je program certifikacije koji je stvorio Wi-Fi Alliance kako bi ukazao na usklađenost sa sigurnosnim protokolom koji je stvorio Wi-Fi Alliance za zaštitu bežičnih računarskih mreža. Ovaj protokol je nastao kao odgovor na nekoliko ozbiljnih slabosti koje su istraživači otkrili u prethodnom sistemu, Wired Equivalent Privacy (WEP).
Protokol implementira većinu standarda IEEE 802.11i i bio je zamišljen kao posredna mjera za preuzimanje WEP -a dok je 802.11i bio pripremljen. Konkretno, Temporal Key Integrity Protocol (TKIP) je uveden u WPA. TKIP bi se mogao implementirati na kartice za sučelje bežične mreže prije WPA koje su se počele isporučivati još 1999. godine nadogradnjom firmvera. Budući da su promjene zahtijevale manje izmjena na klijentu nego na bežičnoj pristupnoj točki, većina AP-a prije 2003. nije se mogla nadograditi za podršku WPA s TKIP-om. Istraživači su od tada otkrili nedostatak u TKIP-u koji se oslanjao na starije slabosti pri preuzimanju ključnog toka iz kratkih paketa za upotrebu za ponovno ubrizgavanje i lažiranje.
Kasniji WPA2 certifikacijski znak ukazuje na usklađenost s naprednim protokolom koji implementira puni standard. Ovaj napredni protokol neće raditi s nekim starijim mrežnim karticama. Proizvodi koji su uspješno završili testiranje Wi-Fi saveza na usklađenost s protokolom mogu nositi oznaku WPA certifikata.
WPA2
WPA2 je zamijenio WPA; poput WPA, WPA2 zahtijeva testiranje i certifikaciju od strane Wi-Fi saveza. WPA2 implementira obavezne elemente standarda 802.11i. Konkretno, uvodi novi algoritam zasnovan na AES-u, CCMP, koji se smatra potpuno sigurnim. Sertifikacija je počela u septembru 2004; Od 13. marta 2006. WPA2 sertifikacija je obavezna za sve nove uređaje koji nose zaštitni znak Wi-Fi.
Sigurnost u načinu unaprijed podijeljenog ključa
Način unaprijed podijeljenog ključa (PSK, poznat i kao lični način) dizajniran je za kućne i male uredske mreže koje ne zahtijevaju složenost 802.1X servera za provjeru autentičnosti. Svaki bežični mrežni uređaj šifrira mrežni promet pomoću 256 -bitnog ključa. Ovaj ključ se može unijeti ili kao niz od 64 heksadecimalne znamenke ili kao pristupna fraza od 8 do 63 ASCII znaka za štampanje. Ako se koriste ASCII znakovi, 256 -bitni ključ se izračunava pomoću PBKDF2 hash funkcije, koristeći pristupnu frazu kao ključ i SSID kao sol.
WPA sa dijeljenim ključem ranjiv je na napade lomljenja lozinke ako se koristi slaba lozinka. Za zaštitu od napada grubom silom vjerovatno je dovoljna zaista nasumična lozinka od 13 znakova (odabrana iz skupa od 95 dopuštenih znakova). Tablice za pretraživanje izračunala je Crkva WiFi (grupa za istraživanje bežične sigurnosti) za prvih 1000 SSID -ova [8] za milijun različitih pristupnih fraza WPA/WPA2. [9] Radi dodatne zaštite od upada, SSID mreže ne bi trebao odgovarati nijednom unosu u prvih 1000 SSID -ova.
U kolovozu 2008., objava na forumima Nvidia-CUDA najavila je mogućnost poboljšanja performansi brutalnih napada na WPA-PSK za faktor 30 i više u odnosu na trenutnu implementaciju CPU-a. Računanje dugotrajno PBKDF2 se prenosi sa CPU-a na GPU koji može paralelno izračunati mnoge lozinke i njihove odgovarajuće dijeljene ključeve. Srednje vrijeme za uspješno pogađanje uobičajene lozinke smanjuje se na oko 2-3 dana korištenjem ove metode. Analizatori metode brzo su primijetili da će CPU implementacija korištena u usporedbi moći koristiti neke od istih tehnika paralelizacije - bez istovara na GPU - da ubrza obradu za faktor šest.
Slabosti u TKIP -u
Slabost su u novembru 2008. otkrili istraživači na dva njemačka tehnička univerziteta (TU Dresden i TU Darmstadt), Erik Tews i Martin Beck, koji su se oslanjali na ranije poznati nedostatak u WEP -u koji se mogao iskoristiti samo za TKIP algoritam u WPA. Nedostaci mogu dešifrirati samo kratke pakete s većinom poznatim sadržajem, poput ARP poruka i 802.11e, što omogućava prioritiziranje paketa kvalitete usluge za glasovne pozive i streaming medije. Nedostaci ne vode oporavku ključa, već samo tok ključeva koji je šifrirao određeni paket i koji se može ponovo koristiti čak sedam puta za ubrizgavanje proizvoljnih podataka iste dužine paketa u bežični klijent. Na primjer, ovo omogućava ubrizgavanje lažnih ARP paketa zbog čega žrtva šalje pakete na otvoreni Internet.
Hardverska podrška
Većina novijih Wi-Fi CERTIFICIRANIH uređaja podržava sigurnosne protokole o kojima smo gore govorili, odmah po isporuci, jer je usklađenost s ovim protokolom potrebna za Wi-Fi certifikat od septembra 2003. godine.
Protokol certificiran putem WPA programa Wi-Fi Alliance (i u manjoj mjeri WPA2) posebno je dizajniran za rad i s bežičnim hardverom proizvedenim prije uvođenja protokola, koji je obično podržavao samo neadekvatnu sigurnost putem WEP-a. Mnogi od ovih uređaja podržavaju sigurnosni protokol nakon nadogradnje firmvera. Nadogradnje firmvera nisu dostupne za sve stare uređaje.
Nadalje, mnogi proizvođači Wi-Fi uređaja za široku potrošnju poduzeli su korake kako bi uklonili potencijal slabog izbora pristupnih fraza promoviranjem alternativne metode automatskog generiranja i distribucije jakih ključeva prilikom dodavanja novog bežičnog adaptera ili uređaja u mrežu. Wi-Fi Alliance je standardizirao ove metode i potvrđuje usklađenost s tim standardima kroz program pod nazivom Wi-Fi Protected Setup.
Literatura Wikipedia
