• IT-Karriere:
  • Services:

WLAN - Sicherheitslücke in WEP-Verschlüsselung geschlossen

WEP mittels "RC4 Fast Packet Keying" wieder sicherer

RSA Security und Hifn haben sich der als unsicher geltenden WEP-(Wired-Equivalent-Privacy-)Verschlüsselung der immer mehr Verbreitung findenden Datenfunk-Hardware nach IEEE-802.11b-Standard (WLAN, WiFi) angenommen und gravierende Sicherheitslücken geschlossen. WEP hat bei den einzelnen Paketen - vereinfacht gesagt - zu ähnliche Schlüssel, was lauschenden Hackern die Möglichkeit gibt, den Shared Key zu ermitteln und die Pakete zu entschlüsseln.

Artikel veröffentlicht am ,

WEP nutzt den RC4-Verschlüsselungs-Algorithmus von RSA Security, die Schwäche liegt jedoch nicht bei RC4, sondern an WEP, das schwache Schlüssel generiert. RC4 wird unter anderem auch bei sicheren Webseiten genutzt, die Daten über SSL/TLS-Protokolle verschlüsseln. Laut RSA ist RC4 in SSL bis jetzt noch nicht geknackt worden, einige Untersuchungen haben jedoch Schwächen entdeckt. Bei SSL werden Schlüssel einmal pro aufgebauter Sitzung generiert, bei WEP für jedes einzelne Datenpaket.

Stellenmarkt
  1. Heinrich Kühlmann GmbH & Co. KG, Westerwiehe
  2. über duerenhoff GmbH, Raum Kassel

Die neue, durch RSA Security und Hifn vorgeschlagene Lösung zur Beseitigung der WEP-Sicherheitslücken nennt sich "RC4 Fast Packet Keying". Hierbei werden in schneller Abfolge unterschiedliche RC4-Schlüssel für jedes gesendete WLAN-Datenpaket generiert. Dabei teilen sich Verschlüssler und Entschlüssler einen geheimen RC4-128-Bit-Schlüssel, den "Temporal key" (TK). Zusätzlich fließt allerdings die Adresse des Senders (TA, Transmitter Adress) in den TK ein, so dass verschiedene Netzteilnehmer verschiedene Schlüsselströme nutzen. Ein für jedes Paket einmalig genutzter Initialisierungs-Vektor-(IV-)Wert mit einer Länge von 16 Bit sorgt schließlich dafür, dass der Schlüssel für jedes Paket ein anderer ist und keine Wiederholungen auftreten, die als Angriffspunkt genutzt werden könnten.

RC4 Fast Packet Keying (Bild: RSA Security)
RC4 Fast Packet Keying (Bild: RSA Security)

Der Rechenaufwand der verwendeten "temporal key hash technique" soll dabei eher gering sein, da ein Teil der Ergebnisse zeitweilig zwischengespeichert wird. Hersteller sollen ihre WLAN-Hardware damit auch nachträglich per Softwareupdate um das sicherere RC4 Fast Packet Keying erweitern und das fehlerhafte WEP-Protokoll ersetzen können. Noch nicht behoben sind damit allerdings die Probleme mit der Authentifizierung von Netzwerk-Teilnehmern, so dass Unternehmen mit WLAN-Netzen immer noch bedenken sollten, dass Passwörter kein ausreichender Schutz sind und weitere Maßnahmen ergriffen werden sollten.

Die IEEE 802.11 Working Group hat laut RSA Security bereits erklärt, die Lösung in die "informative section" des 802.11i-Dokuments aufzunehmen. Selbiges beschreibt Sicherheitsverbesserungen für Wireless LAN (WLAN), ist allerdings noch nicht als Standard festgelegt und könnte noch verändert werden. Ein Referenzdesign und Detailinformationen zur "temporal key hash technique" finden Mitglieder des IEEE 802.11-Kommitees unter www.ieee802.org im Dokument mit der Nummer 550r2 und dem Titel "Temporal Key Hash" von Russ Housley von RSA Security und Doug Whiting von Hifn.

Kommentar:
Ob und wann Hersteller die WEP-Verbesserung in ihre WLAN-Produkte einfließen lassen, wird sich zeigen müssen. In Anbetracht der zunehmenden Verbreitung von Funknetzen ist eine schnelle Implementierung wichtig. Doch wenn nicht alle am gleichen Strang ziehen, werden verschiedene Lösungsansätze nur dazu führen, dass WLAN-Produkte verschiedener Hersteller nicht mehr zueinander kompatibel sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Shadow Warrior 1 + 2 für je 7,99€, Hotline Miami für 1,99€, Absolver für 6,99€)
  2. 18,99€
  3. 11,99€

Ulf Schütze 10. Jan 2002

Sehr geehrte Autoren, in Ihrem Text weisen Sie darauf hin, das durch RC4 Fast Packet...


Folgen Sie uns
       


Ghost of Tsushima - Fazit

Mit Ghost of Tsushima macht Sony der Playstation 4 ein besonderes Abschiedsgeschenk. Statt auf massenkompatible Bombastgrafik setzt es auf eine stellenweise fast schon surreal-traumhafte Aufmachung, bei der wir an Indiegames denken. Dazu kommen viele Elemente eines Assassin's Creed in Japan - und wir finden sogar eine Prise Gothic.

Ghost of Tsushima - Fazit Video aufrufen
Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
Mafia Definitive Edition im Test
Ein Remake, das wir nicht ablehnen können

Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
Ein Test von Marc Sauter

  1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
  2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
  3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
Energiewende
Wie die Begrünung der Stahlindustrie scheiterte

Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
Eine Recherche von Hanno Böck

  1. Wetter Warum die Klimakrise so deprimierend ist

Corsair K60 RGB Pro im Test: Teuer trotz Viola
Corsair K60 RGB Pro im Test
Teuer trotz Viola

Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
Ein Test von Tobias Költzsch

  1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
  2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
  3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

    •  /