არის სერტიფიკაციის პროგრამა, რომელიც შეიქმნა Wi-Fi ალიანსის მიერ, რათა მიუთითოს უსაფრთხოების პროტოკოლის დაცვა, რომელიც შექმნილია Wi-Fi ალიანსის მიერ უკაბელო კომპიუტერული ქსელების უზრუნველსაყოფად. ეს პროტოკოლი შეიქმნა რამდენიმე სერიოზული სისუსტის საპასუხოდ, რომლებიც მკვლევარებმა აღმოაჩინეს წინა სისტემაში, Wired Equivalent Privacy (WEP).
პროტოკოლი ახორციელებს IEEE 802.11i სტანდარტის უმრავლესობას და მიზნად ისახავდა შუალედურ ღონისძიებას WEP- ის ადგილის დასადგენად, ხოლო 802.11i მომზადებული იყო. კერძოდ, დროებითი გასაღების მთლიანობის ოქმი (TKIP) შემოტანილი იქნა WPA– ში. TKIP შეიძლება განხორციელდეს წინასწარი WPA უკაბელო ქსელის ინტერფეისის ბარათებზე, რომლებმაც დაიწყეს გადაზიდვა ჯერ კიდევ 1999 წლიდან, firmware– ის განახლებების საშუალებით. იმის გამო, რომ ცვლილებები მოითხოვდა უფრო მცირე ცვლილებებს კლიენტთან შედარებით, ვიდრე უკაბელო წვდომის წერტილი, 2003 წლის წინა AP– ების უმეტესობა ვერ განახლდა WPA– ს მხარდაჭერით TKIP– ით. მას შემდეგ მკვლევარებმა აღმოაჩინეს ხარვეზი TKIP– ში, რომელიც ეყრდნობოდა ძველ სისუსტეებს, რათა ამოეღოთ ძირითადი პაკეტი მოკლე პაკეტებიდან ხელახალი ინექციისა და გაყალბების მიზნით.
გვიანდელი WPA2 სასერთიფიკატო ნიშანი მიუთითებს მოწინავე პროტოკოლის შესაბამისობაზე, რომელიც ახორციელებს სრულ სტანდარტს. ეს მოწინავე პროტოკოლი არ იმუშავებს ძველ ქსელურ ბარათებთან. პროდუქტებს, რომლებმაც წარმატებით დაასრულეს ტესტირება Wi-Fi ალიანსის მიერ პროტოკოლთან შესაბამისობისთვის, შეიძლება ჰქონდეთ WPA სერტიფიკაციის ნიშანი.
WPA2
WPA2 შეცვალა WPA; WPA- ს მსგავსად, WPA2 მოითხოვს ტესტირებას და სერტიფიცირებას Wi-Fi ალიანსის მიერ. WPA2 ახორციელებს 802.11i სავალდებულო ელემენტებს. კერძოდ, მას შემოაქვს ახალი AES დაფუძნებული ალგორითმი, CCMP, რომელიც ითვლება სრულიად უსაფრთხოდ. სერტიფიცირება დაიწყო 2004 წლის სექტემბერში; 13 წლის 2006 მარტიდან WPA2 სერთიფიკატი სავალდებულოა ყველა ახალი მოწყობილობისათვის, რომელსაც აქვს Wi-Fi სასაქონლო ნიშანი.
უსაფრთხოება წინასწარ გაზიარებული გასაღების რეჟიმში
წინასწარ გაზიარებული გასაღების რეჟიმი (PSK, ასევე ცნობილი როგორც პერსონალური რეჟიმი) განკუთვნილია სახლისა და მცირე საოფისე ქსელებისთვის, რომლებიც არ საჭიროებენ 802.1X ავტორიზაციის სერვერის სირთულეს. თითოეული უკაბელო ქსელის მოწყობილობა დაშიფვრავს ქსელის ტრაფიკს 256 ბიტიანი გასაღების გამოყენებით. ეს გასაღები შეიძლება შეიყვანოთ როგორც 64 თექვსმეტობითი ციფრის სტრიქონი, ან როგორც ფრაზა 8 -დან 63 – მდე დასაბეჭდად ASCII სიმბოლო. თუ ASCII სიმბოლოები გამოიყენება, 256 ბიტიანი გასაღები გამოითვლება PBKDF2 ჰეშ -ფუნქციის გამოყენებით, პაროლის ფრაზის გამოყენებით როგორც გასაღები და SSID როგორც მარილი.
გაზიარებული გასაღები WPA დაუცველია პაროლის გატეხვის შეტევების შემთხვევაში, თუ სუსტი პაროლი გამოიყენება. უხეში ძალის თავდასხმისგან დასაცავად, ალბათ საკმარისია 13 სიმბოლოსგან შემდგარი შემთხვევითი ფრაზა (შერჩეული 95 ნებადართული სიმბოლოდან). საძიებო ცხრილები გამოითვლება WiFi ეკლესიის მიერ (უკაბელო უსაფრთხოების კვლევის ჯგუფი) 1000 SSID– ებისათვის [8] მილიონი WPA/WPA2 პაროლით [9]. შეჭრისაგან შემდგომი დაცვის მიზნით ქსელის SSID არ უნდა ემთხვეოდეს ჩანაწერს ტოპ 1000 SSID– ში.
2008 წლის აგვისტოში გამოქვეყნდა პოსტი Nvidia-CUDA– ს ფორუმებზე, WPA-PSK– ს წინააღმდეგ უხეში ძალის გამოყენებით თავდასხმების შესაძლებლობების გაზრდის შესაძლებლობას 30 და მეტი ფაქტორით CPU– ს ამჟამინდელ განხორციელებასთან შედარებით. შრომატევადი PBKDF2 გამოთვლა გადმოტვირთულია CPU– დან GPU– ზე, რომელსაც პარალელურად შეუძლია გამოთვალოს მრავალი პაროლი და მათი შესაბამისი წინასწარ გაზიარებული გასაღებები. ამ პარალელურად საერთო პაროლის წარმატებით გამოცნობის საშუალო დრო მცირდება დაახლოებით 2-3 დღის განმავლობაში. მეთოდის ანალიზატორებმა სწრაფად აღნიშნეს, რომ შედარებისას გამოყენებული პროცესორის დანერგვა შეძლებდა ერთსა და იმავე პარალელიზაციის ტექნიკის გამოყენებას - GPU– ზე გადმოტვირთვის გარეშე - დამუშავების დასაჩქარებლად ექვსჯერ.
სისუსტე TKIP– ში
სისუსტე გამოვლინდა 2008 წლის ნოემბერში გერმანიის ორი ტექნიკური უნივერსიტეტის (TU Dresden და TU Darmstadt) მკვლევარებმა, ერიკ ტიუსმა და მარტინ ბეკმა, რომლებიც ეყრდნობოდნენ WEP– ის ადრე ცნობილ ხარვეზს, რომლის გამოყენებაც მხოლოდ WK– ში TKIP ალგორითმისთვის იყო შესაძლებელი. ხარვეზებს შეუძლიათ მხოლოდ მოკლე პაკეტების გაშიფვრა, ძირითადად ცნობილი შინაარსით, როგორიცაა ARP შეტყობინებები და 802.11e, რაც შესაძლებელს ხდის მომსახურების ხარისხის პაკეტის პრიორიტეტირებას ხმოვანი ზარებისა და ნაკადის მედიისთვის. ხარვეზები არ იწვევს გასაღების აღდგენას, არამედ მხოლოდ ძირითად ნაკადს, რომელიც დაშიფრულია კონკრეტული პაკეტი და რომლის გამოყენება შესაძლებელია შვიდჯერ რამდენჯერმე იმავე პაკეტის სიგრძის თვითნებური მონაცემების შესაყვანად უკაბელო კლიენტზე. მაგალითად, ეს საშუალებას გაძლევთ შეიყვანოთ ყალბი ARP პაკეტები, რაც მსხვერპლს აიძულებს გაგზავნოს პაკეტები ღია ინტერნეტში.
აპარატურის მხარდაჭერა
უახლესი Wi-Fi სერტიფიცირებული მოწყობილობები მხარს უჭერენ ზემოთ განხილულ უსაფრთხოების პროტოკოლებს, ყუთის გარეთ, რადგან 2003 წლის სექტემბრიდან Wi-Fi სერტიფიკაციისათვის ეს პროტოკოლის დაცვაა საჭირო.
პროტოკოლი, რომელიც დამოწმებულია Wi-Fi Alliance– ის WPA პროგრამით (და უფრო მცირე ზომით WPA2) სპეციალურად შეიქმნა უკაბელო აპარატურასთან მუშაობისთვის, რომელიც წარმოებული იყო პროტოკოლის დანერგვამდე, რომელსაც ჩვეულებრივ მხოლოდ არაადეკვატური უსაფრთხოების მხარდაჭერა ჰქონდა WEP– ის საშუალებით. ამ მოწყობილობების უმეტესობა მხარს უჭერს უსაფრთხოების პროტოკოლს firmware განახლების შემდეგ. პროგრამული უზრუნველყოფის განახლება მიუწვდომელია ყველა ძველი მოწყობილობისთვის.
გარდა ამისა, ბევრმა სამომხმარებლო Wi-Fi მოწყობილობის მწარმოებელმა გადადგა ნაბიჯები სუსტი ფრაზის არჩევანის პოტენციალის აღმოსაფხვრელად, ქსელის ახალი უკაბელო ადაპტერის ან მოწყობილობის დამატებისას ალტერნატიული მეთოდის გამოყენებით, რომელიც ავტომატურად გამოიმუშავებს და ავრცელებს ძლიერ გასაღებებს. Wi-Fi ალიანსმა მოახდინა ამ მეთოდების სტანდარტიზაცია და ადასტურებს ამ სტანდარტებთან შესაბამისობას პროგრამის საშუალებით, რომელსაც ეწოდება Wi-Fi Protected Setup.
წყაროები ვიკიპედია
