یک برنامه صدور گواهینامه است که توسط اتحاد Wi-Fi ایجاد شده است تا نشان دهد که با پروتکل امنیتی ایجاد شده توسط اتحاد Wi-Fi برای ایمن سازی شبکه های کامپیوتری بی سیم ایجاد شده است. این پروتکل در پاسخ به چندین نقطه ضعف جدی محققان در سیستم قبلی ، Wired Equivalent Privacy (WEP) ایجاد شده بود.
این پروتکل اکثریت استاندارد IEEE 802.11i را اجرا می کند و به عنوان یک اقدام متوسط برای جایگزینی WEP در حالی که 802.11i آماده شده بود ، در نظر گرفته شد. به طور خاص ، پروتکل صداقت کلیدی زمانی (TKIP) ، به WPA آورده شد. TKIP را می توان بر روی کارت های رابط شبکه بی سیم پیش از WPA پیاده سازی کرد که از سال 1999 از طریق ارتقاء سیستم عامل شروع به ارسال کردند. از آنجا که تغییرات نیاز به تغییرات کمتری در سرویس گیرنده نسبت به نقطه دسترسی بی سیم داشت ، اکثر AP های قبل از 2003 را نمی توان برای پشتیبانی از WPA با TKIP ارتقا داد. از آن زمان محققان نقصی در TKIP کشف کردند که بر ضعف های قدیمی تر تکیه می کرد تا جریان اصلی را از بسته های کوتاه برای بازیابی مجدد و جعل مجدد استفاده کند.
علامت گواهینامه WPA2 بعدی نشان دهنده مطابقت با یک پروتکل پیشرفته است که استاندارد کامل را پیاده سازی می کند. این پروتکل پیشرفته با برخی از کارت های شبکه قدیمی کار نمی کند. محصولاتی که آزمایش انعطاف پذیری پروتکل توسط اتحادیه Wi-Fi را با موفقیت به پایان رسانده اند می توانند نشان گواهینامه WPA را داشته باشند.
WPA2
WPA2 جایگزین WPA شد. مانند WPA ، WPA2 نیاز به آزمایش و تأییدیه توسط اتحاد Wi-Fi دارد. WPA2 عناصر اجباری 802.11i را پیاده سازی می کند. به طور خاص ، یک الگوریتم جدید مبتنی بر AES ، CCMP را معرفی می کند ، که کاملاً امن تلقی می شود. صدور گواهینامه در سپتامبر 2004 آغاز شد. از 13 مارس 2006 ، گواهینامه WPA2 برای همه دستگاه های جدید که دارای علامت تجاری Wi-Fi هستند اجباری است.
امنیت در حالت کلید از پیش مشترک
حالت کلید از پیش مشترک (PSK ، همچنین به عنوان حالت شخصی شناخته می شود) برای شبکه های خانگی و اداری کوچک طراحی شده است که نیازی به پیچیدگی سرور احراز هویت 802.1X ندارند. هر دستگاه شبکه بی سیم با استفاده از یک کلید 256 بیتی ترافیک شبکه را رمزگذاری می کند. این کلید ممکن است به صورت رشته ای از 64 رقم هگزا دسیمال یا عبارت عبور 8 تا 63 کاراکتر ASCII قابل چاپ وارد شود. در صورت استفاده از نویسه های ASCII ، کلید 256 بیتی با استفاده از تابع هش PBKDF2 ، با استفاده از عبارت عبور به عنوان کلید و SSID به عنوان نمک محاسبه می شود.
اگر از عبارت عبور ضعیف استفاده شود ، WPA با کلید مشترک آسیب پذیر است. برای محافظت در برابر حمله نیروی وحشیانه ، احتمالاً یک عبارت عبور تصادفی واقعی از 13 نویسه (از مجموعه 95 نویسه مجاز انتخاب شده) کافی است. جداول جستجو توسط Church of WiFi (یک گروه تحقیقاتی امنیت بی سیم) برای 1000 SSID برتر [8] برای یک میلیون عبارت WPA/WPA2 مختلف محاسبه شده است. [9] برای محافظت بیشتر در برابر نفوذ ، SSID شبکه نباید با هیچ ورودی در 1000 SSID برتر مطابقت داشته باشد.
در آگوست 2008 ، مطلبی در انجمن های Nvidia-CUDA ، امکان افزایش عملکرد حملات وحشیانه علیه WPA-PSK را به میزان 30 و بیشتر در مقایسه با اجرای CPU فعلی اعلام کرد. محاسبه وقت گیر PBKDF2 از CPU به GPU منتقل می شود که می تواند رمزهای عبور متعدد و کلیدهای از پیش مشترک مربوطه را به طور موازی محاسبه کند. زمان متوسط برای موفقیت در حدس زدن رمزعبور رایج با استفاده از این روش به حدود 2-3 روز کاهش می یابد. تحلیلگران این روش به سرعت اشاره کردند که پیاده سازی CPU مورد استفاده در مقایسه می تواند از برخی از تکنیک های موازی سازی مشابه - بدون بارگذاری در GPU - برای سرعت بخشیدن به پردازش تا شش برابر استفاده کند.
ضعف در TKIP
یک نقطه ضعف در نوامبر 2008 توسط محققان دو دانشگاه فنی آلمان (TU درسدن و TU Darmstadt) ، اریک تیوز و مارتین بک ، آشکار شد که بر نقص WEP که قبلاً شناخته شده بود تکیه می کردند و تنها برای الگوریتم TKIP در WPA قابل استفاده بود. این نقص ها فقط می توانند بسته های کوتاه با محتویات بیشتر شناخته شده ، مانند پیام های ARP و 802.11e را رمزگشایی کنند ، که به اولویت بندی بسته کیفیت خدمات برای تماس های صوتی و رسانه های پخش کننده اجازه می دهد. این اشکالات منجر به بازیابی کلید نمی شود ، بلکه تنها یک جریان اصلی است که یک بسته خاص را رمزگذاری می کند و می تواند تا هفت بار مجدداً مورد استفاده قرار گیرد تا داده های دلخواه با همان طول بسته به یک سرویس گیرنده بی سیم تزریق شود. به عنوان مثال ، این اجازه می دهد تا بسته های جعلی ARP را تزریق کند که باعث می شود قربانی بسته ها را به اینترنت باز ارسال کند.
پشتیبانی سخت افزاری
اکثر دستگاه های جدیدتر Wi-Fi CERTIFIED از پروتکل های امنیتی مورد بحث در بالا ، خارج از جعبه پشتیبانی می کنند ، زیرا رعایت این پروتکل برای صدور گواهینامه Wi-Fi از سپتامبر 2003 مورد نیاز است.
پروتکل تأیید شده از طریق برنامه WPA Wi-Fi Alliance (و تا حدی کمتر WPA2) به طور خاص برای کار با سخت افزار بی سیم که قبل از معرفی پروتکل تولید شده بود ، طراحی شده بود ، که معمولاً از امنیت ناکافی از طریق WEP پشتیبانی می کرد. بسیاری از این دستگاه ها پس از ارتقاء سیستم عامل از پروتکل امنیتی پشتیبانی می کنند. ارتقاء سیستم عامل برای همه دستگاه های قدیمی در دسترس نیست.
علاوه بر این ، بسیاری از تولیدکنندگان دستگاه Wi-Fi مصرف کننده با ترویج یک روش جایگزین برای تولید و توزیع کلیدهای قوی هنگام افزودن یک آداپتور یا دستگاه بی سیم جدید به یک شبکه ، اقداماتی را برای از بین بردن احتمال انتخاب ضعیف عبارت عبور انجام داده اند. اتحاد Wi-Fi این روش ها را استاندارد کرده است و مطابقت با این استانداردها را از طریق برنامه ای به نام Wi-Fi Protected Setup تأیید می کند.
منابع ویکی پدیا
