er et sertifiseringsprogram opprettet av Wi-Fi Alliance for å indikere samsvar med sikkerhetsprotokollen opprettet av Wi-Fi Alliance for å sikre trådløse datanettverk. Denne protokollen ble opprettet som svar på flere alvorlige svakheter forskere hadde funnet i det forrige systemet, Wired Equivalent Privacy (WEP).
Protokollen implementerer flertallet av IEEE 802.11i -standarden, og var ment som et mellomtiltak for å ta stedet for WEP mens 802.11i ble utarbeidet. Nærmere bestemt ble Temporal Key Integrity Protocol (TKIP) tatt inn i WPA. TKIP kan implementeres på pre-WPA trådløse nettverkskort som begynte å sende så langt tilbake som 1999 gjennom fastvareoppgraderinger. Fordi endringene krevde færre modifikasjoner på klienten enn på det trådløse tilgangspunktet, kunne de fleste AP-er før 2003 ikke oppgraderes til å støtte WPA med TKIP. Forskere har siden oppdaget en feil i TKIP som stolte på eldre svakheter for å hente nøkkelstrømmen fra korte pakker til bruk for re-injeksjon og spoofing.
Det senere WPA2 -sertifiseringsmerket indikerer samsvar med en avansert protokoll som implementerer hele standarden. Denne avanserte protokollen fungerer ikke med noen eldre nettverkskort. Produkter som har fullført testing av Wi-Fi Alliance for overholdelse av protokollen kan bære WPA-sertifiseringsmerket.
WPA2
WPA2 erstattet WPA; i likhet med WPA, krever WPA2 testing og sertifisering av Wi-Fi Alliance. WPA2 implementerer de obligatoriske elementene i 802.11i. Spesielt introduserer den en ny AES-basert algoritme, CCMP, som anses som fullstendig sikker. Sertifiseringen begynte i september 2004; Fra 13. mars 2006 er WPA2-sertifisering obligatorisk for alle nye enheter å ha Wi-Fi-varemerket.
Sikkerhet i forhåndsdelt nøkkelmodus
Modus på forhånd delt nøkkel (PSK, også kjent som personlig modus) er designet for hjemmenettverk og små kontornettverk som ikke krever kompleksiteten til en 802.1X-godkjenningsserver. Hver trådløse nettverksenhet krypterer nettverkstrafikken ved hjelp av en 256 -biters nøkkel. Denne nøkkelen kan angis enten som en streng på 64 heksadesimale sifre, eller som en passordfrase på 8 til 63 utskrivbare ASCII -tegn. Hvis ASCII -tegn brukes, beregnes 256 bit -nøkkelen ved hjelp av hashfunksjonen PBKDF2, ved å bruke passordet som nøkkel og SSID som saltet.
Shared-key WPA er sårbar for passordsprekkende angrep hvis en svak passordfrase brukes. For å beskytte mot et brute force -angrep er sannsynligvis en virkelig tilfeldig passordfrase på 13 tegn (valgt fra settet med 95 tillatte tegn) tilstrekkelig. Oppslagstabeller har blitt beregnet av Church of WiFi (en forskningsgruppe for trådløs sikkerhet) for de 1000 beste SSID -ene [8] for en million forskjellige WPA/WPA2 -passord. [9] For å ytterligere beskytte mot inntrenging bør nettverkets SSID ikke matche noen oppføring i de 1000 beste SSID -ene.
I august 2008 kunngjorde et innlegg i Nvidia-CUDA-fora, muligheten til å forbedre ytelsen til brute force-angrep mot WPA-PSK med en faktor 30 og mer sammenlignet med dagens CPU-implementering. Den tidkrevende PBKDF2-beregningen blir lastet ned fra CPU-en til en GPU som kan beregne mange passord og tilhørende forhåndsdelte nøkler parallelt. Mediantiden for å gjette et vanlig passord krymper til ca 2-3 dager ved å bruke denne metoden. Analysatorer av metoden bemerket raskt at CPU -implementeringen som ble brukt i sammenligningen, ville kunne bruke noen av de samme parallelliseringsteknikkene - uten å laste ned til en GPU - for å øke hastigheten på behandlingen med en faktor seks.
Svakhet i TKIP
En svakhet ble avdekket i november 2008 av forskere ved to tyske tekniske universiteter (TU Dresden og TU Darmstadt), Erik Tews og Martin Beck, som stolte på en tidligere kjent feil i WEP som bare kunne utnyttes for TKIP -algoritmen i WPA. Feilene kan bare dekryptere korte pakker med hovedsakelig kjent innhold, for eksempel ARP -meldinger og 802.11e, noe som tillater prioritering av Quality of Service -pakker for taleanrop og streamingmedier. Feilene fører ikke til gjenoppretting av nøkler, men bare en nøkkelstrøm som krypterte en bestemt pakke, og som kan gjenbrukes så mange som syv ganger for å injisere vilkårlige data med samme pakkelengde til en trådløs klient. For eksempel tillater dette å injisere forfalskede ARP -pakker som får offeret til å sende pakker til det åpne Internett.
Maskinvare støtte
De fleste nyere Wi-Fi CERTIFIED-enheter støtter sikkerhetsprotokollene som er omtalt ovenfor, out-of-the-box, ettersom samsvar med denne protokollen har vært nødvendig for en Wi-Fi-sertifisering siden september 2003.
Protokollen sertifisert gjennom Wi-Fi Alliance WPA-program (og i mindre grad WPA2) var spesielt designet for å også fungere med trådløs maskinvare som ble produsert før innføringen av protokollen, som vanligvis bare hadde støttet utilstrekkelig sikkerhet gjennom WEP. Mange av disse enhetene støtter sikkerhetsprotokollen etter en fastvareoppgradering. Fastvareoppgraderinger er ikke tilgjengelig for alle eldre enheter.
Videre har mange produsenter av Wi-Fi-enhetsprodusenter tatt skritt for å eliminere potensialet for svake passordfraser ved å fremme en alternativ metode for automatisk å generere og distribuere sterke nøkler når du legger til en ny trådløs adapter eller et nytt apparat i et nettverk. Wi-Fi Alliance har standardisert disse metodene og sertifiserer samsvar med disse standardene gjennom et program som heter Wi-Fi Protected Setup.
Referanser Wikipedia
