Folgt man den Ausführungen der amerikanischen Forscher, beruht die Funktionsweise von WEP darauf, dass zwischen einer "Mobile Station" (etwa einem Notebook mit Wireless-Ethernet-Karte) und einem Access-Punkt (vergleichbar mit der Basisstation eines schnurlosen Telefons, wobei das Telefon selbst die "Mobile Station" ist) ein geheimer Schlüssel ausgetauscht wird. Dieser dient dazu, die Daten vor der Übertragung im Funknetz zu verschlüsseln. Laut der Untersuchung der Kalifornier machen es sich die Hersteller hier sehr einfach: Statt komplizierte, schwer zu knackende Key-Management-Systeme zu verwenden, nutzen sie einen Schlüssel, der zwischen allen "Mobile Stations" und Access-Punkten ausgetauscht wird.

Zweite Schwachstelle ist das verwendete RC4-Verfahren, ein Verschlüsselungsalgorithmus, der seit langem bekannt ist und dessen mathematischen Vor- und Nachteile bereits ausführlich diskutiert wurden. RC4 verwendete auf Basis des oben erwähnten geheimen Schlüssels pseudozufallsgenerierte Schlüssel. Mit diesen werden dann wiederum die eigentlichen Daten gemäß der logischen XOR-Funktion chiffriert. Auf der Empfängerseite erfolgt die Wiederherstellung des Orginaltextes in umgekehrter Reihenfolge.

Erwischt ein Angreifer nun zwei mit dem gleichen Schlüssel chiffrierte Datenpakete, so ist es den Akademikern zufolge möglich, daraus den zugrunde liegenden Schlüssel zu errechnen. Dann reiche die Entschlüsselung eines einzigen Datenpakets, um mit der Zeit aufgrund von statistischen Analysen den gesamten Datenverkehr mitzulesen. Ein anderer Weg, der ebenfalls zum Ziel führe, sei die bewusste Manipulation eines Datenpakets.

Schwachstellen, über die sich auch die Väter von WEP im Klaren waren. Um diese Art von Angriffen abzuwehren, implementierten sie zwei Verteidigungsmechanismen: Einen Integritätscheck (Integrity Check = IC) sowie einen Initialisierungsvektor (Initialization Vector = IV). Die Aufgabe des IC ist dabei, sicherzustellen, dass ein Datenpaket nicht modifiziert wurde. Allerdings monieren die Wissenschaftler aus Berkeley, dass hierfür ein lineares CRC32-Checksummen-Verfahren eingesetzt wird. Deshalb sei es für einen Angreifer dennoch möglich, ein Datenpaket zu manipulieren.

Ebenfalls wenig Gutes lassen die Forscher an dem verwendeten IV, der dazu dient, auf Basis des gemeinsamen geheimen Schlüssels für jedes Datenpaket den eigentlichen Chiffrierschlüssel zu erzeugen. Da das Datenfeld nur 24 Bit umfasst, wiederholen sich in einem gut ausgelasteten LAN spätestens nach fünf Stunden die verwendeten Schlüssel, womit der Angreifer dann im Besitz zweier gleich chiffrierter Datenpakete ist. Doch es kommt noch schlimmer: Damit auch eine neu ins LAN eingebuchte Karte den gleichen IV verwendet, werden hierzu im gesamten Funknetz die IVs auf null zurückgesetzt. Wenn dann noch, wie die Kalifornier bei Funkkarten von Lucent beobachteten, der IV jeweils um eins hochgezählt wird, hat der Angreifer ein leichtes Spiel.

Buchen sich etwa morgens ankommende Mitarbeiter in Minutenabständen in das Funk-LAN ein, so gewinnt der Angreifer in kürzester Zeit gleich chiffrierte Datenpakete und kann so den Grundschlüssel für den WEP-Algorithmus errechnen.

Interessierte Leser finden unter www.isaac.cs.berkeley.edu/isaac/wep-draft.pdf einen Draft, der die verwendeten Verfahren und ihre mathematischen Ableitungen genauer beschreibt.

Abb: Schwachstellen

Die Kombination aus RC4-Verschlüsselung, Check-Summe und Initialisierungsvektor schützen die Daten nur bedingt. Quelle: University of California