er et certificeringsprogram oprettet af Wi-Fi Alliance for at angive overholdelse af sikkerhedsprotokollen oprettet af Wi-Fi Alliance for at sikre trådløse computernetværk. Denne protokol blev oprettet som reaktion på flere alvorlige svagheder, forskere havde fundet i det tidligere system, Wired Equivalent Privacy (WEP).
Protokollen implementerer størstedelen af IEEE 802.11i -standarden og var beregnet som en mellemliggende foranstaltning til at træde i stedet for WEP, mens 802.11i blev udarbejdet. Konkret blev Temporal Key Integrity Protocol (TKIP) indført i WPA. TKIP kunne implementeres på før-WPA trådløse netværkskort, der begyndte at blive sendt så langt tilbage som 1999 gennem firmwareopgraderinger. Fordi ændringerne krævede færre ændringer på klienten end på det trådløse adgangspunkt, kunne de fleste AP'er før 2003 ikke opgraderes til at understøtte WPA med TKIP. Forskere har siden opdaget en fejl i TKIP, der stolede på ældre svagheder for at hente nøglestrømmen fra korte pakker til brug for genindsprøjtning og spoofing.
Det senere WPA2 -certificeringsmærke angiver overholdelse af en avanceret protokol, der implementerer den fulde standard. Denne avancerede protokol fungerer ikke med nogle ældre netværkskort. Produkter, der med succes har gennemført test af Wi-Fi Alliance for overholdelse af protokollen, kan være forsynet med WPA-certificeringsmærket.
WPA2
WPA2 erstattede WPA; ligesom WPA kræver WPA2 test og certificering af Wi-Fi Alliance. WPA2 implementerer de obligatoriske elementer i 802.11i. Især introducerer den en ny AES-baseret algoritme, CCMP, som anses for fuldstændig sikker. Certificeringen begyndte i september 2004; Fra den 13. marts 2006 er WPA2-certificering obligatorisk for alle nye enheder til at bære Wi-Fi-varemærket.
Sikkerhed i præ-delt nøgletilstand
Forhåndsdelt nøgletilstand (PSK, også kendt som personlig tilstand) er designet til hjemmenetværk og små kontornetværk, der ikke kræver kompleksiteten af en 802.1X-godkendelsesserver. Hver trådløs netværksenhed krypterer netværkstrafikken ved hjælp af en 256 bit -nøgle. Denne nøgle kan enten indtastes som en streng på 64 hexadecimale cifre eller som en adgangssætning på 8 til 63 udskrivbare ASCII -tegn. Hvis der bruges ASCII -tegn, beregnes 256 bit -nøglen ved hjælp af PBKDF2 hash -funktionen ved hjælp af adgangssætningen som nøgle og SSID som saltet.
Shared-key WPA er sårbar over for password-cracking-angreb, hvis der bruges en svag adgangssætning. For at beskytte mod et brutalt kraftangreb er en virkelig tilfældig adgangssætning på 13 tegn (valgt fra sættet med 95 tilladte tegn) sandsynligvis tilstrækkelig. Opslagstabeller er blevet beregnet af WiFi Church (en trådløs sikkerhedsforskningsgruppe) til de bedste 1000 SSID'er [8] for en million forskellige WPA/WPA2 -adgangssætninger. [9] For yderligere at beskytte mod indtrængen bør netværkets SSID ikke matche nogen post i de øverste 1000 SSID'er.
I august 2008 annoncerede et indlæg i Nvidia-CUDA-fora, muligheden for at forbedre ydelsen af brute force-angreb mod WPA-PSK med en faktor 30 og mere i forhold til den nuværende CPU-implementering. Den tidskrævende PBKDF2-beregning overføres fra CPU'en til en GPU, som kan beregne mange adgangskoder og deres tilhørende foruddelte nøgler parallelt. Mediantiden til at gætte en fælles adgangskode krymper til ca. 2-3 dage ved hjælp af denne metode. Analysatorer af metoden bemærkede hurtigt, at den CPU -implementering, der blev brugt i sammenligningen, ville være i stand til at bruge nogle af de samme paralleliseringsteknikker - uden at blive aflæsset til en GPU - for at fremskynde behandlingen med en faktor seks.
Svaghed i TKIP
En svaghed blev afdækket i november 2008 af forskere ved to tyske tekniske universiteter (TU Dresden og TU Darmstadt), Erik Tews og Martin Beck, som stolede på en tidligere kendt fejl i WEP, der kun kunne udnyttes til TKIP -algoritmen i WPA. Fejlene kan kun dekryptere korte pakker med hovedsageligt kendt indhold, f.eks. ARP -meddelelser og 802.11e, hvilket tillader prioritering af Quality of Service -pakker til taleopkald og streamingmedier. Fejlene fører ikke til nøglegendannelse, men kun en nøglestrøm, der krypterede en bestemt pakke, og som kan genbruges hele syv gange til at injicere vilkårlige data af samme pakkelængde til en trådløs klient. For eksempel giver dette mulighed for at injicere forfalskede ARP -pakker, som får offeret til at sende pakker til det åbne internet.
Hardware support
De fleste nyere Wi-Fi CERTIFIED-enheder understøtter de ovenfor beskrevne sikkerhedsprotokoller out-of-the-box, da overholdelse af denne protokol har været påkrævet for en Wi-Fi-certificering siden september 2003.
Protokollen, der er certificeret via Wi-Fi Alliance's WPA-program (og i mindre grad WPA2), var specielt designet til også at fungere med trådløs hardware, der blev produceret før protokollens indførelse, som normalt kun havde understøttet utilstrækkelig sikkerhed gennem WEP. Mange af disse enheder understøtter sikkerhedsprotokollen efter en firmwareopgradering. Firmwareopgraderinger er ikke tilgængelige for alle ældre enheder.
Desuden har mange Wi-Fi-enhedsproducenter fra forbrugerne taget skridt til at eliminere potentialet i svage valg af adgangssætninger ved at fremme en alternativ metode til automatisk at generere og distribuere stærke nøgler, når de tilføjer en ny trådløs adapter eller et nyt apparat til et netværk. Wi-Fi Alliance har standardiseret disse metoder og bekræfter overholdelse af disse standarder gennem et program kaldet Wi-Fi Protected Setup.
Referencer Wikipedia
