es un programa de certificación creado por Wi-Fi Alliance para indicar el cumplimiento del protocolo de seguridad creado por Wi-Fi Alliance para proteger las redes informáticas inalámbricas. Este protocolo se creó en respuesta a varias debilidades graves que los investigadores habían encontrado en el sistema anterior, Privacidad equivalente por cable (WEP).
El protocolo implementa la mayor parte del estándar IEEE 802.11i, y fue pensado como una medida intermedia para reemplazar WEP mientras se preparaba 802.11i. Específicamente, el Protocolo de integridad de clave temporal (TKIP) se incorporó a WPA. TKIP podría implementarse en tarjetas de interfaz de red inalámbrica anteriores a WPA que comenzaron a enviarse en 1999 mediante actualizaciones de firmware. Debido a que los cambios requirieron menos modificaciones en el cliente que en el punto de acceso inalámbrico, la mayoría de los AP anteriores a 2003 no se pudieron actualizar para admitir WPA con TKIP. Desde entonces, los investigadores han descubierto una falla en TKIP que se basaba en debilidades más antiguas para recuperar el flujo de claves de paquetes cortos y usarlo para reinyección y suplantación de identidad.
La última marca de certificación WPA2 indica el cumplimiento de un protocolo avanzado que implementa el estándar completo. Este protocolo avanzado no funcionará con algunas tarjetas de red más antiguas. Los productos que hayan completado con éxito las pruebas de Wi-Fi Alliance para verificar el cumplimiento del protocolo pueden llevar la marca de certificación WPA.
WPA2
WPA2 reemplazó a WPA; al igual que WPA, WPA2 requiere pruebas y certificación de Wi-Fi Alliance. WPA2 implementa los elementos obligatorios de 802.11i. En particular, presenta un nuevo algoritmo basado en AES, CCMP, que se considera completamente seguro. La certificación comenzó en septiembre de 2004; Desde el 13 de marzo de 2006, la certificación WPA2 es obligatoria para que todos los dispositivos nuevos lleven la marca comercial Wi-Fi.
Seguridad en modo de clave precompartida
El modo de clave precompartida (PSK, también conocido como modo personal) está diseñado para redes domésticas y de oficinas pequeñas que no requieren la complejidad de un servidor de autenticación 802.1X. Cada dispositivo de red inalámbrica cifra el tráfico de la red mediante una clave de 256 bits. Esta clave se puede ingresar como una cadena de 64 dígitos hexadecimales o como una frase de contraseña de 8 a 63 caracteres ASCII imprimibles. Si se utilizan caracteres ASCII, la clave de 256 bits se calcula utilizando la función hash PBKDF2, utilizando la frase de contraseña como clave y el SSID como sal.
WPA de clave compartida es vulnerable a los ataques de descifrado de contraseñas si se utiliza una frase de contraseña débil. Para protegerse contra un ataque de fuerza bruta, una frase de contraseña verdaderamente aleatoria de 13 caracteres (seleccionados del conjunto de 95 caracteres permitidos) probablemente sea suficiente. Las tablas de búsqueda han sido calculadas por la Iglesia de WiFi (un grupo de investigación de seguridad inalámbrica) para los 1000 SSID principales [8] para un millón de frases de contraseña WPA / WPA2 diferentes. [9] Para proteger aún más contra intrusiones, el SSID de la red no debe coincidir con ninguna entrada en los 1000 SSID principales.
En agosto de 2008, una publicación en los foros de Nvidia-CUDA anunció la posibilidad de mejorar el rendimiento de los ataques de fuerza bruta contra WPA-PSK en un factor de 30 y más en comparación con la implementación actual de la CPU. El lento cálculo de PBKDF2 se descarga de la CPU a una GPU que puede calcular muchas contraseñas y sus correspondientes claves precompartidas en paralelo. El tiempo medio para adivinar correctamente una contraseña común se reduce a unos 2-3 días con este método. Los analizadores del método notaron rápidamente que la implementación de CPU utilizada en la comparación podría usar algunas de las mismas técnicas de paralelización, sin descargar a una GPU, para acelerar el procesamiento en un factor de seis.
Debilidad en TKIP
Una debilidad fue descubierta en noviembre de 2008 por investigadores de dos universidades técnicas alemanas (TU Dresden y TU Darmstadt), Erik Tews y Martin Beck, que se basaba en una falla previamente conocida en WEP que solo podía explotarse para el algoritmo TKIP en WPA. Las fallas solo pueden descifrar paquetes cortos con contenido mayormente conocido, como mensajes ARP y 802.11e, que permite la priorización de paquetes de calidad de servicio para llamadas de voz y transmisión de medios. Las fallas no conducen a la recuperación de claves, sino solo a un flujo de claves que encripta un paquete en particular, y que se puede reutilizar hasta siete veces para inyectar datos arbitrarios de la misma longitud de paquete a un cliente inalámbrico. Por ejemplo, esto permite inyectar paquetes ARP falsos que hacen que la víctima envíe paquetes a la Internet abierta.
Soporte de hardware
La mayoría de los dispositivos CERTIFICADOS Wi-Fi más nuevos son compatibles con los protocolos de seguridad mencionados anteriormente, listos para usar, ya que el cumplimiento de este protocolo se requiere para una certificación Wi-Fi desde septiembre de 2003.
El protocolo certificado a través del programa WPA de Wi-Fi Alliance (y en menor medida WPA2) fue diseñado específicamente para funcionar también con hardware inalámbrico que se produjo antes de la introducción del protocolo, que generalmente solo había admitido una seguridad inadecuada a través de WEP. Muchos de estos dispositivos admiten el protocolo de seguridad después de una actualización de firmware. Las actualizaciones de firmware no están disponibles para todos los dispositivos heredados.
Además, muchos fabricantes de dispositivos Wi-Fi de consumo han tomado medidas para eliminar el potencial de elecciones débiles de frases de contraseña al promover un método alternativo para generar y distribuir claves seguras automáticamente al agregar un nuevo adaptador o dispositivo inalámbrico a una red. Wi-Fi Alliance ha estandarizado estos métodos y certifica el cumplimiento de estos estándares a través de un programa llamado Configuración protegida Wi-Fi.
Referencias Wikipedia
