' e questo processo e' diviso in |
| | 47 | quattro fasi (un ''frame'' inviato per ogni fase): |
| | 48 | |
| | 49 | * viene settato il primo frame con tutti i parametri neccesari. |
| | 50 | * prima di spedire il secondo ''frame'' la stazione rispondente utilizza WEP |
| | 51 | per generare una stringa di ottetti che sono utilizzati come ''challenge''. |
| | 52 | [[BR]],,SoujaK: ''il concetto di ''challenge'' non e' spiegato'',, [[BR]] |
| | 53 | * il richiedente riceve il challenge dal secondo frame e lo copia nel terzo |
| | 54 | frame; a questo punto WEP (mediante la chiave segrete) cripta il terzo frame. |
| | 55 | * il rispondente riceve il terzo frame e lo decripta sempre mediante WEP; una |
| | 56 | volta decriptato il ''challenge'' lo confronta col proprio ''challenge'' |
| | 57 | (spedito nel secondo frame). Se sono uguali allora il rispondente mandata un |
| | 58 | ''frame'' di conferma e l'autenticazione e' avvenuta, altrimenti viene |
| | 59 | inviato un ''frame'' di insuccesso. |
| | 60 | |
| | 61 | == Algoritmo ''Wired Equivalent Privacy'' (WEP) == |
| | 62 | |
| | 63 | ,,20061015-1550 Roma,,[[BR]] |
| | 64 | WEP e' un particolare algoritmo utilizzato nelle reti wireless per proteggere |
| | 65 | gli utenti autorizzati da ''sniffing'' e da altri tipi di intrusioni. Il |
| | 66 | servizio fornito da WEP si prefigge l'obiettivo di provvedere alla sicurezza dei |
| | 67 | dati nella stessa maniera di come vengono protetti nei dispositivi interconnessi |
| | 68 | via cavo. |
| | 69 | |
| | 70 | La sicurezza dei dati e' data da un gestore esterno che distribuisce i dati |
| | 71 | criptati e le chiavi per decriptarli. |
| | 72 | Le proprieta' di WEP sono: |
| | 73 | * grande stabilita', perche' e' molto difficile trovare la chiave giusta |
| | 74 | mediante un attacco ''brute-force'' e il motivo sta nella lunghezza della |
| | 75 | chiave e dalla frequenza di cambio di chiave. |
| | 76 | * auto-sincronizzazione, in quanto WEP e' in grado di autosincronizzarsi per |
| | 77 | ogni transazione che deve svolgere. |
| | 78 | * efficenza, in quanto e' implementabile sia via hardware che via software |
| | 79 | * esportabilita' |
| | 80 | * opzionabilita', in quanto WEP e' un' opzione di 802.11. |
| | 81 | |
| | 82 | ,,SoujaK: ''opzionabilita'? '',, |
| | 83 | |
| | 84 | == Come funziona WEP == |
| | 85 | |
| | 86 | ,,20061117-0955 roma,,[[BR]] |
| | 87 | L'algoritmo WEP e' una sorta di libro codificato nel quale ogni blocco del testo |
| | 88 | in chiaro viene messo in XOR con una sequenza di chiave pseudo-casuale |
| | 89 | di lunghezza uguale alla lunghezza di tale blocco; tale sequenza e' generata da |
| | 90 | WEP. |
| | 91 | |
| | 92 | La cifratura dei dati avviene nel modo seguente: vi e' una chiave segreta che |
| | 93 | viene distribuita tra tutte le stazioni cooperanti da un gestore esterno e tale |
| | 94 | chiave e' utilizzata da WEP sia per cifrare che per decifrare i dati (WEP e' un |
| | 95 | algoritmo simmetrico). |
| | 96 | |
| | 97 | La chiave viene concatenata con un vettore di inizializzazione (IV) e diventa |
| | 98 | input per formare un PRNG (Pseudo Random Number Generator). PRNG, mette in |
| | 99 | output una nuova chiave composta da una sequenza di ottetti (pseudo-casuali) il |
| | 100 | cui numero e' uguale alla lunghezza dei dati da trasmettere piu' quattro (serve |
| | 101 | per ''Integrity Check Value'' o ICV). Ora i dati in chiaro vengono cifrati |
| | 102 | grazie alla concatenatura di essi con ICV e la chiave generata da PRNG. La |
| | 103 | stazione che inviera' il messaggio cifrato inviera' anche l'IV. |
| | 104 | |
| | 105 | Vi sono dettagli importanti da tenere presente: |
| | 106 | * IV consente l'auto-sicronizzazione di WEP e allunga la vita della chiave |
| | 107 | segreta che deve essere aggiornata periodicamente. |
| | 108 | * Nonostante quello detto sopra la chiave segreta e' del tutto indipendete da |
| | 109 | IV e puo' rimanere fissa mentre IV cambia. |
| | 110 | * Ad ogni cambio di IV si possono generare nuove chiavi grazie a PRNG ed e' |
| | 111 | per questo che IV viene trasmesso insieme ai dati cifrati (in quanto |
| | 112 | consente sia la cifratura che la decifratira dei dati). |
| | 113 | * IV viene trasmesso in chiaro in quanto non si puo' risalire alla chiave |
| | 114 | segreta da esso. |
