recent results on ae in wpa
play

Recent Results on AE in WPA Kenny Paterson , Bertram - PowerPoint PPT Presentation

Oct 25, 2023 •308 likes •804 views

Recent Results on AE in WPA Kenny Paterson , Bertram Poettering, Jacob Schuldt Information Security Group Overview Introduction to WPA/TKIP Biases in

  1. Recent ¡Results ¡on ¡AE ¡in ¡WPA ¡ Kenny ¡ Paterson , ¡Bertram ¡Poettering, ¡Jacob ¡Schuldt ¡ Information ¡Security ¡Group ¡

  2. Overview ¡ § Introduction ¡to ¡WPA/TKIP ¡ § Biases ¡in ¡RC4 ¡keystreams ¡ § Biases ¡in ¡WPA/TKIP ¡keystreams ¡ § Plaintext ¡recovery ¡attack ¡for ¡the ¡repeated ¡plaintext ¡setting ¡ § (Advertising ¡break) ¡ § Exploiting ¡TSCs ¡for ¡improved ¡attacks ¡ § Concluding ¡remarks/open ¡problems ¡ 2 ¡

  3. Introduction ¡to ¡WPA/TKIP ¡ § WEP, ¡ ¡WPA, ¡WPA2 ¡are ¡all ¡IEEE ¡standards ¡for ¡wireless ¡LAN ¡encryption ¡under ¡the ¡802.11 ¡ family. ¡ § WEP ¡(1999) ¡is ¡considered ¡to ¡be ¡badly ¡broken ¡ § Key ¡recovery ¡attacks ¡based ¡on ¡Rc4 ¡weaknesses ¡and ¡construction ¡of ¡RC4 ¡key ¡from ¡concatenation ¡of ¡known ¡24-­‑ bit ¡IV ¡and ¡unknown, ¡but ¡fixed ¡key. ¡ § Beginning ¡with ¡Fluhrer, ¡Mantin, ¡Shamir, ¡now ¡roughly ¡10-­‑20k ¡packets ¡needed ¡for ¡key ¡recovery. ¡ § Other ¡attacks ¡on ¡integrity, ¡authentication. ¡ § WPA/TKIP ¡was ¡proposed ¡by ¡IEEE ¡in ¡2003 ¡as ¡an ¡intermediate ¡solution. ¡ § Allow ¡reuse ¡of ¡same ¡hardware, ¡firmware-­‑only ¡upgrade. ¡ § Hence ¡only ¡limited ¡changes ¡to ¡WEP ¡design ¡were ¡possible. ¡ § Introduction ¡of ¡supposedly ¡better ¡per-­‑frame ¡keys ¡(TKIP: ¡Temporal ¡Key ¡Integrity ¡Protocol). ¡ § Introduction ¡of ¡MIC ¡integrity ¡algorithm ¡to ¡prevent ¡active ¡traffic ¡modification ¡attacks. ¡ 3 ¡

  4. Introduction ¡to ¡WPA/TKIP ¡ § WPA ¡was ¡only ¡intended ¡as ¡a ¡temporary ¡fix. ¡ § WPA2 ¡(2004) ¡introduces ¡a ¡strong ¡cryptographic ¡solution ¡based ¡on ¡AES-­‑CCM. ¡ § Also ¡includes ¡optional ¡support ¡for ¡TKIP. ¡ § But ¡WPA ¡is ¡still ¡in ¡widespread ¡use ¡today. ¡ § Vanhoef-­‑Piessens ¡(2013): ¡ ¡71% ¡of ¡6803 ¡networks ¡surveyed ¡still ¡permit ¡WPA/TKIP; ¡ 19% ¡allowed ¡ONLY ¡WPA/TKIP. ¡ § This ¡makes ¡the ¡continued ¡analysis ¡of ¡the ¡security ¡of ¡WPA/TKIP ¡a ¡worthwhile ¡activity. ¡ 4 ¡

  5. Previous ¡attacks ¡on ¡WPA/TKIP ¡ § Previous ¡attacks ¡were ¡active ¡and ¡slow, ¡or ¡required ¡large ¡amounts ¡of ¡known ¡plaintext ¡ and ¡computation. ¡ § Tews-­‑Beck ¡(2009): ¡ ¡ § Rate-­‑limited ¡plaintext ¡recovery. ¡ § Active ¡attack ¡based ¡on ¡chop-­‑chop ¡method ¡for ¡recovering ¡plaintext ¡bytes ¡one-­‑by-­‑one. ¡ § Requires ¡support ¡for ¡alternative ¡QoS ¡channels ¡to ¡bypass ¡WPA’s ¡anti-­‑replay ¡protection. ¡ § Rate-­‑limited ¡because ¡correctness ¡of ¡plaintext ¡guess ¡indicated ¡by ¡MIC ¡verification ¡failure, ¡and ¡only ¡2 ¡ MIC ¡failures ¡per ¡minute ¡are ¡tolerated. ¡ ¡ § Sepehrdad-­‑Vaudenay-­‑Vuagnoux ¡(2011): ¡ § Statistical ¡key ¡recovery ¡attack ¡using ¡known ¡plaintexts ¡from ¡2 38 ¡frames ¡and ¡2 96 ¡computation. ¡ 5 ¡

  6. Overview ¡of ¡WPA/TKIP ¡encryption ¡ § TK ¡ ¡(Temporal ¡Key): ¡128 ¡bits, ¡used ¡to ¡protect ¡many ¡consecutive ¡frames. ¡ § TSC (TKIP ¡Sequence ¡Counter) ¡: ¡48 ¡bits, ¡incremented ¡for ¡each ¡frame ¡sent, ¡sent ¡in ¡frames. � § TA (Transmitter ¡Address): ¡48 ¡bits, ¡MAC ¡address ¡of ¡sender, ¡sent ¡in ¡frames. ¡ TK � TSC � TA � Mixing ¡ 16 ¡byte ¡key ¡ ¡ RC4 ¡ ¡ RC4 ¡keystream ¡ 6 ¡

  7. RC4 ¡ RC4 State Byte permutation and indices i and j RC4 Keystream generation RC4 Key scheduling MAC ¡tag ¡ MAC ¡tag ¡ 7 ¡

  8. Biases ¡in ¡RC4 ¡keystreams ¡

  9. Single-­‑byte ¡biases ¡in ¡the ¡RC4 ¡keystream ¡ Z i ¡= ¡value ¡of ¡ i -­‑th ¡keystream ¡byte ¡ [Mantin-­‑Shamir ¡2001]: ¡ ¡ [Mironov ¡2002]: ¡ Described ¡distribution ¡of ¡ ¡ ¡ ¡ ¡ ¡ ¡(bias ¡away ¡from ¡0, ¡sine-­‑like ¡distribution) ¡ ¡ ¡ [Maitra-­‑Paul-­‑Sen ¡Gupta ¡2011]: ¡ ¡for ¡ ¡ ¡ [Sen ¡Gupta-­‑Maitra-­‑Paul-­‑Sarkar ¡2011]: ¡ l ¡= ¡keylength ¡

  10. Alternative ¡approach ¡ § Compute! ¡ § AlFardan-­‑Bernstein-­‑P.-­‑Poettering-­‑Schuldt ¡(2013) ¡considered ¡the ¡RC4 ¡keystream ¡ distributions ¡arising ¡from ¡2 45 ¡random ¡128-­‑bit ¡keys… ¡ ¡ 10 ¡

  11. All ¡the ¡RC4 ¡biases ¡(random ¡128-­‑bit ¡Keys) ¡ 255 0.5 224 0.4 192 160 Byte value [0...255] 0.3 128 0.2 96 64 0.1 32 0 0 1 32 64 96 128 160 192 224 256 Position [1...256] x-­‑axis: ¡position; ¡y-­‑axis: ¡keystream ¡byte ¡value; ¡ 11 ¡ colour ¡encodes ¡bias ¡size. ¡

  12. RC4 ¡with ¡random ¡128-­‑bit ¡keys ¡ § Rc4 ¡with ¡random ¡128-­‑bit ¡keys ¡has ¡additional ¡significant ¡biases ¡in ¡ all ¡of ¡its ¡initial ¡ keystream ¡bytes. ¡ § Such ¡biases ¡enable ¡recovery ¡of ¡plaintext ¡in ¡relevant ¡keystream ¡positions ¡if ¡ sufficiently ¡many ¡encryptions ¡of ¡the ¡same ¡plaintext ¡are ¡available. ¡ § Using ¡simple ¡Bayesian ¡statistical ¡ ¡analysis. ¡ § Can ¡be ¡formally ¡justified ¡using ¡hypothesis ¡testing ¡and ¡log ¡likelihood ¡ratios. ¡ § Multi-­‑session ¡ or ¡ broadcast ¡attack ¡ scenario. ¡ ¡ ¡ ¡ ¡ 12 ¡

  13. Plaintext ¡recovery ¡using ¡keystream ¡biases ¡ Encryptions ¡of ¡fixed ¡plaintext ¡ ¡ Plaintext ¡candidate ¡ ¡ under ¡different ¡keys ¡ byte ¡ p ¡ r ¡ yields ¡induced ¡ p ¡ C 1 ¡ distribution ¡on ¡ keystream ¡byte ¡ Z ¡ p ¡ C 2 ¡ combine ¡with ¡known ¡distribution ¡ p ¡ C 3 ¡ 0.395%' 0.394%' ... ¡ ¡ ... ¡ ¡ 0.393%' Probability* 0.392%' 0.391%' p ¡ C n ¡ 0.390%' 0.389%' 0' 32' 64' 96' 128' 160' 192' 224' 256' Byte*value* Likelihood ¡of ¡ p ¡being ¡ ¡ Recovery ¡algorithm: ¡ ¡ correct ¡plaintext ¡byte ¡ Compute ¡most ¡likely ¡plaintext ¡byte ¡ 13 ¡

  14. Details ¡of ¡statistical ¡analysis ¡ Let ¡ c ¡be ¡the ¡ n-­‑ vector ¡of ¡ciphertext ¡bytes ¡in ¡position ¡ r . ¡ Let ¡ q ¡= ¡( q 00 , ¡ q 01 ,…, ¡ q ff ) ¡be ¡the ¡vector ¡of ¡keystream ¡byte ¡probabilities ¡in ¡position ¡ r . ¡ Bayes ¡theorem: ¡ ¡Pr[ P=p ¡| ¡ C = c ] ¡ ¡= ¡ ¡Pr[ C = c ¡| ¡ P=p ]. ¡Pr[ P=p ]/Pr[ C = c ] ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡= ¡ ¡Pr[ Z = c ¡ ¡ ¡ ¡ ¡ p ¡ | ¡ P=p ].Pr[ P=p ]/Pr[ C = c ]. ¡ Assume ¡Pr[ P=p ] ¡is ¡constant; ¡Pr[ C = c ] ¡is ¡independent ¡of ¡the ¡choice ¡of ¡ p. ¡ Then ¡to ¡maximise ¡Pr[ P=p ¡| ¡ C=c ] ¡over ¡all ¡choices ¡of ¡ p , ¡we ¡simply ¡need ¡to ¡maximise ¡ ¡ n 00 ¡ n 01 ¡ n ff ¡ q 00 ¡ ¡ ¡ q 01 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡q ff ¡ … ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Pr[ Z = c ¡ ¡ ¡ ¡ ¡ p | ¡ P=p ] ¡ ¡= ¡ ¡ ¡ where ¡ n x ¡is ¡the ¡number ¡of ¡occurrences ¡of ¡byte ¡value ¡ x ¡ in ¡ Z = c ¡ ¡ ¡ ¡ ¡ p . ¡ Work ¡with ¡logs ¡to ¡simplify ¡computations; ¡calculate ¡ q ¡empirically ¡by ¡sampling. ¡ ¡ ¡ ¡ ¡ ¡ 14 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Recent results from MiniBooNE E. D. Zimmerman University of Colorado NNN10 Recent Results

Recent results from MiniBooNE E. D. Zimmerman University of Colorado NNN10 Recent Results

Recent results from MiniBooNE E. D. Zimmerman University of Colorado NNN10 Recent Results from MiniBooNE MiniBooNE Neutrino cross-sections Quasielastic and elastic scattering

460 views • 43 slides
Recent Results on Properties of Recent Results on Properties of QCD Matter at RHIC Huan Zhong

Recent Results on Properties of Recent Results on Properties of QCD Matter at RHIC Huan Zhong

Recent Results on Properties of Recent Results on Properties of QCD Matter at RHIC Huan Zhong Huang Huan Zhong Huang Department of Physics and Astronomy D t t f Ph i d A t University of California Los Angeles, CA 90095-1547

403 views • 23 slides
Recent results and and perspectives perspectives on on Recent results cosmic ray matter and

Recent results and and perspectives perspectives on on Recent results cosmic ray matter and

Aspen Winter 2009 Workshop on Physics at the LHC era Recent results and and perspectives perspectives on on Recent results cosmic ray matter and cosmic ray matter and antimatter from antimatter from Pamela experiment experiment

1.08k views • 91 slides
Recent Results from the CB@MAMI Collaboration E. J. Downie EMIN October 2009 Outline

Recent Results from the CB@MAMI Collaboration E. J. Downie EMIN October 2009 Outline

Recent Results from the CB@MAMI Collaboration E. J. Downie EMIN October 2009 Outline Introduction & Motivation Experimental setup Recent results: P 33 (1232), S 11 (1535), D 33 (1700) Future highlights: Vector

457 views • 33 slides
Recent results from XMASS Katsuki Hiraide (ICRR, the University of Tokyo) June 19-23, 2017

Recent results from XMASS Katsuki Hiraide (ICRR, the University of Tokyo) June 19-23, 2017

Recent results from XMASS Katsuki Hiraide (ICRR, the University of Tokyo) June 19-23, 2017 WIN2017@Irvine 1 Outline The XMASS experiment Recent dark matter results Annual modulation search [Phys. Lett. B759 (2016)272-276] WIMPs

626 views • 33 slides
Q1-14 Results 1 Altice SA Q1-14 Results - Highlights Pro forma Financials 1 Recent Strategic

Q1-14 Results 1 Altice SA Q1-14 Results - Highlights Pro forma Financials 1 Recent Strategic

May 16, 2014 Q1-14 Results 1 Altice SA Q1-14 Results - Highlights Pro forma Financials 1 Recent Strategic Initiatives Liquidity & Capital Revenue down 2.0% to 828m Pro forma 1 Agreed purchase of SFR to combine with

319 views • 17 slides
Baryonic B decays (The very recent results) B 0 + c p + B s + c

Baryonic B decays (The very recent results) B 0 + c p + B s + c

Baryonic B decays (The very recent results) B 0 + c p + B s + c B 0 D 0 B ppl B 0 p + Flavor Physics & CP Violation, Buzios, May 19-24, 2013 Marcus Ebert SLAC

709 views • 29 slides
Deep Inelastic Scattering: Recent Results and Future D.Naples University of Pittsburgh NuInt

Deep Inelastic Scattering: Recent Results and Future D.Naples University of Pittsburgh NuInt

Deep Inelastic Scattering: Recent Results and Future D.Naples University of Pittsburgh NuInt 2007 Fermilab June 3, 2007 Outline Overview of Neutrino DIS Recent Results NuTeV High energy range Chorus 10-300 GeV WIP

834 views • 61 slides
INTERIMS RESULTS June 2018 AGENDA Recent events Financial highlights Strategy

INTERIMS RESULTS June 2018 AGENDA Recent events Financial highlights Strategy

INTERIMS RESULTS June 2018 AGENDA Recent events Financial highlights Strategy Progress Outlook Appendix 03 Interim Results Presentation RECENT EVENTS Change of CEO Michael Jennings resignation March 2018 Update

411 views • 23 slides
Recent Results in Charm Physics Recent Results in Charm Physics Topics Topics Rare Charm

Recent Results in Charm Physics Recent Results in Charm Physics Topics Topics Rare Charm

Recent Results in Charm Physics Recent Results in Charm Physics Topics Topics Rare Charm Processes as probes of New Physics Spectroscopy of New States S t f N St t John Yelton (University of Florida) John Yelton (University of

313 views • 29 slides
RBF-Partition of Unity Method: an overview of recent results Alessandra De Rossi a In

RBF-Partition of Unity Method: an overview of recent results Alessandra De Rossi a In

RBF-Partition of Unity Method: an overview of recent results RBF-Partition of Unity Method: an overview of recent results Alessandra De Rossi a In collaboration with Roberto Cavoretto a , Emma Perracchione b a Department of Mathematics G.

4.91k views • 54 slides
Recent neutrino oscillation results from MINOS Istvan Danko University of Pittsburgh (on behalf

Recent neutrino oscillation results from MINOS Istvan Danko University of Pittsburgh (on behalf

Recent neutrino oscillation results from MINOS Istvan Danko University of Pittsburgh (on behalf of the MINOS collaboration) NNN2010 NNN2010 - Minos Results 1 Outline MINOS and NuMI beam Recent results: disappearance

612 views • 40 slides
Recent R&D Results - mmWave Testbed Wonil Roh, et

Recent R&D Results - mmWave Testbed Wonil Roh, et

Recent R&D Results - mmWave Testbed Wonil Roh, et al., Millimeter-Wave Beamforming as an Enabling Technology for 5G Cellular CommunicaDons:

243 views • 5 slides
Recent Results and Open Problems in Evolutionary Multiobjective Optimization Carlos A. Coello

Recent Results and Open Problems in Evolutionary Multiobjective Optimization Carlos A. Coello

Contents Introduction Recent Results and Open Problems The Challenges of this Century Conclusions Recent Results and Open Problems in Evolutionary Multiobjective Optimization Carlos A. Coello Coello CINVESTAV-IPN Evolutionary Computation

704 views • 67 slides
Financial Results Presentation 3Q2018 Contents A Recent Highlights B 3Q2018 Financial

Financial Results Presentation 3Q2018 Contents A Recent Highlights B 3Q2018 Financial

Financial Results Presentation 3Q2018 Contents A Recent Highlights B 3Q2018 Financial Performance C Real Estate Highlights D Industrial Market Outlook E Appendix 2 Recent Highlights 120 Pioneer Road Successful Completion of VIT

544 views • 37 slides
3 He(K - , p )n Reaction -Recent Results from J-PARC E15 Experiment H. Outa for E15

3 He(K - , p )n Reaction -Recent Results from J-PARC E15 Experiment H. Outa for E15

Search for Deeply-bound K-pp States in 3 He(K - , p )n Reaction -Recent Results from J-PARC E15 Experiment H. Outa for E15 collaboration 1 MIN16 - Meson in Nucleus 2016, 31 Jul - 2 Aug 1 Hadron masses and - symmetry Objectives - Can

286 views • 24 slides
Plaintext Recovery Attacks Against WPA/TKIP Kenny Paterson, Bertram Poettering, Jacob Schuldt Royal

Plaintext Recovery Attacks Against WPA/TKIP Kenny Paterson, Bertram Poettering, Jacob Schuldt Royal

Plaintext Recovery Attacks Against WPA/TKIP Kenny Paterson, Bertram Poettering, Jacob Schuldt Royal Holloway, University of London The 21st International Workshop on Fast Software Encryption March 4th, 2014 jacob.schuldt@rhul.ac.uk Agenda

684 views • 37 slides
A parameter identification problem in stochastic homogenization William Minvielle CERMICS,

A parameter identification problem in stochastic homogenization William Minvielle CERMICS,

An introduction to homogenization Setting Least square formulation A parameter identification problem in stochastic homogenization William Minvielle CERMICS, cole des Ponts ParisTech, Matherials research-team, INRIA Rocquencourt

390 views • 38 slides
C u r s i n g C o m p i l e r s S t e p h a n B e r g m a n n O c

C u r s i n g C o m p i l e r s S t e p h a n B e r g m a n n O c

C u r s i n g C o m p i l e r s S t e p h a n B e r g m a n n O c t o b e r 2 0 1 7 < s b e r g > b t w , I t h i n k I ' l l d o a p r o s a n d c o n s o f

598 views • 15 slides
High Order Error Inhibiting Schemes for Differential Equations Adi Ditkowski Department of

High Order Error Inhibiting Schemes for Differential Equations Adi Ditkowski Department of

Outline Introduction Ordinary Differential Equations. Examples The Heat Equations Postprocessing Summary High Order Error Inhibiting Schemes for Differential Equations Adi Ditkowski Department of Applied Mathematics Tel Aviv University

911 views • 54 slides
How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement

How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement

How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement Yoshihiro Oyama University of Tsukuba 1 Background Many malware programs execute operations for analysis evasion Detection of

346 views • 31 slides
Modeling and Analysis of Biological Systems Ashish Tiwari Tiwari@csl.sri.com Computer Science

Modeling and Analysis of Biological Systems Ashish Tiwari Tiwari@csl.sri.com Computer Science

Modeling and Analysis of Biological Systems Ashish Tiwari Tiwari@csl.sri.com Computer Science Laboratory SRI International Menlo Park CA 94025 http://www.csl.sri.com/tiwari Part of the work described here is in collaboration with

945 views • 28 slides
Disclosure of Uterine Sarcomas Marisa R. Nucci, M.D. I have nothing to disclose Associate

Disclosure of Uterine Sarcomas Marisa R. Nucci, M.D. I have nothing to disclose Associate

Recent Developments in the Diagnosis Disclosure of Uterine Sarcomas Marisa R. Nucci, M.D. I have nothing to disclose Associate Professor of Pathology Division of Womens and Perinatal Pathology Department of Pathology Brigham and

744 views • 30 slides
Modernization of TSD Documentation Using SharePoint Yun He TSD Topical Meeting August 16, 2018

Modernization of TSD Documentation Using SharePoint Yun He TSD Topical Meeting August 16, 2018

Modernization of TSD Documentation Using SharePoint Yun He TSD Topical Meeting August 16, 2018 Outline How to navigate TSD online documentation system TSD public web site: http://targets.fnal.gov/ TSD SharePoint sites: Public:

544 views • 12 slides

More recommend