Wi-Fi Альянсы зымсыз компьютердик тармактарды коргоо үчүн Wi-Fi Альянсы тарабынан түзүлгөн коопсуздук протоколуна шайкештигин көрсөтүү үчүн түзүлгөн күбөлүк программасы. Бул протокол изилдөөчүлөр мурунку системада табылган бир нече олуттуу алсыздыктарга жооп катары түзүлгөн, Wired Equivalent Privacy (WEP).
Протокол IEEE 802.11i стандартынын көпчүлүгүн ишке ашырат жана 802.11i даярдалып жатканда WEPтин ордун ээлөө үчүн аралык чара катары иштелип чыккан. Тактап айтканда, убактылуу бүтүндүктүн протоколу (TKIP) WPAга киргизилген. TKIP 1999-жылга чейин программалык камсыздоону жаңыртуу аркылуу жөнөтүлө баштаган WPAга чейинки зымсыз тармак интерфейси карталарында ишке ашырылышы мүмкүн. Өзгөртүүлөр зымсыз кирүү түйүнүнө караганда кардарга азыраак өзгөртүүлөрдү талап кылгандыктан, 2003-жылга чейинки көпчүлүк АРларды TKIP менен WPA колдоо үчүн жаңыртуу мүмкүн эмес болчу. Изилдөөчүлөр ошондон бери TKIPтин кемчилигин аныкташты, ал эски алсыздыктарга таянып, ачкычты кыска пакеттерден кайра инъекциялоо жана алдоо үчүн колдонот.
Кийинчерээк WPA2 тастыктоо белгиси толук стандартты ишке ашырган өнүккөн протоколго шайкештигин көрсөтөт. Бул өнүккөн протокол кээ бир эски тармак карталары менен иштебейт. Протоколго шайкештиги үчүн Wi-Fi Альянсы тарабынан тестирлөөнү ийгиликтүү аяктаган продукциялар WPA сертификат белгисине ээ болушу мүмкүн.
WPA2
WPA2 WPA алмаштырды; WPA сыяктуу, WPA2 Wi-Fi Alliance тарабынан тестирлөөнү жана тастыктоону талап кылат. WPA2 802.11i милдеттүү элементтерин ишке ашырат. Атап айтканда, ал толугу менен коопсуз деп эсептелген жаңы AES негизделген CCMP алгоритмин киргизет. Сертификация 2004 -жылдын сентябрь айында башталган; 13-жылдын 2006-мартынан баштап WPA2 сертификаты бардык жаңы түзмөктөр үчүн Wi-Fi соода белгисине ээ болушу үчүн милдеттүү болуп саналат.
Алдын ала бөлүшүлгөн ачкыч режиминдеги коопсуздук
Алдын ала бөлүшүлгөн ачкыч режими (PSK, ошондой эле Personal mode деп аталат) 802.1X аутентификация серверинин татаалдыгын талап кылбаган үй жана чакан офистик тармактар үчүн иштелип чыккан. Ар бир зымсыз тармак түзмөгү 256 бит ачкычын колдонуу менен тармак трафигин шифрлейт. Бул ачкыч 64 он алтылык цифрадан турган сап катары же 8ден 63кө чейин басып чыгарылуучу ASCII символдорунун фразасы катары киргизилиши мүмкүн. Эгерде ASCII белгилери колдонулса, 256 бит ачкычы PBKDF2 хэш функциясынын жардамы менен, ачкыч катары сыр сөз айкашын жана туз катары SSIDди колдонуу менен эсептелет.
Эгер начар купуя сөз айкашы колдонулса, бөлүшүлгөн WPA сырсөздөрдүн чабуулуна алсыз. Катуу күч чабуулунан коргоо үчүн 13 белгиден турган чындап кокустук купуя сөз айкашы (95 уруксат берилген символдордун ичинен тандалып алынган) жетиштүү. Издөө таблицалары WiFi чиркөөсү (зымсыз коопсуздукту изилдөөчү топ) тарабынан эң мыкты 1000 SSID үчүн [8] бир миллион башка WPA/WPA2 купуя сөз айкаштары үчүн эсептелген [9]. Мындан ары кирүүдөн коргонуу үчүн, тармактын SSIDи эң мыкты 1000 SSIDге эч кандай дал келбеши керек.
2008-жылдын августунда Nvidia-CUDA форумдарындагы пост жарыяланган, учурдагы CPU менен салыштырганда WPA-PSKке каршы катаал күч чабуулдарынын аткарылышын 30 жана андан көп эсе жогорулатуу мүмкүнчүлүгү жарыяланган. Убакытты көп талап кылган PBKDF2-эсептөө CPUдан GPUга түшүрүлөт, ал параллелдүү түрдө көптөгөн сырсөздөрдү жана аларга тиешелүү алдын ала бөлүшүлгөн ачкычтарды эсептей алат. Бул ыкманы колдонуу менен жалпы сырсөздү ийгиликтүү табуунун орточо убактысы болжол менен 2-3 күнгө кыскарат. Методдун анализаторлору салыштырууда колдонулган CPU ишке ашырууну кайра иштетүүнү алты эсе ылдамдатуу үчүн бир эле параллелизация ыкмаларын колдоно аларын, GPUга жүктөбөстөн тез эле белгилей кетишти.
TKIPдеги алсыздык
Бир алсыздык 2008 -жылы ноябрда эки немис техникалык университетинин (TU Dresden and TU Darmstadt) изилдөөчүлөрү тарабынан ачылган, Erik Tews жана Мартин Бек, WEPтин мурда белгилүү болгон кемчилигине таянып, WPAдагы TKIP алгоритми үчүн гана колдонулушу мүмкүн. Кемчиликтер ARP билдирүүлөрү жана 802.11e сыяктуу белгилүү мазмундагы кыска пакеттерди гана чече алат, бул үн чалуулары жана агылтуу медиа үчүн Кызматтын сапатынын пакетине артыкчылык берүүгө мүмкүндүк берет. Мүчүлүштүктөр ачкычты калыбына келтирүүгө алып келбейт, бирок белгилүү бир пакетти шифрлеген ачкыч агымы гана жана зымсыз кардарга ошол эле пакеттин узундугу боюнча ээнбаш маалыматтарды киргизүү үчүн жети эсеге чейин кайра колдонулушу мүмкүн. Мисалы, бул жабырлануучуну ачык Интернетке пакеттерди жөнөтүүгө мажбур кылган жасалма ARP пакеттерин сайууга мүмкүндүк берет.
Аппараттык камсыздоо
Көпчүлүк жаңы Wi-Fi CERTIFIED түзмөктөрү жогоруда талкууланган коопсуздук протоколдорун колдоого алынат, анткени 2003-жылдын сентябрынан бери Wi-Fi сертификаты үчүн бул протоколго ылайык келүү талап кылынат.
Wi-Fi Alliance WPA программасы (жана азыраак даражада WPA2) аркылуу тастыкталган протокол, адатта, WEP аркылуу жетишсиз коопсуздукту гана колдогон протокол киргизилгенге чейин чыгарылган зымсыз жабдыктар менен иштөө үчүн атайын иштелип чыккан. Бул түзмөктөрдүн көбү программалык камсыздоону жаңырткандан кийин коопсуздук протоколун колдойт. Программалык камсыздоону жаңыртуу эски түзмөктөрдүн баарында жеткиликтүү эмес.
Андан тышкары, көптөгөн керектөөчү Wi-Fi түзмөктөрү жаңы зымсыз адаптер же шайманды тармакка кошууда автоматтык түрдө күчтүү ачкычтарды генерациялоонун жана жайылтуунун альтернативдүү ыкмасын жайылтуу аркылуу алсыз псөзмө тандоолорунун потенциалын жоюу үчүн чараларды көрүштү. Wi-Fi Альянсы бул ыкмаларды стандартташтырды жана Wi-Fi Protected Setup деп аталган программа аркылуу бул стандарттарга шайкештигин тастыктады.
Шилтемелер Wikipedia
