Definition Counter-Mode/CBC-MAC Protocol (CCMP)

Was ist CCMP?

| Autor / Redakteur: Tutanch / Peter Schmitz

Das Counter-Mode/CBC-MAC Protocol (CCMP) ist ein WLAN-Sicherheitsprotokoll, das im WPA2-Standard zum Einsatz kommt.
Das Counter-Mode/CBC-MAC Protocol (CCMP) ist ein WLAN-Sicherheitsprotokoll, das im WPA2-Standard zum Einsatz kommt. (Bild: Pixabay / CC0)

Das Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, kurz CCMP, ist ein Sicherheitsstandard für WLANs, der beim Verschlüsselungs­standard WPA2 (Wi-Fi Protected Access 2) zum Einsatz kommt. Mit CCMP gesicherte WLANs gelten trotz theoretischer Angriffsmöglichkeiten aktuell als sehr sicher.

Die Abkürzung CCMP steht für Counter-Mode/CBC-MAC Protocol (vollständig: Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). Es ist ein Sicherheitsstandard, der in der IEEE-Norm 802.11i beschrieben ist und zur Sicherung von WLANs mit WPA2 zum Einsatz kommt. Das Counter-Mode/CBC-MAC Protocol verwendet verschiedene kryptographische Algorithmen und ist wesentlich sicherer als WEP oder WPA mit TKIP. CCMP stellt Mechanismen zur Integritätssicherung, Verschlüsselung und Authentifizierung im WLAN zur Verfügung. Das Verfahren nutzt starke, 128 Bit lange Schlüssel in Kombination mit 48 Bit langen Initialisierungsvektoren und basiert auf dem Advanced Encryption Standard (AES). WPA2 mit CCMP und AES gilt derzeit als sehr sicher und ist die für WLAN-Netze empfohlene Verschlüsselungsmethode.

Funktionsweise und wesentliche Bestandteile von CCMP

Das Counter-Mode/CBC-MAC Protocol und AES bieten aufgrund der 128 Bit langen Schlüssel und dem 48 Bit langen Initialisierungsvektor ein hohes Sicherheitsniveau. Die wesentlichen Bestandteile von CCMP sind:

  • die Counter Mode Komponente (CM) zur Verschlüsselung der übertragenen Daten
  • der Cipher Block Chaining Message Authentication Code (CBC-MAC) für die Integritätsprüfung und Authentifizierung der Daten

Ein CCMP-Datenpaket besteht aus fünf verschiedenen Teilen. Es beginnt mit der Absender- und Zieladresse der Daten. Anschließend folgt der CCMP-Header. Bestandteile des Headers sind die Paketnummer, der externe Initialisierungsvektor und die Key ID. Die Paketnummer wird bei jedem Paket hochgezählt. Das Counter-Mode/CBC-MAC Protocol nutzt diese Werte, um die Daten und den Message Integrity Code (MIC) (Teil drei und Teil vier des Pakets) zu verschlüsseln. Am Ende des Datenpakets ist eine Frame Check Sequence angefügt, die zur Fehlererkennung und Fehlerkorrektur dient. Im Datenpaket sind nur der eigentliche Datenanteil und der MIC verschlüsselt.

Bei der Schlüsselverhandlung mit WPA2 und CCMP führen die Stationen jeweils bestimmte Rollen aus. Der Client ist der sogenannte Supplicant und der Accesspoint der Authenticator. Es ist genau festgelegt, welche Nachrichten und Pakete die Stationen zu versenden haben und wie darauf zu reagieren ist. Eine Wiederholung des ausgehandelten und vom Initialisierungsvektor und WPA-Schlüssel abhängigen Schlüssels erfolgt theoretisch erst nach 16 Millionen Paketen. Um Wiederholungen in stark ausgelasteten WLANs bereits nach wenigen Stunden zu verhindern, ist eine automatische Neuverhandlung des Schlüssels in regelmäßigen Intervallen vorgesehen.

So knacken Sie WLAN-Verschlüsselungen

WEP, WPA2 und WPS hacken

So knacken Sie WLAN-Verschlüsselungen

18.04.17 - WLAN-Verschlüsselungen aufzubrechen ist grundsätzlich machbar – wenn man die richtigen Werkzeuge hat. Die größte Hürde ist eine passende Passwortliste, die eigentlichen Tools sind kostenlos erhältlich und leicht zu bedienen. lesen

Die Schwachstellen des Counter-Mode/CBC-MAC Protocols

Praktisch relevante Schwachstellen von WPA2 mit CCMP und AES sind keine bekannt, weshalb per Counter-Mode/CBC-MAC Protocol gesicherte WLANs aktuell als sehr sicher gelten. Es existieren einige theoretische Angriffsmethoden. 2017 wurde die KRACK-Methode (Key Reinstallation Attack) öffentlich bekannt. Sie nutzt eine Schwachstelle im Handshake-Verfahren beim Verbindungsaufbau zur Aushandlung von Schlüsseln. Mit KRACK lassen sich Datenpakete entschlüsseln und Angriffe wie TCP-Hijacking oder HTTP-Injection ausführen. Im Extremfall ist es möglich, den verwendeten Schlüssel zu ersetzen und die Verschlüsselung vollständig auszuhebeln. Allerdings sind überwiegend Android- und GNU/Linux-Implementationen von der KRACK-Schwachstelle betroffen. Die Sicherheitslücke lässt sich mit einem Softwareupdate schließen. So wurden die teilweise anfälligen Windows-Systeme bereits vor dem Bekanntwerden der Angriffsmethode seitens Microsoft gepatcht.

Potentieller Angriff auf WPA2 entdeckt

KRACK attackiert WLAN-Verschlüsselung

Potentieller Angriff auf WPA2 entdeckt

16.10.17 - Eine Schwachstelle in WPA2 gefährdet den Verschlüsselungsstandard für WLANs. Sicherheitsforscher haben eine Möglichkeit gefunden, wie sich WLAN-Clients und Access Points attackieren und deren Schlüssel knacken lassen. Updates schaffen Abhilfe – müssen aber von den Herstellern kommen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Kostenloser Virenschutz für Apple macOS

Antivirus Freeware für macOS

Kostenloser Virenschutz für Apple macOS

Das Märchen, dass es für Apple-Computer keine Viren gibt, hält sich noch immer hart­näckig, auch wenn es falsch ist. Um seinen Mac vor Viren zu schützen gibt es verschiedene Möglichkeiten. Viele Hersteller von Antiviren-Software haben heute auch eine Version für macOS im Angebot. Es gibt aber auch kostenlose Apps, die auf Macs für Sicherheit sorgen und ein guter Start sind. lesen

OneDrive sicher betreiben und Daten verschlüsseln

Mit Zusatztools für mehr Sicherheit sorgen

OneDrive sicher betreiben und Daten verschlüsseln

Wollen Anwender Daten in der Cloud speichern, trauen aber dem Anbieter bezüglich der Datensicherheit nicht, besteht die Möglichkeit mit Zusatztools für mehr Sicherheit zu sorgen. Wir zeigen am Beispiel von OneDrive bzw. OneDrive for Business wie Nutzer Daten verschlüsselt übertragen und auf dem Cloud-Dienst speichern können. lesen

WPA3 für Access Points und Router von Lancom

Betriebssystem-Release LCOS 10.20

WPA3 für Access Points und Router von Lancom

Mit dem Betriebssystem-Release LCOS 10.20 unterstützen alle aktuellen Access Points und WLAN-Router von Lancom den neuen WLAN-Sicherheitsstandard WPA3. Das kostenlose Update biete zudem einen Auto-Updater sowie Unterstützung für WAN Policy-Based NAT und die Routing-Architektur LISP. lesen

Was die IT-Security von Halloween lernen kann

Trick or treat

Was die IT-Security von Halloween lernen kann

Der Brauch des Halloween ist inzwischen auch in Europa angekommen. Wenn beim Trick or Treat Kinder bei ihren Nachbarn vorbei schauen gibt fast jeder lieber Süßigkeiten, statt das Risiko einzugehen, die Streiche der kleinen Vampire, Mumien und Werwölfe abzube­kom­men. Dabei können Sicherheits­experten von Halloween und „Trick or treat“ sogar etwas lernen. lesen

Sichere Kommunikation für moderne Unternehmen

Security-Startups im Blickpunkt: Brabbler

Sichere Kommunikation für moderne Unternehmen

Die private Kommunikation ist heute geprägt durch Messenger wie WhatsApp oder Skype. Im geschäftlichen Umfeld sind die meisten Firmen davon aber noch weit entfernt. Statt auf Chat- und Messenger-Dienste zu setzen, nutzen die meisten Unternehmen das über 30 Jahre alte System „E-Mail“. Das Münchner Startup Brabbler hat sich vorgenommen das zu ändern, mit dem sicheren Messenger Ginlo. lesen

FIDO2 bringt den passwortfreien Login

Offener Standard für starke Authentifizierung

FIDO2 bringt den passwortfreien Login

Für viele Anwender findet ein wichtiger Teil des Lebens im Web statt, von Kommunikation über Bank- und Finanzgeschäfte, bis zum Online-Einkauf. Die sichere Anmeldung an Online-Diensten ist dabei unerlässlich um die digitalen Identitäten der Nutzer zu schützen. Dem stehen jedes Jahr größere Zahlen an gestohlenen Benutzerdaten entgegen, die zeigen, dass Benutzername und Passwort keine Zukunft mehr haben. lesen

NAS-Systeme gegen Ransomware schützen

Ransomware-Schutz mit Synology NAS

NAS-Systeme gegen Ransomware schützen

Ransomware verschlüsselt nicht nur lokale Daten des infizierten Computers, sondern auch angeschlossene USB-Medien und verbundene Netzlaufwerke. Das macht Ransomware auch für NAS-Systeme extrem gefährlich, ohne dass das NAS selbst mit Ransomware infiziert ist. Es gibt aber Methoden, wie man die auf einem NAS gespeicherten Daten vor ungewollter Verschlüsselung schützen kann. Wie das geht zeigen wir am Beispiel eines Synology NAS. lesen

Vertrauen ist gut, Open-Source ist besser!

Luckycloud propagiert sicheren Cloud-Speicher

Vertrauen ist gut, Open-Source ist besser!

Sichere Datenspeicherung in der Cloud ohne unbefugte Zugriffe - geht das heutzutage eigentlich noch? Laut einer Bitkom Studie gehören die Themengebiete „IT-Sicherheit“ und „Cloud-Computing“ zu den Top-Themen in der Digitalwirtschaft. Trotz der zunehmenden Digitalisierung herrscht bei vielen Personen und Unternehmen immer noch Misstrauen und Unsicherheit, was die Benutzung von Cloud-Diensten angeht. lesen

Einfach E-Mails verschlüsseln

ProtonMail, Tutanota, OpenPGP, Web.de & Co.

Einfach E-Mails verschlüsseln

Damit vertrauliche E-Mails von Unbefugten nicht gelesen werden können, sollten auch kleine Unternehmen ihre Nachrichten verschlüsseln. Viele glauben allerdings immer noch, E-Mail-Verschlüsselung sei kompliziert. Wir zeigen wie einfach E-Mail-Verschlüsselung inzwischen mit Diensten wie ProtonMail, Tutanota, den Webmail-Diensten GMX und Web.de und auch dem Klassiker OpenPGP funktioniert. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45448831 / Definitionen)