Wi-Fi Альянсы сымсыз компьютерлік желілерді қорғау үшін Wi-Fi Альянсы жасаған қауіпсіздік протоколына сәйкестігін көрсету үшін Wi-Fi Alliance жасаған сертификаттау бағдарламасы. Бұл хаттама зерттеушілер алдыңғы жүйеде табылған бірнеше елеулі әлсіздіктерге жауап ретінде құрылды, Wired Equivalent Privacy (WEP).
Хаттама IEEE 802.11i стандартының көпшілігін жүзеге асырады және 802.11i дайындалған кезде WEP орнын алу үшін аралық шара ретінде арналған. Атап айтқанда, уақытша кілттердің тұтастық протоколы (TKIP) WPA -ға енгізілді. TKIP 1999 жылы микробағдарламаны жаңарту арқылы жеткізіле бастаған WPA-ға дейінгі сымсыз желілік интерфейс карталарына енгізілуі мүмкін. Өзгерістер сымсыз кіру нүктесінен гөрі клиентте аз өзгерістерді қажет ететіндіктен, 2003 жылға дейінгі көптеген кіру нүктелері TKIP көмегімен WPA қолдау үшін жаңартыла алмады. Зерттеушілер TKIP-тің кемшіліктерін анықтады, ол ескі әлсіздіктерге сүйене отырып, қысқа пакеттерден қайта инъекциялау мен алдау үшін қолданылады.
Кейінгі WPA2 сертификаттау белгісі толық стандартты енгізетін жетілдірілген хаттамаға сәйкестігін көрсетеді. Бұл жетілдірілген протокол кейбір ескі желілік карталармен жұмыс істемейді. Wi-Fi Alliance протоколға сәйкестігін тексеруді сәтті аяқтаған өнімдерде WPA сертификаттау белгісі болуы мүмкін.
WPA2
WPA2 WPA ауыстырды; WPA сияқты, WPA2 Wi-Fi Альянсы арқылы тестілеу мен сертификаттауды қажет етеді. WPA2 802.11i міндетті элементтерін енгізеді. Атап айтқанда, ол толық қауіпсіз деп саналатын жаңа AES негізіндегі CCMP алгоритмін енгізеді. Сертификаттау 2004 жылдың қыркүйек айында басталды; 13 жылдың 2006 наурызынан бастап Wi-Fi сауда белгісі бар барлық жаңа құрылғылар үшін WPA2 сертификаты міндетті болып табылады.
Алдын ала ортақ кілт режиміндегі қауіпсіздік
Алдын ала ортақ кілт режимі (PSK, жеке режим деп те аталады) 802.1X аутентификация серверінің күрделілігін қажет етпейтін үй және шағын кеңсе желілеріне арналған. Әрбір сымсыз желі құрылғысы 256 биттік кілт арқылы желілік трафикті шифрлайды. Бұл кілт 64 он алтылық цифрлардан тұратын жол ретінде немесе 8-63 басылатын ASCII таңбаларынан тұратын құпия фраза ретінде енгізілуі мүмкін. Егер ASCII таңбалары қолданылса, 256 биттік кілт PBKDF2 хэш функциясының көмегімен есептеледі, кілт ретінде құпия фразаны және тұз ретінде SSID.
Ортақ кілт WPA құпия сөз фразасы қолданылған жағдайда құпия сөзді бұзу шабуылдарына осал болады. Қатыгез шабуылдан қорғану үшін 13 таңбадан тұратын кездейсоқ құпия фраза жеткілікті болуы мүмкін (рұқсат етілген 95 таңбалар жиынтығынан таңдалған). Іздеу кестелерін WiFi шіркеуі (сымсыз қауіпсіздікті зерттеу тобы) WPA/WPA1000 миллион әр түрлі құпия фразалары үшін ең жақсы 8 SSID [2] үшін есептеді. [9] Кіруден қосымша қорғаныс үшін желінің SSID -і ең жақсы 1000 SSID -ге кірмеуі керек.
2008 жылдың тамызында Nvidia-CUDA форумдарында WPA-PSK-ке қарсы қатыгез күштердің шабуылының өнімділігін CPU қолданысының 30 % және одан да жоғарылату мүмкіндігі туралы хабарлама жарияланды. Уақытты қажет ететін PBKDF2 есептеуі процессордан GPU-ға жүктеледі, ол парольдерді және олардың сәйкес алдын ала ортақ кілттерін параллель есептей алады. Бұл әдісті қолдана отырып, жалпы құпия сөзді табысты табудың орташа уақыты шамамен 2-3 күнге қысқарады. Әдістің талдаушылары салыстыруда қолданылатын процессорды өңдеуді алты есе жылдамдату үшін GPU -ға жүктеместен бірдей параллелизация әдістерін қолдануға болатынын тез байқады.
TKIP әлсіздігі
Әлсіздікті 2008 жылдың қарашасында екі неміс техникалық университеттерінің зерттеушілері анықтады (Дрезден мен ТУ Дармштадт), Эрик Тьюс пен Мартин Бек, WEP -те бұрыннан белгілі кемшілікке сүйенді, оны тек WPA -де TKIP алгоритмі үшін қолдануға болады. Қателер ARP хабарламалары және 802.11e сияқты белгілі мазмұны бар қысқа пакеттердің шифрын ғана шеше алады, бұл дауыстық қоңыраулар мен ағынды медиа үшін қызмет сапасының пакетіне басымдық беруге мүмкіндік береді. Кемшіліктер кілттерді қалпына келтіруге әкелмейді, тек сымсыз клиентке бір пакет ұзындығының ерікті деректерін енгізу үшін жеті рет қайта пайдалануға болатын белгілі бір пакетті шифрлаған кілт ағыны ғана. Мысалы, бұл жалған ARP пакеттерін енгізуге мүмкіндік береді, бұл жәбірленушіні ашық Интернетке пакеттерді жіберуге мәжбүр етеді.
Аппараттық қамтамасыз ету
Жаңа Wi-Fi CERTIFIED құрылғыларының көпшілігі жоғарыда талқыланған қауіпсіздік протоколдарын қолдайды, себебі бұл хаттамаға сәйкестік 2003 жылдың қыркүйегінен бастап Wi-Fi сертификаты үшін қажет.
Wi-Fi Alliance WPA бағдарламасы (және аз дәрежеде WPA2) арқылы сертификатталған хаттама протокол енгізілгенге дейін шығарылған сымсыз аппараттық құралдармен жұмыс істеу үшін арнайы әзірленген, олар әдетте WEP арқылы жеткіліксіз қауіпсіздікті қолдайтын. Бұл құрылғылардың көпшілігі микробағдарламаны жаңартқаннан кейін қауіпсіздік протоколына қолдау көрсетеді. Микробағдарламаны жаңарту барлық ескі құрылғылар үшін қол жетімді емес.
Сонымен қатар, көптеген Wi-Fi құрылғыларын өндірушілер желіге жаңа сымсыз адаптер немесе құрылғыны қосқанда күшті кілттерді автоматты түрде шығарудың және таратудың балама әдісін қолдана отырып, әлсіз құпия сөз тіркесінің әлеуетін жою үшін шаралар қабылдады. Wi-Fi Alliance бұл әдістерді стандартталған және Wi-Fi Protected Setup деп аталатын бағдарлама арқылы осы стандарттарға сәйкестігін растайды.
Қолданылған әдебиеттер Уикипедия
