היא תוכנית הסמכה שנוצרה על ידי ברית ה- Wi-Fi לציון עמידה בפרוטוקול האבטחה שיצרה ברית Wi-Fi לאבטחת רשתות מחשבים אלחוטיות. פרוטוקול זה נוצר בתגובה למספר חולשות חמורות שמצאו החוקרים במערכת הקודמת, Wired Equivalent Privacy (WEP).
הפרוטוקול מיישם את רוב התקן IEEE 802.11i, ונועד כאמצעי ביניים לתפוס את מקומו של WEP בזמן ש- 802.11i הוכן. באופן ספציפי, פרוטוקול תמימות המפתח הזמני (TKIP), הוכנס ל- WPA. ניתן ליישם את TKIP על כרטיסי ממשק רשת אלחוטית לפני WPA שהחלו להישלח עוד בשנת 1999 באמצעות שדרוגי קושחה. מכיוון שהשינויים דרשו פחות שינויים בלקוח מאשר בנקודת הגישה האלחוטית, לא ניתן היה לשדרג את מרבית ה- AP לפני 2003 כדי לתמוך ב- WPA באמצעות TKIP. חוקרים גילו מאז פגם ב- TKIP שהסתמך על חולשות ישנות יותר לאחזור זרם המפתחות מחבילות קצרות לשימוש להזרקה וזיוף מחדש.
סימן ההסמכה המאוחר יותר של WPA2 מציין עמידה בפרוטוקול מתקדם שמיישם את התקן המלא. פרוטוקול מתקדם זה לא יעבוד בכמה כרטיסי רשת ישנים יותר. מוצרים שסיימו בהצלחה את הבדיקות של Wi-Fi Alliance על התאמה לפרוטוקול יכולים לשאת את תו הסמכת WPA.
WPA2
WPA2 החליף את WPA; בדומה ל- WPA, WPA2 דורש בדיקות ואישור של Wi-Fi Alliance. WPA2 מיישם את רכיבי החובה של 802.11i. בפרט היא מציגה אלגוריתם חדש מבוסס AES, CCMP, הנחשב לאבטח מלא. ההסמכה החלה בספטמבר 2004; החל מה -13 במרץ 2006, אישור WPA2 הוא חובה על כל המכשירים החדשים לשאת את הסימן המסחרי של Wi-Fi.
אבטחה במצב מפתח משותף מראש
מצב מפתח משותף מראש (PSK, המכונה גם מצב אישי) מיועד לרשתות ביתיות ורשתות משרדות קטנות שאינן דורשות את מורכבותו של שרת אימות 802.1X. כל התקן רשת אלחוטית מצפין את תעבורת הרשת באמצעות מפתח 256 סיביות. ניתן להזין מפתח זה כמחרוזת של 64 ספרות הקסדצימליות, או כמשפט סיסמה של 8 עד 63 תווים ASCII הניתנים להדפסה. אם משתמשים בתווים ASCII, מפתח 256 הסיביות מחושב באמצעות פונקציית ה- hash PBKDF2, תוך שימוש במשפט הסיסמה כמפתח ו- SSID כמלח.
WPA מפתח משותף פגיע להתקפות של פיצוח סיסמאות אם משתמשים בביטוי סיסמה חלש. כדי להגן מפני התקפה של כוח אכזרי, כנראה שסיסמה אקראית של 13 תווים (שנבחרה מתוך קבוצת 95 התווים המותרים) מספיקה כנראה. טבלאות החיפושים חושבו על ידי כנסיית ה- WiFi (קבוצת מחקר אבטחה אלחוטית) עבור 1000 ה- SSID הטובים [8] עבור מיליון ביטויי סיסמה שונים של WPA/WPA2. [9] כדי להגן עוד יותר מפני חדירה, SSID הרשת לא צריך להתאים לאף ערך ב -1000 SSID המובילים.
באוגוסט 2008 הודיע פוסט בפורום Nvidia-CUDA, על האפשרות לשפר את ביצועי התקפות כוח האכזריות נגד WPA-PSK בפקטור של 30 ויותר בהשוואה ליישום המעבד הנוכחי. חישוב PBKDF2 שדורש זמן רב יורד מהמעבד ל- GPU שיכול לחשב סיסמאות רבות והמפתחות המתאימים להם מראש במקביל. הזמן החציוני לנחש בהצלחה סיסמה נפוצה מצטמצם לכ- 2-3 ימים בשיטה זו. מנתחי השיטה ציינו במהירות כי יישום המעבד המשמש בהשוואה יוכל להשתמש בכמה מאותן טכניקות מקבילות - מבלי להורדה ל- GPU - כדי להאיץ את העיבוד בפקטור שש.
חולשה ב- TKIP
חולשה נחשפה בנובמבר 2008 על ידי חוקרים בשתי אוניברסיטאות טכניות גרמניות (TU Dresden ו- TU Darmstadt), Erik Tews ומרטין בק, שהסתמכו על פגם ידוע בעבר ב- WEP שניתן לנצל רק לאלגוריתם TKIP ב- WPA. הפגמים יכולים לפענח רק מנות קצרות עם תוכן ידוע ברובו, כגון הודעות ARP ו- 802.11e, המאפשרת עדיפות לחבילות איכות השירות עבור שיחות קוליות והזרמת מדיה. הפגמים אינם מובילים לשחזור מפתחות, אלא רק לזרם מפתחות שהצפין חבילה מסוימת, ואשר ניתן לעשות בה שימוש חוזר עד שבע פעמים להזרקת נתונים שרירותיים של אותו אורך מנות ללקוח אלחוטי. לדוגמה, זה מאפשר להזריק מנות ARP מזויפות מה שגורם לקורבן לשלוח מנות לאינטרנט הפתוח.
תמיכה בחומרה
רוב מכשירי ה- Wi-Fi CERTIFIED החדשים יותר תומכים בפרוטוקולי האבטחה שנדונו לעיל, מחוץ לקופסה, מכיוון שנדרשת עמידה בפרוטוקול זה לאישור Wi-Fi מאז ספטמבר 2003.
הפרוטוקול שאושר באמצעות תוכנית ה- WPA של Wi-Fi Alliance (ובמידה פחותה WPA2) תוכנן במיוחד לעבודה גם עם חומרה אלחוטית שהופקה לפני הצגת הפרוטוקול, שבדרך כלל תמך רק באבטחה לא מספקת באמצעות WEP. רבים מהתקנים אלה תומכים בפרוטוקול האבטחה לאחר שדרוג קושחה. שדרוגי קושחה אינם זמינים לכל המכשירים הישנים.
יתר על כן, יצרני מכשירי Wi-Fi צרכנים רבים נקטו צעדים כדי לחסל את הפוטנציאל של בחירות ביטוי סיסמה חלשות על ידי קידום שיטה חלופית ליצירה והפצה אוטומטית של מפתחות חזקים בעת הוספת מתאם אלחוטי או מכשיר חדש לרשת. ברית ה- Wi-Fi תקנתה שיטות אלה ומאשרת עמידה בתקנים אלה באמצעות תוכנית הנקראת Wi-Fi Protected Setup.
הפניות ויקיפדיה
