무선 컴퓨터 네트워크를 보호하기 위해 Wi-Fi Alliance에서 만든 보안 프로토콜을 준수함을 나타내기 위해 Wi-Fi Alliance에서 만든 인증 프로그램입니다. 이 프로토콜은 연구원들이 이전 시스템인 WEP(Wired Equivalent Privacy)에서 발견한 몇 가지 심각한 약점에 대한 응답으로 만들어졌습니다.
이 프로토콜은 IEEE 802.11i 표준의 대부분을 구현하며 802.11i가 준비되는 동안 WEP를 대체하기 위한 중간 수단으로 의도되었습니다. 특히 TKIP(Temporal Key Integrity Protocol)가 WPA에 도입되었습니다. TKIP는 펌웨어 업그레이드를 통해 1999년부터 출하되기 시작한 WPA 이전 무선 네트워크 인터페이스 카드에서 구현할 수 있습니다. 변경 사항은 무선 액세스 포인트보다 클라이언트에서 더 적은 수정이 필요했기 때문에 대부분의 2003년 이전 AP는 TKIP가 포함된 WPA를 지원하도록 업그레이드할 수 없었습니다. 이후 연구원들은 재주입 및 스푸핑에 사용할 짧은 패킷에서 키스트림을 검색하기 위해 오래된 약점에 의존하는 TKIP의 결함을 발견했습니다.
최신 WPA2 인증 마크는 전체 표준을 구현하는 고급 프로토콜을 준수함을 나타냅니다. 이 고급 프로토콜은 일부 구형 네트워크 카드에서 작동하지 않습니다. 프로토콜 준수에 대한 Wi-Fi Alliance의 테스트를 성공적으로 완료한 제품에는 WPA 인증 마크가 부착될 수 있습니다.
WPA2
WPA2가 WPA를 대체했습니다. WPA와 마찬가지로 WPA2는 Wi-Fi Alliance의 테스트 및 인증이 필요합니다. WPA2는 802.11i의 필수 요소를 구현합니다. 특히 완전히 안전한 것으로 간주되는 새로운 AES 기반 알고리즘인 CCMP를 도입합니다. 인증은 2004년 13월에 시작되었습니다. 2006년 2월 XNUMX일부터 WPAXNUMX 인증은 모든 새 장치에 Wi-Fi 상표가 부착되도록 의무화되었습니다.
사전 공유 키 모드의 보안
사전 공유 키 모드(PSK, 개인 모드라고도 함)는 802.1X 인증 서버의 복잡성이 필요하지 않은 가정 및 소규모 사무실 네트워크용으로 설계되었습니다. 각 무선 네트워크 장치는 256비트 키를 사용하여 네트워크 트래픽을 암호화합니다. 이 키는 64자리의 8진수 문자열이나 63~256개의 인쇄 가능한 ASCII 문자의 암호로 입력할 수 있습니다. ASCII 문자를 사용하는 경우 2비트 키는 암호를 키로 사용하고 SSID를 솔트로 사용하여 PBKDFXNUMX 해시 함수를 사용하여 계산됩니다.
공유 키 WPA는 약한 암호가 사용되는 경우 암호 크래킹 공격에 취약합니다. 무차별 대입 공격으로부터 보호하려면 13자(허용되는 95자 집합에서 선택)의 무작위 암호로 충분할 것입니다. 룩업 테이블은 백만 개의 다른 WPA/WPA1000 암호에 대해 상위 8개의 SSID[2]에 대해 Church of WiFi(무선 보안 연구 그룹)에서 계산되었습니다.[9] 침입에 대한 추가 보호를 위해 네트워크의 SSID는 상위 1000개 SSID의 항목과 일치하지 않아야 합니다.
2008년 30월 Nvidia-CUDA 포럼의 게시물은 현재 CPU 구현과 비교하여 WPA-PSK에 대한 무차별 대입 공격의 성능을 2배 이상 향상시킬 가능성을 발표했습니다. 시간이 많이 걸리는 PBKDF2 계산은 CPU에서 GPU로 오프로드되어 많은 암호와 해당 사전 공유 키를 병렬로 계산할 수 있습니다. 이 방법을 사용하면 일반적인 암호를 성공적으로 추측하는 데 걸리는 중간 시간이 약 3-XNUMX일로 줄어듭니다. 이 방법의 분석가들은 비교에 사용된 CPU 구현이 GPU로 오프로딩하지 않고 동일한 병렬화 기술 중 일부를 사용하여 처리 속도를 XNUMX배까지 높일 수 있다는 점에 빠르게 주목했습니다.
TKIP의 약점
취약점은 2008년 802.11월 두 독일 기술 대학(TU Dresden 및 TU Darmstadt)의 연구원인 Erik Tews와 Martin Beck에 의해 발견되었습니다. 이 결함은 ARP 메시지 및 음성 통화 및 스트리밍 미디어에 대한 QoS(서비스 품질) 패킷 우선 순위 지정을 허용하는 XNUMXe와 같이 대부분 알려진 내용이 포함된 짧은 패킷만 해독할 수 있습니다. 이 결함은 키 복구로 이어지지 않고 특정 패킷을 암호화한 키스트림만 발생하며 동일한 패킷 길이의 임의 데이터를 무선 클라이언트에 주입하기 위해 최대 XNUMX번까지 재사용할 수 있습니다. 예를 들어, 이것은 피해자가 열린 인터넷으로 패킷을 보내도록 하는 가짜 ARP 패킷을 주입할 수 있게 합니다.
하드웨어 지원
대부분의 최신 Wi-Fi CERTIFIED 장치는 2003년 XNUMX월부터 Wi-Fi 인증을 위해 이 프로토콜을 준수해야 하므로 위에서 설명한 보안 프로토콜을 즉시 지원합니다.
Wi-Fi Alliance의 WPA 프로그램(및 그보다 덜한 WPA2)을 통해 인증된 프로토콜은 일반적으로 WEP를 통해 부적절한 보안만 지원했던 프로토콜 도입 이전에 생산된 무선 하드웨어에서도 작동하도록 특별히 설계되었습니다. 이러한 장치 중 다수는 펌웨어 업그레이드 후 보안 프로토콜을 지원합니다. 모든 레거시 장치에 대해 펌웨어 업그레이드를 사용할 수 있는 것은 아닙니다.
또한 많은 소비자 Wi-Fi 장치 제조업체는 네트워크에 새 무선 어댑터나 기기를 추가할 때 강력한 키를 자동으로 생성하고 배포하는 대체 방법을 홍보하여 약한 암호 선택의 가능성을 없애기 위한 조치를 취했습니다. Wi-Fi Alliance는 이러한 방법을 표준화했으며 Wi-Fi Protected Setup이라는 프로그램을 통해 이러한 표준 준수를 인증합니다.
참고 자료 위키피디아
