ir sertifikācijas programma, ko izveidojusi Wi-Fi Alliance, lai norādītu uz atbilstību Wi-Fi Alliance izveidotajam drošības protokolam bezvadu datoru tīklu drošībai. Šis protokols tika izveidots, reaģējot uz vairākiem nopietniem trūkumiem, ko pētnieki bija atraduši iepriekšējā sistēmā Wired Equivalent Privacy (WEP).
Protokols īsteno lielāko daļu IEEE 802.11i standarta, un tas bija paredzēts kā starpposma līdzeklis, lai aizstātu WEP, kamēr tika sagatavots 802.11i. Konkrētāk, WPA tika iekļauts pagaidu atslēgas integritātes protokols (TKIP). TKIP varēja ieviest bez WPA tīkla interfeisa kartēs, kas tika piegādātas jau pirms 1999. gada, atjauninot programmaparatūru. Tā kā izmaiņas prasīja mazāk modifikāciju klientam nekā bezvadu piekļuves punktā, lielāko daļu AP pirms 2003. gada nevarēja jaunināt, lai atbalstītu WPA ar TKIP. Kopš tā laika pētnieki ir atklājuši TKIP trūkumu, kas balstījās uz vecākiem trūkumiem, lai izgūtu taustiņu plūsmu no īsām paketēm, ko izmantot atkārtotai injekcijai un viltošanai.
Vēlākā WPA2 sertifikācijas zīme norāda uz atbilstību uzlabotajam protokolam, kas ievieš pilnu standartu. Šis uzlabotais protokols nedarbosies ar dažām vecākām tīkla kartēm. Produktiem, kas ir veiksmīgi pabeiguši Wi-Fi alianses testēšanu par atbilstību protokolam, var būt WPA sertifikāta zīme.
WPA2
WPA2 aizstāja WPA; tāpat kā WPA, arī WPA2 ir nepieciešama Wi-Fi alianses pārbaude un sertifikācija. WPA2 ievieš obligātos 802.11i elementus. Jo īpaši tas ievieš jaunu uz AES balstītu algoritmu CCMP, kas tiek uzskatīts par pilnīgi drošu. Sertifikācija sākās 2004. gada septembrī; No 13. gada 2006. marta WPA2 sertifikācija ir obligāta visām jaunajām ierīcēm ar Wi-Fi preču zīmi.
Drošība iepriekš koplietotas atslēgas režīmā
Iepriekš koplietotās atslēgas režīms (PSK, pazīstams arī kā personiskais režīms) ir paredzēts mājas un mazu biroju tīkliem, kuriem nav nepieciešama 802.1X autentifikācijas servera sarežģītība. Katra bezvadu tīkla ierīce šifrē tīkla trafiku, izmantojot 256 bitu atslēgu. Šo atslēgu var ievadīt kā 64 heksadecimālu ciparu virkni vai kā ieejas frāzi no 8 līdz 63 izdrukājamām ASCII rakstzīmēm. Ja tiek izmantotas ASCII rakstzīmes, 256 bitu atslēga tiek aprēķināta, izmantojot PBKDF2 jaukšanas funkciju, kā atslēgu izmantojot ieejas frāzi un kā sāli - SSID.
Ja tiek izmantota vāja ieejas frāze, koplietotās atslēgas WPA ir neaizsargāta pret uzbrukumiem paroļu uzlaušanai. Lai pasargātu no brutāla spēka uzbrukuma, iespējams, pietiek ar patiesi nejaušu 13 rakstzīmju ieejas frāzi (izvēlēta no 95 atļauto rakstzīmju kopas). WiFi baznīca (bezvadu drošības izpētes grupa) ir aprēķinājusi uzmeklēšanas tabulas 1000 populārākajiem SSID [8] miljonam dažādu WPA/WPA2 ieejas frāžu. [9] Lai vēl vairāk aizsargātu pret ielaušanos, tīkla SSID nedrīkst atbilst nevienam ierakstam pirmajā 1000 SSID.
2008. gada augustā ieraksts Nvidia-CUDA forumos paziņoja par iespēju uzlabot brutāla spēka uzbrukumus WPA-PSK par 30 un vairāk reizes, salīdzinot ar pašreizējo CPU ieviešanu. Laikietilpīgais PBKDF2 aprēķins tiek izkrauts no CPU uz GPU, kas paralēli var aprēķināt daudzas paroles un atbilstošās iepriekš koplietotās atslēgas. Izmantojot šo metodi, vidējais laiks, lai veiksmīgi uzminētu parasto paroli, samazinās līdz aptuveni 2-3 dienām. Metodes analizatori ātri atzīmēja, ka salīdzinājumā izmantotā CPU ieviešana varētu izmantot dažas no tām pašām paralēlizācijas metodēm, neizkraujot GPU, lai paātrinātu apstrādi par sešiem.
Vājums TKIP
Vājumu 2008. gada novembrī atklāja divu Vācijas tehnisko universitāšu (Drēzdenes TU un Darmštates universitātes) pētnieki Ēriks Tevs un Mārtins Beks, kuri paļāvās uz iepriekš zināmu WEP trūkumu, ko varēja izmantot tikai WPA TKIP algoritmam. Trūkumi var atšifrēt tikai īsas paketes ar pārsvarā zināmu saturu, piemēram, ARP ziņojumus, un 802.11e, kas ļauj noteikt pakalpojumu kvalitātes prioritāti balss zvaniem un straumēšanas multividei. Trūkumi neizraisa atslēgu atkopšanu, bet tikai taustiņplūsmu, kas šifrēja noteiktu paketi un kuru var atkārtoti izmantot pat septiņas reizes, lai bezvadu klientam ievadītu patvaļīgus datus ar tādu pašu pakešu garumu. Piemēram, tas ļauj injicēt viltotas ARP paketes, kas upurim liek sūtīt paketes uz atvērto internetu.
Aparatūras atbalsts
Lielākā daļa jaunāko Wi-Fi CERTIFIED ierīču atbalsta iepriekš aprakstītos drošības protokolus, jo tie ir pieejami, jo Wi-Fi sertifikācijai kopš 2003. gada septembra ir nepieciešama atbilstība šim protokolam.
Protokols, kas sertificēts, izmantojot Wi-Fi Alliance WPA programmu (un mazākā mērā WPA2), tika īpaši izstrādāts, lai darbotos arī ar bezvadu aparatūru, kas tika ražota pirms protokola ieviešanas, kas parasti atbalstīja tikai nepietiekamu drošību, izmantojot WEP. Daudzas no šīm ierīcēm atbalsta drošības protokolu pēc programmaparatūras jaunināšanas. Programmatūras atjauninājumi nav pieejami visām mantotajām ierīcēm.
Turklāt daudzi patērētāju Wi-Fi ierīču ražotāji ir veikuši pasākumus, lai novērstu vāju ieejas frāžu izvēles iespējas, reklamējot alternatīvu metodi, kā automātiski ģenerēt un izplatīt spēcīgas atslēgas, pievienojot tīklam jaunu bezvadu adapteri vai ierīci. Wi-Fi Alliance ir standartizējusi šīs metodes un apliecina atbilstību šiem standartiem, izmantojot programmu ar nosaukumu Wi-Fi Protected Setup.
Atsauces Wikipedia
