é um programa de certificação criado pela Wi-Fi Alliance para indicar conformidade com o protocolo de segurança criado pela Wi-Fi Alliance para proteger redes de computadores sem fio. Este protocolo foi criado em resposta a várias deficiências graves que os pesquisadores encontraram no sistema anterior, Wired Equivalent Privacy (WEP).
O protocolo implementa a maior parte do padrão IEEE 802.11i e foi planejado como uma medida intermediária para tomar o lugar do WEP enquanto o 802.11i era preparado. Especificamente, o Protocolo de Integridade de Chave Temporal (TKIP) foi trazido para o WPA. O TKIP poderia ser implementado em placas de interface de rede sem fio pré-WPA que começaram a ser enviadas em 1999 por meio de atualizações de firmware. Como as alterações exigiram menos modificações no cliente do que no ponto de acesso sem fio, a maioria dos APs anteriores a 2003 não podiam ser atualizados para suportar WPA com TKIP. Pesquisadores descobriram uma falha no TKIP que dependia de fraquezas antigas para recuperar o fluxo de chaves de pacotes curtos para usar para reinjeção e falsificação.
A marca de certificação WPA2 posterior indica conformidade com um protocolo avançado que implementa o padrão completo. Este protocolo avançado não funcionará com algumas placas de rede mais antigas. Os produtos que concluíram com êxito os testes da Wi-Fi Alliance para conformidade com o protocolo podem levar a marca de certificação WPA.
WPA2
WPA2 substituiu WPA; como o WPA, o WPA2 requer testes e certificação da Wi-Fi Alliance. O WPA2 implementa os elementos obrigatórios do 802.11i. Em particular, ele apresenta um novo algoritmo baseado em AES, CCMP, que é considerado totalmente seguro. A certificação começou em setembro de 2004; A partir de 13 de março de 2006, a certificação WPA2 é obrigatória para todos os novos dispositivos que ostentam a marca comercial Wi-Fi.
Segurança no modo de chave pré-compartilhada
O modo de chave pré-compartilhada (PSK, também conhecido como modo pessoal) foi projetado para redes domésticas e de pequenos escritórios que não exigem a complexidade de um servidor de autenticação 802.1X. Cada dispositivo de rede sem fio criptografa o tráfego da rede usando uma chave de 256 bits. Essa chave pode ser inserida como uma string de 64 dígitos hexadecimais ou como uma frase secreta de 8 a 63 caracteres ASCII imprimíveis. Se forem usados caracteres ASCII, a chave de 256 bits é calculada usando a função hash PBKDF2, usando a frase secreta como a chave e o SSID como o sal.
O WPA de chave compartilhada é vulnerável a ataques de quebra de senha se uma senha fraca for usada. Para se proteger contra um ataque de força bruta, uma frase-senha verdadeiramente aleatória de 13 caracteres (selecionada do conjunto de 95 caracteres permitidos) é provavelmente suficiente. As tabelas de pesquisa foram calculadas pela Igreja do WiFi (um grupo de pesquisa de segurança sem fio) para os 1000 principais SSIDs [8] para um milhão de frases-senha WPA / WPA2 diferentes. [9] Para proteger ainda mais contra intrusões, o SSID da rede não deve corresponder a nenhuma entrada entre os 1000 SSIDs principais.
Em agosto de 2008, uma postagem nos fóruns da Nvidia-CUDA anunciou a possibilidade de melhorar o desempenho de ataques de força bruta contra WPA-PSK por um fator de 30 ou mais em comparação com a implementação atual da CPU. A demorada computação PBKDF2 é descarregada da CPU para uma GPU que pode calcular muitas senhas e suas chaves pré-compartilhadas correspondentes em paralelo. O tempo médio para adivinhar com sucesso uma senha comum diminui para cerca de 2 a 3 dias usando esse método. Os analisadores do método notaram rapidamente que a implementação da CPU usada na comparação seria capaz de usar algumas das mesmas técnicas de paralelização - sem descarregar para uma GPU - para acelerar o processamento por um fator de seis.
Fraqueza em TKIP
Uma fraqueza foi descoberta em novembro de 2008 por pesquisadores de duas universidades técnicas alemãs (TU Dresden e TU Darmstadt), Erik Tews e Martin Beck, que se baseava em uma falha anteriormente conhecida no WEP que poderia ser explorada apenas para o algoritmo TKIP no WPA. As falhas só podem descriptografar pacotes curtos com conteúdos mais conhecidos, como mensagens ARP e 802.11e, que permite a priorização de pacotes de Qualidade de Serviço para chamadas de voz e mídia de streaming. As falhas não levam à recuperação da chave, mas apenas a um fluxo de chaves que criptografa um determinado pacote e que pode ser reutilizado até sete vezes para injetar dados arbitrários do mesmo comprimento de pacote em um cliente sem fio. Por exemplo, isso permite injetar pacotes ARP falsos, o que faz com que a vítima envie pacotes para a Internet aberta.
Suporte de hardware
A maioria dos dispositivos Wi-Fi CERTIFIED mais recentes oferece suporte aos protocolos de segurança discutidos acima, prontos para uso, já que a conformidade com este protocolo é exigida para uma certificação Wi-Fi desde setembro de 2003.
O protocolo certificado por meio do programa WPA da Wi-Fi Alliance (e em menor extensão WPA2) foi projetado especificamente para funcionar também com hardware sem fio produzido antes da introdução do protocolo, que geralmente suportava apenas segurança inadequada por meio de WEP. Muitos desses dispositivos oferecem suporte ao protocolo de segurança após uma atualização de firmware. As atualizações de firmware não estão disponíveis para todos os dispositivos legados.
Além disso, muitos fabricantes de dispositivos Wi-Fi para o consumidor tomaram medidas para eliminar o potencial de opções de frase secreta fracas, promovendo um método alternativo de geração e distribuição automática de chaves fortes ao adicionar um novo adaptador ou dispositivo sem fio a uma rede. A Wi-Fi Alliance padronizou esses métodos e certifica a conformidade com esses padrões por meio de um programa chamado Wi-Fi Protected Setup.
Referências Wikipedia
