Phân tích đánh giá các giải pháp an toàn bảo mật cho mạng không dây

Đề tài nghiên cứu về những giải pháp bảo mật trên chuẩn mạng không dây 802.11 ở mức độ sâu các thuật toán sử dụng trong quá trình xác thực, mã hóa, và toàn vẹn dữ liệu, đánh giá các điểm

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

- NGUYỄN THỊ HẠNH

PHÂN TÍCH ĐÁNH GIÁ CÁC GIẢI PHÁP AN TOÀN BẢO MẬT CHO

LỜI CAM ĐOAN

Những kết quả nghiên cứu được trình bày trong luận văn hoàn toàn trung thực, của tôi, không vi phạm bất cứ điều gì trong luật sở hữu trí tuệ và luật pháp Việt Nam Nếu sai, tôi hoàn toàn chịu trách nhiệm trước pháp luật

TÁC GIẢ LUẬN VĂN

Nguyễn Thị Hạnh

MỤC LỤC

Trang

Danh mục các từ viết tắt 1

Danh mục các bảng 4

Danh mục hình ảnh 5

LỜI MỞ ĐẦU 7

CHƯƠNG I: GIỚI THIỆU VỀ MẠNG KHÔNG DÂY 9

1.1 Mô hình mạng không dây 11

1.1.1 Mô hình mạng độc lập (Independent Basic Service Set - IBSSs) 11

1.1.2 Mô hình mạng cơ sở (Basic Service Sets - BSS) 11

1.1.3 Mô hình mạng mở rộng (Extendsed Service Set - ESS) 12

CHƯƠNG II: ẢO MẬT MẠNG LAN KH NG DÂY 14

2.1 Tổng quan về bảo mật mạng không dây 14

2.1.1 Tại sao phải bảo mật mạng không dây 14

2.1.2 Mô hình bảo mật mạng không dây 15

2.2 Giải pháp bảo mật theo giao thức WEP 17

2.2.1 Cơ cấu bảo mật WEP 17

2.2.1.1 Bảo mật WEP 18

2.2.1.2 Cơ chế xác thực 21

2.2.1.3 Giá trị kiểm tra toàn vẹn ICV- Integrity Check Value 25

2.2.2 Các tấn công trên WEP 27

2.2.2.1 Tấn công xác thực giả (fake authentication) 27

2.2.2.2 Tấn công từ điển 28

2.2.2.3 Tấn công thay đổi thông điệp 29

2.2.2.4 Tấn công chopchop 30

2.2.2.5 Tấn công phá khóa 32

2.2.2.6 Tấn công phát lại gói tin ARP 36

2.2.3 Tổng kết nhược điểm của WEP 37

2.2.4 Một số phương pháp cải thiện 39

2.3 Giải pháp bảo mật theo giao thức WPA, WPA2 (chuẩn 802.11i) 40

2.3.1 WPA (Wi-Fi Protected Access) 40

2.3.2 Chuẩn IEEE 802.11i (WPA2) 41

2.3.3 Cơ chế xác thực bằng 802.1X 44

2.3.3.1 Kiến trúc IEEE 802.1X 45

2.3.3.2 Giao thức xác thực thông điệp mở rộng EAP 46

2.3.4 Cơ chế bảo mật và toàn vẹn dữ liệu 50

2.3.4.1 Giao thức TKIP 50

2.3.4.1.1 Khuôn dạng gói tin 52

2.3.4.1.2 Bộ đếm dãy TSC 52

2.3.4.1.3 Toàn vẹn dữ liệu với MIC (Message Intergrity Code) 54

2.3.4.1.4 Tạo khóa cho từng packet 56

2.3.4.1.5 Đóng gói TKIP 58

2.3.4.1.6 Mở gói TKIP 60

2.3.4.2 Giao thức CCMP- Counter Cipher Mode Protocol 61

2.3.5 Tấn công trên WPA/WPA2 – tấn công từ điển 68

2.3.5.1 Cơ sở lý thuyết 69

2.3.5.2 Các biện pháp hạn chế 71

CHƯƠNG III: M PHỎNG MỘT SỐ KIỂU TẤN CÔNG TRÊN MẠNG WLAN 73

3.1 Giới thiệu bộ công cụ được sử dụng 73

3.1.1 Backtrack 5 73

3.1.2 Bộ công cụ aircrack-ng 74

3.2 Mô phỏng kiểu tấn công bẻ khóa WEP 75

3.2.1 Mục đích 75

3.2.3 Kết luận 84

3.3 Tấn công từ điển WPA/WPA2-PSK 85

3.3.1 Kịch bản tấn công 85

3.3.2 Mô phỏng tấn công từ điển WPA/WPA2- PSK 85

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 89

TÀI LIỆU THAM KHẢO 90

CCMP

Counter Mode - CBC MAC

CBC-MAC

Cipher Block

Chaining-Message Authentication Code

Chuỗi mã hóa khối - Mã chứng thục gói tin

DSSS

Direct Sequence Spread

EAP

Extensible Authentication

IBSS

Independent Basic Service

IPSec Internet Protocol Security ảo mật giao thức mạng

IEEE

Institute of Electrical and

Đơn vị dữ liệu giao thức MAC

Trung tâm chuyển mạch di động

Thiết bị có hỗ trợ mạng không dây

ảo mật tương đương mạng hưu tuyến

DANH MỤC CÁC BẢNG

Bảng 1: Nhƣợc điểm của WEP 39

Bảng 2: Các cải tiến của TKIP so với WEP 51

Bảng 3: Một số công cụ trong bộ aircrack-ng 75

Bảng 4: Phần cứng tham gia tấn công phá khóa WEP 77

DANH MỤC HÌNH VẼ

Hình 1: Mô hình mạng độc lập 11

Hình 2: Mô hình mạng cơ sở 12

Hình 3: Mô hình mạng mở rộng 13

Hình 4: Trường hợp một người lạ truy cập vào mạng 15

Hình 5: Các cấp độ bảo mạng WLAN 16

Hình 6: Mô hình bảo mật cho mạng không dây 16

Hình 7: Khuôn dạng gói tin WEP 19

Hình 8: Quá trình đóng gói WEP 20

Hình 9: Quá trình mở gói WEP 20

Hình 10: Khung tin xác thực mở 22

Hình 11: Các bước xác thực bằng khóa chia sẻ 23

Hình 12: Mã hóa/Giải mã trong RC4 24

Hình 13: Tấn công chop chop 31

Hình 14: Giao thức ARP 37

Hình 15: Các cơ chế trong mạng RSN 43

Hình 16: Các giai đoan thiết lập RSNA 44

Hình 17: Mô hình xác thực 802.1X ba thành phần 46

Hình 18: Cổng logic của 802.1X 46

Hình 19: Các bước xác thực 802.1X sử dụng EAP 48

Hình 20: Các bước xác thực EAP-TLS 49

Hình 21: Khuôn dạng gói dữ liệu TKIP 52

Hình 22: it dummy để tránh khóa yếu 54

Hình 23: Thuật toán Michael tạo MIC 56

Hình 24: Thuật toán key- mixing tạo khóa cho từng packet 58

Hình 25: Quá trình đóng gói TKIP 59

Hình 26: Quá trình mở gói TKIP 61

Hình 27: Khuôn dạng gói tin CCMP 62

Hình 28: Cấu trúc phần dữ liệu nhận thực thêm AAD 63

Hình 29: Cấu trúc Nonce trong CCMP 63

Hình 30: Quá trình đóng gói CCMP 64

Hình 31: Quá trình mở gói CCMP 65

Hình 32: Mã hóa dữ liệu sử dụng thuật toán AES trong chế độ CTR 66

Hình 33: Chế độ CBC-MAC 68

Hình 34: Sơ đồ tấn công từ điển WPA/WPA2/PSK 71

Hình 35: Màn hình khởi động của Backtrack5 74

Hình 36: Biểu đồ tổng quan các bước tấn công phá khóa WEP 76

Hình 37: Scan mạng 78

Hình 38: Khởi động chế độ monitor 79

Hình 39: Giao diện wlan0 và mon6 79

Hình 40: Kiểm tra khả năng bơm gói tin 79

Hình 41: Thăm dò mạng bằng airdump-ng 80

Hình 42: Xác thực giả với aireplay-ng 81

Hình 43: Phát lại gói ARP request 82

Hình 44 Kết quả gói tin Data tăng nhanh 82

Hình 45: Crack khóa bằng tấn công PTW 83

Hình 46: Crack khóa bằng tấn công FMS/KoreK 84

Hình 47: Bắt được gói tin handshake 87

Hình 48: Deautheticate client để bắt gói tin handshake 87

Hình 49: Khóa được tìm thấy trong file từ điển 88

LỜI MỞ ĐẦU

Mạng không dây ngày càng trở nên quan trọng do sự phát triển của xã hội, nhu cầu kết nối giữa các cá nhân, trong tổ chức trong doanh nghiệp, phát triển về các hình thức mua bán, thanh toán trực tuyến, e-banking… Lợi thế lớn của mạng không dây là khả năng kết nối không cần cơ sở hạ tầng dây dẫn chỉ cần một điểm thu phát Chính lợi thế về tính di động cũng như người tham gia vào mạng có thể ở bất cứ nơi nào miễn là nằm trong vùng phủ sóng đều có thể kết nối vào mạng khiến cho kẻ địch có càng nhiều

cơ hội tấn công làm cho mạng không dây thiếu bảo mật Nhận thấy tầm quan trọng của

an toàn bảo mật trong mạng không dây tôi đã theo hướng dẫn của thầy Đặng Văn Chuyết thực hiện đề tài này

Mạng không dây ngày một trở nên quan trọng do tính năng động của xã hội và

cá nhân ngày một phát triển, chúng ta cần truy cập mạng mọi lúc mọi nơi để hỗ trợ cho công việc và tiết kiệm thời gian, hơn nữa còn do sự tiến bộ kỹ thuật nhanh chóng của các thiết bị máy cá nhân như smartphone, tablet với chop lõi 4, RAM 2-4 GB, màn hình nhỏ không đòi hỏi xử lý nhiều thông tin như PC Thực tế, các ứng dụng trên nhiều lĩnh vực như văn phòng ảo, Icloudm thanh toán trực tuyến, e-banking… vv đều được thực hiện trên môi trường wifi, WIMAX, 3G, 4G…

Song song với nó an ninh mạng cho WLAN trở thành vấn đề cấp thiết Truy cập

vô tuyến là phương thức công cộng, ai cũng nhận được sóng, do đó đặc thù mạng WLAN là “hở” hơn rất nhiều so với mạng có dây truyền thống - với mỗi người một đôi dây riêng kết nối vào mạng, người khác trên nguyên tắc không đấu ngang vào đó được Nhận thức được vấn đề đó, tôi theo hướng dẫn của thầy Đặng Văn Chuyết đã thực hiện đề tài này Đề tài nghiên cứu về những giải pháp bảo mật trên chuẩn mạng không dây 802.11 ở mức độ sâu các thuật toán sử dụng trong quá trình xác thực, mã hóa, và toàn vẹn dữ liệu, đánh giá các điểm yếu cũng như cải tiến các giải thuật đồng thời thu thập các tấn công dựa trên các điểm yếu đó

Cuối cùng, tôi xin chân thành cảm ơn đến PGS TS Đặng Văn Chuyết, Viện Công Nghệ Thông Tin và Truyền Thông, Trường Đại Học Bách Khoa Hà Nội đã nhiệt tình giúp đỡ và cung cấp nhiều tài liệu bổ ích hỗ trợ quá trình nghiên cứu trong thời gian thực hiện đồ án Tôi xin cảm ơn sự động viên từ gia đình, bạn bè, anh chị khóa trên để tôi hoàn thiện luận văn một cách tốt nhất

CHƯƠNG I: GIỚI THIỆU VỀ MẠNG KHÔNG DÂY

Mạng WLAN là một hệ thống thông tin liên lạc dữ liệu linh hoạt được thực hiện như phần mở rộng, hoặc thay thế cho mạng LAN hữu tuyến trong nhà hoặc trong các

cơ quan Sử dụng sóng điện từ, mạng WLAN truyền và nhận dữ liệu qua khoảng không, tối giản nhu cầu cho các kết nối hữu tuyến Như vậy, mạng WLAN kết nối dữ liệu với người dùng lưu động, và thông qua cấu hình được đơn giản hóa, cho phép mạng LAN di động

Các năm qua, mạng WLAN được phổ biến mạnh mẽ trong nhiều lĩnh vực, từ lĩnh vực chăm sóc sức khỏe, bán lẻ, sản xuất, lưu kho, đến các trường đại học Ngành công nghiệp này đã kiếm lợi từ việc sử dụng các thiết bị đầu cuối và các máy tính notebook để truyền thông tin thời gian thực đến các trung tâm tập trung để xử lý Ngày nay, mạng WLAN đang được đón nhận rộng rãi như một kết nối đa năng từ các doanh nghiệp Lợi tức của thị trường mạng WLAN ngày càng tăng

Trong nhiều năm gần đây, thế giới xung quanh ta trở nên ngày càng di động, phương thức kết nối mạng truyền thống là không đủ để đáp ứng nhu cầu của con

người Nếu người dùng phải kết nối với một mạng có dây, tính di động linh hoạt sẽ giảm đáng kể Ngược lại mạng không dây lại cho phép người dùng mạng có thể di chuyển một cách dễ dàng Trên thực tế, mạng không dây đã phát triển hơn rất nhiều mạng có dây, nó cho phép con người kết nối với nhau ở bất k vị trí nào Các công nghệ mới phát triển khiến kết nối không dây ổn định gần như mạng có dây Các công nghệ mạng không dây thành công nhất từ trước đến nay phải kể đến là 802.11

Mạng không dây Wireless network là một hệ thống các thiết bị được nhóm lại với nhau, có khả năng giao tiếp thông qua sóng vô tuyến thay vì các đường truyền dẫn bằng dây Nói một cách đơn giản mạng không dây sử dụng công nghệ mà cho phép hai

hay nhiều thiết bị kết nối với nhau bằng cách sử dụng một giao thức chuẩn, nhưng không cần kết nối vật l hay chính xác là không cần sử dụng dây mạng cable

Vì đây là mạng dựa trên công nghệ 802.11 nên đôi khi còn được gọi là mạng Ethernet, để nhấn mạnh rằng mạng này có gốc từ mạng Ethernet 802.3 truyền thống

Và hiện tại còn được gọi là mạng Wireless Ethernet hay Wi-Fi (Wireless Fidelity)

Độ tin tưởng cao trong nối mạng của các doanh nghiệp và sự tăng trưởng mạnh

mẽ của mạng Internet và các dịch vụ trực tuyến là bằng chứng mạnh mẽ đối với lợi ích của dữ liệu và tài nguyên dùng chung Với mạng WLAN, người dùng truy cập thông tin dùng chung mà không tìm kiếm chỗ để cắm vào, và các nhà quản lý mạng thiết lập hoặc bổ sung mạng mà không lắp đặt hoặc di chuyển dây nối Mạng WLAN cung cấp các hiệu suất sau: khả năng phục vụ, tiện nghi, và các lợi thế về chi phí hơn hẳn các mạng nối dây truyền thống

 Cài đặt nhanh và đơn giản

Tuy nhiên mạng không dây cũng có một số nhược điểm:

 Độ tin cậy

1.1 Mô hình mạng không dây

Mạng 802.11 rất linh hoạt về thiết kế, bao gồm 3 mô hình cơ bản sau:

1.1.1 Mô hình mạng độc lập Independent asic Service Set - IBSSs)

Còn gọi là mạng ad-hoc hay peer-to-peer, trong mô hình mạng ad-hoc các client liên lạc trực tiếp với nhau mà không cần thông qua AP nhưng phải ở trong phạm vi cho phép

Hình 1: Mô hình mạng độc lập

1.1.2 Mô hình mạng cơ sở Basic Service Sets - BSS)

Đây là một mô hình nền tảng của mạng 802.11 Các thiết bị giao tiếp tạo nên một BSS với một AP duy nhất và một hoặc nhiều người dùng, hay máy client Các máy trạm kết nối với sóng wireless của AP và bắt đầu giao tiếp thông qua AP Các máy trạm là thành viên của SS được gọi là “có liên kết”

Thông thường các AP được kết nối với một hệ thống phân phối trung bình (DSM), nhưng đó không phải là một yêu cầu cần thiết của một BSS Nếu một AP phục vụ như

là cổng để vào dịch vụ phân phối, các máy trạm có thể giao tiếp, thông qua AP, với nguồn tài nguyên mạng ở tại hệ thống phân phối trung bình Nó cũng cần lưu là nếu

các máy client muốn giao tiếp với nhau, chúng phải chuyển tiếp dữ liệu thông qua các

AP Các client không thể truyền thông trực tiếp với nhau, trừ khi thông qua các AP Hình sau mô tả mô hình một BSS chuẩn

Hình 2: Mô hình mạng cơ sở

1.1.3 Mô hình mạng mở rộng Extendsed Service Set - ESS)

Trong khi một SS được coi là nền tảng của mạng 802.11, một mô hình mạng ESS của mạng 802.11 sẽ tương tự như là một tòa nhà được xây dựng bằng đá Một ESS là hai hoặc nhiều BSS kết nối với nhau thông qua hệ thống phân phối Một ESS là một sự hội

tụ nhiều điểm truy cập và sự liên kết các máy trạm của chúng Tất cả chỉ bằng một DS Một ví dụ phổ biến của một ESS có các AP với mức độ một phần các tế bào chồng chéo lên nhau Mục đích đằng sau của việc này là để cung cấp sự chuyển vùng liên tục cho các client Hầu hết các nhà cung cấp dịch vụ đề nghị các cell chồng lên nhau

khoảng 10%-15% để đạt được thành công trong quá trình chuyển vùng

Hình 3: Mô hình mạng mở rộng

CHƯƠNG II: ẢO MẬT MẠNG LAN KH NG D Y

2.1 Tổng quan về bảo mật mạng không dây

Mục tiêu và nguyên tắc chung của an toàn và bảo mật

Có ba mục tiêu cơ bản của an toàn bảo mật các hệ thống tin học:

- Đảm bảo tính bí mật (Confidentiality): đảm bảo tài sản không thể bị truy cập trái phép bởi những người không có thẩm quyền

- Đảm bảo tính nguyên vẹn Intergrity : đảm bảo tài sản không thể bị sửa đổi,

bị làm giả bởi những người không có thẩm quyền

- Tính khả dụng hay sẵn sàng Availability : đảm bảo tài sản luôn sẵn sàng đẻ đáp ứng nhu cầu sử dụng của người có thẩm quyển

Một giải pháp an toàn bảo mật xây dựng cần nhằm đạt được cả ba mục tiêu cơ bản trên một cách hài hòa

2.1.1 Tại sao phải bảo mật mạng không dây

Trước những nguy cơ mất an toàn thông tin nói chung, đối với mạng WLAN vấn đề càng trở nên nghiêm trọng và cần thiết hơn bao giờ khi mà dữ liệu mạng được “truyền qua không khí”, những kẻ tấn công càng có nhiều cơ hội để tiếp cận vào hệ thống và đạt được mục đích của chúng Bản chất của mạng không dây WLAN là sử dụng sóng điện từ (Radio hoặc sóng hồng ngoại) để trao đổi thông tin giữa các thiết bị mà không cần đến một kết nối vật lý nào (cable) Chỉ cần nằm trong vùng phủ sóng của mạng không dây, kẻ địch có thể thực hiện các tấn công, như đã nói ở trên, việc lường hết được các khả năng tấn công là việc cực k khó khăn, kẻ địch là “chuyên gia” đi tìm những kẽ hở trong mạng để có thể truy nhập vào hệ thống Việc tấn công vào hệ thống càng dễ dàng hơn đối với mạng không dây khi kẻ địch có thể ngồi ở bất cứ nơi nào, thậm chí không cần ở văn phòng làm việc của hệ thống, chỉ cần ở trong phạm vi phủ

sóng của mạng không dây (bên ngoài tòa nhà, quán café gần văn phòng… Do vậy mà việc tìm ra giải pháp an toàn và phù hợp với hệ thống càng trở nên cần thiết hơn để tránh tối đa những rủi ro mà việc tấn công của kẻ địch có thể làm ảnh hưởng tới hệ thống, tới các thông tin bí mật ảnh hưởng tới tính cạnh tranh cũng như lợi nhuận của doanh nghiệp

Hình 4: Trường hợp một người lạ truy cập vào mạng 2.1.2 Mô hình bảo mật mạng không dây

Tùy vào mục đích sử dụng mạng không dây của doanh nghiệp cũng như là cá nhân mà việc sử dụng giải pháp bảo mật phù hợp Dưới đây là các cấp độ bảo mật của mạng không dây:

Hình 5: Các cấp độ bảo mạng WLAN

Kiến trúc LAN không dây hỗ trợ một mô hình bảo mật mở và toàn diện dựa trên chuẩn công nghiệp như thể hiện trên hình Mỗi một phần tử bên trong mô hình đều có thể cấu hình theo người quản lý mạng để thỏa mãn và phù hợp với những gì họ cần

Hình 6: Mô hình bảo mật cho mạng không dây

Dievice Authorisation: các Client không dây có thể bị ngăn chặn theo địa chỉ phần cứng của họ (ví dụ như địa chỉ MAC) EAS duy trì một cơ sở dữ liệu của các Client không dây được cho phép và các AP riêng biệt khóa hay thông lưu lượng phù hợp

Encryption: WLAN cũng hổ trợ WEP, 3DES và chuẩn TLS sử dụng mã hóa để tránh người truy cập trộm Các khóa WEP có thể được tạo trên một per-user, per session basic

Authentication: WLAN hỗ trợ sự ủy quyền lẫn nhau (bằng việc sử dụng 802.1x EAP-TLS để bảo đảm chỉ có các Client không dây được ủy quyền mới được truy cập vào mạng EAS sử dụng một RADIUS server bên trong cho sự ủy quyền bằng việc sử dụng các chứng chỉ số Các chứng chỉ số này có thể đạt được từ quyền chứng nhận bên trong CA hay được nhập từ một CA bên ngoài Điều này đã tăng tối đa sự bảo mật và giảm tối thiểu các thủ tục hành chính

Firewall: EAS hợp nhất customable packet filtering và port blocking firewall dựa trên các chuỗi IP Việc cấu hình từ trước cho phép các loại lưu lượng chung được đi qua hay không

VPN: EAS bao gồm một IPSec VPN server cho phép các Client không dây thiết lập các session VPN vững chắc trên mạng

2.2 Giải pháp bảo mật theo giao thức WEP

2.2.1 Cơ cấu bảo mật WEP

Dưới đây là cơ chế bảo mật của WEP thông qua việc xác thực, mã hóa và toàn vẹn thông tin, sau đó sẽ trình bày về các kiểu tấn công phổ biến trên WEP mà phổ biến nhất là kiểu tấn công phá khóa WEP và từ đó tổng kết các điểm yếu bảo mật của WEP

2.2.1.1 Bảo mật WEP

WEP là từ rút gọn của cụm từ Wired Equivalent Privacy, một khái niệm được định nghĩa trong chuẩn IEEE 802.11-là một tập các chuẩn của tổ chức IEEE (tiếng Anh: Institute of Electrical and Electronic Engineers) bao gồm các đặc tả kỹ thuật liên quan đến hệ thống mạng không dây Chuẩn IEEE 802.11 mô tả một giao tiếp "truyền qua không khí" (tiếng Anh: over-the-air) sử dụng sóng vô tuyến để truyền nhận tín hiệu giữa một thiết bị không dây và tổng đài hoặc điểm truy cập (tiếng Anh: access point), hoặc giữa 2 hay nhiều thiết bị không dây với nhau (mô hình ad-hoc) Trong mô hình TCP/IP , chuẩn 802.11 hoạt động ở tầng Truy nhập mạng (Network Access) cụ thể là lớp MAC (Media Access Control) và lớp vật lý PHY (Physical) MAC là một tập hợp các luật định nghĩa việc truy xuất và gửi dữ liệu, còn chi tiết của việc truyền dẫn và và thu nhận dữ liệu là nhiệm vụ của PHY

Do nhu cầu bảo mật của mạng không dây, IEEE phát triển một thuật toán mã hóa gọi là WEP với mục đích cung cấp sự bảo mật tương đương với mạng dây thông thường, được chính thức đưa vào thành một phần của IEEE vào năm 1999 WEP được thiết kế để đảm bảo tính bí mật (confidentiality), tính toàn vẹn (integrity) và chống sự truy nhập chưa được xác thực vào mạng (authentication) Tuy vậy, WEP nhanh chóng bộc lộ mặt yếu trong bảo mật của nó và trở nên có nguy cơ với các tấn công được phát hiện lần đầu vào năm 2001 Nhìn chung , WEP bị cho là một giao thức bảo mật đã bị

“bẻ gãy” và không còn được khuyến khích sử dụng, mặc dù vậy, nghiên cứu về cơ chế

và từ đó phân tích được các lỗ hổng trong WEP là cơ sở quan trọng để hiểu và phát triển những cách thức bảo mật mạnh hơn trong mạng WLAN

Dữ liệu từ tầng trên truyền xuống lớp MAC cần được đóng gói để di chuyển WEP quy định khuôn dạng gói tin như sau:

Hình 7: Khuôn dạng gói tin WEP Như thấy ở hình trên, MAC header và trường IV (Vector khởi tạo được gửi đi ở dạng không mã hóa (clear), chỉ có phần dữ liệu (Data) và phần ICV (giá trị kiểm tra toàn vẹn dữ liệu là được mã hóa Trường IV ở sau phần MAC header, có độ dài là 32 bit, bao gồm 24 bit cho vector khởi tạo, 2 bit cho KeyID và 6 bit dự trữ (padding bit) KeyID để chỉ rõ loại nào trong 4 loại khóa WEP được dùng để mã hóa dữ liệu, điều này được cấu hình từ trước Vecto khởi tạo 24 bit được dùng để kết hopự với khóa bí mật chia sẻ khóa WEP để tạo thành đầu vào cho thuật toán mã hóa RC4 ICV bao gồm 32 bit giá trị CRC-32 có nhiệm vụ kiểm tra tính toàn vẹn của gói tin

Dữ liệu được truyền đi từ tầng này sang tầng khác ở dạng đơn vị dữ liệu của giao thức tương ứng với từng tầng đó Đóng gói Encapsulation) là quá trình thay đổi dữ liệu từ một tầng mạng cho phù hợp với Protocol Data Unit của tầng dưới nó để được hiểu và

xử lý Ở đây, nó liên quan đến quá trình mã hóa, tính toán giá trị kiểm tra tính toàn vẹn, phân đoạn, và đính kèm header

Hình 8: Quá trình đóng gói WEP Nhƣ ta thấy, bắt đầu từ phần trên của sơ đồ, IV đƣợc chọn và thêm vào phần đầu gói, sau đó đƣợc ghép nối với khóa WEP tạo nên hạt giống sau đó đƣợc sử dụng nhƣ đầu vào của thuật tóan RC4, và sinh ra keystream để sử dụng cho quá trình mã hóa Bản rõ (plaintext) cho qua thuật toán CRC-32 để sinh ra giá trị ICV Sau đó ICV đƣợc ghép vào bản rõ Kết quả dữ liệu đó đƣợc XOR với keystream sinh ra bên trên để tạo thành bản mã (ciphertext) IV và KeyID lúc này đƣợc ghép vào phần đầu của ciphertext Cuối cùng MAC header đƣợc gắn kèm vào và gói đã sẵn sàng để vận chuyển

Hình 9: Quá trình mở gói WEP

Quá trình này về cơ bản ngược lại với quá trình đóng gói Sau khi tách MAC header, IV và KeyID ra, KeyID dùng để chọn đúng khóa WEP, IV được ghép vào khóa WEP để tạo thành hạt giống làm đầu vào cho thuật tóan RC4 để tạo ra keystream tương

tự mà người gửi dùng Sau đó, văn bản mã hóa ciphertext được XOR với keystream để sinh ra tin đã được giải mã và ICV Tin đó plaintext lại cho đi qua thuật toán CRC-32

để sinh ra một giá trị ICV’ ICV và ICV’ được so sánh để kiểm tra nếu hai giá trị đó khớp nhau, dữ liệu được cho qua hệ thống, nếu không nó sẽ bị loại bỏ

Xác thực mở Open Authentication)

Xác thực mở cho phép bất cứ trạm nào biết tên của mạng đó SSID trong khi SSID có trong gói tin eacon dễ dàng có thể nghe trộm được Giao thức chỉ bao gồm thông điệp yêu cầu xác thực Request và phản hồi Response , không có điều kiện xác thực nào thực sự diễn ra Như ta thấy dịch vụ xác thực được cung cấp bởi chuẩn 802.11

và để thực hiện, trạm gốc và đích đến cần trao đổi một số thông điệp qua lại và các thông điệp này là các frame-đơn vị trao đổi tại lớp MAC Hình dưới đây thể hiện frame yêu cầu xác thực và frame phản hồi xác thực trong kiểu xác thực mở

Hình 10: Khung tin xác thực mở Như cấu trúc chung của 802.11 frame, ta thấy khung tin được bắt đầu với 2 byte chứa thông tin điều khiển frame Frame Control Trong trường hợp khung tin xác thực, 2 bit 2 và 3 có gía trị 00 nghĩa là frame quản l management , 4 bit tiếp theo là

1011 cho biết kiểu frame chi tiết ở đây là xác thực authentication Trong phần Frame body, 2 byte ALG cho biết số hiệu thuật toán xác thực ở đây là 0 có nghĩa là xác thực

mở, trong khi 1 là xác thực khóa chia sẻ

Trạm gửi tin nhắn thứ nhất đến cho AP AP xử l và gửi một phản hồi, có thể là thành công hoặc thất bai với một reason code cho biết nguyên nhân và status code cho biết trạng thái iện pháp xác thực mở không có sự an toàn Nếu một trạm có thể kết nối với một AP, nó sẽ được cho phép truy cập Ích lợi của nó là sự đơn giản, dễ sử dụng, chính xác là không cần cài đặt Xác thực mở phù hợp cho mạng không dây nơi công cộng như ở khách sạn, quán café, sân bay và hội sảnh

Xác thực khóa chia sẻ Shared Key Authentication)

Xác thực khóa chia sẻ là xác thực một chiều, để phân biệt với xác thực qua lại sau này sẽ được để cập trong một số giao thức khác Trạm STA xác thực với AP, nhưng AP không xác thực lại với trạm Chỉ có những trạm biết được khóa bí mật mới

có thể xác thực thành công với AP Các bước tiến hành giao thức này được lươc đồ sau:

Hình 11: Các bước xác thực bằng khóa chia sẻ Giao thức bao gồm bốn bước, bắt đầu khi trạm gửi một Authentication Request đến AP 1 AP sau đó sẽ trả lời với một challenge text được sinh ra bởi bộ tạo số ngẫu nhiên PRNG(2 Khi trạm nhận được challenge này, nó sẽ mã hóa theo WEP với khóa chia sẻ 3 và được gửi lại cho bên AP 4 Khi AP nhận tin này, nó giải mã, kiểm tra tính toàn vẹn 5 Nếu tin này trùng khớp với tin mà AP gửi ở bước 2 thì sự xác thực

thành công, AP sẽ gửi lại tin xác thực thành công đến trạm 6 Cơ chế xác thực này có nguy cơ làm lộ keystream sẽ được phân tích trong phần các tấn công trên WEP Vì thế,

dù cả hai hình thức xác thực đều yếu về bảo mật nhưng xác thực mở vẫn được khuyên dùng hơn

2.2.1.3 Cơ chế mã hóa – thuật toán RC4

WEP sử dụng phương pháp mã hóa RC4 được phát triển bởi Ron Rivest của tổ chức RSA Sercurity (1987) RC4 là thuật toán mã hóa luồng đối xứng, thực hiện phép toán XOR từng bit giữa khóa dòng (keystream)-khóa sinh ra sau khi sử dụng thuật toán RC4 dựa trên khóa chia sẻ-và dữ liệu gốc/dữ liệu đã mã hóa để đạt được kết quả mong muốn

mở rộng nó thành một khóa dòng giả ngẫu nhiên pseudorandom có độ dài bằng độ

dài của dữ liệu cần được mã hóa

Để tạo ra khóa dòng mong muốn trước khi XOR với dữ liệu cần mã hóa, RC4 sử dụng véc tơ khởi tạo, khóa bí mật và thuật toán sinh số giả ngẫu nhiên (PRGA) Ở bước giải

mã, do đặc tính của phép toán XOR, bên nhận cũng sử dụng véc tơ khởi tạo, khóa bí

mật và thuật toán giả ngẫu nhiên để sinh ra khóa dòng, sau đó thực hiện XOR khóa

dòng này với dữ liệu mã hóa để thu được nội dung thông điệp

2.2.1.3 Giá trị kiểm tra toàn vẹn ICV- Integrity Check Value

Trường ICV của khung WEP chứa 32 bit giá trị CRC-32 Một giá trị CRC-32 được tính trên tin để kiểm tra tính toàn vẹn của dữ liệu nhận cụ thể để đảm bảo rằng không có sự thay đổi vô tình hay cố ý nào trên dữ liệu bị xảy ra Nếu giá trị được gửi không mã hóa kẻ tấn công có thể sửa tin và tính lại CRC, nhưng việc mã hóa WEP cả tin và ICV đã ngăn cản điều đó Nhưng CRC cũng có một số điểm yếu để trở thành nguy cơ cho kẻ tấn công

Thuật toán CRC bao gồm 2 thành phần: đầu vào input và một đa thức (để làm số chia) Số 32 trong tên thuật toán bắt nguồn từ bậc (W) của đa thức chia này Trong trường hợp của WEP, đa thức là số nhị phân 33 bit đặt trước IEEE 802.11 định nghĩa

đa thức chia này là :

Thuật toán CRC chưa phải là một cơ chế toàn vẹn dữ liệu mạnh do tính tuyến tính của nó nên có thể là cơ sở cho các tấn công thay đổi tin hoặc tấn công phát lại

2.2.1.4 Vector khởi tạo

Một nguyên tắc quan trọng trong mật mã học là không bao giờ được dùng lại một khóa Nếu điều đó xảy ra trong khóa luồng, keystream sinh ra sẽ như nhau Nên trong trường hợp kẻ tấn công tìm được văn bản ban đầu của một tin, chúng có thể sẽ giải mã

được tất cả các tin nhắn mã hóa với khóa đó ởi vì keystream có thể tìm được bằng phép XOR văn bản mã hóa và văn bản ban đầu

WEP cố gắng tránh việc dùng lại khóa bằng cách ghép nối thêm với phần vector khởi

khác nhau cho từng khóa khiến cho việc đụng độ IV là khả thi vì với tốc độ của chuẩn như 802.11g hay 802.11n, AP có thể phải dùng lại IV trong vòng 7 tiếng, hơn nữa Khuyến cáo để tránh việc sử dụng lại IV, IV nên được đếm tăng dần mỗi khi một gói tin được truyền đi Tất nhiên, IV có thể được chọn một cách ngẫu nhiên nhưng theo nghịch lí ngày sinh :

“ Nếu bạn ở trong căn phòng 23 người, cơ hội sẽ lớn hơn 50% là hai trong số họ có cùng ngày sinh (tháng và ngày) Nếu con số tăng lên đến 50 người, cơ hội sẽ tăng lên

là 97% Điều đấy dẫn đến sự khó khăn khi thêm một ngày sinh ngẫu nhiên vào danh sách mà không thể không đụng độ với một trong số những ngày sinh trong danh sách đó.”

Từ đó có thể thấy việc chọn IV sẽ dễ dẫn đến đụng độ hơn là cách chọn bằng cách tăng lên tuần tự.Trong bất cứ trường hợp nào, vì quy định chiều dài của nó chỉ có 24 bit nên

số giá trị nó tạo ra là hữu hạn và cần được reset lại Vector khởi tao được gửi đi dạng không mã hóa như một thành phần trong khung dữ liệu.Vai trò quan trọng của IV trong

ví dụ này là để ngăn chặn đụng độ Song do WEP chưa quy định cụ thể hóa cách chọn vector khởi tạo nên tồn tại những nguy cơ bảo mật sẽ được trình bày ở phần sau

2.2.1.5 Sự lựa chọn và quản l khóa

WEP sử dụng những khóa tĩnh chia sẻ (static preshared key) Có nhiều cơ chế để chia sẻ khóa mà chuẩn 802.11 không quy định rõ ràng phải dùng phương pháp quản lý khóa nào KeyID cho biết loại khóa nào trong bốn loại được dùng để mã hóa Phải chú

ý key khi nhập cho AP phải trùng với key cho bên client theo đúng thứ tự Ví dụ khóa

WEP 1 bên AP phải trùng với khóa WEP 1 bên client Khóa WEP có độ dài 40 hoặc

104 bit được kết hợp được người dùng cấu hình kết hợp với 24 bit của vector khởi tạo không do người sử dụng cấu hình để tạo thành khóa mã hóa 64 bit hay 128 bit Đây là hai chế độ khóa mã hóa mà chuẩn 802.11 hỗ trợ Chúng sẽ được dùng để mã hóa/giải

mã tất cả các dữ liệu truyền qua mạng Trong hầu hết cài đặt, khóa được nhập vào như một tập hợp các chữ số hexa

Chú ý là chuẩn 80211 WEP thiếu cơ chế quản lý khóa Vì thế, những khóa tĩnh này sẽ làm tăng nguy cơ kẻ tấn công phát hiện ra khóa qua một thời gian sử dụng Hạn chế này sau này đã được nhà mạng khắc phục bằng những có chế quản lý khóa tốt hơn

2.2.2 Các tấn công trên WEP

2.2.2.1 Tấn công xác thực giả fake authentication

Trong kiểu xác thực mở, trừ khi AP kích hoạt bộ lọc địa chỉ MAC, ta luôn có thể gửi gói tin yêu cầu xác thực đến AP và AP sẽ gửi lại gói trả lời thành công và cho phép xác thực mở Bộ lọc MAC cũng không gây trở ngại nhiều vì địa chỉ MAC có thể dễ dàng làm giả

Điều này rất đơn giản bởi vì địa chỉ MAC được gửi đi ở dạng không mã hóa như một phần của 802.11 header nên ta có thể giả từ một client đã tham gia vào mạng đó

Trong xác thực khóa chia sẻ, một AP gửi một thách thức đến STA, trạm sau đó

sẽ sử dụng giao thức WEP để mã hóa thử thách và gửi lại cho AP Bằng cách sử dụng WEP để mã hóa thử thách này, kẻ nghe trộm sẽ được đưa ra hai thành phần của giao thức WEP: thách thức (plaintext) và ciphertext (văn bản mã hóa trong bước thứ hai và thứ 3 của quá trình xác thực khóa chia sẻ Ví dụ đặt thách thức là P, keystream là K và ciphertext là C ta có :

Mã hóa WEP tiến hành bằng cách XOR P và K:

biết phần nào về văn bản chưa mã hóa Nếu ta biết n văn bản mã hóa C dùng chung một keystream thì việc suy ra các văn bản chưa mã hóa càng trở nên dễ dàng hơn

Tấn công từ điển dựa vào nguyên tắc trên, khi ta biết được văn bản chưa mã hóa

ta có thể suy ra keystream được dùng lại đó và xây dựng nên một bảng tương ứng ánh

xạ keystream và IV Như vậy keystream này có thể giải mã được mọi thông điệp mã

hóa bằng IV đó mà không cần biết khóa Nếu ta cần khoảng 1500 byte cho mỗi một

dựng trong khi tần số thay đổi khóa chính lại thấp

2.2.2.3 Tấn công thay đổi thông điệp

Chúng ta sẽ chỉ ra rằng thông điệp có thể thay đổi trong khi truyền mà không bị phát hiện Điều này là do checksum của WEP là một hàm tuyến tính có nghĩa là nếu ký hiệu c là checksum CRC thì ta có :

c (x⊕y) = c (x) ⊕ c(y)

Nếu ký hiệu C cho văn bản mã hóa của một thông điệp P ban đầu thì ta có

C = RC4 (v,k) ⊕ < P, c(P) >

Vấn đề đặt ra sẽ là làm sao suy ra đƣợc C’ từ C sao cho C’ giải mã P’ sẽ cho ra cùng

của thuật toán RC4, ta có thể thực hiện nhƣ sau:

2.2.2.4 Tấn công chopchop

Vào thời gian tương tự mà tấn công KoreK trên RC4 được biết đến qua diễn đàn Internet, cùng hacker đó đã đưa ra một kiểu tấn công mới gọi là tấn công Chopchop Tấn công Chopchop này thuộc vào một dạng tấn công mới mà không liên quan đến thuật toán mã hóa Chopchop đã lợi dụng hai nhược điểm của giao thức WEP đó là thiếu sự bảo vệ phát lại gói tin và điểm yếu của ICV

Mặc dù nó không hiệu quả lắm, nhưng nó có tính thực tiễn nhất định với những gói tin mà có lượng thông tin đã biết lớn như gói tin ARP Tấn công Chopchop cho phép kẻ tấn giải mã được gói tin mà không cần biết khóa Trong cài đặt thực, tấn công này có thể được sử dụng để giải mã một gói tin, thay đổi gói tin và phóng nó trở lại mạng để tạo ra lưu lượng Lưu lượng này có thể được bắt giữ lại và được sử dụng cho tấn công PTW làm nên tấn công phục hồi khóa thực

Hàm CRC-32 được thiết kế để phát hiện lỗi và không có tính năng mật mã hàm một chiều mạnh.Chúng ta đã giải thích tính tuyến tính của thuật toán này và phép XOR được dùng cho WEP, khả thi để lật một bit trong văn bản mã hóa và tính bit nào trong giá trị CRC-32 đã mã hóa theo đó cũng phải bị lật để giá trị checksum vẫn đúng Điều này kết hợp với sự thiếu cơ chế bảo vệ sự phóng lại gói tin là những nhân tố quan trọng cho kiểu tấn công Chopchop

Được minh họa trong hình dưới, tấn công này họat động bằng cách bỏ đi một byte cuối trong một gói tin đã mã hóa Nhiệm vụ là phải đóan được giá trị của byte đó KoreK đã phát hiện ra một cách để hoàn thành nó bằng cách phóng lại gói tin (đã bị mất byte cuối) trở lại mạng Gói tin này trở nên khônh hợp lệ nữa bởi vì ICV không phù hợp với phần còn lại của gói tin Mặc dù vậy, ông ấy nhận ra bằng cách XOR gói tin đó với một giá trị nhất định Mod, gói tin này trở nên hợp lệ KoreK chứng minh được rằng giá trị

đó chỉ phụ thuộc vào byte đã bị bỏ đi Vì thế, bằng cách thử tất cả các hóan vị từ 0 đến

255, cho byte đó , chúng ta sẽ tìm được giá trị đúng Nếu tin bị bỏ đi byte cuối hợp lệ,

AP sẽ trả lời bằng cách gửi lại một gói tin vào mạng đó Tại điểm này, kẻ tấn công sẽ

biết được plaintext của byte đã bị bỏ đi và keystream cho byte đó ằng cách lặp lại quá trình này, có khả năng giải mã được toàn bộ gói tin và tiết lộ plaintext cũng như keystream mà không cần biết khóa

Hình 13: Tấn công chop chop

Chúng ta có thể tóm tắt tấn công Chopchop như sau:

Trước khi mã hóa, bốn byte CRC32 checksum hay ICV được ghép vào phần dữ

Khi gói tin đã mã hóa bị bỏ đi một byte cuối, Q rất có thể không có checksum đúng nữa

checksum đúng Vì tính tuyến tính của thuật toán CRC và phép XOR của RC4 và phép cộng trên, giá trị kia cũng được áp dụng cho gói tin đã mã hóa

Các AP đều có thể phân biệt được giữa gói tin mã hóa với checksum đúng hay sai Packet với checksum sai sẽ được tự động bỏ đi Do đó, chỉ cần thử các giá trị của R

và truyền packet qua AP để xem đó có phải giá trị đúng hay không, từ đó biết được byte cuối của văn bản chưa mã hóa và keystream tương ứng Sau 256 lần đoán nhưng

trung bình là 128 lần đóan, kẻ tấn công có thể đoán được giá trị của R Lặp lại quá trình trên sẽ khôi phục được cả keystream

2.2.2.5 Tấn công phá khóa

Đây là kiểu tấn công nguy hiểm và phổ biến nhất trong WEP, được lần đầu đưa

ra vào năm 2001 với tên tấn công FMS theo tên của những người tìm ra tấn công này,

và tiếp tục được nghiên cứu phát triển cải thiện thời gian phá khóa với tấn công KoreK

2004 và tấn công PTW 2007 Các tấn công này đều dựa vào điểm yếu của thuật toán RC4, một số khóa yếu sẽ tiết lộ thông tin về những byte đầu của keystream

Giả sử kẻ tấn công biết l byte đầu tiên của khóa RC4 được sử dụng để sinh ra

keystream X Hắn có thể từ đó có thể mô phỏng l bước đầu tiên của giai đoạn

Trong bước tiếp theo của RC4-KSA, một giá trị k= Sl [jl+1] sẽ được đổi chỗ với

của đầu ra của RC4-PRGA X[0] sẽ là S[l] Nếu điều kiện 3 và 4 không thỏa mãn nữa

có nghĩa là S[1] hoặc S[S[1]] đã bị thay đổi Tóm lại, nếu cả bốn điều kiện trên thỏa mãn, hàm :

Ffms(K[0], , K[l − 1], X[0]) = S−1[X[0]] – jl – Sl[l] (1)

kiện trên và hàm này được coi là mối quan hệ tương quan cho RC4 Flurer, Martin và Shamir nhắc đến những điều kiện này (ít nhất là hai điều kiện đầu như những điều kiện cần

Một tấn công phục hồi khóa đầy đủ trên WEP có thể được xây dựng dựa trên quan hệ này Kẻ tấn công bắt gói tin từ một mạng dùng WEP để mã hóa và phục hồi byte đầu tiên của keystream được dùng để mã hóa những gói tin bằng cách đoán byte đầu tiên của văn bản ban đầu Cũng có rất nhiều những kỹ thuật chủ động để tạo ra những kênh trên mạng mà không cần dùng khóa, điều này cho phép sự phục hồi của hơn 1000 byte đầu tiên của keystream trong từng gói Kẻ tấn công chọn những gói mà

tấn công quyết định giá trị của K[l] dựa vào số phiếu bầu nhiều nhất Nếu quyết định đúng, kẻ tấn công biết giá trị l đầu tiên =4 byte cho tất cả các khóa cho từng gói tin và tiếp tục tính toán K[l-1] Chú y là tất cả các gói tin cần được tính toán lại dù cho những điều kiện cần thỏa mãn, bởi vì sự kiểm tra này phụ thuộc vào giá trị của K[l] Sau khi tất cả các byte của khóa K được xác định, kẻ tấn công kiểm tra kết quả khóa bằng cách

thử giải mã một số Nếu khóa đúng, kẻ tấn công đã thành công Nếu không, kẻ tấn công sẽ tìm giá trị thay thế K[l] và tiếp tục tiến hành tấn công với quyết định thay thế

4.000.000 đến 6.000.000 gói tin để thành công với một xác suất ít nhất là 50% dựa vào môi trường và cách thực hiện Lý do của việc này là chỉ có một số ít những vector khởi tạo được chọn ngẫu nhiên thỏa mãn điều kiện cần

2.2.2.5.2 Tấn công KoreK

Vào năm 2004, một người tên là KoreK đã nêu lên một cách tiến hành của một công cụ cao cấp phá khóa WEP trong một diễn đàn internet KoreK sử dụng thêm 16 mối quan

hệ tương quan giữa l byte đầu tiên của khóa RC4, hai byte đầu tiên của keystream sinh

ra và những byte tiếp theo K[l] Hầu hết những mối quan hệ này được chính KoreK tìm

ra và được đặt tên như A_u15 hoặc A_s13, tấn công FMS được goi là A_s5_1 Mười bảy mối quan hệ tương quan có thể chia ra làm 3 nhóm như sau :

- Phục hồi khóa dựa vào byte đầu tiên của keystream giống như tấn công FMS)

- Phục hồi khóa dựa vào byte thứ nhất và byte thứ hai của keystream

- Tấn công ngược- phương pháp loại trừ để giảm không gian tìm kiếm

Tương quan A_neg không bầu cho một giá trị nhất định của K[l] mà loại đi một khả năng của K[l] để giảm không gian tìm kiếm nên gọi là tấn công ngược

Về cơ bản cấu trúc kiểu tấn công này nhìn chung giống mô hình cây tấn công của tấn công FMS nhưng có thể sử dụng được nhiều gói tin hơn vì có tận 17 mối tương quan

và tăng hiệu quả phá khóa Số lượng gói tin bị bắt giảm xuống tầm 700000 với xác suất tầm 50% thành công Phải nhắc lại là con số chính xác phải phụ thuộc vào môi trường

và cách thực hiện tham số được sử dụng cho kiểu tấn công này

2.2.2.5.3 Tấn công PTW

Năm 2007, một tấn công mới được ra mắt bởi Tews, Weinmann và Pyshkin, giới thiệu hai quan niệm mới :

trong phần còn lại của RC4-KSA Cũng yêu cầu những điều kiện để đảm bảo cho những tương quan đó Vì thế, chỉ một số lượng nhỏ các gói tin có thể bầu phiếu cho một keybyte nhất định

Năm 2005, Klein đã chứng minh l − X[l − 1] nhận giá trị của S[l] với xác suất là 2/n

sẽ nhận giá trị của K[l] với xác suất 2/n Kết quả này được gọi là tương quan

nhận giá trị K[l] được tính toán xấp xỉ 1.37/n Điều này không yêu cầu trạng thái bên trong nào của RC4 hay keystream nên mọi gói tin đều có thể được sử dụng

nếu kẻ tấn công biết được l byte đầu tiên của một khóa RC4 và sau những biến đổi,

khóa tiếp theo với m {1,…… , 13} Kết quả thể hiện qua hàm sau :

khóa RC4, keystream và i byte tiếp theo của khóa