on Wi-Fi Alliance'i loodud sertifitseerimisprogramm, mis näitab vastavust Wi-Fi Alliance'i loodud traadita protokollidele traadita arvutivõrkude turvalisuse tagamiseks. See protokoll loodi vastuseks mitmetele tõsistele nõrkustele, mille teadlased olid varasemas süsteemis Wired Equivalent Privacy (WEP) leidnud.
Protokoll rakendab enamikku IEEE 802.11i standardist ja oli mõeldud vahemeetmena WEP asemel 802.11i ettevalmistamisel. Täpsemalt lisati WPA -sse ajaline võtme terviklikkuse protokoll (TKIP). TKIP-i saab rakendada WPA-eelsetele traadita võrguliidese kaartidele, mida hakati tarnima juba 1999. aastal püsivara uuendamise kaudu. Kuna muudatused nõudsid kliendil vähem muudatusi kui traadita pääsupunktis, ei saanud enamikku 2003. aasta eelsetest AP-dest uuendada, et toetada WPA-d TKIP-iga. Teadlased on sellest ajast avastanud vea TKIP-s, mis tugines vanematele nõrkustele, et saada võtmevoog lühikestest pakettidest uuesti süstimiseks ja võltsimiseks.
Hilisem WPA2 sertifitseerimismärk näitab vastavust täiustatud protokollile, mis rakendab täielikku standardit. See täiustatud protokoll ei tööta mõne vanema võrgukaardiga. Tooted, mis on edukalt lõpetanud Wi-Fi Alliance'i protokolli järgimise testimise, võivad kanda WPA sertifikaadimärki.
WPA2
WPA2 asendas WPA; nagu WPA, nõuab ka WPA2 Wi-Fi Alliance'i testimist ja sertifitseerimist. WPA2 rakendab 802.11i kohustuslikke elemente. Eelkõige tutvustab see uut AES-põhist algoritmi CCMP, mida peetakse täiesti turvaliseks. Sertifitseerimine algas 2004. aasta septembris; Alates 13. märtsist 2006 on WPA2 sertifikaat kohustuslik kõigile uutele seadmetele, millel on WiFi kaubamärk.
Turvalisus jagatud võtme režiimis
Eeljagatud võtme režiim (PSK, tuntud ka kui isiklik režiim) on mõeldud kodu- ja väikekontorivõrkudele, mis ei vaja 802.1X autentimisserveri keerukust. Iga traadita võrguseade krüpteerib võrguliikluse 256 -bitise võtme abil. Selle võtme võib sisestada kas 64 kuueteistkümnendnumbrilise stringina või paroolina 8–63 prinditavat ASCII tähemärki. Kui kasutatakse ASCII märke, arvutatakse 256 -bitine võti PBKDF2 räsifunktsiooni abil, kasutades võtmena parooli ja soolana SSID -d.
Jagatud võtmega WPA on nõrga parooli kasutamisel tundlik paroolimurdmise rünnakute suhtes. Jõhkra jõu rünnaku eest kaitsmiseks piisab tõenäoliselt 13 -tähemärgilisest tõeliselt juhuslikust paroolist (mis on valitud 95 lubatud tähemärgi hulgast). Otsingustabelid on WiFi kirik (traadita turvalisuse uurimisrühm) välja arvutanud 1000 parima SSID [8] kohta miljoni erineva WPA/WPA2 parooli jaoks. [9] Sissetungimise eest kaitsmiseks ei tohiks võrgu SSID ühtida ühegi 1000 parima SSID -ga.
2008. aasta augustis kuulutati Nvidia-CUDA foorumite postituses välja võimalus suurendada WPA-PSK vastu suunatud jõhkra jõu rünnakuid 30 korda ja rohkem, võrreldes praeguse protsessori juurutamisega. Aeganõudev PBKDF2-arvutus laaditakse protsessorist välja GPU-sse, mis suudab paralleelselt arvutada palju paroole ja neile vastavaid eeljagatud võtmeid. Keskmine aeg tavalise parooli edukaks äraarvamiseks väheneb selle meetodi abil umbes 2-3 päevani. Meetodi analüsaatorid märkisid kiiresti, et võrdluses kasutatud protsessori teostus oleks võimeline töötlemise kiirendamiseks kuus korda kasutama mõnda samu paralleeltehnikaid - ilma GPU -le laadimata.
Nõrkus TKIP -is
Nõrkuse avastasid 2008. aasta novembris kahe Saksamaa tehnikaülikooli (TLÜ Dresden ja TLÜ Darmstadt) teadlased Erik Tews ja Martin Beck, kes tuginesid varem teadaolevale WEP -i veale, mida saaks kasutada ainult WPA TKIP -algoritmi jaoks. Vigade abil saab dekrüpteerida ainult lühikesed paketid, millel on enamasti teadaolev sisu, näiteks ARP -sõnumid, ja 802.11e, mis võimaldab teenusekvaliteedi pakettide prioriteetsust häälkõnede ja voogesituse jaoks. Vead ei too kaasa võtmete taastamist, vaid ainult võtmevoogu, mis krüpteeris konkreetse paketi ja mida saab taaskasutada kuni seitse korda sama pakettpikkuse suvaliste andmete juhtmeta kliendile süstimiseks. Näiteks võimaldab see süstida võltsitud ARP -pakette, mis sunnib ohvrit pakette avatud internetti saatma.
Riistvara tugi
Enamik uuemaid Wi-Fi CERTIFIED seadmeid toetab ülalkirjeldatud turvaprotokolle ja seda kohe, kuna selle sertifikaadi järgimine on Wi-Fi sertifitseerimiseks vajalik alates 2003. aasta septembrist.
Wi-Fi Alliance'i WPA programmi (ja vähemal määral WPA2) kaudu sertifitseeritud protokoll oli spetsiaalselt loodud töötama ka traadita riistvaraga, mis toodeti enne protokolli kasutuselevõttu, mis tavaliselt toetas ainult ebapiisavat turvalisust WEP kaudu. Paljud neist seadmetest toetavad turvaprogrammi pärast püsivara uuendamist. Püsivara uuendamine pole kõigi pärandseadmete jaoks saadaval.
Lisaks on paljud tarbijate WiFi-seadmete tootjad astunud samme, et kõrvaldada nõrkade paroolifraaside potentsiaal, edendades alternatiivset meetodit tugevate võtmete automaatseks genereerimiseks ja levitamiseks uue traadita adapteri või seadme võrku lisamisel. Wi-Fi Alliance on need meetodid standardinud ja kinnitab nende standardite järgimist programmi nimega Wi-Fi Protected Setup.
Viited Wikipedia
