egy tanúsítási program, amelyet a Wi-Fi Alliance hozott létre annak jelzésére, hogy megfelel a Wi-Fi Alliance által a vezeték nélküli számítógépes hálózatok védelmére létrehozott biztonsági protokollnak. Ezt a protokollt számos súlyos gyengeségre válaszul hozták létre, amelyeket a kutatók a korábbi rendszerben, a Wired Equivalent Privacy (WEP) rendszerben találtak.
A protokoll az IEEE 802.11i szabvány többségét valósítja meg, és közbenső intézkedésként a WEP helyébe lépett, míg a 802.11i elkészült. Konkrétan a Temporal Key Integrity Protocol (TKIP) protokoll került a WPA -ba. A TKIP megvalósítható volt a WPA előtti vezeték nélküli hálózati interfészkártyákon, amelyek szállítását már 1999-ben megkezdték a firmware frissítésével. Mivel a változtatások kevesebb módosítást igényeltek az ügyfélen, mint a vezeték nélküli hozzáférési ponton, a 2003 előtti AP-k többségét nem lehetett frissíteni a WPA TKIP támogatására. A kutatók azóta felfedeztek egy hibát a TKIP-ben, amely régebbi gyengeségekre támaszkodva lekérte a billentyűzetet a rövid csomagokból az újbóli befecskendezéshez és hamisításhoz.
A későbbi WPA2 tanúsítási jel a teljes szabványt megvalósító fejlett protokollnak való megfelelést jelzi. Ez a speciális protokoll nem működik néhány régebbi hálózati kártyával. Azok a termékek, amelyek sikeresen befejezték a Wi-Fi Alliance protokoll szerinti tesztelését, viselhetik a WPA tanúsítási jelet.
WPA2
A WPA2 helyettesítette a WPA -t; A WPA-hoz hasonlóan a WPA2-hez a Wi-Fi Alliance tesztelése és tanúsítása szükséges. A WPA2 a 802.11i kötelező elemeit valósítja meg. Különösen egy új AES-alapú algoritmust, a CCMP-t vezet be, amely teljesen biztonságosnak tekinthető. A tanúsítás 2004 szeptemberében kezdődött; 13. március 2006-tól a WPA2 tanúsítvány kötelező minden új eszközön, amelyen a Wi-Fi védjegy szerepel.
Biztonság előre megosztott kulcs módban
Az előre megosztott kulcs mód (PSK, más néven személyes mód) otthoni és kis irodai hálózatokhoz készült, amelyek nem igénylik a 802.1X hitelesítési szerver összetettségét. Minden vezeték nélküli hálózati eszköz 256 bites kulccsal titkosítja a hálózati forgalmat. Ezt a kulcsot 64 hexadecimális számjegyből álló karakterláncként vagy 8-63 nyomtatható ASCII karakterből álló jelszóként lehet megadni. Ha ASCII karaktereket használ, a 256 bites kulcsot a PBKDF2 kivonatolási függvény segítségével számítják ki, kulcsként a jelszót és sóként az SSID -t.
A megosztott kulcsú WPA gyenge jelszó használata esetén sebezhető a jelszófeltörő támadásokkal szemben. A brute force támadással szembeni védelem érdekében a 13 karakterből álló, véletlenszerű jelszó (elegendő a 95 megengedett karakterkészletből) valószínűleg elegendő. A Church of WiFi (vezeték nélküli biztonsági kutatócsoport) kikereste a keresési táblázatokat a legjobb 1000 SSID [8] számára millió különböző WPA/WPA2 jelszó esetében. [9] A behatolás elleni további védelem érdekében a hálózat SSID -je nem egyezhet az első 1000 SSID azonosító bejegyzésével.
2008 augusztusában az Nvidia-CUDA fórumok egyik bejegyzése bejelentette, hogy a WPA-PSK elleni brute force támadások teljesítményét 30-szorosával, vagy annál nagyobb mértékben lehet növelni a jelenlegi CPU-megvalósításhoz képest. Az időigényes PBKDF2-számítás a CPU-ból egy GPU-ba kerül, amely párhuzamosan számos jelszót és a hozzájuk tartozó, előre megosztott kulcsokat tud kiszámítani. Ezzel a módszerrel az átlagos idő a közös jelszó sikeres kitalálására körülbelül 2-3 napra csökken. A módszer elemzői gyorsan megállapították, hogy az összehasonlításban használt CPU -implementáció ugyanazokat a párhuzamosítási technikákat alkalmazhatja - anélkül, hogy GPU -ra terhelné -, hatszorosára gyorsítva a feldolgozást.
Gyengeség a TKIP -ben
Egy gyengeséget fedeztek fel 2008 novemberében két német műszaki egyetem (Drezda TU és Darmstadt TU), Erik Tews és Martin Beck kutatói, akik a WEP korábban ismert hibájára támaszkodtak, amelyet csak a WPA TKIP algoritmusához lehet használni. A hibák csak a rövid, többnyire ismert tartalmú csomagokat tudják visszafejteni, például az ARP üzeneteket, és a 802.11e, amely lehetővé teszi a szolgáltatásminőségi csomagok prioritását a hanghívások és a streaming média számára. A hibák nem vezetnek kulcs -helyreállításhoz, hanem csak egy kulcscsatornához, amely titkosított egy adott csomagot, és amely akár hétszer is felhasználható az azonos csomaghosszúságú tetszőleges adatok befecskendezéséhez egy vezeték nélküli klienshez. Ez például lehetővé teszi a hamisított ARP csomagok befecskendezését, ami miatt az áldozat csomagokat küld a nyílt internetre.
Hardver támogatás
A legtöbb újabb, TANÚSÍTOTT Wi-Fi-eszköz támogatja a fentebb tárgyalt biztonsági protokollokat, azonnal, mivel 2003 szeptembere óta e protokoll betartása szükséges a Wi-Fi-tanúsításhoz.
A Wi-Fi Alliance WPA programján (és kisebb mértékben WPA2) tanúsított protokollt kifejezetten úgy tervezték, hogy működjön a protokoll bevezetése előtt gyártott vezeték nélküli hardverekkel is, amelyek általában csak a nem megfelelő biztonságot támogatták a WEP-en keresztül. Ezen eszközök közül sok támogatja a biztonsági protokollt a firmware frissítése után. A firmware -frissítések nem érhetők el minden régi eszközön.
Ezenkívül számos fogyasztói Wi-Fi-eszközgyártó lépéseket tett a gyenge jelszóválasztás lehetőségének kiküszöbölésére, alternatív módszert népszerűsítve az erős kulcsok automatikus generálására és elosztására, amikor új vezeték nélküli adaptert vagy készüléket ad a hálózathoz. A Wi-Fi Alliance szabványosította ezeket a módszereket, és a szabványoknak való megfelelést a Wi-Fi Protected Setup nevű programon keresztül igazolja.
Hivatkozások Wikipedia
