Definition Counter-Mode/CBC-MAC Protocol (CCMP)

Was ist CCMP?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Das Counter-Mode/CBC-MAC Protocol (CCMP) ist ein WLAN-Sicherheitsprotokoll, das im WPA2-Standard zum Einsatz kommt.
Das Counter-Mode/CBC-MAC Protocol (CCMP) ist ein WLAN-Sicherheitsprotokoll, das im WPA2-Standard zum Einsatz kommt. (Bild: Pixabay / CC0)

Das Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, kurz CCMP, ist ein Sicherheitsstandard für WLANs, der beim Verschlüsselungs­standard WPA2 (Wi-Fi Protected Access 2) zum Einsatz kommt. Mit CCMP gesicherte WLANs gelten trotz theoretischer Angriffsmöglichkeiten aktuell als sehr sicher.

Die Abkürzung CCMP steht für Counter-Mode/CBC-MAC Protocol (vollständig: Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). Es ist ein Sicherheitsstandard, der in der IEEE-Norm 802.11i beschrieben ist und zur Sicherung von WLANs mit WPA2 zum Einsatz kommt. Das Counter-Mode/CBC-MAC Protocol verwendet verschiedene kryptographische Algorithmen und ist wesentlich sicherer als WEP oder WPA mit TKIP. CCMP stellt Mechanismen zur Integritätssicherung, Verschlüsselung und Authentifizierung im WLAN zur Verfügung. Das Verfahren nutzt starke, 128 Bit lange Schlüssel in Kombination mit 48 Bit langen Initialisierungsvektoren und basiert auf dem Advanced Encryption Standard (AES). WPA2 mit CCMP und AES gilt derzeit als sehr sicher und ist die für WLAN-Netze empfohlene Verschlüsselungsmethode.

Funktionsweise und wesentliche Bestandteile von CCMP

Das Counter-Mode/CBC-MAC Protocol und AES bieten aufgrund der 128 Bit langen Schlüssel und dem 48 Bit langen Initialisierungsvektor ein hohes Sicherheitsniveau. Die wesentlichen Bestandteile von CCMP sind:

  • die Counter Mode Komponente (CM) zur Verschlüsselung der übertragenen Daten
  • der Cipher Block Chaining Message Authentication Code (CBC-MAC) für die Integritätsprüfung und Authentifizierung der Daten

Ein CCMP-Datenpaket besteht aus fünf verschiedenen Teilen. Es beginnt mit der Absender- und Zieladresse der Daten. Anschließend folgt der CCMP-Header. Bestandteile des Headers sind die Paketnummer, der externe Initialisierungsvektor und die Key ID. Die Paketnummer wird bei jedem Paket hochgezählt. Das Counter-Mode/CBC-MAC Protocol nutzt diese Werte, um die Daten und den Message Integrity Code (MIC) (Teil drei und Teil vier des Pakets) zu verschlüsseln. Am Ende des Datenpakets ist eine Frame Check Sequence angefügt, die zur Fehlererkennung und Fehlerkorrektur dient. Im Datenpaket sind nur der eigentliche Datenanteil und der MIC verschlüsselt.

Bei der Schlüsselverhandlung mit WPA2 und CCMP führen die Stationen jeweils bestimmte Rollen aus. Der Client ist der sogenannte Supplicant und der Accesspoint der Authenticator. Es ist genau festgelegt, welche Nachrichten und Pakete die Stationen zu versenden haben und wie darauf zu reagieren ist. Eine Wiederholung des ausgehandelten und vom Initialisierungsvektor und WPA-Schlüssel abhängigen Schlüssels erfolgt theoretisch erst nach 16 Millionen Paketen. Um Wiederholungen in stark ausgelasteten WLANs bereits nach wenigen Stunden zu verhindern, ist eine automatische Neuverhandlung des Schlüssels in regelmäßigen Intervallen vorgesehen.

So knacken Sie WLAN-Verschlüsselungen

WEP, WPA2 und WPS hacken

So knacken Sie WLAN-Verschlüsselungen

18.04.17 - WLAN-Verschlüsselungen aufzubrechen ist grundsätzlich machbar – wenn man die richtigen Werkzeuge hat. Die größte Hürde ist eine passende Passwortliste, die eigentlichen Tools sind kostenlos erhältlich und leicht zu bedienen. lesen

Die Schwachstellen des Counter-Mode/CBC-MAC Protocols

Praktisch relevante Schwachstellen von WPA2 mit CCMP und AES sind keine bekannt, weshalb per Counter-Mode/CBC-MAC Protocol gesicherte WLANs aktuell als sehr sicher gelten. Es existieren einige theoretische Angriffsmethoden. 2017 wurde die KRACK-Methode (Key Reinstallation Attack) öffentlich bekannt. Sie nutzt eine Schwachstelle im Handshake-Verfahren beim Verbindungsaufbau zur Aushandlung von Schlüsseln. Mit KRACK lassen sich Datenpakete entschlüsseln und Angriffe wie TCP-Hijacking oder HTTP-Injection ausführen. Im Extremfall ist es möglich, den verwendeten Schlüssel zu ersetzen und die Verschlüsselung vollständig auszuhebeln. Allerdings sind überwiegend Android- und GNU/Linux-Implementationen von der KRACK-Schwachstelle betroffen. Die Sicherheitslücke lässt sich mit einem Softwareupdate schließen. So wurden die teilweise anfälligen Windows-Systeme bereits vor dem Bekanntwerden der Angriffsmethode seitens Microsoft gepatcht.

Potentieller Angriff auf WPA2 entdeckt

KRACK attackiert WLAN-Verschlüsselung

Potentieller Angriff auf WPA2 entdeckt

16.10.17 - Eine Schwachstelle in WPA2 gefährdet den Verschlüsselungsstandard für WLANs. Sicherheitsforscher haben eine Möglichkeit gefunden, wie sich WLAN-Clients und Access Points attackieren und deren Schlüssel knacken lassen. Updates schaffen Abhilfe – müssen aber von den Herstellern kommen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

RDP ist riesiges Sicherheits­risiko für Unternehmen

RDP-Studie von Sophos

RDP ist riesiges Sicherheits­risiko für Unternehmen

Das bei vielen Admins beliebte Remote Desktop Protocol (RDP) stellt für Unternehmen ein großes Sicherheitsrisiko dar. Security-Anbieter Sophos hat seine knapp viermonatige Studie „RDP Exposed: The Threat That’s Already at your Door“ abgeschlossen und die Langzeit­ergebnisse veröffentlicht. Sie zeigt, wie Cyberkriminelle unerbittlich versuchen, Unternehmen via RDP anzugreifen. lesen

Tools für Mac Management bringen mehr Sicherheit

Die BYOD-Gefahrenquelle

Tools für Mac Management bringen mehr Sicherheit

„Bring your own device“ (BYOD) ist nicht mehr nur in Startups und bei Freelancern gängige Praxis. So findet BYOD im Zuge der Digitalisierung verstärkt auch in Bereichen wie Software-Entwicklung, Verwaltung oder Kundenbetreuung Anklang. Nahezu alle Branchen können mittlerweile davon profitieren, sofern die IT-Sicherheit gewährleistet bleibt. lesen

Zunahme bei Mac-Malware, bösartigen Office-Dokumenten und Web Application Exploits

WatchGuard Internet Security Report Q1/2019

Zunahme bei Mac-Malware, bösartigen Office-Dokumenten und Web Application Exploits

62 Prozent mehr Malware im Vergleich zum Vorquartal und Cyberkriminelle, die zunehmend verschiedene Angriffstechniken kombinieren – der vierteljährliche Internet Security Report von WatchGuard für das erste Quartal 2019 zeichnet ein klares Bild der aktuellen Bedrohungssituation. lesen

Mehrzahl aller IoT-Systeme ist angreifbar

Forescout-Report zur IoT-Sicherheit

Mehrzahl aller IoT-Systeme ist angreifbar

Viele IoT-Geräte, wie smarte Beleuchtungs­systeme und Überwachungskameras, sind standardmäßig so eingerichtet, dass sie über unverschlüsselte Protokolle kommunizieren, was das Abgreifen und Manipulieren vertraulicher Informationen ermöglicht. Das ist eine wichtige Erkenntnis einer neuen Untersuchung des Security-Anbieters Forescout zur IoT-Sicherheit. lesen

Was ist SHA (Secure Hash Algorithm)?

Definition SHA (Secure Hash Algorithm)

Was ist SHA (Secure Hash Algorithm)?

Der Secure Hash Algorithm existiert in verschiedenen Versionen und stellt Hashfunktionen zur Ermittlung unverwechselbarer Prüfwerte digitaler Daten zur Verfügung. Mit einem Prüfwert lässt sich die Integrität der Daten sicherstellen. SHA kommt beispielsweise für Signaturverfahren zum Einsatz. Eine wichtige Eigenschaft eines Hahsverfahrens ist die Kollisionssicherheit. lesen

Mit KeePass Passwörter im Griff

Tool-Tipp: KeePass

Mit KeePass Passwörter im Griff

Die steigende Anzahl an Diensten im Internet, bedeuten auch eine steigende Anzahl an Anmeldedaten. Will man für jeden Login ein eigenes Passwort verwenden helfen Passwort-Manager wie das kostenlose Open-Source-Tool „KeePass“ dabei, nicht den Überblick zu verlieren. KeePass gibt es für Windows, macOS und Linux, auch eine mobile Nutzung unter iOS und Android ist möglich. lesen

Schutz vor Datenlecks

Diebstahl von Anmeldedaten

Schutz vor Datenlecks

Die Größe von Datenlecks nimmt in jüngster Vergangenheit immer weiter zu, während die Intervalle immer kleiner werden. Höchste Zeit für Unternehmen sich den Gefahren eines Datenverlustes bewusst zu werden und sich mithilfe professioneller IT-Security-Beratung proaktiv vor neuen Gefahren zu schützen. lesen

BSI warnt erneut vor Windows-Schwachstelle Bluekeep

Warnung vor wurmartigen Angriffen

BSI warnt erneut vor Windows-Schwachstelle Bluekeep

Wurmartige Cyber-Angriffe mit WannaCry und NotPetya haben im Jahr 2017 weltweit Millionenschäden verursacht. Ein vergleichbares Szenario ermöglicht die kritische Schwachstelle Bluekeep, die im Remote-Desktop-Protocol-Dienst (RDP) von Microsoft-Windows enthalten ist. Jetzt sei die Entwicklung von Exploits für die Schwachstelle in Arbeit, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). lesen

Die DDoS-Welle rollt weiter

DDoS-Report Q1 2019

Die DDoS-Welle rollt weiter

Deutschland steht weiterhin im Fadenkreuz von DDoS-Attacken, das zeigen die aktuellen DDoS-Angriffszahlen aus dem Link11 Security Operation Center. Im 1. Quartal 2019 registrierte Link11 11.177 DDoS-Attacken auf Ziele in Deutschland, Österreich und der Schweiz. Die hohen Angriffsvolumen und die Vielzahl von Attacken-Vektoren stellen ungeschützte Unternehmen vor Herausforderungen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45448831 / Definitionen)