Aspetti di sicurezza dei protocolli per wireless · 2005-01-20 · 3.3 Attacchi Esistono in...
25
Aspetti di sicurezza dei protocolli per wireless WEP/WPA/TKIP/802.11i Medici Fabrizio, <[email protected] > Montanari Stefano, <[email protected] > Università di Bologna, Facoltà di Scienze MM.FF.NN., CdL in Informatica Gennaio 2005 Abstract Con la crescente adozione di wireless lan, sia in realtà private che commerciali, l’argomento sicurezza assume un aspetto importante. In questo progetto si vogliono prendere in esame le tecniche e i protocolli creati allo scopo di proteggere le comunicazioni in ambiti wireless. Verranno analizzati i maggiori protocolli di sicurezza proposti sul mercato, lo storico Wired Equivalent Privacy, il più recente Wi-Fi Protected Access e il successore 802.11i (WPA2), considerando i loro punti forti e le loro debolezze. La trattazione terminerà con alcune considerazioni generali per una gestione più accorta della sicurezza.
Transcript of Aspetti di sicurezza dei protocolli per wireless · 2005-01-20 · 3.3 Attacchi Esistono in...
Aspetti di sicurezza dei protocolli per wireless
WEP/WPA/TKIP/802.11i
Medici Fabrizio, <[email protected]> Montanari Stefano, <[email protected]>
Università di Bologna, Facoltà di Scienze MM.FF.NN., CdL in Informatica Gennaio 2005
Abstract Con la crescente adozione di wireless lan, sia in realtà private che commerciali, l’argomento sicurezza assume un aspetto importante. In questo progetto si vogliono prendere in esame le tecniche e i protocolli creati allo scopo di proteggere le comunicazioni in ambiti wireless. Verranno analizzati i maggiori protocolli di sicurezza proposti sul mercato, lo storico Wired Equivalent Privacy, il più recente Wi-Fi Protected Access e il successore 802.11i (WPA2), considerando i loro punti forti e le loro debolezze. La trattazione terminerà con alcune considerazioni generali per una gestione più accorta della sicurezza.
2
Indice
1 Introduzione 3
2 Standard IEEE 802.11 3 2.1 Trasmissione 4 2.2 Problemi: la stazione esposta e la stazione nascosta 4
3 WEP 5 3.1 Architettura del protocollo 5
3.1.1 Checksumming 5 3.1.2 Crittografia: RC4 6
3.3 Attacchi 7 3.3.1 Attacco Passivo 7 3.3.2 Autenticazione dei messaggi 7
4 Un passo verso la sicurezza 7
5 WPA 8 5.1 Autenticazione: EAP, 802.1X e RADIUS 8
5.1.1 EAP - Extensible Authentication Protocol 8 5.1.2 802.1X 9 5.1.3 RADIUS - Remote Authentication Dial In User Service 11
5.2 Confidenzialità: TKIP, IV, Michael, Mescolamento delle chiavi, Creazione di nuove chiavi 12
5.2.1 Michael - Message Integrity Check 12 5.2.2 Initialization Vector – IV 13 5.2.3 Mescolamento delle chiavi 13 5.2.4 Creazione di nuove chiavi 14 5.2.5 TKIP - Temporal Key Integrity Protocol 15
5.3 WPA: Valutazione 16
6 Gli standard correnti 17
7 802.11i (WPA2) 17 7.1 Autenticazione: 802.1X ed EAP-TLS 17
7.1.1 Extensible Authentication Protocol - Transport Layer Security - EAP-TLS 17
7.2 Confidenzialità: AES-CCMP 19 7.2.1 Advanced Encryption Standard-Counter Mode – AES-CM 19
7.3 Integrità: CBC-MAC 19 7.3.1 Cipher Block Chaining Message Authentication Code - CBC-MAC 20 7.3.2 Initialization Vector - IV 20
7.4 802.11i (WPA2): Valutazione 21
8 Conclusioni 21
9 Consigli 21 9.1 Alcuni consigli per una gestione più sicura: 21
Bibliografia: 24
3
1 Introduzione Negli ultimi anni si e’ assistito ad un notevole incremento di computer portatili e PDA. Come risultato, reti wireless di vario tipo, si sono sviluppate a gran velocità. Tuttavia con l'introduzione dei vantaggi di un accesso wireless, sono sorti nuovi problemi primo fra tutti la sicurezza di tali sistemi. La comunicazione avviene attraverso la trasmissione d’onde radio, e l'intercettazione risulta troppo semplice a chiunque abbia un radio ricevitore, inoltre studi non ufficiali rivelano che circa il 70% degli access point installati, non utilizzano alcuna protezione crittografica. Oltre a questo, una buona parte (26%) utilizza i parametri di connessione predefiniti. Questo comporta una totale mancanza di sicurezza esponendo queste reti a possibili attacchi o utilizzi impropri da parte di utenti malintenzionati. Confidenzialità, integrità dei messaggi e mutua autenticazione sono concetti di sicurezza auspicabili per ogni tecnologia di rete. Qui di seguito verranno analizzati, sotto questi punti di vista, il primo protocollo di sicurezza adottato per le nascenti reti wireless e il suoi successori.
2 Standard IEEE 802.11 Data la iniziale proliferazione di standard per reti wireless incompatibili tra loro, si è resa necessaria la creazione dello standard IEEE 802.11, noto anche come WiFi. Per creare questo standard sono state affrontate alcune sfide: la scelta della banda di frequenza in cui trasmettere, la portata dei segnali radio, la durata delle batterie dei dispositivi, e la tutela della privacy degli utenti. Standard Velocità Frequenza Modulazione 802.11 2 Mbits/sec 2.4 GHz Phase-Shift Keying 802.11a 54 Mbits/sec 5 GHz Orthogonal Frequency Division
Multiplexing 802.11b 11 Mbits/sec 2.4 GHz Complementary Code Keying 802.11g 54 Mbits/sec 2.4 GHz Orthogonal Frequency Division
Multiplexing 802.11 può funzionare in due modi: In presenza di una stazione base; in questo caso tutte le comunicazione passano attraverso una stazione che viene chiamata access point. Questa modalità prende il nome di infrastructure. In assenza di una stazione base; dove le stazioni della rete si spediscono i dati tra loro, questa modalità viene chiamata ad-hoc. L’architettura di 802.11 prevede che, per ottenere una connessione da parte di due dispositivi, è necessario stabilire una associazione, un collegamento tra un access point ed un client. Per completare questa operazione si passa attraverso tre stati differenti:
4
• Primo: client non autenticato e non associato. • Secondo: client autenticato e non associato. • Terzo: client autenticato e associato.
2.1 TRASMISSIONE Nello standard 802.11 la trasmissione wireless avviene principalmente via radiofrequenza (RF), nella banda ISM (Industrial Scientific Medical) attorno ai 2,4 Ghz utilizzando tecniche spread spectrum per ottenere una maggior robustezza nei confronti dei segnali interferenti, o via Infrarosso(IR), anche se quest’ ultimo non viene generalmente mai usato. In generale il protocollo IEEE 802.11 (Wi-Fi) consente inoltre:
• di poter variare la velocità di trasmissione dati per adattarsi al canale • un data rate fino a 11 Mbps • la possibilità di scelta automatica della banda di trasmissione meno
occupata • la possibilità di scelta automatica dell'access point in funzione della potenza
del segnale e del traffico di rete • di creare un numero arbitrario di celle parzialmente sovrapposte
permettendo il roaming in modo del tutto trasparente. Il Wi-Fi (Wireless Fidelity) consente due possibili interfaccie RF, della categoria SSS, nella banda dei 2,4 Ghz, realizzate con due tecniche di modulazione distinte :
• FHSS, dispersione di spettro a salto di frequenza • DSSS, dispersione di spettro in banda base
Le tecniche SSS di spread spectrum signals occupano una maggior banda trasmissione radio ma consentono una miglior ricezione dei segnali deboli, garantiscono l'integrità del segnale, e una maggior sicurezza, distribuendo il segnale attraverso l'intero spettro di frequenze. Il segnale non rimare stabile su una singola frequenza, consentendo a più utenti di operare simultaneamente. L'uso dell' SSS è particolarmente importante poiché permette che molti altri utenti occupino la fascia per tutto il tempo assegnato su frequenze separate, compatibilmente con la larghezza di banda disponibile.
2.2 Problemi: la stazione esposta e la stazione nascosta Proprio per la sua natura di rete mobile, questa architettura presenta alcuni problemi, sia in ambito fisico, come il problema della stazione nascosta ed esposta, sia di adattamento del software già esistente, non concepito per la mobilità. Non essendo sempre tutte le stazioni fisicamente all’interno del campo radio delle altre, le connessioni che avvengono in una parte della cella possono non essere ricevute in un’altra parte della stessa cella. Ne derivano due tipologie di problemi:
5
La stazione esposta: In questo caso B, che vuole trasmettere dati a C, ascolta il canale; quando B rileva una trasmissione conclude erroneamente che non può trasmettere a C, anche se in realtà A potrebbe avere una trasmissione attiva con una stazione D. Vedi figura 1(a). La stazione nascosta: Nella figura 1(b) la stazione C sta trasmettendo alla stazione B; A, dopo aver controllato il canale non aver trovato nessuna comunicazione attiva, conclude erroneamente che può iniziare a trasmettere con B.
Portata delle
onde radio di A
Portata delle
onde radio di C
Figura 1: 802.11 - Problema della stazione esposta (a) e nascosta (b)
3 WEP 802.11 definisce un meccanismo opzionale di sicurezza per provvedere ai bisogni di confidenzialità e integrità del traffico in una WLAN. Uno di tali meccanismi e’ appunto il WEP. WEP e’ usato nei due livelli inferiori dello standard OSI, cioè al livello fisico e a livello data link, quindi non può garantire una soluzione alla sicurezza dell’end-to-end argument.
3.1 Architettura del protocollo WEP si basa su una chiave segreta condivisa fra le parti (Access point e stazioni wireless). La crittografia di un frame è così strutturata: - Checksumming - Crittografia - Trasmissione
3.1.1 Checksumming L'algoritmo d’integrità utilizzato nel protocollo WEP è il CRC-32 (Cyclic Redundancy Check). Questo è un algoritmo che cerca di scoprire errori all'interno di un messaggio, oltre alla potenzialità di correggerne al più uno. Tutto ciò, cercando di minimizzare il numero di bit ridondanti (ICV, Integrity Check Vector) da
6
aggiungere al messaggio. Il CRC sfrutta potenti proprietà matematiche dei polinomi (campi finiti) per raggiungere il suo scopo. Praticamente viene calcolato il CRC al messaggio e il risultato viene messo in append al messaggio.
Figura 2: WEP - CRC32
3.1.2 Crittografia: RC4 L'RC4 è stato sviluppato nel 1987 da Ronald Rivest ed è stato serbato, come segreto commerciale dall'RSA Data Security, fino al 1994. RC4 è un algoritmo che genera una sequenza pseudocasuale di bit, arbitrariamente lunga. La sequenza pseudocasuale è pensata per essere crittograficamente sicura ed essere inserita in uno stream cipher. A questo punto, il messaggio più ICV viene crittografato tramite l’algoritmo RC4 PRNG usando la sequenza pseudocasuale (keystream). Questa sequenza e’ una funzione della chiave segreta condivisa (K) a 40bit e del vettore di inizializzazione (IV) a 24bit. Successivamente viene effettuato uno XOR fra il messaggio e la keystream. Il risultato è un testo cifrato (cyphertext) che può essere trasmesso via radio. Essendo l’algoritmo RC4 simmetrico, il ricevente effettua semplicemente la procedura inversa per ottenere il messaggio originale, ovvero decripta il cyphertext calcolando la keystream dalla chiave condivisa e dall’IV trasmesso. Poi effettua la validazione CRC32 del messaggio ottenuto, confrontando il risultato con l’ICV ricevuto WEP può essere implementato nella sua versione classica, con chiave a 40bit e IV a 24 bit, ma esistono versioni del protocollo che offrono chiavi di maggior dimensione (128bit) e quindi più sicure. Infatti , nella versione di base, la lunghezza delle chiavi e’ tale da favorire metodi di attacco basati sul brute-force, anche con risorse computazionali ridotte.
Figura 3: WEP - CRC32 e RC4
7
3.3 Attacchi Esistono in letteratura alcuni problemi fondamentali di sicurezza nella tecnologia di WEP, tra cui attacchi che mirano a modificare l’integrità dei messaggi e a invalidare le procedure di cofidenzialità e autenticazione adottate.
3.3.1 Attacco Passivo Come già menzionato, il campo IV serve a randomizzare parte della chiave condivisa fra tutte le stazioni della WLAN. Esso e’ un campo a 24 bit il che significa che teoricamente in un sistema 802.11b si possono esaurire tutte le combinazioni del IV in circa 5 ore.
hourspacketsbits
MbitMbitsbyte
bitspacket
bytes 5sec300.182101
11sec1
181500 24
6 ≈≈××××
Questo significa che , in un tempo assai limitato, si possono teoricamente reperire due cyphertext crittografati con la stessa keystream. Dato che la crittografia in WEP è generata da uno XOR tra la keystream e il plaintext, per decifrare il messaggio basta generare la stessa chiave basata su IV (Inizialization Vector) e chiave segreta, quindi fare lo XOR con il ciphertext. Avendo due cyphertext e facendo lo XOR fra di essi si annulla la chiave e come risultato si ha lo XOR tra i due plaintex. Il riutilizzo della chiave quindi può condurre a diversi attacchi, nello specifico se il plaintex di uno dei due messaggi è noto, l'altro è automaticamente ottenibile. In particolare con attacchi di tipo statistico, si può recuperare parte del plaintext il che e’ sufficiente per alcuni tipi di attacco.
3.3.2 Autenticazione dei messaggi Il protocollo WEP usa un campo di "integrità" in modo che i pacchetti non siano modificati durante la trasmissione. Questo campo di checksum è implementato attraverso l'algoritmo CRC-32, quindi come possiamo immaginare, questo è insufficiente per assicurarsi da un attacco: esso non è un codice d’autenticazione crittograficamente sicuro, CRC è stato progettato per trovare errori casuali nel messaggio, quindi è inutile contro attacchi maliziosi.
4 Un passo verso la sicurezza Con la larga diffusione delle tecnologie wireless e con il fallimento dei primi metodi di sicurezza adottati, si è creata la necessità di trovare nuove tecniche per garantire la privacy e la sicurezza delle comunicazioni. La Wi-Fi Alliance, che testa e certifica prodotti basati sulle specifiche 802.11, ha approvato uno standard chiamato Wi-Fi Protected Access (WPA) che cerca di chiudere alcune falle nella sicurezza delle WLAN.
8
5 WPA Lo standard WPA fa un passo avanti rispetto al WEP, introducendo l’autenticazione degli utenti, utilizzando il framework 802.1X ed in particolare il protocollo EAP, ed una cifratura più forte. WPA introduce un nuovo Temporal Key Integrity Protocol (TKIP) utilizzato per cifrare le comunicazioni, ed un vettore di inizializzazione (IV) più lungo, per far fronte ai problemi di cracking delle chiavi a cui il WEP era vulnerabile. Oltre a questo viene utilizzato anche un Message Integrity Check chiamato Michael per prevenire le modifiche dei dati in transito. Lo standard WPA può operare in due modalità, la prima, Pre Shared Key Mode (PSK), viene utilizzata prevalentemente in realtà SOHO, la seconda WPA Entrerprise Mode, in realtà più grandi e con maggiori risorse. WPA PSK Mode Non richiede un server per l’autenticazione. Viene usato un segreto condiviso per l’autenticazione. Visione dispositivo-centrica per le credenziali degli utenti.
WPA Enterprise Mode Richiede un server per l’autenticazione. Utilizza il protocollo RADIUS per l’autenticazione e la distribuzione delle chiavi. Gestione delle credenziali degli utenti centralizzata.
In questa trattazione prenderemo in considerazione la modalità Enterprise.
5.1 Autenticazione: EAP, 802.1X e RADIUS Il precedente protocollo WEP non forniva strumenti utili agli amministratori per l’aggiornamento e il cambio delle chiavi. Questa mancanza spesso portava ad ignorare il cambio delle chiavi anche in realtà aziendali dove la sicurezza è un fattore importante. Nello standard WPA si utilizza il protocollo EAP, esteso agli standard 802.1X e RADIUS, che offre un framework efficace per autenticare e controllare il traffico degli utenti e per permettere la gestione dell’autenticazione degli utenti.
Figura 4: WPA Enterprise Mode - Componenti per l'autenticazione
5.1.1 EAP - Extensible Authentication Protocol Questo protocollo, definito nella RFC 2284 e revisionato nella RFC 2284bis, è una ottimizzazione per il trasporto di informazioni di autenticazione e non un metodo in sé. Permette quindi di utilizzare differenti metodi di autenticazione, dalla password, alla challenge-response fino alle PKI.
9
Entrano in gioco tre entità nell’utilizzo di EAP :
Supplicant: (stazione wireless)
l’entità che desidera utilizzare un servizio. Il servizio è offerto dall’authenticator su una data porta.
Authenticator: (access point)
Mette a disposizione le porte per i servizi. Tutte le sessioni passano attraverso l’authenticator.
Authentication Server:
server dedicato all’autenticazione che utilizza un certo protocollo, come per esempio CHAP, PAP, Kerberos.
Uno schema tipico di comunicazione è il seguente:
Figura 5: WPA Enterprise Mode - Schema tipico di comunicazione
Vantaggi EAP facilita la gestione della rete centralizzando le decisioni di autenticazione ed autorizzazione, rende più leggero il carico di lavoro sull’access point spostando le operazioni di autenticazione e non lo mette a conoscenza del protocollo di autenticazione utilizzato. Svantaggi Il protocollo EAP non offre alcuna protezione crittografica, quindi non permette alcuna difesa da pacchetti forgiati appositamente. Non vi è una nozione forte del legame tra la stazione wireless e l’access point oltre che di sessione di comunicazione, si devono quindi cercare queste informazioni nel metodo concreto utilizzato per l’autenticazione.
5.1.2 802.1X Lo standard 802.1X definisce un framework generico per poter utilizzare differenti meccanismi di autenticazione evitando di implementarli fuori dalla infrastruttura. L’indipendenza dei vari meccanismi utilizzati si può ottenere utilizzando EAP, il quale definisce un contenitore generico per il metodo di autenticazione. L’architettura della rete a cui si fa riferimento è quella descritta precedentemente. 802.1X viene quindi utilizzato per stabilire una associazione autenticata tra il cliente e l’access point in modo sicuro. La gerarchia e la gestione delle chiavi per l’autenticazione e la confidenzialità assicura un buon livello di sicurezza.
10
Lo gerarchia di chiavi qui riassunta non prevede solamente le chiavi utilizzate durante la comunicazione con 802.1X, ma quelle utilizzate in generale dallo standard WPA: Ñ Master Key (MK) Rappresenta una decisione di accesso
andata a buon fine. Ñ Pairwise Master Key (PMK) Rappresenta l’autorizzazione ad accedere al
mezzo di comunicazione. Ñ Pairwise Transient Key (PTK) Collezione di chiavi utilizzate per
operazioni:
Ñ Key Confirmation Key (KCK) Utilizzata per legare PMK all’access point. Il client la utilizza per dimostrare il possesso di PMK.
Ñ Key Encription Key (KEK) Utilizzata per distribuire chiavi di gruppo (broadcast).
à
Ñ Temporal Key (TK) Utilizzata per cifrare il traffico. Per restringere l’accesso alla rete, si utilizzano meccanismi di controllo MAC e di filtraggio delle porte di comunicazione. Si può quindi imporre che l’access point abbia due porte logiche per la comunicazione, una porta non controllata su cui possono viaggiare informazioni riguardanti utenti non ancora autenticati, connessa solamente all’authentication server, ed un’altra porta, controllata, che permette l’accesso ai servizi offerti dalla rete. Non sarà possibile per un utente non autenticato accedere alla porte controllata. Si ha così una precisa distinzione delle due tipologie di traffico e punti ben precisi per l’ingresso nella rete. Vantaggi Questa infrastruttura riutilizza l’architettura di rete già utilizzata da EAP, senza introdurre ulteriore complessità. E’ uno standard che è possibile utilizzare su tutti i tipi di LAN 802. Svantaggi Come descritto in precedenza per EAP, essendo 802.1X un modello di autenticazione, non offre meccanismi di cifratura, oltre a questo però, sono presenti alcuni difetti nell’architettura descritta, che permettono ad utenti malintenzionati di attaccare la rete.
• Attacco man-in-the-middle: il protocollo 802.1x non specifica che l’autenticazione tra client e server debba essere mutua. Si può ottenere solo la verifica dell’identità del client da parte dell’access point. In questo modo si verificano le condizioni per un attacco man-in-the-middle, permettendo ad un utente malintenzionato di impersonare l’access point della rete e far passare attraverso di se tutto il traffico proveniente dal client.
11
Wireless Station
Access Point
Authentication Server
Utente malintenzionato
Figura 6: Schema per un attacco di tipo man-in-the-middle
Soluzioni Si possono mitigare le vulnerabilità imponendo l’autenticazione e l’integrità dei pacchetti EAP oltre che la mutua autenticazione tra il client e l’access point.
5.1.3 RADIUS - Remote Authentication Dial In User Service Questo protocollo, definito nella RFC 2138, viene utilizzato per le comunicazioni tra l’access point ed il server di autenticazione. I messaggi EAP vengono incapsulati come attributi del procotollo. Sono previsti quattro tipi di messaggi interpretati o creati dal server di autenticazione che utilizza RADIUS come protocollo di comunicazione:
Access Request (AR): da parte di un access point per poter autenticare un client. In ognuna di queste richieste l’access point aggiunge una challenge casuale a cui il server dovrà rispondere.
Access Challenge (AC): challenge mandata dal server all’access point, che verrà ridirezionata al client, utilizzata per l’autenticazione.
Access Accept (AA): messaggio spedito dal server che indica l’avvenuta autenticazione.
Access Reject (ARj): messaggio spedito dal server che indica il fallimento nell’autenticazione.
I messaggi spediti dal server (AC, AA, ARj) sono nella forma: MD5(dati della risposta | challenge | chiave). Vantaggi: Flessibile, si adatta a vari metodi di autenticazione. Svantaggi: Le comunicazioni tra il server di autenticazione e l’access point non sono cifrate, rendendo molto facile creare pacchetti modificati a piacere. La password tra il server e l’access point è statica, e non dipendente dai richiedenti, è necessario custodirla con molta attenzione.
12
Soluzioni: RADIUS non si interessa particolarmente dell’aspetto sicurezza, fa affidamento principalmente sulle misure di sicurezza del canale di comunicazione.
5.2 Confidenzialità: TKIP, IV, Michael, Mescolamento delle chiavi, Creazione di nuove chiavi Per mantenere la compatibilità con hardware datato, si è preferito utilizzare un sistema compatibile con WEP, cercando quindi di coprire le sue vulnerabilità. TKIP è stato progettato come involucro intorno a WEP il quale viene considerato come un suo sub-componente, è possibile implementarlo via software potendo così riutilizzare l’hardware già esistente. TKIP aggiunge a WEP quattro nuovi algoritmi:
Un message integrity code crittografico: chiamato Michael, per proteggersi dai pacchetti modificati
Un nuovo metodo per la sequenza degli IV: per evitare i replay attack Una funzione per mischiare le chiavi: per togliere la correlazione tra le
chiavi deboli e l’IV pubblico Un meccanismo di rinnovo delle chiavi: per evitare attacchi basati sul riuso
delle chiavi
5.2.1 Michael - Message Integrity Check Michael è composto da 3 oggetti [Wal02], una chiave segreta di autenticazione K (condivisa tra chi spedisce il messaggio e chi lo riceve), una funzione di marcatura e un predicato per la verifica dell’integrità. Questa funzione prende in ingresso la chiave K e il messaggio M e restituisce un valore T chiamato generalmente message integrity code (MIC). Per proteggere un messaggio dalla modifica chi spedisce deve calcolare la funzione di marcatura e spedire il risultato T insieme al messaggio M. Per controllare se qualcuno ha modificato il messaggio, il ricevente utilizza il predicato di verifica con la chiave K il messaggio M e il valore T come parametri. La chiave utilizzata da Michael è a 64bits, costituita da due parole a 32bits little-endian (K0, K1). La funzione di marcatura prima di tutto porta la lunghezza del messaggio ad un multiplo di 32bits, riempiendo lo spazio mancante prima con il valore esadecimane 0x5a poi con una sequenza di 0. Viene poi diviso il messaggio in una sequenza di parole a 32bits M1,M2…Mn, ed infine applica una semplice funzione a tutte le parole della sequenza: Legenda: Funzione: K0,K1: le parole che costituiscono la chiave
L,R: variabili di supporto ⊗: XOR
Mi: frammento i-esimo del messaggio
β: semplice funzione costituita da rotazioni, addizioni e scambi di bits.
(L,R) ß (K0,K1); do i from 1 to n L ß L ⊗ Mi; (L,R) ß β(L,R); return (L,R);
13
La funzione di controllo è la stessa di marcatura, controlla poi bit a bit se il valore ricevuto corrisponde al valore che viene calcolato localmente. Vantaggi: Offre protezione da attacchi di modifica dei pacchetti. Svantaggi: Su hardware datato, la funzione β risulta leggermente costosa, portando ad un degrado delle performance. E’ un metodo debole, è possibile infatti effettuare attacchi di modifica dei pacchetti, con un totale di 229 messaggi si potrebbe superare la protezione offerta da Michael, in una WLAN 802.11b, un attaccante impiegherebbe circa 2 minuti [Wal02]. Attacchi di tipo replay di messaggi non possono essere individuati. Soluzioni: Visto il tempo necessario per superare questa protezione, viene adottato un algoritmo di protezione: se TKIP individua in un secondo due pacchetti che sono stati modificati, assume di essere sotto attacco. In questo caso il dispositivo cancella le chiavi, si disassocia dall’altro dispositivo, attende un minuto e ripete l’associazione. Svantaggioso in quanto blocca la comunicazione, ma aggiungendo a Michael le altre protezioni presenti in TKIP, è un evento considerato raro. Una aspetto negativo di questo algoritmo è che offre un’ottima possibilità per attacchi di tipo Denial of Service.
5.2.2 Initialization Vector – IV Per evitare attacchi di tipo replay, TKIP riutilizza il campo IV di WEP come contatore sequenziale di pacchetti. Sia chi trasmette che chi riceve, deve inizializzare lo spazio di numeri di sequenza a zero, appena sono state stabilite le chiavi per la comunicazione. Ad ogni pacchetto spedito, il contatore viene aumentato di una unità. TKIP definisce un pacchetto fuori sequenza se il suo numero di sequenza è lo stesso o più piccolo dell’ultimo ricevuto. Vantaggi: Offre protezione per attacchi di tipo replay. Svantaggi: Non è compatibile con l’opzione della QualityOfService (QoS) definita negli standard seguenti. Soluzione: Verrà approntata una soluzione nello standard 802.11i.
5.2.3 Mescolamento delle chiavi Per correggere il cattivo utilizzo di RC4 da parte di WEP, TKIP introduce una nuova funzione per costruire una chiave per ogni pacchetto. WEP costruisce una chiave RC4 concatenando una chiave base ed l’IV del pacchetto, la nuova funzione, chiamata key mixing, sostituisce la chiave base di WEP con una chiave temporale e costruisce le chiavi per i pacchetti in modo differente.
14
La funzione di key mixing utilizza quindi una chiave temporale e il numero di sequenza del pacchetto per costruire la chiave del pacchetto stesso. Si opera in due fasi: la prima fase elimina l’utilizzo della stessa chiave per tutti i collegamenti, mentre nella seconda fase si toglie la correlazione tra l’IV pubblico con la chiave del pacchetto. Fase 1: Si combina il MAC address dell’interfaccia con la chiave temporale iterando in XOR ognuno dei bytes in una funzione S-box (funzione invertibile non-lineare). Si crea così una chiave intermedia. Utilizzando il MAC address proprio di ogni interfaccia si producono chiavi intermedie differenti per ogni stazione della rete, anche partendo dalla stessa chiave temporale. Questa fase viene ri-eseguita solamente al cambio della chiave temporale. Fase 2: si utilizza una funzione di cifratura semplice, simile a quella utilizzata per Michael, sul numero di sequenza del pacchetto insieme con la chiave intermedia, ottenendo una chiave per pacchetto a 128bits.
Figura 7: TKIP - Generazione di una chiave
Vantaggi: La funzione di cifratura non è molto costosa in termini di cicli di calcolo, rende quindi il sistema compatibile con hardware datato. Svantaggi: Non vi è una dimostrazione di sicurezza, ma questo meccanismo ha superato la prova del fuoco della comunità di testing, suggerendone la validità del meccanismo.
5.2.4 Creazione di nuove chiavi TKIP utilizza due tipi di chiavi temporali: una chiave per la cifratura a 128bits e una chiave a 64bits per l’integrità dei dati. Viene utilizzata una coppia diversa di queste chiavi nei due versi della comunicazione, per un totale di quattro chiavi temporali. TKIP identifica questi set di chiavi con un identificatore di 2bits chiamato WEP keyid. Il meccanismo di rinnovo delle chiavi, deve avvenire entro 216 pacchetti scambiati a causa della struttura dell’IV di WEP. Per avere un meccanismo efficiente durante il cambio delle chiavi, vengono predisposti due WEP keyid per ogni connessione. Quando per la prima volta viene effettuata una associazione, un primo set di chiavi temporali viene legato a uno dei due WEP keyid. Alla creazione di un nuovo set di
15
chiavi temporali, l’associazione viene alternata tra i due keyid, dove il nuovo set di chiavi temporali viene legato al keyid usato più recentemente. TKIP continua a ricevere pacchetti corrispondenti al vecchio keyid avente le vecchie chiavi temporali, ma trasmette solamente utilizzando il nuovo set. Vantaggi: Rende notevolmente più sicura la comunicazione rispetto a WEP. Svantaggi: Non è possibile implementare questo meccanismo in architetture ad-hoc, in quanto è richiesta l’adozione della struttura di 802.1X, con un server di autenticazione che distribuisce le chiavi master. Se è necessario aggiornare le chiavi per più dispositivi contemporaneamente, non è possibile utilizzare multicast/broadcast, visto che il sistema di distribuzione delle chiavi è unicast.
5.2.5 TKIP - Temporal Key Integrity Protocol Dopo aver introdotto i vari componenti del protocollo è possibile analizzare il meccanismo di protezione nel suo insieme. Quando un dispositivo inizia la comunicazione, viene autenticato seguendo le procedure in 802.1X e viene creata una nuova master key. Questa chiave rimarrà in uso fino alla sua scadenza o fino a che non verrà revocata. Dopo aver stabilito la master key, è possibile costruire il primo set di chiavi per la crittazione. La master key protegge lo scambio di informazioni necessario. L’access point utilizza queste chiavi per proteggere le nuove temporal keys mentre vengono spedite al dispositivo richiedente. Viene ripetuto il messaggio di rigenerazione della chiave leggermente prima di raggiungere i 216 pacchetti spediti, in modo da non avere la stessa associazione tra chiave e numero di sequenza. Encapsulation Quando il client desidera trasmettere, viene utilizzata la temporal key presa da Michael per calcolare il MIC. Viene poi accodato ai dati, aumentando quindi il carico del pacchetto di 8 bytes. Viene poi divisa l’unità di dati in frammenti di grandezza prefissata. Viene poi assegnato ad ogni frammento un numero di sequenza, si utilizza la funzione di mescolamento delle chiavi per creare una chiave di crittatura per pacchetto. A questo punto si passa il risultato all’algoritmo WEP.
16
Con
tato
re
TKIP
Figura 8: TKIP - Encapsulation
Decapsulation Fondamentalmente la decapsulazione segue il procedimento inverso per l’encapsulazione, il ricevente utilizza l’indirizzo del trasmittente e l’identificatore della chiave per poter scegliere il set corretto di temporal keys. Viene poi estratto il numero di sequenza del pacchetto e controllato. Se passa il controllo, viene utilizzata la funzione di mischiaggio delle chiavi combinando il numero di sequenza e la temporal key, per decriptare ed ottenere la chiave di decifratura WEP per quel pacchetto. A questo punto si passa all’algoritmo WEP per la decrittazione e il controllo. Se non si verifica un fallimento nel controllo dell’ICV, si passa il pacchetto per la ricostruzione del messaggio. Una volta ricostruita la sequenza di pacchetti decriptati, si utilizza il predicato di verifica di Michael come controllo finale.
MP
DU
Fuor
i seq
uenz
a
MP
DU
Con
WE
P IC
V fa
llito
MIC
’
MS
DU
con
TKIP
MIC
falli
to
Figura 9: TKIP - Decapsulation
5.3 WPA: Valutazione WPA aggiunge alla precedente tecnologia di protezione per reti wireless, l’autenticazione, la gestione dinamica delle chiavi, un controllo a livello MAC e un miglior metodo di cifratura. Pur avendo qualche piccola falla, come per esempio i possibili attacchi al framework 802.1X o la minor difesa offerta da TKIP se paragonato ad algoritmi che utilizzano AES, WPA offre un netto miglioramento rispetto al precedente WEP. In conclusione, essendo questa tecnologia compatibile con hardware già esistente e diffuso, è vantaggioso e doveroso l’aggiornamento delle strutture già esistenti.
17
6 Gli standard correnti Rilasciato recentemente dall’IEEE, ma già presente ed implementato da vari mesi in alcuni dispositivi wireless, è lo standard 802.11i.
7 802.11i (WPA2) WPA è uno standard creato durante la discussione del protocollo IEEE 802.11i. Si può considerare come una via di mezzo, un ottimo rimpiazzo per lo standard precedente, ma non il punto di arrivo. Con l’approvazione di 802.11i, la WiFi Alliance rilascia WPA2, basato sulle specifiche di IEEE 802.11i finali. Di seguito verranno prese in esame le differenze e le innovazioni rispetto a WPA.
7.1 Autenticazione: 802.1X ed EAP-TLS L’architettura del sistema di 802.11i non differisce da quella già utilizzata in WPA. Si adotta il framework utilizzato in 802.1x per la gestione dell’autenticazione e della distribuzione delle chiavi. Si viene invece a delineare uno standard de-facto per il protocollo di autenticazione da utilizzare, EAP-TLS.
7.1.1 Extensible Authentication Protocol - Transport Layer Security - EAP-TLS Lo standard EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), fu creato da Microsoft e accettato da IETF nella RFC 2716. In questo standard si implementa il protocollo TLS, presentato nella RFC 2246, sul protocollo di trasporto EAP. L’aspetto più importante è l’introduzione della mutua autenticazione tramite la presenza di certificati. Il processo di autenticazione (figura 10) giunto a compimento porta alla situazione in cui:
• L’authentication server e il client (wireless station) hanno stabilito una sessione (se il metodo implementato su EAP ne prevede una).
• L’autenticazione server e il client possiedono una master key mutuamente autenticata: la master key rappresenta la decisione di garantire l’accesso in base all’operazione di autenticazione.
• Il client e l’authentication server hanno entrambi una pairwise master key: questa chiave è un gettone di autorizzazione per i controlli di accesso.
• L’authentication server ha distribuito la pairwise master key all’access point del client.
18
Access Point
Authentication Server
Access Pont – Chiave RADIUS
Wireless Station
802.1X / EAP – Richiesta di identità
802.1X / EAP – Risposta di identità (Mio ID)
RADIUS – Richiesta di accesso / EAP – Risposta di identità
RADIUS – Challenge di accesso / EAP - Richiesta
802.1X / EAP – Richiesta (TLS)
802.1X / EAP – Risposta / TLS ClientHello(random1)
RADIUS – Richiesta di accesso / EAP – Risposta / TLS - ClientHello
RADIUS – Challenge di accesso / EAP - Richiesta
802.1X / EAP – Richiesta (TLS ServerHello(random2) | TLS Certificato | TLS
richiesta di certificato | TLS scambio della chiave del server | TLS server done)
MasterKey = TLS - PseudoRandomFunction(PreMasterKey, “master secret” | random1| random2)
802.1X / EAP – Risposta (TLS – scambio della chiave client | TLS certificato | TLS verifica del
certificato | TLS scambio del metodo di cifratura | TLS fine)
RADIUS – Richiesta di accesso / EAP – Risposta (TLS … )
RADIUS – Challenge di accesso / EAP - Richiesta
802.1X / EAP – Richiesta (TLS scambio del metodo di cifratura | TLS fine)
802.1X / EAP – Risposta
RADIUS – Richiesta di accesso / EAP – Risposta di identità
PairwiseMasterKey =TLS - PseudoRandomFunction(MasterKey, “client EAP metodo di cifratura” | random1 | random2)
RADIUS – Accettato / EAP - Successo
802.1X / EAP – Successo
Figura 10: EAP-TLS - Esempio
Vantaggi: Permette la mutua autenticazione tra il client e il sistema, rendendo maggiormente sicura la rete. Svantaggi: Utilizzare una Certification Authority pubblica invece di una Certification Authority conosciuta solamente dalla root del sistema, rende la legittimazione degli access points insicura, in quanto è possibile acquistare access point certificati e di conseguenza installarli ed utilizzarli in maniera maliziosa.
19
7.2 Confidenzialità: AES-CCMP Nello standard 802.11i diviene obbligatorio l’utilizzo di un algoritmo di cifratura forte. La scelta ricadde su AES, algoritmo recente, che ha ottenuto l’approvazione del Federal Information Processing Standard (FIPS) americano (publication 197, 26 novembre 2001) e della National Security Agency (NSA) americana. La variante di AES che viene utilizzata è AES-CCMP, in cui viene utilizzata la modalità Counter Mode (CM) per la cifratura e Cipher Block Chaining Message Authentication Code (CBC-MAC) per l’integrità dei dati.
7.2.1 Advanced Encryption Standard-Counter Mode – AES-CM AES, algoritmo di cifratura noto anche con il nome di Rijndael, è un algoritmo simmetrico, vale a dire che è presente un segreto condiviso tra le due parti che intendono comunicare. Essendo simmetrico, la stessa chiave viene utilizzata per la cifratura e la decifratura. La cifratura avviene a blocchi di 128bits, l’algoritmo richiede chiavi della stessa lunghezza.
Figura 11: Risultato ottenuto utilizzando AES-CCMP su un pacchetto di dati
Vantaggi: La sua sicurezza è dimostrabile. Partendo dall’assunto di sicurezza per gli attuali algoritmi di cifratura a blocchi, cioè che utilizzino ‘permutazioni pseudocasuali’ [BKR98], il solo fatto che anche AES in Counter Mode utilizzi questa tipologia di funzioni lo rende sicuro. Vedi [LRW00]. Svantaggi: Richiede nuovo hardware, sicuramente per quanto riguarda gli access points e probabilmente anche per le stazioni wireless come PDA o simili, che non hanno una sufficiente potenza di calcolo. Alcuni svantaggi nella computazione sono riassunti in [LRW00] ed [RW03]. Vi sono alcuni algoritmi, ancora in fase iniziale, che potrebbero spezzare la sicurezza di AES (vedi XL o FXL, citato in [Cwww]). Le prime versioni non sono riuscite a rompere il meccanismo, ma con tutta probabilità sarà questione di tempo.
7.3 Integrità: CBC-MAC Per poter verificare l’integrità dei dati dopo la trasmissione, si adotta un algoritmo per la creazione di un Message Integrity Check, L’algoritmo scelto in 802.11i è strettamente legato al metodo di cifratura AES. CBC-MAC è questo algoritmo.
20
7.3.1 Cipher Block Chaining Message Authentication Code - CBC-MAC CBC-MAC viene utilizzato per calcolare il MIC del pacchetto, utilizzando l’header del testo in chiaro, la sua lunghezza e il payload. Si utilizza AES in modalità CM per cifrare il payload e il MIC. I dati risultanti sono l’identificativo del pacchetto, e verranno accodati al testo in chiaro, il quale verrà poi a sua cifrato utilizzando ancora AES-CM. Primo passo: Si utilizza AES-CM per cifrare il payload. Secondo passo: Si crea il MIC usando l’header e il payload cifrato del pacchetto. Terzo passo: Si utilizza AES-CM per cifrare il MIC.
Figura 12: CBC-MAC - creazione del Message Integrity Check
Svantaggi: E’ stato progettato per comunicazioni a pacchetti, non è possibile utilizzarlo per streaming.
7.3.2 Initialization Vector - IV In 802.11i la dimensione dell’IV è aumentata a 48bits. I primi quattro bits rappresentano la classe di traffico in relazione alla Quality of Service, i rimanenti 44bits sono utilizzati come contatore. L’integrità del messaggio viene verificata anche sui bits della QoS. Vantaggi: E’ possibile implementare la qualità del servizio nelle comunicazioni. Svantaggi: Il ricevente deve utilizzare uno spazio di conto differente per ognuna delle classi di traffico: maggior utilizzo di memoria.
21
7.4 802.11i (WPA2): Valutazione 802.11i affronta la sicurezza delle reti wireless sotto ogni aspetto, riuscendo molto bene nel suo intento di creare uno standard valido per la sicurezza. Si è posto rimedio a tutte le pecche delle progettazioni precedenti ed utilizzato algoritmi validi e considerati forti.
8 Conclusioni La sicurezza delle reti ormai è diventata un obbiettivo essenziale in quasi tutti gli ambiti, dall’ovvio scenario aziendale, fino a quello casalingo. La comodità offerta da reti wireless inizialmente celava l’arma a doppio taglio di una sicurezza scarsa e poco efficace. I nuovi standard, WPA e 802.11i offrono un scudo valido per l’utente di una rete wireless, ma anche con sistemi di protezione forti come gli standard appena citati, sono necessarie le dovute accortezze per non facilitare inavvertitamente il lavoro di un utente malizioso e malintenzionato.
9 Consigli I rischi legati all’utilizzo di WLAN o dispositivi wireless in generale, possono essere diminuiti mettendo in atto alcune accortezze e amministrando con attenzione il sistema. Questi consigli valgono indipendentemente dalle tecnologie utilizzate. In generale gli obbiettivi che si vogliono raggiungere per rendere sicura una WLAN possono essere riassunti nei seguenti punti:
Confidenzialità: controllo dell’accesso a dati sensibili Autenticazione: controllo dell’identità di un utente prima di
concedergli l’accesso al sistema Integrità: assicurarsi che i dati che passano attraverso il
sistema non siano stati modificati Controllo dell’accesso: assicurarsi che un utente possa visionare solamente
le informazioni su cui ha l’autorizzazione Terminazione degli utenti
ritenuti malevoli: disabilitazione centralizzata dei dispositivi che si ritengono caduti in mano ad utenti malevoli
9.1 Alcuni consigli per una gestione più sicura: Politica di Sicurezza: Una organizzazione dovrebbe includere nella politica di sicurezza anche la gestione delle reti wireless, delineando chiaramente cose è permesso e cosa no nell’utilizzo di queste tecnologie. Dovrebbero esserci quindi regolamentazioni riguardanti le configurazioni degli access point e la loro disposizione nella topologia della rete, gli algoritmi di autenticazione e criptazione e i metodi per la disabilitazione di dispositivi.
22
Attivare WEP L’attivazione del protcollo WEP, anche se considerata ormai insicura, è comunque un deterrente per alcuni utenti malintenzionati. L’utilizzo di WEP è da considerarsi il minimo anche in reti a basso rischio di attacco, come per esempio reti casalinghe. Per realtà ad alto rischio è necessario utilizzare standard come WPA o l’odierno 802.11i, con il supporto di altre tecnologie come SSL, IPSec o SSH. Creare liste di accesso Compilare liste di MAC address che hanno il permesso di accedere alla rete. Tenere la lista aggiornata e rimuovere dalla lista tutti i dispositivi che non hanno o hanno perso l’autorizzazione all’accesso. Una lista del genere non offre una garanzia di sicurezza molto alta, in quanto è possibile cambiare il proprio MAC address, e in realtà in cui gli utenti sono in gran numero, diventa difficoltosa la sua gestione. Aggiornare il firmware Patch per i firmware dei dispositivi spesso includono fix riguardanti la sicurezza. Installare gli Access Point adeguatamente I punti in cui installare gli access point non dovrebbero essere in vista o facilmente raggiungibili, ad esempio sul soffitto o in alto su una parete, così da evitare operazioni come il reset dell’apparato. Disabilitare gli Access Point quando inutilizzati Quando possibile, spegnere gli access point in modo da non permettere alcuna connettività attraverso di essi. Si limita così la finestra di attacco. In realtà di piccole dimensioni, quando vi sono pochi access point, si possono semplicemente spegnere a mano, mentre in realtà di grandi dimensioni la tecnologia PoE (Power-over-Ethernet) viene in aiuto. Assegnare password non banali e forti agli Access Point E’ consigliabile cambiare le password di default nei dispositivi hardware. Cambiarle regolarmente è un'altra accortezza da mettere in pratica. Cambiare il SSID Cambiare il SSID di default assegnato all’hardware è importante come il cambio della password. Non fare il Broadcast degli SSIDs Spesso i dispositivi utilizzano il broadcast dell’SSID permettendo a chiunque entri nel loro raggio di azione di venire a conoscenza della presenza di un access point. Togliendo questa opzione si rende più difficile penetrare nella rete. Ridurre la propagazione delle onde radio L’utilizzo di antenne direzionali ottimizza la copertura dell’area e ne permette un migliore controllo, oltre che diminuire la validità di attacchi del tipo intercettazione, imponendo ad un attaccante di rimanere vicino all’area coperta rendendolo più esposto ad avvistamenti. Utilizzare server per il controllo dell’accesso Server di autenticazione rendono più sicuro il controllo della rete. Utilizzando una rete che implementa lo standard 802.11i o WPA si potrà utilizzare una configurazione simile.
23
Utilizzare Personal Firewall Installare personal firewall e disabilitare la condivisione dei file ed altri servizi per gli utenti delle WLAN previene un attacco client-client. Utilizzare indirizzi IP statici per clients ed access points L’utilizzo di DHCP rende più comodo l’assegnamento degli indirizzi ip. Utilizzarlo sugli access point rende però più facile ad utenti non autorizzati connettersi alla WLAN. Utilizzare VPN Un modo efficiente per ottenere confidenzialità su dati sensibili ed importanti si può ottenere tramite l’implementazione di VPN utilizzando IPSec o tecnologie simili. Considerare le stazioni wireless non fidate Gli access points devono essere identificati e controllati regolarmente per verificare che la loro configurazione sia sicura. Quando possibile, posizionare gli access point all’esterno di un firewall che permette solamente comunicazioni tra VPN, assicurando così la creazione di tunnel VPN e quindi la criptazione dei dati.
24
Bibliografia: [IEEE802.11] LAN MAN Standards Committee della IEEE Computer Society, “Wireless LAN medium access control (MAC) and physical layer (PHY) specifications”, IEEE Standards 802.11, 1999. [Tan03] A.S.Tanenbaum, “Reti di calcolatori – Quarta edizione”, Pearson Education Italia, 2003. [BGD01] N.Borisov, I.Goldberg, D.Wagner, “Intercepting Mobile Communications: The Insecurity of 802.11”, pubblicato durante il Seventh Annual International Conference on Mobile Computing and Networking, Luglio 2001. [ASW01] W.A.Arbaugh, N.Shankar, Y.C.J.Wan, “Your 802.11 Wireless Network has No Clothes”, Marzo 2001. [FMS01] S.Fluhrer, I.Mantin, A.Shamir, “Weakness in the Key Scheduling Algorith of RC4”, presentato al Eighth Annual Workshop on Selected Areas in Cryptography, Agosto 2001. [FKM98] A.Futoransky, E.Kargieman, A.M.Pacetti, “An attack on CRC-32 integrity checks of encrypted channels using CBC and CFB modes”, Ottobre 1998. [SIR01] A.Stubblefield, J.Ioannidis, A.Rubin, “Using the Flhurer, Mantin and Shamir Attack to Break WEP”, AT&T Labs Technical Report TD-4ZCPZZ. Revision 2, Agosto 2001. [CMS+02] N.Cam-Winget, T.Moore, D.Stanley, J.Walker, “IEEE 802.11i Overview”, pubblicato durante il NIST 802.11 Wireless LAN Security Workshop, Dicembre 2002. [BV98] L.Bunk, J.Vollbrecht, “PPP Extensible Authentication Protocol (EAP)”, IETF RFC 2284, Marzo 1998. [RRS+97] C.Rigney, A.Rubens, W.Simpson, S.Willens “Remote Authentication Dial In User Service (RADIUS)”, IETF RFC 2138, Aprile 1997. [FKS02] F.Fitzek, A.Köpsel, P.Seeling, “Authentication and Security in IP based Multi–Hop Networks”, pubblicato durante il Wireless World Research Forum 7 (WWRF7), Dicembre 2002. [APB+01] B.Adoba, A.Palekar, W.Barkley, T.Moore, “IEEE 802.1X and RADIUS Security”, doc.: IEEE 802.11-01/TBD, Novembre 2001. [KLL+03] N.Kamat, H.Lee, B.Li, D.Menchaca, “Evolution of Wireless LAN Security Standards”, WINCG EE381k-11, University of Texas, 2003. [MA02] A.Mishra, W.Arbaugh, “An initial security analysis of the IEEE 802.1x Security standard”, CS-TR-4328, University of Maryland, Febbraio 2002.
25
[Wal02] J.Walker, “802.11 Security Series – Part II The Temporal Key Integrity Protocol (TKIP)”, Platform Networking Group, Intel Corporation, 2002. [AS99] B.Aboba, D.Simon, “PPP EAP TLS Authentication Protocol”, IETF RFC 2716, Ottobre 1999. [RW03] P.Rogaway, D.Wagner, “A Critique of CCM”, Manoscritto, Febbraio 2003. [LRW00] H.Lipmaa, P.Rogaway, D.Wagner, “Comments to NIST concerning AES Modes of Operations: CTR-Mode Encryption”, First NIST Workshop on Modes of Operation, 2000. http://www.tcs.hut.fi/~helger/papers/lrw00/html [BKR98] M.Bellare, T.Krovetz, P.Rogaway, “Increasing Security by Making Block Ciphers Non-invertible”, Advances in Cryptology-Eurocrypt '98, Lecture Notes in Computer Science, vol. 1402, pp. 266-280, 1998. [Cwww] Indipendent AES Security Observatory, mantenuto da N.Courtois. http://www.cryptosystem.net/aes/
