Está en la página 1de 49

Clase Especial

Seguridad en Redes Inalámbricas (IEEE 802.11)

SEGURIDAD

DE

LA

INFORMACION

IEEE 802.11 Sobre el estándar y sus tramas…
• IEEE 802.11 define:
– Capa física (capa 1 del modelo OSI) – Capa Medium Access Control (parte de la capa 2 - Data Link – del modelo OSI)

Enmiendas al estándar que afectan a la capa MAC:
– 802.11d: Agrega soporte de "additional regulatory domains” – 802.11e: Agrega Quality of Service (QoS) – 802.11i: Agrega medidas de seguridad (WPA/WPA2)

Tipos de tramas MAC:
– – – – Gestión: tareas relacionadas con el manejo de la red Control: mediar el acceso al medio compartido Data: transporte de datos de capa superior Reservado: sin uso
2

SEGURIDAD

DE

LA

INFORMACION

IEEE 802.11 Formato de trama MAC

Campo Frame Control* Duration/ID* Address{1*,2,3,4} Sequence Control QoS Control Frame Body FCS*

Uso Contiene indicadores de control Specifica la duración (tiempo de uso del medio) / Identificador Dirección MAC Número de sequencia y de fragmento (de estar fragmentado) Identifica la categoría del tráfico y contiene información de QoS de la trama Datos de la trama Checksum de Integridad de la trama MAC

* Campos obligatorios SEGURIDAD DE LA INFORMACION 3

IEEE 802.11 Fragmentación MAC
• Campos utilizados:
– More Fragments bit en el campo Frame Control – Campo Sequence Control:
• 12 bits para el número de secuencia (se utiliza el mismo número para todos los fragmentos). • 4 bits para el número de fragmento (16 fragmentos como máximo).

• Sólo se pueden fragmentar tramas Unicast. • El tamaño de los fragmentos debe ser igual y múltiplos pares de octetos, a excepción del último que puede ser más pequeño. • La encapsulación WEP se aplica individualmente a cada fragmento. • La defragmentación ocurre en cada salto.
SEGURIDAD DE LA INFORMACION 4

11 Header Sequence number = X More Fragments = 1 Fragment number = 2 Data2 802.IEEE 802.11 Fragmentación MAC Data 802.11 Header • • • Sequence number = X More Fragments = 1 Fragment number = 1 • • • Data1 802.11 Header • • • Sequence number = X More Fragments = 0 Fragment number = 3 5 Data3 SEGURIDAD DE LA INFORMACION .

a.11 Autenticación • Open System Authentication (a. sin autenticación) • Shared Key Authentication SEGURIDAD DE LA INFORMACION 6 .IEEE 802.k.

IEEE 802.11 WEP (Wired Equivalent Privacy) “Eavesdropping is a familiar problem to users of other types of wireless technology. 2007 Edition 7 SEGURIDAD DE LA INFORMACION . This service is intended to provide functionality for the wireless LAN equivalent to that provided by the physical security attributes inherent to a wired medium.11 Standard. Wired equivalent privacy is defined as protecting authorized users of a wireless LAN from casual eavesdropping.IEEE 802. IEEE 802.” -.” -.11 Standard.11 specifies a wired LAN equivalent data confidentiality algorithm. 1999 Edition “Except for Open System authentication.IEEE 802. as they fail to meet their security goals. all pre-RSNA security mechanisms have been deprecated.

11 no define un mecanismo de distribución de claves • WEP depende de un mecanismo de distribución de claves externo • Generalmente se configura manualmente SEGURIDAD DE LA INFORMACION 8 .IEEE 802.11 Propiedades de WEP • Confidencialidad en WEP: – Basada en RC4 (cifrado de flujo simétrico) • Integridad en WEP: – Basada en ICV (Integrity Check Value) • Implementado como un CRC-32 • Manejo de claves en WEP: – IEEE 802.

IV || Clave) 2. Calcula el ICV: CRC-32 del texto plano (payload) 3.e. Mensaje = IV || Cipher text SEGURIDAD DE LA INFORMACION 9 .11 WEP: Operación 1. Generación de la semilla: Se concatena la clave con el vector de inicialización (IV) (i.IEEE 802. Computa el Key stream: Key stream = RC4(seed) 4. Cifrado: Cipher text = Key stream XOR (Plaintext || ICV) 5.

11i).11 WEP: Key and IV Properties • Clave: – 40 bits o 104 bits (no está en el estándar original. SEGURIDAD DE LA INFORMACION 10 . sin embargo se lo encuentra en las implementaciones y posteriormente fue “estandarizado” en la enmienda IEEE 802. Comúnmente el IV se inicializa en cero y aumenta linealmente (en modo big-endian o little-endian dependiendo de la arquitectura del procesador la placa de red). El estándar no requiere que se modifique el IV entre tramas. • IV: – – – – 24 bits El estándar no especifica un algoritmo para elegir el IV.IEEE 802. – El estándar no especifica un algoritmo para generar la clave ni un mecanismo de distribución de claves.

• Recuperación de la clave WEP (WEP Cracking): – Ataques basados en técnicas de criptoanálisis que permiten recuperar la clave WEP en base a una captura de tramas. – Generar tramas WEP válidas (limitadas sólo por el tamaño del key stream que obtuvimos). – No recuperan la clave WEP.WEP Tipos de ataques: con estilo… • Recuperación de Key stream: – Ataques basados en técnicas de criptoanálisis que permiten recuperar de forma parcial o completa el key stream que fue utilizado para cifrar una trama. pero nos permiten: – Descifrar el contenido de las tramas cifradas con el mismo IV para el cuál recuperamos el key stream. SEGURIDAD DE LA INFORMACION 11 .

se suelen utilizar claves simple y fáciles de recordar. • Ataques de diccionario: – Intentar descifrar una trama WEP utilizando palabras de un diccionario. – Los generadores de claves pueden reducir la entropía y por ende se reduce el espacio de búsqueda. pero para claves de 40-bits es factible (altamente paralelizable).WEP Tipos de ataques: último recurso… • Ataques de fuerza bruta: – Intentar descifrar una única trama WEP utilizando todas las claves posibles (el descifrado se verifica recomputando el ICV y verificándolo contra el ICV de la trama) – Lento. – Dado que WEP no posee un mecanismo de distribución de claves. SEGURIDAD DE LA INFORMACION 12 .

11 Standard.IEEE 802.WEP Riesgos de la reutilización de Key Stream “If the same (key. this effect may substantially reduce the degree of privacy conferred by the WEP algorithm.” -. SEGURIDAD DE LA INFORMACION 13 . – Todas las estaciones utilizan la misma clave. allowing an eavesdropper to recover a subset of the user data without any knowledge of the secret key. 1999 Edition • Factores que contribuyen a que haya colisiones de IV: – IV es de 24 bits. – La mayoría de la implementaciones incrementan el IV de forma secuencial (comenzando en cero). IV) pair is used for successive MPDUs.

De no existir. • Esta el la razón para que exista un IV. SEGURIDAD DE LA INFORMACION 14 . un plaintext conocido permitiría determinar cualquier otro texto cifrado (en lugar de reutilización del IV se reutilizaría toda la clave). entonces se puede deducir el otro (al menos parcialmente). (Plaintext XOR WEP(IV||Key) ) XOR (Plaintext’ XOR WEP(IV||Key) ) ------------------------------------------------Plaintext XOR Plaintext’ • Si se conoce uno de los plaintext (al menos parcialmente).WEP Riesgos de la reutilización de Key Stream: los secretos de XOR… Propiedades de XOR: • Conmutativo: A XOR B = B XOR A • Asociativo: (A XOR B) XOR C = A XOR (B XOR C) • (A XOR B) XOR A = B • A XOR 0 = A Por lo tanto.

allowing an eavesdropper to recover a subset of the user data without any knowledge of the secret key. this effect may substantially reduce the degree of privacy conferred by the WEP algorithm.11 Standard.” -.IEEE 802.WEP Shared Key está roto… “If the same (key. IV) pair is used for successive MPDUs. 1999 Edition SEGURIDAD DE LA INFORMACION 15 .

SEGURIDAD DE LA INFORMACION 16 .WEP Shared Key está roto… ¡Bienvenido XOR! Challenge XOR Response = RAND XOR WEP(RAND. IV||WEPKey) = RAND XOR ( RAND XOR KeyStream(IV||WEPKey) ) = KeyStream(IV||WEPKey) El atacante puede autenticarse utilizando el key stream que obtuvo para responder al challenge del AP.

11 standards committee specifically recommends against running an IEEE 802. While this combination is possible. pero…¿está recomendado? “The IEEE 802.11 Standard.” -.IEEE 802. it leaves the system open to significant security threats.11LAN with privacy but without authentication. 1999 Edition SEGURIDAD DE LA INFORMACION 17 .WEP Shared Key está roto.

key)] dónde M’ = M XOR ∆ (sólo conociendo C y ∆): C’ = [M XOR WEP(iv.key)] entonces es posible para un atacante obtener C’ / C’ = [M’ XOR WEP(iv.key)] = [M XOR ∆ XOR WEP(iv. CRC-32(M) XOR WEP(iv.key) XOR ∆.key)] = [M XOR WEP(iv.key)] • Demostración: C’ = [M’ XOR WEP(iv. CRC-32(M) XOR CRC-32(∆) XOR CRC-32(Zero) XOR WEP(iv.e. CRC-32(M) XOR CRC-32(∆) XOR CRC-32(Zero) XOR WEP(iv. CRC-32(M XOR ∆ XOR Zero) XOR WEP(iv. CRC-32) es linear: • CRC-32(A XOR B) = CRC-32(A) XOR CRC-32(B) – Sea C = [M XOR WEP(iv. CRC-32(M’) XOR WEP(iv. CRC-32(M XOR ∆) XOR WEP(iv. CRC-32(M’) XOR WEP(iv.key).key).key)] = [M XOR ∆ XOR WEP(iv.key).WEP Modificación de Mensajes… – Checksum (i.key).key)] SEGURIDAD DE LA INFORMACION 18 .key).key) XOR ∆.

b): xor = '' for i in range(len(a)): xor = xor + chr(ord(M[i]) ^ ord(D[i])) return xor M1 = XOR(M.WEP Modificación de Mensajes: No me crean. créanle a python… from binascii import crc32 M = '\x01\x02\x03' D = '\x10\x11\x12' def XOR(a.D) crc_M = crc32(M) crc_D = crc32(D) crc_blank = crc32('\x00\x00\x00') crc_M1 = crc32(M1) crc_M ^ crc_D ^ crc_blank == crc_M1 19 SEGURIDAD DE LA INFORMACION .

11 Header IV Encrypted Data ICV LLC HEADER DSAP SNAP: 0xAA SNAP: 0xAA Unnumbered frame: 0x03 IP: 0x0800 Encapsulated Ethernet: 0x000000 ARP: 0x0806 SSAP CTRL ORG CODE ETHER TYPE SEGURIDAD DE LA INFORMACION 20 .WEP Un poco de análisis de tráfico 802.

11 Header IV Encrypted Data ICV SIZE = 28 BYTES HW TYPE PROTOCOL TYPE HW SIZE OPCODE SENDER MAC SENDER IP TARGET MAC TARGET IP 21 PROTOCOL SIZE SEGURIDAD DE LA INFORMACION .WEP Un poco más de análisis de tráfico: ARP • ARP: – Tamaño fijo: 36 bytes (algún HW lo “padea” a 54 bytes) – Peticiones se envían a la dirección Broadcast SIZE = 36 BYTES – Las respuestas son Unicast SIZE = 8 BYTES LLC 802.

CRC-32(M-1) XOR WEP(iv. el byte truncado) • Ataque: Deducir el último byte del plaintext – Obtener una trama WEP (C) – Truncar el último byte de la trama (i. • • Reiniciar el ataque con CM-1 como la trama WEP. CRC-32(M-1) se puede computar a partir de: • CRC-32(M) • El valor de M[-1] (i.key). calcular M-1) – For c = 0 to 255: • Computar CRC-32(M-1) asumiendo que el valor de c es M[-1] • Construir la trama WEP CM-1 = [M-1 XOR WEP(iv. y a partir del plaintext se puede obtener el key stream.key). M[-1] = c).key)] • Enviar la trama. CRC-32(M) XOR WEP(iv. se obtienen todos los valores del plaintext.WEP Chop-Chop • Un poco de teoría: – – – – Sea C = [M XOR WEP(iv. DE LA INFORMACION 22 SEGURIDAD .e.key)] Sea CM = M XOR WEP(iv.key). Fin. Luego de M iteraciones. dónde M-1 es M con el último byte truncado. si el AP la reenvía entonces la trama es válida (luego.key) Sea CM-1 = M-1 XOR WEP(iv.e.

11 Header IV Datos Cifrada n c ICV Computar ICV’ ICV’ 802.WEP Chop-Chop (¡¡¡ con dibujito!!!) 1 802.11 Header IV Datos Cifrada n-1 c=1 0 Enviar trama SEGURIDAD DE LA INFORMACION 23 .

11 Header • • • • Sequence number = X More Fragments = 0 Fragment number = 3 IV = cualquier valor SEGURIDAD DE LA INFORMACION 24 .11 Header • • • • Sequence number = X More Fragments = 1 Fragment number = 1 IV = cualquier valor IV Data1 IV ICV Data1 IV ICV Data1 ICV 802.WEP Fragmentación MAC + WEP Data 802.11 Header • • • • Sequence number = X More Fragments = 1 Fragment number = 2 IV = cualquier valor 802.

WEP Ataques a la Fragmentación + WEP • Un poco de teoría: – Repaso: los fragmentos WEP se calculan de forma independiente (i. – Recuerden que conocemos el texto claro (lo elegimos nosotros) y por ende podemos calcular el key stream nuevo.e. puede enviar m-4 bytes de datos en una trama WEP (se utilizan 4 bytes para cifrar el ICV). se puede reutilizar el IV) – Con m bytes de key stream. SEGURIDAD DE LA INFORMACION 25 . Repetir el proceso. Enviar 16 tramas fragmentadas utilizando el par (IV. key stream). Obtener la trama reconstruida y reenviada por el AP. • Ataque: Deducir 1500-byte de key stream – – – – Obtener una trama WEP y recuperar 8 bytes de key stream.

2.WEP ¿Necesito que esté cerca el AP? 1. Reenviar la trama hasta obtener suficientes respuestas para crackear la clave WEP. SEGURIDAD DE LA INFORMACION 26 . Convertir la trama en una petición ARP para la IP de la estación. Esuchar peticiones (Probe Requests) de estaciones que estén buscando redes WEP. Esperar a que la estación envié un Gratuitous ARP 3. IV. Permitir la asociación de la estación. III. 4. Realizar el proceso de autenticación con la estación emulando al AP. Montar un AP “trucho”: I. II. Enviarle un Probe Response (con el SSID utilizado por la estación).

254.WEP De Gratuitous ARP a ARP Request MAC Header Hardware Type Protocol Type Hardware Size WEP IV Protocol Size LLC Header Opcode ARP Header Sender MAC Sender IP WEP ICV Target MAC Target IP AA BB CC DD EE FF A9 FE 00 01 A9 FE 00 01 + 00 00 00 00 00 FF 00 00 + 00 FF 00 00 + 00 00 AA BB CC DD EE 00 Nueva MAC SEGURIDAD DE LA A9 FE 00 FE A9 FE 00 01 27 Nueva IP: 169.254 INFORMACION .0.

11i (AES-CCMP) SEGURIDAD DE LA INFORMACION 28 .1X – Soporte opcional • PSK (Pre-shared key): – Soporte obligatorio – Un mecanismo de distribución de claves: 4-way handshake – Dos protocolos que proveen confidencialidad e integridad de datos: • TKIP (Temporal Key Integrity Protocol): Opcional • CCMP (CTR with CBC-MAC Protocol): Obligatorio • La Wi-Fi alliance (una asociación sin fines de lucro que intenta garantizar la intercompatibilidad de productos) tiene las siguientes certificaciones: – WPA (Wi-Fi Protected Access): certifica TKIP – WPA2: certifica compatibilidad con 802. que consiste de: – Dos mecanismos de autenticación: • IEEE 802.11i • Define el Robust Security Network Association (RSN).802.11i La enmienda 802.

11i Autenticación 802.802.1X en 802.11 SEGURIDAD DE LA INFORMACION 29 .

802.11i Seguridad de los métodos EAP SEGURIDAD DE LA INFORMACION 30 .

el nonce del autenticador (ANonce). SEGURIDAD DE LA INFORMACION 31 . y el nonce del Suplicante (SNonce) mediante una función pseudoaleatoria.11i Jerarquía de claves Unicast • Claves utilizadas para proteger el tráfico Unicast: – Pairwise Master Key (PMK): Se deriva de la autenticación EAP o se computa a partir de la preshared key (PSK).802. – Pairwise Transient Key (PTK): Una clave temporal que se deriva de la pairwise master key (PMK). la dirección del Suplicante. la dirección del Autenticador.

11i Jerarquía de claves Unicast (¡¡¡con dibujito!!!) SEGURIDAD DE LA INFORMACION 32 .802.

802.11i Jerarquía de claves Multicast • Claves utilizadas para proteger el tráfico Multicast: – Group Temporal Key (GTK) SEGURIDAD DE LA INFORMACION 33 .

TMK (Temporal MIC Key): – Tx: utilizada para computar el MIC en tramas de la estación al AP (sólo existe en TKIP). – Rx: utilizada para computar el MIC en tramas del AP a la estación (sólo existe en TKIP). KEK (Key Encryption Key): utilizada para cifrar la GTK en el 4-way handshake y en el Group Key handshake. TEK (Temporal Encryption Key): utilizada para cifrar los datos de las tramas unicast.11i Uso de claves Unicast • KCK (Key Confirmation Key): utilizada para computar MIC del 4-way handshake y del Group Key handshake.802. • • • SEGURIDAD DE LA INFORMACION 34 .

La clave GEK sólo es utilizada para cifrar por el AP. • • SEGURIDAD DE LA INFORMACION 35 . GIK (Group Integrity Key): utilizada para computar el MIC de las tramas multicast (sólo existe en TKIP).11i Uso de claves Multicast • • GEK (Group Encryption Key): utilizada para cifrar las tramas multicast.802. La clave GEK sólo es utilizada para descifrar por las estaciones.

11i 4-Way Handshake SEGURIDAD DE LA INFORMACION 36 .802.

11i Group Key Handshake SEGURIDAD DE LA INFORMACION 37 .802.

11 Open System Authentication 3. 2. IEEE 802.1X Authentication (si se está utilizando una PSK este paso no se realiza) 5.11i Y… ¿Cómo se combina todo? 1.11 Association 4. IEEE 802. La estación “encuentra” al AP. Derivación y distribución de claves: 4-way handshake • Renovación de la clave grupal: Group key handshake SEGURIDAD DE LA INFORMACION 38 . IEEE 802.802.

802.11i Y… ¿Cómo se combina todo? (¡¡¡con dibujito!!!) SEGURIDAD DE LA INFORMACION 39 .

11i Temporal Key Integrity Protocol (TKIP) TKIP es un protocolo que mejora WEP diseñado para hardware que soporte WEP. y las direcciones origen y destino previo a la fragmentación. • Agrega un keyed message integrity code (MIC) de los datos. • Utiliza una función criptográfica que combina la clave temporal. El receptor descarta la trama si el número de secuencia no es mayor al anterior recibido. • Debilidad: ¡es reversible! SEGURIDAD DE LA INFORMACION 40 . • Utiliza un número de secuencia (TSC).802. La función fue diseñada para evitar ataques por el uso de claves WEP débiles. Complementa el ICV de WEP para prevenir ataques de falsificación de tramas. Provee protección contra ataques de replay. la dirección del emisor y el TSC para obtener la clave WEP (de 128 bits).

11i Contramedidas contra fallas de TKIP • Estación: • AP: SEGURIDAD DE LA INFORMACION 41 .802.

11i Cifrado TKIP • Dónde: – – – – – TA: Dirección de la estación realizando el cifrado TK: Temporary encryption key TSC: Contador de replay DA: Dirección destino SA: Dirección origen DE LA INFORMACION 42 SEGURIDAD .802.

Utiliza un “counter” para prevenir ataques de “replay”. SEGURIDAD DE LA INFORMACION 43 .11i CTR with CBC-MAC Protocol (CCMP) • Modo CCM: – Utiliza el modo CTR (Counter) para confidencialidad de los datos (Modo Counter mode “convierte” a un cifrador de bloques en uno de flujo). Requiere hardware nuevo. • CCMP: – – – – Basado en AES (Advanced Encryption Standard) operando en CCM.802. – Utiliza CBC-MAC (Cipher Block Chaining Message Authentication Code) para integridad de los datos: el modo CBC-MAC permite construir un MAC (message authentication code) a partir de un cifrador de bloques. Clave de 128 bit.

y el nonce del autenticador y del suplicante. 4096. (Observar: excepto la PMK todos los datos están presentes en el 4-way handshake).802. la dirección del suplicante. Además.11i 802.11i PSK Dictionary/Bruteforce Attack • Si capturamos el 4-way handshake obtenemos el MIC del Nonce del autenticador que está calculado con la KCK (Key Confirmation Key). 256). ssid. el nonce del autenticador y el nonce del suplicante. SEGURIDAD DE LA INFORMACION 44 . • La PTK se deriva de la PMK utilizando una función psuedo-aleatoria que utiliza los valores de la dirección del autenticador y del suplicante. podemos obtener la dirección del autenticador. • Si se utiliza el modo de Pre-Shared Key (PSK) la PMK se computa a partir de la PTK de la siguiente forma: PBKDF2(passphrase. ssidLength.

hay que seguir probando. la opción de fuerza bruta no es viable. – Se compara el MIC calculado contra el que está presente en el 4-way handshake. 4096. Por lo tanto las tablas pre-computadas están “atadas” a un SSID. podemos realizar un ataque de diccionario o de fuerza bruta de la siguiente forma: – Para la PSK “candidata” computamos la KCK (utilizando la función PBKDF2(passphrase. pero si lo es un ataque de diccionario. Sin embargo.com/Cowpatty.11i 802. ssid. ¡ganamos! Sino.html) DE LA INFORMACION 45 • SEGURIDAD .willhackforsushi. • Como la PSK es de 256 bits.802. el problema con este enfoque es que la PMK (y por ende la KCK) depende del SSID en uso.11i PSK Dictionary/Bruteforce Attack • Si capturamos el 4-way handshake y conocemos el SSID de la red que está utilizando 802. (Ver CoWPAtty: http://www.11i en modo PSK. ssidLength. Para reducir el tiempo de computo podemos tener pre-computadas las KCK. – Si coinciden. 256) ) – Se calcula el MIC para el Nonce del autenticador en base a la KCK calculada.

Sin QoS las tramas DEBEN ser enviadas en orden (excepto por las tramas broadcast que pueden ser reordenadas con respecto a las tramas unicast). Solución: – Cada cola de QoS tiene un TSC independiente. • Reordenar las tramas genera un conflicto con el TSC de TKIP. • Define ocho categorías de tráfico (colas QoS).11e (QoS) • Agrega soporte para QoS (agregando tipos de tramas nuevas).802. • Permite reordenar las tramas según las prioridades de QoS.11i Una breve introducción a 802. – El campo de prioridad se agrega al cómputo del MIC para prevenir ataques de “replay” que consistirían en re-enviar la misma trama a otra cola QoS (que tuviese un TSC menor). SEGURIDAD DE LA INFORMACION 46 .

1X). – Recuperar la clave MIC de AP → estación (de la estación siendo atacada) o la clave MIC de broadcast. • Le permite a un atacante…: – Descifrar tramas enviadas a una estación QoS (o broadcast) de a un byte por minuto. – Es independiente del mecanismo de autenticación (PSK or 802. – Sólo es explotable en redes que soportan QoS contra estaciones que utilizan QoS. limitada por la longitud del keystream obtenido. – Transmitir hasta 7 tramas arbitrarias a la estación siendo atacada o a todas las estaciones (en el caso que hayamos descifrado una trama broadcast). – Recuperar un keystream generado con la clave AP → estación (de la estación siendo atacada) o un keystream generado con la clave broadcast.802. SEGURIDAD DE LA INFORMACION 47 .11i TKIP Chop-Chop: Introducción • Alcance: – Sólo afecta TKIP (no AES-CCMP).

– Reiniciar el proceso utilizando la trama truncada reemplazándole el MIC por el valor correcto.11i TKIP Chop-Chop: Detalles técnicos • Descifrar una trama TKIP (utilizando una estación QoS como oráculo): – Capturar la trama (AP → estación) – Truncar el último byte – Adivinar un valor candidato para el byte truncado y compensar el ICV (de WEP) de forma acorde. el ICV es válido). – Si la trama es válida (o sea. SEGURIDAD DE LA INFORMACION 48 . la estación enviará una trama de MIC Failure al AP para notificarle de la falla del MIC (no se modificó el MIC en la trama enviada pero modificamos los datos al truncar un byte): – El valor adivinado es correcto. – Enviar la trama a la estación. – Si la trama no es válida (falla de ICV) la trama es descartada por la estación. – Esperar 60 segundos para que no se disparen las contramedidas ante fallas de MIC.802. Reintentar con otro valor “candidato” para el byte truncado.

se puede enviar una trama de la misma longitud que el keystream recuperado (en realidad 12 bytes menor para poder cifrar el MIC y el ICV). la cola QoS y los datos en sí. • La trama debe ser enviada a otra cola QoS con un valor de TSC menor al que tiene la trama (para saltarse las restricciones sobre el TSC). permitiendo que la trama se envía hasta 7 veces (una vez a cada cola). la dirección origen y destino. • El ataque es ciego: las tramas de respuesta no pueden ser descifradas. SEGURIDAD DE LA INFORMACION 49 .11i TKIP Chop-Chop: Enviando tramas… • Utilizando el keystream recuperado y la clave MIC.802. • Podemos computar el MIC dado que conocemos los datos necesarios para calcularlo: la clave MIC.