Definition Counter-Mode/CBC-MAC Protocol (CCMP)

Was ist CCMP?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Das Counter-Mode/CBC-MAC Protocol (CCMP) ist ein WLAN-Sicherheitsprotokoll, das im WPA2-Standard zum Einsatz kommt.
Das Counter-Mode/CBC-MAC Protocol (CCMP) ist ein WLAN-Sicherheitsprotokoll, das im WPA2-Standard zum Einsatz kommt. (Bild: Pixabay / CC0)

Das Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, kurz CCMP, ist ein Sicherheitsstandard für WLANs, der beim Verschlüsselungs­standard WPA2 (Wi-Fi Protected Access 2) zum Einsatz kommt. Mit CCMP gesicherte WLANs gelten trotz theoretischer Angriffsmöglichkeiten aktuell als sehr sicher.

Die Abkürzung CCMP steht für Counter-Mode/CBC-MAC Protocol (vollständig: Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). Es ist ein Sicherheitsstandard, der in der IEEE-Norm 802.11i beschrieben ist und zur Sicherung von WLANs mit WPA2 zum Einsatz kommt. Das Counter-Mode/CBC-MAC Protocol verwendet verschiedene kryptographische Algorithmen und ist wesentlich sicherer als WEP oder WPA mit TKIP. CCMP stellt Mechanismen zur Integritätssicherung, Verschlüsselung und Authentifizierung im WLAN zur Verfügung. Das Verfahren nutzt starke, 128 Bit lange Schlüssel in Kombination mit 48 Bit langen Initialisierungsvektoren und basiert auf dem Advanced Encryption Standard (AES). WPA2 mit CCMP und AES gilt derzeit als sehr sicher und ist die für WLAN-Netze empfohlene Verschlüsselungsmethode.

Funktionsweise und wesentliche Bestandteile von CCMP

Das Counter-Mode/CBC-MAC Protocol und AES bieten aufgrund der 128 Bit langen Schlüssel und dem 48 Bit langen Initialisierungsvektor ein hohes Sicherheitsniveau. Die wesentlichen Bestandteile von CCMP sind:

  • die Counter Mode Komponente (CM) zur Verschlüsselung der übertragenen Daten
  • der Cipher Block Chaining Message Authentication Code (CBC-MAC) für die Integritätsprüfung und Authentifizierung der Daten

Ein CCMP-Datenpaket besteht aus fünf verschiedenen Teilen. Es beginnt mit der Absender- und Zieladresse der Daten. Anschließend folgt der CCMP-Header. Bestandteile des Headers sind die Paketnummer, der externe Initialisierungsvektor und die Key ID. Die Paketnummer wird bei jedem Paket hochgezählt. Das Counter-Mode/CBC-MAC Protocol nutzt diese Werte, um die Daten und den Message Integrity Code (MIC) (Teil drei und Teil vier des Pakets) zu verschlüsseln. Am Ende des Datenpakets ist eine Frame Check Sequence angefügt, die zur Fehlererkennung und Fehlerkorrektur dient. Im Datenpaket sind nur der eigentliche Datenanteil und der MIC verschlüsselt.

Bei der Schlüsselverhandlung mit WPA2 und CCMP führen die Stationen jeweils bestimmte Rollen aus. Der Client ist der sogenannte Supplicant und der Accesspoint der Authenticator. Es ist genau festgelegt, welche Nachrichten und Pakete die Stationen zu versenden haben und wie darauf zu reagieren ist. Eine Wiederholung des ausgehandelten und vom Initialisierungsvektor und WPA-Schlüssel abhängigen Schlüssels erfolgt theoretisch erst nach 16 Millionen Paketen. Um Wiederholungen in stark ausgelasteten WLANs bereits nach wenigen Stunden zu verhindern, ist eine automatische Neuverhandlung des Schlüssels in regelmäßigen Intervallen vorgesehen.

So knacken Sie WLAN-Verschlüsselungen

WEP, WPA2 und WPS hacken

So knacken Sie WLAN-Verschlüsselungen

18.04.17 - WLAN-Verschlüsselungen aufzubrechen ist grundsätzlich machbar – wenn man die richtigen Werkzeuge hat. Die größte Hürde ist eine passende Passwortliste, die eigentlichen Tools sind kostenlos erhältlich und leicht zu bedienen. lesen

Die Schwachstellen des Counter-Mode/CBC-MAC Protocols

Praktisch relevante Schwachstellen von WPA2 mit CCMP und AES sind keine bekannt, weshalb per Counter-Mode/CBC-MAC Protocol gesicherte WLANs aktuell als sehr sicher gelten. Es existieren einige theoretische Angriffsmethoden. 2017 wurde die KRACK-Methode (Key Reinstallation Attack) öffentlich bekannt. Sie nutzt eine Schwachstelle im Handshake-Verfahren beim Verbindungsaufbau zur Aushandlung von Schlüsseln. Mit KRACK lassen sich Datenpakete entschlüsseln und Angriffe wie TCP-Hijacking oder HTTP-Injection ausführen. Im Extremfall ist es möglich, den verwendeten Schlüssel zu ersetzen und die Verschlüsselung vollständig auszuhebeln. Allerdings sind überwiegend Android- und GNU/Linux-Implementationen von der KRACK-Schwachstelle betroffen. Die Sicherheitslücke lässt sich mit einem Softwareupdate schließen. So wurden die teilweise anfälligen Windows-Systeme bereits vor dem Bekanntwerden der Angriffsmethode seitens Microsoft gepatcht.

Potentieller Angriff auf WPA2 entdeckt

KRACK attackiert WLAN-Verschlüsselung

Potentieller Angriff auf WPA2 entdeckt

16.10.17 - Eine Schwachstelle in WPA2 gefährdet den Verschlüsselungsstandard für WLANs. Sicherheitsforscher haben eine Möglichkeit gefunden, wie sich WLAN-Clients und Access Points attackieren und deren Schlüssel knacken lassen. Updates schaffen Abhilfe – müssen aber von den Herstellern kommen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Mit Boxcryptor Daten in der Cloud verschlüsseln

Cloud-Verschlüsselung für Windows, macOS, Linux und Mobilgeräte

Mit Boxcryptor Daten in der Cloud verschlüsseln

Boxcryptor ist seit Jahren eines der bekanntesten und leistungsfähigsten Tools, wenn es darum geht Daten in der Cloud zu verschlüsseln und diese auf PCs, Macs und Smartphones dennoch problemlos zugreifbar zu machen. Wir zeigen in diesem Beitrag die Möglichkeiten, die Boxcryptor bietet. lesen

Updates für alle Windows 10-Versionen, auch LTSC

Microsoft Patchday März 2019

Updates für alle Windows 10-Versionen, auch LTSC

Am Patchday März 2019 veröffentlicht Microsoft für alle Windows 10-Versionen Updates, auch für Long Term Services Channel (LTSC)-Versionen. Die Updates enthalten Sicherheits­patches für Microsoft Edge, Internet Explorer, Microsoft Scripting Engine, Windows Shell, Windows Kernel-Mode-Treiber, Windows Server, Windows-Linux-System, Hyper-V und weitere Komponenten. lesen

5G geknackt

Anfällige Authentifizierung und Angst vor dem „Kill-Switch“

5G geknackt

Kaum sind erste 5G-Testnetze installiert, warnen Experten vor Schwachstellen. Und zwar ausgerechnet in dem Protokoll, das die Kommunikation absichern soll. Davon könnten nicht nur kriminelle Hacker profitieren, sondern auch die Polizei und Geheimdienste. Die sehen aber noch ganz andere Gefahren. lesen

Was ist PPTP?

Definition Point-to-Point Tunneling Protocol (PPTP)

Was ist PPTP?

Mit dem Point-to-Point Tunneling Protocol (PPTP) lassen sich virtuelle private Netze über IP-basierte Netzwerke wie das Internet realisieren. Es handelt sich um eine Erweiterung des Point-to-Point Protocols und ist in vielen Betriebssystemen implementiert. Aufgrund bekannter Schwachstellen gilt PPTP heute als nicht mehr sicher. lesen

Was ist KMIP?

Definition Key Management Interoperability Protocol (KMIP)

Was ist KMIP?

Beim Key Management Interoperability Protocol handelt es sich um ein von der OASIS (Organization for the Advancement of Structured Information Standards) standardisiertes Protokoll. KMIP ermöglicht die Kommunikation von Anwendungen und Systemen zur Speicherung und Verwaltung von Schlüsseln, Zertifikaten oder anderen geheimen Objekten. lesen

Was ist der Diffie-Hellman-Schlüsselaustausch?

Definition Diffie-Hellman key exchange

Was ist der Diffie-Hellman-Schlüsselaustausch?

Der Diffie-Hellman-Schlüsselaustausch ist ein Verfahren, mit dem sich ein gemeinsamer Sitzungsschlüssel zwischen zwei Kommunikationspartnern sicher über ein potenziell unsicheres Übertragungsmedium vereinbaren lässt. Das Verfahren kommt für zahlreiche kryptographische Protokolle im Internet zum Einsatz. lesen

Dateien unter Windows verschlüsseln und schützen

Kostenlose Tools und Windows-Bordmittel

Dateien unter Windows verschlüsseln und schützen

Wer Daten auf einem Windows-Rechner so ablegen will, dass sicher keine Unbefugten darauf zugreifen können, hat mehrere Optionen. Er kann entweder mit Windows-Berechtigungen arbeiten, das verschlüsselte Dateisystem EFS nutzen, das Windows-Tool „cipher“ verwenden oder auf Drittanbieter-Tools zur Verschlüsselung setzen. Wir zeigen einige Möglichkeiten. lesen

Die Spitze der Endpunktsicherheit

[Gesponsert]

Trend Micro Apex One

Die Spitze der Endpunktsicherheit

Ransomware, Zero-Day-Exploits, dateilose Angriffe, Crypto-Malware – die Liste der Bedrohungen für Endpunkte wird immer länger. Aufgrund der Komplexität und Variabilität aktueller Angriffsmethoden können traditionelle, rein Signatur-basierte Sicherheitsprodukte alleine keinen ausreichenden Schutz mehr gewährleisten. lesen

Die Auswahl des richtigen VPN-Dienstes

Kriterien für den Vergleich von VPN-Anbietern

Die Auswahl des richtigen VPN-Dienstes

VPNs sind im Geschäftsumfeld eine der wichtigsten Sicherheitslösungen, die ein mobiler Mitarbeiter nutzen kann. Ein VPN schützt die Online-Verbindungen der mobilen Mitarbeiter, speziell wenn öffentliche WLAN-Hotspots in Hotels, Flughäfen oder Bahnhöfen genutzt werden. Privatanwender können mit einem VPN ebenfalls ihre Online-Verbindung schützen und gleichzeitig ihre Online-Aktivitäten verstecken. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45448831 / Definitionen)