„KRACK“ und seine Folgen – ein nächster WLAN-Standard?

Mit dem WPA2 Ver­schlüsse­lungs­stan­dard soll si­cher­ge­stellt wer­den, dass sich nur be­rech­tigte Be­nut­zer in ein WLAN ein­log­gen können.

© Thinkstock

Nicht nur in Fach­krei­sen son­dern auch in den Me­dien wurde die neue An­griffs­me­thode „KRACK“, eine Abkürzung für „Key Re­instal­la­tion At­taCKs“, dis­ku­tiert und kri­ti­siert. Da­bei wur­den teil­weise sehr über­trie­bene Emp­feh­lun­gen aus­ge­spro­chen.

In ei­ni­gen Fällen sind die Be­den­ken je­doch durch­aus be­rech­tigt. Auch das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) hat eine Pres­se­mit­tei­lung veröff­ent­licht, in­dem zu Vor­sicht ge­ra­ten wird.

Um das Ri­siko zu ver­ste­hen, wird nach­fol­gend die WPA2-Ver­schlüsse­lung kurz näher erläutert:

Der Ver­schlüsse­lungs­stan­dard WPA2 ba­siert auf ei­ner re­la­tiv ein­fa­chen und in der Kryp­to­gra­phie häufig ver­wen­de­ten lo­gi­schen Ope­ra­tion: ent­we­der ist eine Be­haup­tung wahr oder nicht – eine sog. XOR-Be­din­gung.

Eine lo­gi­sche Ei­gen­schaft der XOR-Be­din­gung ist es, dass die Rei­hen­folge der An­wen­dungs­lo­gik egal ist. So ist es möglich, dass aus zwei ver­schlüssel­ten Ele­men­ten V(A) und V(B) der Klar­text A er­mit­telt wer­den kann, wenn der iden­ti­sche Schlüssel für die Ver­schlüsse­lung der bei­den Klar­texte ver­wen­det wurde und zusätz­lich der Klar­text B be­kannt ist.

Sehr ver­ein­facht dar­ge­stellt bil­det die XOR-Be­din­gung also die Grund­lage für den sog. Sit­zungs­schlüssel, der in der Re­gel nur ein ein­zi­ges Mal – nämlich bei der Au­then­ti­fi­zie­rung – ver­wen­det wird. Ge­nau hier­auf ba­sierte die bis­her ver­meint­lich hohe Si­cher­heit von WPA2.

Soll­ten je­doch un­ter­schied­li­che Da­ten mit dem iden­ti­schen Sit­zungs­schlüssel er­neut ver­schlüsselt wer­den, fällt das Kar­ten­haus in sich zu­sam­men. Denn in WLANs lässt sich sehr leicht ver­schlüsselte Kom­mu­ni­ka­tion mit be­kann­tem In­halt er­mit­teln bzw. der Ver­sand so­gar er­zwin­gen.

Da­her gilt als obers­tes Ge­bot bei der Ver­wen­dung von XOR-Be­din­gun­gen in der Kryp­to­gra­phie: Nie­mals den iden­ti­schen Schlüssel mehr als ein­mal ver­wen­den! Ex­akt dies ist je­doch den For­schern ge­lun­gen, in­dem die WLAN-Cli­ents (so­wohl an­wend­bar bei WLAN-Rou­tern als auch -Cli­ents) einen ei­gent­lich als „be­reits ver­wen­det“ ge­kenn­zeich­ne­ten Schlüssel noch ein er­neu­tes Mal ver­wen­den.

WPA2 vs. KRACK

Tech­ni­sch baut KRACK dar­auf auf, dass in der Ver­schlüsse­lung ein  „Nonce“ (dies be­deu­tet ein be­stimm­ter Zah­len­wert) mehr­fach einen ei­gent­lich als „be­reits ver­wen­det“ ge­kenn­zeich­ne­ten Schlüssel ein er­neu­tes Mal ver­wen­det. Dies be­deu­tet, dass ver­schickte Da­ten po­ten­ti­ell mit­ge­le­sen oder ma­ni­pu­liert wer­den können.

Die ein­zige Lösung schei­nen Up­dates für ALLE WPA2 ver­schlüssel­ten Geräte zu sein. In­wie­weit sich dies (po­li­ti­sch) durch­set­zen lässt und prak­ti­sch um­setz­bar ist, bleibt ab­zu­war­ten.

An­ge­zwei­felt wer­den können je­doch die über­trie­be­nen Emp­feh­lun­gen, auf eine Nut­zung von WLANs zu ver­zich­ten. Denn: Im Ge­gen­satz zu an­de­ren bis­her be­kann­ten kri­ti­schen Si­cher­heitslücken können An­grei­fer die nun neu ent­deckte Si­cher­heitslücke nicht on­line über das In­ter­net ausführen, son­dern müssen sich phy­si­sch vor Ort in der Reich­weite des je­wei­li­gen Net­zes auf­hal­ten.

Wirklich so kritisch?

Auch wenn nun eine An­griffs­me­thode auf den ver­meint­lich si­cher ge­glaub­ten Stan­dard möglich scheint, gilt es Ruhe zu be­wah­ren. Sind die ent­spre­chen­den Sys­teme kor­rekt kon­fi­gu­riert, d. h. die Über­tra­gung er­folgt an­hand ei­ner ex­pli­zi­ten (zusätz­li­chen) Ver­schlüsse­lungs­ebene (wie z. B. VPN oder TLS), ist das Pro­blem nicht so kri­ti­sch wie teil­wiese in ein­zel­nen Me­dien be­schrie­ben. Et­waige verfügbare Up­dates von den Her­stel­lern soll­ten zeit­nah in­stal­liert wer­den, um sich ab­zu­si­chern.

Ein Bei­spiel ist die Ver­schlüsse­lung beim On­line-Ban­king. Ein Großteil der On­line-Ban­king An­bie­ter nutzt die von vie­len Brow­sern un­terstütze Se­cure So­ckets Layer (SSL) bzw. Trans­port Layer Se­cu­rity (TLS) Si­che­rung – er­kenn­bar im ge­nutz­ten Über­tra­gungs­pro­to­koll „Hy­per­text Trans­fer Pro­to­col Se­cure“ (HTTPS) im Ver­gleich zum „Hy­per­text Trans­fer Pro­to­col“ (HTTP) durch das „s“ am Ende. Dies ist eine zusätz­li­che Ver­schlüsse­lung zwi­schen dem ge­nutz­ten End­gerät und der Web­seite und da­mit ein zusätz­li­che Schutz­schicht ab­seits der Si­che­rung des WLANs durch WPA2. Selbst bei ei­ner Ent­schlüsse­lung des WPA2-Codes be­deu­tet dies so­mit nicht au­to­ma­ti­sch, dass die Da­ten di­rekt ein­seh­bar und un­ver­schlüsselt sind.