Definition Counter-Mode/CBC-MAC Protocol (CCMP)

Was ist CCMP?

| Autor / Redakteur: Tutanch / Peter Schmitz

Das Counter-Mode/CBC-MAC Protocol (CCMP) ist ein WLAN-Sicherheitsprotokoll, das im WPA2-Standard zum Einsatz kommt.
Das Counter-Mode/CBC-MAC Protocol (CCMP) ist ein WLAN-Sicherheitsprotokoll, das im WPA2-Standard zum Einsatz kommt. (Bild: Pixabay / CC0)

Das Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, kurz CCMP, ist ein Sicherheitsstandard für WLANs, der beim Verschlüsselungs­standard WPA2 (Wi-Fi Protected Access 2) zum Einsatz kommt. Mit CCMP gesicherte WLANs gelten trotz theoretischer Angriffsmöglichkeiten aktuell als sehr sicher.

Die Abkürzung CCMP steht für Counter-Mode/CBC-MAC Protocol (vollständig: Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). Es ist ein Sicherheitsstandard, der in der IEEE-Norm 802.11i beschrieben ist und zur Sicherung von WLANs mit WPA2 zum Einsatz kommt. Das Counter-Mode/CBC-MAC Protocol verwendet verschiedene kryptographische Algorithmen und ist wesentlich sicherer als WEP oder WPA mit TKIP. CCMP stellt Mechanismen zur Integritätssicherung, Verschlüsselung und Authentifizierung im WLAN zur Verfügung. Das Verfahren nutzt starke, 128 Bit lange Schlüssel in Kombination mit 48 Bit langen Initialisierungsvektoren und basiert auf dem Advanced Encryption Standard (AES). WPA2 mit CCMP und AES gilt derzeit als sehr sicher und ist die für WLAN-Netze empfohlene Verschlüsselungsmethode.

Funktionsweise und wesentliche Bestandteile von CCMP

Das Counter-Mode/CBC-MAC Protocol und AES bieten aufgrund der 128 Bit langen Schlüssel und dem 48 Bit langen Initialisierungsvektor ein hohes Sicherheitsniveau. Die wesentlichen Bestandteile von CCMP sind:

  • die Counter Mode Komponente (CM) zur Verschlüsselung der übertragenen Daten
  • der Cipher Block Chaining Message Authentication Code (CBC-MAC) für die Integritätsprüfung und Authentifizierung der Daten

Ein CCMP-Datenpaket besteht aus fünf verschiedenen Teilen. Es beginnt mit der Absender- und Zieladresse der Daten. Anschließend folgt der CCMP-Header. Bestandteile des Headers sind die Paketnummer, der externe Initialisierungsvektor und die Key ID. Die Paketnummer wird bei jedem Paket hochgezählt. Das Counter-Mode/CBC-MAC Protocol nutzt diese Werte, um die Daten und den Message Integrity Code (MIC) (Teil drei und Teil vier des Pakets) zu verschlüsseln. Am Ende des Datenpakets ist eine Frame Check Sequence angefügt, die zur Fehlererkennung und Fehlerkorrektur dient. Im Datenpaket sind nur der eigentliche Datenanteil und der MIC verschlüsselt.

Bei der Schlüsselverhandlung mit WPA2 und CCMP führen die Stationen jeweils bestimmte Rollen aus. Der Client ist der sogenannte Supplicant und der Accesspoint der Authenticator. Es ist genau festgelegt, welche Nachrichten und Pakete die Stationen zu versenden haben und wie darauf zu reagieren ist. Eine Wiederholung des ausgehandelten und vom Initialisierungsvektor und WPA-Schlüssel abhängigen Schlüssels erfolgt theoretisch erst nach 16 Millionen Paketen. Um Wiederholungen in stark ausgelasteten WLANs bereits nach wenigen Stunden zu verhindern, ist eine automatische Neuverhandlung des Schlüssels in regelmäßigen Intervallen vorgesehen.

So knacken Sie WLAN-Verschlüsselungen

WEP, WPA2 und WPS hacken

So knacken Sie WLAN-Verschlüsselungen

18.04.17 - WLAN-Verschlüsselungen aufzubrechen ist grundsätzlich machbar – wenn man die richtigen Werkzeuge hat. Die größte Hürde ist eine passende Passwortliste, die eigentlichen Tools sind kostenlos erhältlich und leicht zu bedienen. lesen

Die Schwachstellen des Counter-Mode/CBC-MAC Protocols

Praktisch relevante Schwachstellen von WPA2 mit CCMP und AES sind keine bekannt, weshalb per Counter-Mode/CBC-MAC Protocol gesicherte WLANs aktuell als sehr sicher gelten. Es existieren einige theoretische Angriffsmethoden. 2017 wurde die KRACK-Methode (Key Reinstallation Attack) öffentlich bekannt. Sie nutzt eine Schwachstelle im Handshake-Verfahren beim Verbindungsaufbau zur Aushandlung von Schlüsseln. Mit KRACK lassen sich Datenpakete entschlüsseln und Angriffe wie TCP-Hijacking oder HTTP-Injection ausführen. Im Extremfall ist es möglich, den verwendeten Schlüssel zu ersetzen und die Verschlüsselung vollständig auszuhebeln. Allerdings sind überwiegend Android- und GNU/Linux-Implementationen von der KRACK-Schwachstelle betroffen. Die Sicherheitslücke lässt sich mit einem Softwareupdate schließen. So wurden die teilweise anfälligen Windows-Systeme bereits vor dem Bekanntwerden der Angriffsmethode seitens Microsoft gepatcht.

Potentieller Angriff auf WPA2 entdeckt

KRACK attackiert WLAN-Verschlüsselung

Potentieller Angriff auf WPA2 entdeckt

16.10.17 - Eine Schwachstelle in WPA2 gefährdet den Verschlüsselungsstandard für WLANs. Sicherheitsforscher haben eine Möglichkeit gefunden, wie sich WLAN-Clients und Access Points attackieren und deren Schlüssel knacken lassen. Updates schaffen Abhilfe – müssen aber von den Herstellern kommen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Einfach E-Mails verschlüsseln

ProtonMail, Tutanota, OpenPGP, Web.de & Co.

Einfach E-Mails verschlüsseln

Damit vertrauliche E-Mails von Unbefugten nicht gelesen werden können, sollten auch kleine Unternehmen ihre Nachrichten verschlüsseln. Viele glauben allerdings immer noch, E-Mail-Verschlüsselung sei kompliziert. Wir zeigen wie einfach E-Mail-Verschlüsselung inzwischen mit Diensten wie ProtonMail, Tutanota, den Webmail-Diensten GMX und Web.de und auch dem Klassiker OpenPGP funktioniert. lesen

Sicherheitslücke macht aktuelle Laptops angreifbar

Schwachstelle in Notebook-Firmware

Sicherheitslücke macht aktuelle Laptops angreifbar

Sicherheitsexperten von F-Secure haben eine Schwachstelle in modernen Computern entdeckt, die es Hackern ermöglicht, Verschlüsselungscodes und andere kritische Informationen zu stehlen. Die Forscher warnen Hersteller und Nutzer von PCs, dass die gegenwärtigen Sicherheitsmaßnahmen nicht ausreichen, um Daten in verlorenen und gestohlenen Laptops zu schützen. lesen

Automatisierung von zentralen Netzdiensten im Datacenter

Hybrid-Angebot für DNS-Sicherheit

Automatisierung von zentralen Netzdiensten im Datacenter

Infoblox erneuert sein „Network Identity Operating System“ (NIOS), um zentrale Netzwerkdienste im Rechenzentren schnell automatisieren zu können. Das Unternehmen will damit Cloud-Readiness erreichen, um Geräte ortsunabhängig vor Datenverlust zu schützen. lesen

NordVPN optimiert Tools für Mac und iOS

Narrensicheres Virtual Private Network für Apple-Nutzer

NordVPN optimiert Tools für Mac und iOS

Mit jetzt aktualisierten Apps für iOS und macOS will NordVPN den Ein- und Ausstieg bei Virtual Private Networks so bequem wie möglich machen. Beitragen sollen hierzu Quick Connect und ein Kill Switch. lesen

Was ist WLAN-Verschlüsselung?

Definition WLAN-Verschlüsselung

Was ist WLAN-Verschlüsselung?

Die Verschlüsselung im WLAN sorgt dafür, dass die übertragenen Daten vor unbefugtem Zugriff und Mitlesen geschützt sind. Es existieren verschiedene Standards zur Verschlüsselung und Authentifizierung wie WEP, WPA, WPA2 oder zukünftig WPA3. Die Standards wie WEP oder WPA gelten inzwischen als veraltet und unsicher. Sie sollten nicht mehr verwendet werden. lesen

Was ist WPA2?

Definition WPA2 (Wi-Fi Protected Access 2)

Was ist WPA2?

WPA2 (Wi-Fi Protected Access 2) ist seit 2004 der Nachfolger von WPA. Zu den wichtigsten Veränderungen im Vergleich zu WPA gehört die Verwendung der Verschlüsselungsmethode AES. WPA2 beseitigt die aufgedeckten Schwachstellen von WPA und gilt bei Verwendung eines starken Passworts, trotz bekannter Angriffe, bis heute als sehr sicher. lesen

Was ist TKIP?

Definition TKIP (Temporal Key Integrity Protocol)

Was ist TKIP?

Das Temporal Key Integrity Protocol (TKIP) ist ein ein Sicherheitsprotokoll für WLAN-Netzwerke, das entwickelt wurde um möglichst schnell eine Alternative für das als unsicher geltende WEP zu schaffen. TKIP basiert zur Verschlüsselung der Daten wie WEP auf dem RC4-Algorithmus und gilt seit 2009 als nicht mehr sicher. lesen

Was ist WPA?

Definition Wi-Fi Protected Access (WPA)

Was ist WPA?

WPA steht für Wi-Fi Protected Access und bezeichnet den 2003 verabschiedeten Nachfolgestandard von WEP zur Verschlüsselung und Authentifizierung im WLAN. WPA sollte die bekannt gewordenen Sicherheitslücken und Schwachstellen von WEP beseitigen und wieder für Sicherheit in Funknetzwerken sorgen. Wie WEP gilt auch WPA heute als nicht mehr ausreichend sicher und sollte für drahtlose Netzwerke nicht mehr verwendet werden. lesen

Ivanti liefert Unified Endpoint Manager

Anwendungsbereitstellung, Patch-Compliance, Software-Lizenzierung

Ivanti liefert Unified Endpoint Manager

Ivanti kombiniert die Funktionen von Endpoint Manager und Environment Manager Policy in einem Angebot: Der jetzt präsentierte Unified Endpoint Manager liefere IT-Verantwortlichen damit eine einheitliche Plattform, um verschiedene Endpunkte zu verwalten. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45448831 / Definitionen)