este un program de certificare creat de Wi-Fi Alliance pentru a indica conformitatea cu protocolul de securitate creat de Wi-Fi Alliance pentru securizarea rețelelor de calculatoare fără fir. Acest protocol a fost creat ca răspuns la câteva deficiențe grave pe care cercetătorii le-au descoperit în sistemul anterior, Wired Equivalent Privacy (WEP).
Protocolul implementează majoritatea standardului IEEE 802.11i și a fost conceput ca o măsură intermediară pentru a lua locul WEP în timp ce 802.11i a fost pregătit. Mai exact, Protocolul de integritate a cheii temporale (TKIP) a fost introdus în WPA. TKIP ar putea fi implementat pe cardurile de interfață de rețea fără fir pre-WPA care au început să fie livrate încă din 1999 prin actualizări de firmware. Deoarece modificările au necesitat mai puține modificări pe client decât pe punctul de acces wireless, majoritatea AP-urilor anterioare anului 2003 nu au putut fi actualizate pentru a suporta WPA cu TKIP. Cercetătorii au descoperit de atunci un defect în TKIP care se baza pe slăbiciuni mai vechi pentru a prelua fluxul de chei din pachetele scurte pentru a fi utilizate pentru reinjectare și falsificare.
Marcajul de certificare WPA2 ulterior indică conformitatea cu un protocol avansat care implementează standardul complet. Acest protocol avansat nu va funcționa cu unele plăci de rețea mai vechi. Produsele care au finalizat cu succes testarea de către Wi-Fi Alliance pentru conformitatea cu protocolul pot purta marca de certificare WPA.
WPA2
WPA2 a înlocuit WPA; la fel ca WPA, WPA2 necesită testare și certificare de către Wi-Fi Alliance. WPA2 implementează elementele obligatorii ale 802.11i. În special, introduce un nou algoritm bazat pe AES, CCMP, care este considerat complet sigur. Certificarea a început în septembrie 2004; Începând cu 13 martie 2006, certificarea WPA2 este obligatorie pentru toate dispozitivele noi care poartă marca Wi-Fi.
Securitate în modul cheie pre-partajată
Modul cheie pre-partajat (PSK, cunoscut și sub numele de modul personal) este conceput pentru rețelele de birou de acasă și mici, care nu necesită complexitatea unui server de autentificare 802.1X. Fiecare dispozitiv de rețea fără fir criptează traficul de rețea utilizând o cheie de 256 biți. Această cheie poate fi introdusă fie ca un șir de 64 de cifre hexazecimale, fie ca o expresie de acces de 8 până la 63 de caractere ASCII tipărite. Dacă se utilizează caractere ASCII, cheia de 256 biți este calculată utilizând funcția hash PBKDF2, folosind fraza de acces ca cheie și SSID ca sare.
WPA cu cheie partajată este vulnerabil la atacurile de cracare a parolei dacă este utilizată o expresie de acces slabă. Pentru a vă proteja împotriva unui atac de forță brută, este probabil suficientă o expresie de acces cu adevărat aleatorie de 13 caractere (selectată din setul de 95 de caractere permise). Tabelele de căutare au fost calculate de către Biserica WiFi (un grup de cercetare a securității fără fir) pentru primele 1000 de SSID-uri [8] pentru un milion de expresii de acces WPA / WPA2 diferite. [9] Pentru a vă proteja în continuare împotriva intruziunii, SSID-ul rețelei nu trebuie să se potrivească cu nicio intrare din primele 1000 de SSID-uri.
În august 2008, a fost anunțată o postare pe forumurile Nvidia-CUDA, posibilitatea de a spori performanța atacurilor de forță brută împotriva WPA-PSK cu un factor de 30 și mai mult în comparație cu implementarea curentă a procesorului. Calculul PBKDF2 care consumă mult timp este descărcat de la CPU pe un GPU care poate calcula mai multe parole și cheile corespunzătoare pre-partajate în paralel. Timpul mediu pentru a ghici cu succes o parolă comună se micșorează la aproximativ 2-3 zile folosind această metodă. Analizatorii metodei au observat rapid că implementarea procesorului utilizată în comparație ar putea utiliza unele dintre aceleași tehnici de paralelizare - fără descărcare pe un GPU - pentru a accelera procesarea cu un factor de șase.
Slăbiciune în TKIP
O slăbiciune a fost descoperită în noiembrie 2008 de cercetătorii de la două universități tehnice germane (TU Dresden și TU Darmstadt), Erik Tews și Martin Beck, care se bazau pe un defect cunoscut anterior în WEP care putea fi exploatat doar pentru algoritmul TKIP din WPA. Defectele pot decripta numai pachetele scurte cu conținut cunoscut în cea mai mare parte, cum ar fi mesajele ARP și 802.11e, care permite prioritizarea pachetelor de calitate a serviciilor pentru apeluri vocale și fluxuri media. Defectele nu duc la recuperarea cheii, ci doar la un flux de chei care a criptat un anumit pachet și care poate fi reutilizat de până la șapte ori pentru a injecta date arbitrare de aceeași lungime a pachetului unui client wireless. De exemplu, acest lucru permite injectarea de pachete ARP falsificate, ceea ce face ca victima să trimită pachete pe internetul deschis.
Suport hardware
Majoritatea dispozitivelor CERTIFICATE Wi-Fi mai noi acceptă protocoalele de securitate discutate mai sus, de la început, deoarece respectarea acestui protocol este necesară pentru o certificare Wi-Fi din septembrie 2003.
Protocolul certificat prin programul WPA al Wi-Fi Alliance (și într-o măsură mai mică WPA2) a fost conceput special pentru a funcționa și cu hardware fără fir care a fost produs înainte de introducerea protocolului, care, de obicei, nu a acceptat decât securitate inadecvată prin WEP. Multe dintre aceste dispozitive acceptă protocolul de securitate după o actualizare a firmware-ului. Actualizările de firmware nu sunt disponibile pentru toate dispozitivele vechi.
În plus, mulți producători de dispozitive Wi-Fi pentru consumatori au luat măsuri pentru a elimina potențialul alegerilor slabe de expresie de trecere prin promovarea unei metode alternative de generare și distribuire automată a tastelor puternice atunci când se adaugă un nou adaptor sau dispozitiv wireless la o rețea. Wi-Fi Alliance a standardizat aceste metode și certifică conformitatea cu aceste standarde printr-un program numit Wi-Fi Protected Setup.
Referințe Wikipedia
