11.3 WEP (Wired Equivalent Privacy)

Wired Equivalent Privacy (WEP) je zastaralý a prolomený bezpečnostní algoritmus pro Wi-Fi sítě, představený v roce 1999. Jeho cílem bylo poskytnout bezdrátovým sítím úroveň bezpečnosti srovnatelnou s drátovými sítěmi, což se však nepodařilo.

Technické parametry WEP

Základy WEP
  • Šifrování: Využívá proudovou šifru RC4.
  • Integrita: Využívá kontrolní součet CRC32 (což je kryptograficky nevhodná funkce).
  • Autentizace:
    • Open: Nevyžaduje heslo k připojení (heslo se používá až pro šifrování datových rámců).
    • Shared Key: Využívá mechanismus challenge/response. AP pošle text (challenge), klient ho zašifruje pomocí WEP klíče a pošle zpět. AP zkontroluje, zda byl zašifrován správně.

Princip šifrování a Inicializační Vektor (IV)

WEP generuje pro každý rámec unikátní klíč tak, že spojí předem sdílený tajný klíč (Pre-shared WEP key) a inicializační vektor (IV). Tento složený klíč slouží jako vstup pro algoritmus RC4, který vytvoří pseudonáhodný proud bajtů (keystream). Tento keystream se poté aplikuje operací XOR na uživatelská data a CRC32 kontrolní součet, čímž vznikne šifrový text.

Zranitelnosti WEP
Bezpečnostní návrh WEP obsahuje několik fatálních chyb:
  1. Stejný klíč: Pre-shared WEP klíč je použit jak pro autentizaci, tak pro šifrování rámců. Sdílený klíč se málokdy mění.
  2. Veřejné IV: Inicializační vektory (IV) jsou přenášeny v otevřené formě (cleartext). Útočník je může odposlouchávat.
  3. Omezený prostor pro IV: Velikost IV je pouze 24 bitů. Existuje tedy zhruba 16,7 milionů možných hodnot.
  4. Keystream re-use problem: Z důvodu omezeného prostoru 24bitového IV dochází v rušné síti velice rychle k vyčerpání všech unikátních IV. V praxi dochází ke kolizím (znovupoužití stejného IV) po odeslání zhruba 5000 paketů, což trvá jen pár minut komunikace. Jakmile jsou dva rámce zašifrovány stejným IV (a stejným tajným klíčem), mají stejný keystream. To umožňuje útočníkovi získat původní data (XORem šifrovaných textů).
Dopady

Díky těmto nedostatkům lze WEP síť prolomit zcela pasivním odposloucháváním. Útočník pouze zachytává síťový provoz a čeká na dostatečné množství slabých IV (kolizí). Následně může pomocí matematicko-statistických útoků (např. PTW útok) velmi rychle vypočítat původní WEP klíč a dešifrovat veškerý provoz. Zlomení sítě WEP je dnes otázkou minut až sekund.