Weaknesses in the Key Scheduling Algorithm of
RC4 und Using the Fluhrer, Mantin and Shamir Attack
to Break WEP stehen im Internet zur Verfügung.13. August 2001
Die Stromchiffre RC4 besitzt zwei ernste Schwächen, wie die Kryptologen Scott Fluhrer, Itsik Mantin und Adi Shamir Anfang August festgestellt haben. Kurz darauf haben Adam Stubblefield, John Ioannidis und Aviel Rubin einen verbesserten Angriff gegen die Funk-LAN-Verschlüsselung WEP (Wireless Equivalent Privacy in ISO-802.11-Netzen) implementiert, der auf den neuen RC4-Schwachpunkten aufsetzt. RC4-chiffrierte SSL-Verbindungen (Browserverschlüsselung) sollen jedoch durch die neuen Erkenntnisse nicht gefährdet sein.
Die Forscher konnten jedoch nach eigenen Aussagen einen 128-Bit-WEP-Schlüssel durch bloßes Abhören des Funk-LAN rekonstruieren; dabei kamen ein Linux-Computer und eine handelsübliche WLAN-Karte für 100 US-$ zum Einsatz. Der Angriff funktioniert unabhängig von der eingesetzten RC4-Schlüssellänge in handhabbarer Zeit. Das Resümee: WEP bietet Funk-LANs keinen ernstzunehmenden Schutz, entsprechende Netze sollte man als gleichermaßen unsicher wie externe Netzwerke ansehen und dementsprechend durch IPSec, SSH oder ähnliche Protokolle höherer Ebenen schützen sowie durch Firewalls vom internen Netz trennen.
Beide neue RC4-Schwächen liegen in der Schlüsselaufbereitung des Verfahrens begründet. Einerseits haben Fluhrer, Mantin und Shamir eine große Klasse schwacher Schlüssel identifiziert, bei deren Einsatz wenige Schlüsselbits die ersten RC4-Ausgabe-Bytes überproportional stark beeinflussen (Invariance Weakness). Die zweite Schwachstelle, die auch den WEP-Angriff ermöglicht, betrifft einen verbreiteten Modus Operandi von RC4, bei dem ein beständiger geheimer Schlüsselteil für verschiedene Anwendungen um einen wechselnden Initialisierungsvektor (IV) ergänzt wird (IV Weakness), der auch einem Angreifer zugänglich ist. Die Auswertung der jeweils ersten Output-Bytes zu einem neuen IV ermöglicht dann mit minimalem Aufwand die Rekonstruktion des geheimen Schlüssels.
Als Gegenmaßnahmen beim weiteren RC4-Einsatz empfehlen die
Analysten, die jeweils ersten Ausgabe-Bytes eines Schlüssels
zu verwerfen und die von der zweiten Schwäche betroffene
Einsatzart von RC4 zu vermeiden oder dabei die
Schlüssel-/Zusatzpaare nicht unmittelbar zu verwenden, sondern
einen sicheren Hash davon als RC4-Key zu nutzen. Die beiden Paper
Weaknesses in the Key Scheduling Algorithm of
RC4 und Using the Fluhrer, Mantin and Shamir Attack
to Break WEP stehen im Internet zur Verfügung.