adalah program pensijilan yang dibuat oleh Wi-Fi Alliance untuk menunjukkan kepatuhan terhadap protokol keselamatan yang dibuat oleh Wi-Fi Alliance untuk mengamankan rangkaian komputer tanpa wayar. Protokol ini dibuat sebagai tindak balas kepada beberapa kelemahan serius yang ditemui oleh penyelidik dalam sistem sebelumnya, Wired Equivalent Privacy (WEP).
Protokol ini menerapkan sebahagian besar standard IEEE 802.11i, dan dimaksudkan sebagai langkah perantaraan untuk menggantikan WEP ketika 802.11i disiapkan. Secara khusus, Protokol Integriti Kunci Temporal (TKIP), dimasukkan ke dalam WPA. TKIP dapat dilaksanakan pada kad antara muka rangkaian tanpa wayar pra-WPA yang mula dihantar sejak tahun 1999 melalui peningkatan firmware. Kerana perubahan memerlukan pengubahsuaian yang lebih sedikit pada klien daripada pada titik akses tanpa wayar, kebanyakan AP sebelum tahun 2003 tidak dapat ditingkatkan untuk menyokong WPA dengan TKIP. Sejak itu para penyelidik telah menemui kekurangan dalam TKIP yang bergantung pada kelemahan yang lebih tua untuk mendapatkan arus utama dari paket pendek untuk digunakan untuk suntikan semula dan penipuan.
Tanda pensijilan WPA2 kemudian menunjukkan pematuhan dengan protokol lanjutan yang menerapkan standard penuh. Protokol lanjutan ini tidak akan berfungsi dengan beberapa kad rangkaian yang lebih lama. Produk yang telah berjaya menyelesaikan ujian oleh Wi-Fi Alliance untuk mematuhi protokol boleh membawa tanda pensijilan WPA.
WPA2
WPA2 menggantikan WPA; seperti WPA, WPA2 memerlukan ujian dan pensijilan oleh Wi-Fi Alliance. WPA2 menerapkan elemen wajib 802.11i. Secara khusus, ia memperkenalkan algoritma berasaskan AES baru, CCMP, yang dianggap selamat sepenuhnya. Persijilan bermula pada bulan September 2004; Dari 13 Mac 2006, pensijilan WPA2 adalah wajib bagi semua peranti baru yang mempunyai tanda dagangan Wi-Fi.
Keselamatan dalam mod kunci yang dikongsi sebelumnya
Mod kunci pra-kongsi (PSK, juga dikenali sebagai mod Peribadi) direka untuk rangkaian pejabat rumah dan kecil yang tidak memerlukan kerumitan pelayan pengesahan 802.1X. Setiap peranti rangkaian tanpa wayar menyulitkan lalu lintas rangkaian menggunakan kekunci 256 bit. Kekunci ini boleh dimasukkan sama ada rentetan 64 digit heksadesimal, atau sebagai frasa laluan 8 hingga 63 aksara ASCII yang dapat dicetak. Sekiranya watak ASCII digunakan, kekunci 256 bit dikira menggunakan fungsi hash PBKDF2, menggunakan frasa laluan sebagai kunci dan SSID sebagai garam.
WPA kunci bersama rentan terhadap serangan retak kata laluan jika frasa laluan lemah digunakan. Untuk melindungi daripada serangan kekuatan kasar, frasa laluan 13 huruf yang benar-benar rawak (dipilih dari kumpulan 95 aksara yang dibenarkan) mungkin mencukupi. Jadual pencarian telah dikira oleh Gereja WiFi (kumpulan penyelidikan keselamatan tanpa wayar) untuk 1000 SSID teratas [8] untuk sejuta frasa laluan WPA / WPA2 yang berbeza. [9] Untuk melindungi lebih jauh dari pencerobohan, SSID rangkaian tidak boleh sesuai dengan entri dalam 1000 SSID teratas.
Pada bulan Ogos 2008, sebuah posting di forum Nvidia-CUDA mengumumkan, kemungkinan untuk meningkatkan prestasi serangan brute force terhadap WPA-PSK dengan faktor 30 dan lebih banyak dibandingkan dengan pelaksanaan CPU saat ini. Pengiraan PBKDF2 yang memakan masa dikeluarkan dari CPU ke GPU yang dapat mengira banyak kata laluan dan kunci Pra-kongsi yang sesuai secara selari. Masa median untuk berjaya meneka kata laluan biasa menyusut menjadi kira-kira 2-3 hari menggunakan kaedah ini. Penganalisis kaedah dengan cepat menyatakan bahawa pelaksanaan CPU yang digunakan dalam perbandingan akan dapat menggunakan beberapa teknik paralelisasi yang sama — tanpa memunggah ke GPU — untuk mempercepat pemprosesan dengan faktor enam.
Kelemahan dalam TKIP
Kelemahan ditemui pada bulan November 2008 oleh para penyelidik di dua universiti teknikal Jerman (TU Dresden dan TU Darmstadt), Erik Tews dan Martin Beck, yang bergantung pada kekurangan yang pernah diketahui dalam WEP yang hanya dapat dimanfaatkan untuk algoritma TKIP dalam WPA. Kekurangan hanya dapat mendekripsi paket pendek dengan kandungan yang paling diketahui, seperti mesej ARP, dan 802.11e, yang membolehkan keutamaan paket Perkhidmatan Berkualiti untuk panggilan suara dan media streaming. Kelemahan tidak membawa kepada pemulihan kunci, tetapi hanya aliran utama yang menyulitkan paket tertentu, dan yang dapat digunakan kembali sebanyak tujuh kali untuk menyuntikkan data sewenang-wenang dengan panjang paket yang sama kepada klien tanpa wayar. Sebagai contoh, ini memungkinkan untuk memasukkan paket ARP palsu yang menjadikan mangsa menghantar paket ke Internet terbuka.
Sokongan perkakasan
Sebilangan besar peranti SIJIL Wi-Fi yang lebih baru menyokong protokol keselamatan yang dibincangkan di atas, di luar kotak, kerana pematuhan dengan protokol ini diperlukan untuk pensijilan Wi-Fi sejak September 2003.
Protokol yang disahkan melalui program WPA Wi-Fi Alliance (dan pada tahap yang lebih rendah WPA2) dirancang khusus untuk berfungsi dengan perkakasan tanpa wayar yang dihasilkan sebelum pengenalan protokol, yang biasanya hanya mendukung keamanan yang tidak memadai melalui WEP. Sebilangan besar peranti ini menyokong protokol keselamatan setelah peningkatan firmware. Peningkatan firmware tidak tersedia untuk semua peranti lama.
Tambahan pula, banyak pengeluar peranti Wi-Fi pengguna telah mengambil langkah untuk menghilangkan potensi pilihan frasa laluan lemah dengan mempromosikan kaedah alternatif untuk menghasilkan dan menyebarkan kunci kuat secara automatik ketika menambahkan penyesuai atau alat wayarles baru ke rangkaian. Wi-Fi Alliance telah menyeragamkan kaedah ini dan mengesahkan pematuhan terhadap piawaian ini melalui program yang disebut Wi-Fi Protected Setup.
Rujukan Wikipedia
