είναι ένα πρόγραμμα πιστοποίησης που δημιουργήθηκε από τη Συμμαχία Wi-Fi για να υποδείξει τη συμμόρφωση με το πρωτόκολλο ασφαλείας που δημιουργήθηκε από τη Συμμαχία Wi-Fi για την ασφάλεια ασύρματων δικτύων υπολογιστών. Αυτό το πρωτόκολλο δημιουργήθηκε ως απάντηση σε αρκετές σοβαρές αδυναμίες που είχαν βρει οι ερευνητές στο προηγούμενο σύστημα, Wired Equivalent Privacy (WEP).
Το πρωτόκολλο εφαρμόζει την πλειοψηφία του προτύπου IEEE 802.11i και προοριζόταν ως ένα ενδιάμεσο μέτρο για να αντικαταστήσει το WEP ενώ προετοιμάστηκε το 802.11i. Συγκεκριμένα, το Temporal Key Integrity Protocol (TKIP), εισήχθη στο WPA. Το TKIP θα μπορούσε να εφαρμοστεί σε κάρτες διασύνδεσης ασύρματου δικτύου προ-WPA που άρχισαν να αποστέλλονται ήδη από το 1999 μέσω αναβαθμίσεων υλικολογισμικού. Επειδή οι αλλαγές απαιτούσαν λιγότερες τροποποιήσεις στον υπολογιστή-πελάτη από ό, τι στο σημείο ασύρματης πρόσβασης, τα περισσότερα AP πριν από το 2003 δεν μπορούσαν να αναβαθμιστούν ώστε να υποστηρίζουν WPA με TKIP. Οι ερευνητές ανακάλυψαν έκτοτε ένα ελάττωμα στο TKIP που βασίστηκε σε παλαιότερες αδυναμίες για να ανακτήσει το keystream από μικρά πακέτα που θα χρησιμοποιηθούν για επανέγχυση και πλαστογράφηση.
Το μεταγενέστερο σήμα πιστοποίησης WPA2 υποδεικνύει τη συμμόρφωση με ένα προηγμένο πρωτόκολλο που εφαρμόζει το πλήρες πρότυπο. Αυτό το προηγμένο πρωτόκολλο δεν θα λειτουργήσει με μερικές παλαιότερες κάρτες δικτύου. Τα προϊόντα που έχουν ολοκληρώσει επιτυχώς τις δοκιμές από τη Wi-Fi Alliance για συμμόρφωση με το πρωτόκολλο μπορούν να φέρουν το σήμα πιστοποίησης WPA.
WPA2
Το WPA2 αντικατέστησε το WPA. όπως το WPA, το WPA2 απαιτεί δοκιμές και πιστοποίηση από τη Συμμαχία Wi-Fi. Το WPA2 υλοποιεί τα υποχρεωτικά στοιχεία του 802.11i. Συγκεκριμένα, εισάγει έναν νέο αλγόριθμο βασισμένο σε AES, τον CCMP, ο οποίος θεωρείται πλήρως ασφαλής. Η πιστοποίηση ξεκίνησε τον Σεπτέμβριο του 2004. Από τις 13 Μαρτίου 2006, η πιστοποίηση WPA2 είναι υποχρεωτική για όλες τις νέες συσκευές που φέρουν το εμπορικό σήμα Wi-Fi.
Ασφάλεια σε λειτουργία προ-κοινόχρηστου κλειδιού
Η λειτουργία προ-κοινόχρηστου κλειδιού (PSK, γνωστή και ως Personal mode) έχει σχεδιαστεί για οικιακά και μικρά δίκτυα γραφείου που δεν απαιτούν την πολυπλοκότητα ενός διακομιστή ελέγχου ταυτότητας 802.1X. Κάθε συσκευή ασύρματου δικτύου κρυπτογραφεί την κίνηση του δικτύου χρησιμοποιώντας ένα κλειδί 256 bit. Αυτό το κλειδί μπορεί να εισαχθεί είτε ως συμβολοσειρά 64 δεκαεξαδικών ψηφίων είτε ως φράση πρόσβασης 8 έως 63 εκτυπώσιμων χαρακτήρων ASCII. Εάν χρησιμοποιούνται χαρακτήρες ASCII, το κλειδί 256 bit υπολογίζεται χρησιμοποιώντας τη συνάρτηση κατακερματισμού PBKDF2, χρησιμοποιώντας τη φράση πρόσβασης ως κλειδί και το SSID ως άλας.
Το WPA με κοινόχρηστο κλειδί είναι ευάλωτο σε επιθέσεις σπασίματος κωδικού πρόσβασης εάν χρησιμοποιείται μια αδύναμη φράση πρόσβασης. Για να προστατευτείτε από μια επίθεση ωμής δύναμης, μια πραγματικά τυχαία φράση πρόσβασης 13 χαρακτήρων (επιλεγμένη από το σύνολο των 95 επιτρεπόμενων χαρακτήρων) είναι πιθανώς αρκετή. Οι πίνακες αναζήτησης έχουν υπολογιστεί από την Εκκλησία του WiFi (μια ασύρματη ομάδα έρευνας ασφαλείας) για τα κορυφαία 1000 SSID [8] για ένα εκατομμύριο διαφορετικές φράσεις πρόσβασης WPA/WPA2. [9] Για περαιτέρω προστασία από την εισβολή, το SSID του δικτύου δεν πρέπει να ταιριάζει με καμία καταχώριση στα κορυφαία 1000 SSID.
Τον Αύγουστο του 2008, ανακοινώθηκε μια ανάρτηση στα φόρουμ Nvidia-CUDA, η δυνατότητα να ενισχυθεί η απόδοση επιθέσεων βίαιης δύναμης κατά του WPA-PSK κατά 30 και περισσότερο σε σύγκριση με την τρέχουσα εφαρμογή της CPU. Ο χρονοβόρος υπολογισμός PBKDF2 αποφορτίζεται από την CPU σε μια GPU η οποία μπορεί να υπολογίσει πολλούς κωδικούς πρόσβασης και τα αντίστοιχα προ-κοινόχρηστα κλειδιά τους παράλληλα. Ο διάμεσος χρόνος για την επιτυχημένη εικασία ενός κοινού κωδικού πρόσβασης μειώνεται σε περίπου 2-3 ημέρες χρησιμοποιώντας αυτήν τη μέθοδο. Οι αναλυτές της μεθόδου σημείωσαν γρήγορα ότι η εφαρμογή της CPU που χρησιμοποιήθηκε στη σύγκριση θα ήταν σε θέση να χρησιμοποιήσει μερικές από τις ίδιες τεχνικές παραλληλοποίησης - χωρίς φόρτωση σε GPU - για να επιταχύνει την επεξεργασία κατά ένα συντελεστή έξι.
Αδυναμία στο TKIP
Μια αδυναμία διαπιστώθηκε τον Νοέμβριο του 2008 από ερευνητές σε δύο γερμανικά τεχνικά πανεπιστήμια (TU Dresden και TU Darmstadt), Erik Tews και Martin Beck, οι οποίοι βασίστηκαν σε ένα προηγουμένως γνωστό ελάττωμα στο WEP που θα μπορούσε να αξιοποιηθεί μόνο για τον αλγόριθμο TKIP στο WPA. Τα ελαττώματα μπορούν να αποκρυπτογραφήσουν μόνο σύντομα πακέτα με κυρίως γνωστό περιεχόμενο, όπως μηνύματα ARP και 802.11e, το οποίο επιτρέπει την ιεράρχηση προτεραιότητας πακέτων ποιότητας υπηρεσιών για φωνητικές κλήσεις και μέσα ροής. Τα ελαττώματα δεν οδηγούν σε ανάκτηση κλειδιού, αλλά μόνο σε μια βασική ροή που κρυπτογραφεί ένα συγκεκριμένο πακέτο και το οποίο μπορεί να επαναχρησιμοποιηθεί έως και επτά φορές για την ένεση αυθαίρετων δεδομένων του ίδιου μήκους πακέτου σε ασύρματο πρόγραμμα -πελάτη. Για παράδειγμα, αυτό επιτρέπει την έγχυση πλαστών πακέτων ARP που κάνει το θύμα να στέλνει πακέτα στο ανοιχτό Διαδίκτυο.
Υποστήριξη υλικού
Οι περισσότερες νεότερες συσκευές ΠΙΣΤΟΠΟΙΗΜΕΝΩΝ Wi-Fi υποστηρίζουν τα πρωτόκολλα ασφαλείας που συζητήθηκαν παραπάνω, εκτός συσκευής, καθώς απαιτείται συμμόρφωση με αυτό το πρωτόκολλο για πιστοποίηση Wi-Fi από τον Σεπτέμβριο του 2003.
Το πρωτόκολλο που πιστοποιήθηκε μέσω του προγράμματος WPA της Wi-Fi Alliance (και σε μικρότερο βαθμό WPA2) σχεδιάστηκε ειδικά για να λειτουργεί επίσης με ασύρματο υλικό που παρήχθη πριν από την εισαγωγή του πρωτοκόλλου, το οποίο συνήθως υποστήριζε μόνο ανεπαρκή ασφάλεια μέσω WEP. Πολλές από αυτές τις συσκευές υποστηρίζουν το πρωτόκολλο ασφαλείας μετά από αναβάθμιση υλικολογισμικού. Οι αναβαθμίσεις υλικολογισμικού δεν είναι διαθέσιμες για όλες τις παλαιές συσκευές.
Επιπλέον, πολλοί κατασκευαστές συσκευών Wi-Fi καταναλωτών έχουν λάβει μέτρα για να εξαλείψουν τις δυνατότητες ασθενών επιλογών φράσης πρόσβασης προωθώντας μια εναλλακτική μέθοδο αυτόματης παραγωγής και διανομής ισχυρών κλειδιών κατά την προσθήκη ενός νέου ασύρματου προσαρμογέα ή συσκευής σε ένα δίκτυο. Η Wi-Fi Alliance έχει τυποποιήσει αυτές τις μεθόδους και πιστοποιεί τη συμμόρφωση με αυτά τα πρότυπα μέσω ενός προγράμματος που ονομάζεται Wi-Fi Protected Setup.
Παραπομπές Wikipedia
