is 'n sertifiseringsprogram wat deur die Wi-Fi Alliance geskep is om aan te dui dat dit voldoen aan die beveiligingsprotokol wat deur die Wi-Fi Alliance geskep is om draadlose rekenaarnetwerke te beveilig. Hierdie protokol is opgestel in reaksie op verskeie ernstige swakhede wat navorsers in die vorige stelsel, Wired Equivalent Privacy (WEP), gevind het.
Die protokol implementeer die meerderheid van die IEEE 802.11i -standaard en was bedoel as 'n intermediêre maatreël om die plek van WEP in te neem terwyl 802.11i voorberei is. Die Temporal Key Integrity Protocol (TKIP) is spesifiek in WPA ingebring. TKIP kan geïmplementeer word op pre-WPA draadlose netwerk-koppelvlakkaarte wat tot in 1999 begin is deur middel van firmware-opgraderings. Omdat die veranderinge minder veranderinge aan die kliënt as op die draadlose toegangspunt vereis het, kon die meeste AP's voor 2003 nie opgegradeer word om WPA met TKIP te ondersteun nie. Navorsers het sedertdien 'n gebrek in TKIP ontdek wat staatgemaak het op ouer swakhede om die sleutelstroom uit kort pakkies te haal om herinspuiting en spoofing te gebruik.
Die latere WPA2 -sertifiseringsmerk dui aan die nakoming van 'n gevorderde protokol wat die volledige standaard implementeer. Hierdie gevorderde protokol werk nie met sommige ouer netwerkkaarte nie. Produkte wat die toets deur die Wi-Fi Alliance suksesvol voltooi het vir die nakoming van die protokol, kan die WPA-sertifiseringsmerk dra.
WPA2
WPA2 vervang WPA; soos WPA, vereis WPA2 toetsing en sertifisering deur die Wi-Fi Alliance. WPA2 implementeer die verpligte elemente van 802.11i. Dit stel veral 'n nuwe AES-gebaseerde algoritme bekend, CCMP, wat as volledig veilig beskou word. Sertifisering het in September 2004 begin; Vanaf 13 Maart 2006 is WPA2-sertifisering verpligtend vir alle nuwe toestelle om die Wi-Fi-handelsmerk te dra.
Sekuriteit in vooraf gedeelde sleutelmodus
Vooraf gedeelde sleutelmodus (PSK, ook bekend as Persoonlike modus) is ontwerp vir tuis- en klein kantoornetwerke wat nie die kompleksiteit van 'n 802.1X-verifikasiebediener benodig nie. Elke draadlose netwerktoestel versleutel die netwerkverkeer met 'n 256 bis -sleutel. Hierdie sleutel kan óf as 'n string van 64 heksadesimale syfers ingevoer word, óf as 'n wagwoordfrase van 8 tot 63 drukbare ASCII -karakters. As ASCII -karakters gebruik word, word die 256 bis -sleutel bereken met behulp van die hash -funksie PBKDF2, met behulp van die wagwoordfrase as die sleutel en die SSID as die sout.
WPA met 'n gedeelde sleutel is kwesbaar vir aanvalle op krake as u 'n swak wagwoordfrase gebruik. Om te beskerm teen 'n aanval van brute krag, is 'n werklik ewekansige wagfrase van 13 karakters (gekies uit die stel van 95 toegelate karakters) waarskynlik voldoende. Opsporingstabelle is deur die Church of WiFi ('n navorsingsgroep vir draadlose beveiliging) opgestel vir die beste 1000 SSID's [8] vir 'n miljoen verskillende WPA/WPA2 -wagwoorde. [9] Om verder te beskerm teen indringing, moet die SSID van die netwerk nie ooreenstem met enige inskrywing in die top 1000 SSID's nie.
In Augustus 2008 het 'n pos in die Nvidia-CUDA-forums aangekondig dat die moontlikheid is om die prestasie van brute geweldaanvalle teen WPA-PSK met 'n faktor van 30 en meer te vergelyk in vergelyking met die huidige CPU-implementering. Die tydrowende PBKDF2-berekening word van die SVE afgelaai na 'n GPU wat baie wagwoorde en hul ooreenstemmende vooraf gedeelde sleutels parallel kan bereken. Die gemiddelde tyd om 'n algemene wagwoord suksesvol te raai, verminder met ongeveer 2-3 dae met hierdie metode. Ontleders van die metode het vinnig opgemerk dat die CPU -implementering wat in die vergelyking gebruik is, dieselfde parallelle tegnieke kan gebruik - sonder om dit na 'n GPU te laai - om die verwerking met 'n faktor ses te bespoedig.
Swakheid in TKIP
'N Swakheid is in November 2008 ontdek deur navorsers aan twee Duitse tegniese universiteite (TU Dresden en TU Darmstadt), Erik Tews en Martin Beck, wat staatgemaak het op 'n voorheen bekende gebrek in WEP wat slegs vir die TKIP -algoritme in WPA uitgebuit kon word. Die gebreke kan slegs kort pakkies met meestal bekende inhoud ontsyfer, soos ARP -boodskappe en 802.11e, wat die kwaliteit van dienspakket -prioriteit vir stemoproepe en streaming media moontlik maak. Die gebreke lei nie tot sleutelherstel nie, maar slegs tot 'n sleutelstroom wat 'n spesifieke pakkie versleut het en wat tot sewe keer hergebruik kan word om willekeurige data van dieselfde pakketlengte aan 'n draadlose kliënt te spuit. Dit laat byvoorbeeld vervalste ARP -pakkies toe, wat die slagoffer pakkies na die oop internet kan stuur.
Hardeware ondersteuning
Die meeste nuwer Wi-Fi CERTIFIED-toestelle ondersteun die beveiligingsprotokolle wat hierbo bespreek is, out-of-the-box, aangesien nakoming van hierdie protokol sedert September 2003 nodig is vir 'n Wi-Fi-sertifisering.
Die protokol wat deur die WPA-program van Wi-Fi Alliance (en in mindere mate WPA2) gesertifiseer is, is spesifiek ontwerp om ook te werk met draadlose hardeware wat vervaardig is voor die bekendstelling van die protokol, wat gewoonlik slegs onvoldoende sekuriteit deur WEP ondersteun het. Baie van hierdie toestelle ondersteun die beveiligingsprotokol na 'n firmware -opgradering. Firmware -opgraderings is nie vir alle ou toestelle beskikbaar nie.
Verder het baie verbruikers van Wi-Fi-toestelle vervaardigers stappe gedoen om die potensiaal van swak wagwoordfrases uit te skakel deur 'n alternatiewe metode te bevorder om outomaties sterk sleutels te genereer en te versprei wanneer 'n nuwe draadlose adapter of toestel by 'n netwerk gevoeg word. Die Wi-Fi Alliance het hierdie metodes gestandaardiseer en sertifiseer die nakoming van hierdie standaarde deur middel van 'n program genaamd Wi-Fi Protected Setup.
Verwysings Wikipedia
