© khatawut Chaemchamras, 123RF

Schwachstellen im WPA2-Protokoll schreckten jüngst die Öffentlichkeit auf. Was steckt dahinter? Und wie gefährlich sind die Lücken wirklich?

Das WPA2-Protokoll gilt im Vergleich zu seinen Vorgängern wie WPE als sehr sicher. Es gibt auch verschiedene kryptografische Beweise, die die Sicherheit des Verfahrens untermauern. Doch beruhen diese Beweise auf einigen Grundannahmen. Eine davon ist, dass an einer bestimmten Stelle, die mit dem Initialisieren des Schlüssels von WPA2 in Verbindung steht, immer eine Nonce (Number used Once) eingesetzt wird, sodass die Verschlüsselung mit WPA2 nie denselben Schlüssel zweimal verwendet.

Das ist von entscheidender Bedeutung für die Sicherheit von WPA2. Denn das eigentliche Verschlüsselungsverfahren beruht auf einer einfachen XOR-Verknüpfung. Eine XOR-Verschlüsselung ist aber nur dann sicher, wenn niemals die gleiche Folge von Zahlen, also der gleiche Schlüssel, für die XOR-Operation (»x«) zum Einsatz kommt.

Andernfalls kann ein Angreifer verschlüsselte Daten knacken. Kommt nämlich der Schlüssel »S« zweimal zum Einsatz und kennt der Angreifer den Klartext »B_klar« einer Nachricht, kann er auch den Klartext »A_klar« einer anderen, ihm unbekannten Nachricht entschlüsseln:

A_ver x B_ver = (A_klar x S) x (B_klar x S) = A_klar x (S x S) x B_klar = A_klar x B_klar

Der Angreifer kann also dank der Assoziativität der XOR-Operation aus »A_ver x B_ver« unter diesen Voraussetzungen »A_klar x B_klar« erhalten. Damit kann er dann aber auch direkt an den Klartext »A_klar« gelangen:

(A_klar x B_klar) xB_klar = A_klar x (B_klar x B_klar) = A_klar

Der ganze Trick der Krack-Attacke besteht darin, die Kommunikationspartner dazu zu bringen, zweimal die gleiche Nonce zu verwenden. Die Klartext-Nachricht kann ein Angreifer relativ leicht erhalten, da während der Kommunikation oft auch vorhersagbare und bekannte Daten übermittelt werden.

Dass dies praktisch möglich ist, haben nun zwei belgische Forscher demonstriert [1]. Sie setzen in ihrer Attacke direkt beim Austausch der Nonce zwischen den beiden Kommunikationspartnern an. Konkret muss ein Angreifer die Initialisierung der Verbindung inklusive Nonce-Austausch so stören, dass der Client denkt, dass etwas bei der Initialisierung schiefging. Daraufhin verwendet er noch einmal denselben Wert für einen zweiten Anlauf.

Damit tappt das System aber genau in die oben beschriebene Sicherheitslücke. Denn nun wurde zweimal der gleiche Nonce-Wert verwendet, sodass der Angreifer verschlüsselte Daten entschlüsseln kann.

Alle anfällig

Diese WPA2-Lücke kann praktisch gegen jedes System ausgenutzt werden. Dabei stellt allerdings der WPA2-Supplicant-Treiber für Linux und Android doch noch einen Sonderfall dar. Hier wird nämlich der verwendete Schlüssel nach Benutzung im Speicher mit Nullen überschrieben. Bei der Key Reinstallation kommt deshalb ein trivialer Schlüssel zum Einsatz, der nur aus Nullen besteht. Er bietet keinerlei Schutz. Details zu der Attacke haben die Forscher in einem Paper [2] publiziert. Zahlreiche Hersteller haben schon Updates angeboten.

Wie kritisch ist diese Attacke? Die Hysterie um Krack ist etwas übertrieben. Denn letztlich werden so gut wie alle sensitiven Daten via HTTPS oder mit ähnlichen Verfahren zusätzlich verschlüsselt. Wer öffentliche Hotspots nutzt, hat auch nur diese Sicherheit. Außerdem muss der Angreifer in direkter Nähe sein, um die Krack-Attacke auszuführen. Im Prinzip kann man also beruhigt sein. Wer aber sichergehen will, sollte ein Update durchführen, das die Lücke stopft.