# KRACK ###### tags: `lesson` --- # KRACK - WPA2破解 助教: - 進行這個攻擊有什麼限制? 中間人裝置需在熱點AP與受害裝置訊號接收範圍 需要知道受害者裝置的MAC addr. - 假設攻擊成功，造成的影響與危害 - 在書面補上，無法成功的推測詳細說明 - 利用此技術可以做到什麼事情?跟其他使用行為有什麼差異 - 寫出過程中的新發現 ## 背景 ### Wi-Fi加密演進 Wi-Fi的加密協議標準演進如下圖所示，WEP使用RC4串流加密技術，但因為IV(Initial Vector)長度過短，因此有被暴力破解的可能性；WPA實作了大部分的802.11標準，但其主要使用的臨時密鑰完整性協議(TKIP)有可能被破解；WPA2為目前主流的網路存取點(Access Point)使用的加密協議標準，加密方式從RC4 & TKIP換成更安全的AES進階加密標準，在WPA2中，金鑰的交換使用了四向交握協議，此協議也是我們這次主要討論與破解的部分；WPA3使用了更安全的SAE實體同步驗證，但其尚未發展成熟所以暫不討論。  表一、 Wi-Fi加密演進 目前主流的WPA/WPA2使用的加密協議可依加密類型進行分類： - WPA/WPA2：需要架設Radius伺服器，透過Radius伺服器進行各個使用者的身分認證，因此每個使用者所使用的金鑰會不同，且均由Radius伺服器管理，常用於公司等安全需求較高的環境。 - WPA/WPA2-PSK:使用預共享金鑰模式(Pre-Shared Key)，AP端與使用者使用同一組雙方都知道的PSK金鑰，因為不用額外架設Radius伺服器，所以成本較低，較常用於家庭一般使用等僅須一般等級安全性的環境。 依據加密算法可分為： - Temporal Key Integrity Protocol(TKIP)：臨時密鑰完整性協議，常用於WPA之加密標準，為較舊的加密標準，有被攻擊的可能性因此不建議使用。 - Advanced Encryption Standard(AES)：高級加密標準，WPA與WPA2均可使用，安全性比TKIP高，較建議使用。 ### Wi-Fi連線 WIFI連線的粗略架構如下圖所示，依照連線使用定位可分為使用者(Client)、存取點(Access Point)與網路 使用者透過加密協議(如WPA2)與AP連接，AP再與網路透過HTTP/HTTPS等協議連接以提供使用者網路存取服務，這篇報告將會著重在討論使用者與AP連接的加密協議，並沒有討論到AP與網路間使用的加密協議。 對於使用者與AP間使用的加密協議而言，使用者的角色為加密協議的請求者(Supplicant)，AP為加密協議的認證者(Authenticator)。  圖二、 WIFI連線的粗略架構 WPA2的完整流程圖如下圖所示，第一部分(上方)為連線建立階段，第二部分(中間)為PTK四向交握階段，也是漏洞主要發生的位置，因此重點將放在此階段，第三部分(下方)為GTK交換階段。  圖三、 WPA2的完整連線流程 在討論四向交握之前須了解以下概念: 1. 四向交握使用的金鑰 臨時金鑰有以下兩種：成對瞬態金鑰(Pairwise Transient Key，PTK)與群組暫時金鑰(Group Temporal Key，GTK)，各裝置間使用不同的PTK與AP成對達成協議，而連到同個AP下的裝置的GTK均為同一組。 PTK是由ANonce、SNonce與共享金鑰組合產生(ANonce與SNonce後面會提到)，而GTK通常是由AP端產生。  圖四、 PTK與GTK差異圖解 2. Nonce 在資訊安全中，Nonce是一個在加密通訊只能使用一次的數字。在認證協定中，它往往是一個隨機或偽隨機數。在四向交握中使用到兩種Nonce：第一種的ANonce與SNonce是由AP/client的MAC address與先前提到的共享金鑰(如WPA2-PSK中的PSK)組成；第二種是用於加密封包用的nonce，此nonce指的是封包號碼(packet number)。 四向交握可分為以下四步： 第一步： AP將共享金鑰與自己的MAC address結合產生ANonce，將ANonce傳給client。 （備註：圖片中的r是為了防止重放攻擊(replay attack)的數，此處不討論） 第一步之後第二步之前： client在收到ANonce後，因為可以算出自己的SNonce，共享金鑰也已知，因此能成功產生PTK並暫存在記憶體。 第二步： client將共享金鑰與自己的MAC address結合產生SNonce，將SNonce傳給client。 第二步之後： AP在收到ANonce後，成功產生PTK並暫存在記憶體。  圖五、 四向交握第一步與第二步 第三步： AP向client傳送確認訊息，確認要安裝此組PTK，並同時將GTK也一併傳送。 第四步： client收到確認訊息後回復AP端OK。 第四步之後: client會安裝記在記憶體的PTK與剛收到的GTK，並將代表封包號碼的Nonce設為0，AP也會把此PTK與此client連結與安裝。  圖六、 四向交握第三步與第四步  圖七、 四向交握第四步結束後重製Nonce為0 安裝完PTK後，PTK會與各封包號碼(nonce)結合產生keystream，之後兩者間的通訊會利用keystream做加密，因為每個封包的號碼(nonce)都不同，因此較難解密。  圖八、 PTK加密方式圖解 就安全性來說，四向交握有被證明是安全的，透過PTK與封包號碼的加密金鑰方式也是安全的，但是當兩者結合後，在實作方面就可能產生漏洞，因為四向交握實作時無法保證金鑰只被安裝一次，加密金鑰在證明安全性時並沒有考慮到使用的封包號碼可能重複，兩者合起來就會造成漏洞，四向交握也沒有確認記錄PTK的記憶體有沒有受過更改，KRACK就是利用這些漏洞進行解密。 ## KRACK KRACK(Key Reinstallation AttaCK)，由Mathy Vanhoef在Black Hat Europe 2017上公開漏洞，主要利用 WPA2的四向交握（4-way handshake），攻擊者可在第三次的交握中，欺騙存取點向裝置重複傳送加密金鑰，但在裝置重複安裝相同的金鑰時，Nonce　金鑰就會被重設。由於 Nonce 金鑰可被重用，攻擊者便可破解加密。KRACK的特色在於攻擊方的中間者**不需要知道WIFI密碼也能破解**，因此危害度很高，但**攻擊方需在AP的訊號範圍內**並能同時接收到受害者與AP的訊號，因受到此物理限制，所以無法進行大量自動攻擊。 我們選擇KRACK攻擊的目標在於使用中間人攻擊擷取相同AP下其他裝置網路封包，並重現KRACK攻擊，破解WPA2加密機制，解密其他裝置傳送的封包內容以獲取帳號密碼等敏感性資料。 KRACK攻擊有許多種實作方式，這邊僅列出金鑰重新安裝與全零PTK兩種攻擊方式。 ### KRACK-金鑰重新安裝 第一種KRACK的實作方式為金鑰重新安裝，首先在client與AP間增加能同時接收到兩者訊號的中間人(Man In The Middle)，此中間人會捕捉到AP使用到的頻道並將其屏蔽，並產生一個使用不同頻道的假AP讓client連結，對AP而言連線進來的是正常用戶，對client來說也與連到正常AP的行為無差異，因此雙方皆難以察覺。 在四向交握的過程中，中間人先正常協助轉傳前兩步的連線訊息，但在交換第三與第四訊息時，中間人會將從client端傳到AP端的第四訊息阻擋，阻擋造成的結果為client認為已經成功安裝PTK，並將Nonce清為0，但AP端因為沒收到第四訊息，因此認為此PTK尚未安裝成功。  圖九、 阻擋第四訊息 因為AP端未收到第四訊息，在超時後便會重新發送第三訊息，client端在收到第三訊息後會再送一次第四訊息，但因為對client來說PTK是已經安裝完成的狀態，因此會將此訊息四加密後送出，並且此次使用的Nonce為1，送出此加密後的訊息四後，client會重新安裝PTK並再次將Nonce清為0，中間人不阻擋此訊息四，因此client與AP成功利用此PTK建立加密連線。  圖十、 重新安裝PTK並重製Nonce為0 在加密連線成功後，從client端發出的第一個加密訊息使用的Nonce為1，與之前訊息四使用的Nonce相同，因此只要能解出加密訊息四的keystream，就能解密出可能含有敏感資料的此訊息。  圖十一、 兩者使用相同Nonce (Nonce皆為1) 在中間人接收到的訊息中，有包含加密前的訊息四與加密後的訊息四，因為訊息四的內容僅為回覆OK，內容相對簡單，兩者絕大多數的欄位是相同內容，因此能成功解出Nonce為1的keystream，再將此keystream用來解密第一個加密的訊息即可成功解密，成功實現金鑰重新安裝攻擊。  圖十二、 解密流程圖解 ### KRACK-全零PTK 此攻擊是針對使用Android與Linux架構的裝置，利用Android與Linux在實作WPA2時未考慮到的漏洞進行攻擊，也是我們這次實作時使用的攻擊方式，基本上攻擊流程與金鑰重新安裝攻擊相似，一樣是正常轉傳第一第二訊息，收到第三訊息後阻擋第四訊息。在client端收到第一次訊息三時，系統會使用記憶體中記錄的PTK進行安裝，此次安裝的PTK是正常的PTK，在安裝完後系統會將記錄PTK用的此段記憶體清空為全0。  圖十三、 第一次安裝PTK 因為AP端未收到第四訊息，在超時後便會重新發送第三訊息，client端在收到第三訊息後會再送一次第四訊息，並再次安裝PTK，但因為上次安裝完後存放PTK用的記憶體已被清空，因此此次安裝的PTK即為有漏洞的全零金鑰，根據前述圖八所示，加密用的keystream是由PTK與封包號碼(Nonce)組成，因為此處使用的PTK為已知的全0，封包號碼也直接寫在封包欄位中未進行加密，將兩者結合可獲得加密使用的keystream，因此可利用此keystream解密出封包內容。  圖十四、 重新安裝全零PTK --- ## 實作 --- ## 補充資料 與KRACK相關的CVE漏洞列表如下所示： CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake. CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake. CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake. CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake. CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake. CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT)Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it. CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake. CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake. CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame. CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame. ## 參考資料 Black Hat Europe 2017: https://www.youtube.com/watch?v=fZ1R9RliM1w KRACK專網: https://www.krackattacks.com/ 實作: https://www.youtube.com/watch?v=Oh4WURZoR98 https://github.com/vanhoefm/krackattacks-scripts https://github.com/vanhoefm/krackattacks-poc-zerokey https://github.com/lucascouto/krackattack-all-zero-tk-key --- # dump --- 官網 https://www.krackattacks.com/ --- Black hat Europe 2017 https://www.youtube.com/watch?v=fZ1R9RliM1w 裝兩次KEY AP-user 傳PTK(ANouce) user-AP 傳PTK(SNouce) 以上已確保PTK隱密 7:25如何加密 理論上不能強制nouce number變成0 會讓連線重連 10:00 中間人 24:43 ALL ZERO --- 實作 https://www.youtube.com/watch?v=Oh4WURZoR98 --- https://www.techbang.com/posts/54497-krack-authors-in-person-13-qa-quick-responses-to-your-questions 4路的握手協議已經在數學上被證明了是夠安全的，為什麼KRACK攻擊會成功？ "簡單的回答，就是目前的4路握手協議並沒有辦法確保金鑰只能被安裝一次。它只能確保金鑰維持隱密性，以及握手過程中傳遞的訊息並不會被偽造。 KRACK並沒有破解4路握手協議的安全性。事實上，在過程中傳遞的加密金鑰依然是安全的，以及握手協議過程中，用來確認AP端以及客戶端的身份驗證性也是安全的。KRACK並沒有破解加密金鑰，因此4路握手協議依然是安全的。" --- Kali USB https://www.kali.org/docs/usb/kali-linux-live-usb-install/ 網卡驅動 https://www.kalitut.com/2019/05/how-to-install-rtl8812au.html ~~以下無效 作廢 https://blog.tenyi.com/2019/03/ubuntu-dlink-dwa-182-80211ac-usb.html install bc~~ WPA wiki https://zh.wikipedia.org/wiki/WPA KRACK wiki https://zh.wikipedia.org/wiki/KRACK lucascouto https://github.com/lucascouto/krackattack-all-zero-tk-key vanhoefm https://github.com/vanhoefm/krackattacks-scripts