je program certificiranja, ki ga je ustvarila zveza Wi-Fi za označevanje skladnosti z varnostnim protokolom, ki ga je ustvarila zveza Wi-Fi za zaščito brezžičnih računalniških omrežij. Ta protokol je bil ustvarjen kot odgovor na več resnih pomanjkljivosti, ki so jih raziskovalci odkrili v prejšnjem sistemu, Wired Equivalent Privacy (WEP).
Protokol uresničuje večino standarda IEEE 802.11i in je bil mišljen kot vmesni ukrep, ki bo nadomestil WEP, medtem ko je bil pripravljen 802.11i. Natančneje, protokol Temporal Key Integrity Protocol (TKIP) je bil uveden v WPA. TKIP bi lahko uvedli na vmesniške kartice za brezžično omrežje pred WPA, ki so se začele pošiljati že leta 1999 s posodobitvami vdelane programske opreme. Ker so spremembe zahtevale manj sprememb na odjemalcu kot na brezžični dostopni točki, večine AP-jev pred letom 2003 ni bilo mogoče nadgraditi za podporo WPA s TKIP. Raziskovalci so od takrat odkrili pomanjkljivost v TKIP, ki se je zanašala na starejše pomanjkljivosti pri pridobivanju ključnega toka iz kratkih paketov za ponovno vbrizgavanje in ponarejanje.
Kasnejša certifikacijska oznaka WPA2 označuje skladnost z naprednim protokolom, ki uresničuje celoten standard. Ta napredni protokol ne bo deloval z nekaterimi starejšimi omrežnimi karticami. Izdelki, ki so uspešno zaključili testiranje zavezništva Wi-Fi za skladnost s protokolom, lahko nosijo certifikacijsko oznako WPA.
WPA2
WPA2 je nadomestil WPA; tako kot WPA tudi WPA2 zahteva testiranje in certificiranje zavezništva Wi-Fi. WPA2 izvaja obvezne elemente standarda 802.11i. Zlasti uvaja nov algoritem, ki temelji na AES, CCMP, ki velja za popolnoma varen. Certificiranje se je začelo septembra 2004; Od 13. marca 2006 je certifikat WPA2 obvezen za vse nove naprave, ki nosijo blagovno znamko Wi-Fi.
Varnost v načinu vnaprej deljenega ključa
Način ključa v skupni rabi (PSK, znan tudi kot osebni način) je zasnovan za domača in mala pisarniška omrežja, ki ne zahtevajo kompleksnosti strežnika za preverjanje pristnosti 802.1X. Vsaka brezžična omrežna naprava šifrira omrežni promet s 256 -bitnim ključem. Ta ključ je mogoče vnesti bodisi kot niz šestnajstiških številk ali kot geslo z 64 do 8 znaki ASCII za tiskanje. Če se uporabljajo znaki ASCII, se 63 -bitni ključ izračuna s pomočjo razpršene funkcije PBKDF256, pri čemer se kot ključ uporabi geslo, kot sol pa SSID.
WPA s ključem v skupni rabi je občutljiva na napade lomljenja gesel, če uporabite šibko geslo. Za zaščito pred napadom z grobo silo verjetno zadostuje resnično naključna gesla s 13 znaki (izbrana iz nabora 95 dovoljenih znakov). Iskalne tabele je izračunala Cerkev WiFi (skupina za raziskave brezžične varnosti) za prvih 1000 SSID -jev [8] za milijon različnih geslov WPA/WPA2. [9] Za dodatno zaščito pred vdori se omrežni SSID ne bi smel ujemati z vnosom v prvih 1000 SSID -jev.
Avgusta 2008 je objava na forumih Nvidia-CUDA napovedala možnost povečanja učinkovitosti napadov brutalne sile na WPA-PSK za faktor 30 in več v primerjavi s trenutno implementacijo CPU-ja. Dolgotrajen izračun PBKDF2 se iz CPU prenese v grafični procesor, ki lahko vzporedno izračuna veliko gesel in njihovih ustreznih ključev v skupni rabi. Povprečni čas za uspešno ugibanje skupnega gesla se s to metodo skrči na približno 2-3 dni. Analizatorji metode so hitro ugotovili, da bo izvedba CPE -ja, uporabljena v primerjavi, lahko uporabila nekatere iste tehnike paralelizacije - brez razkladanja na grafični procesor - za pospešitev obdelave za šestkrat.
Slabost v TKIP
Novembra 2008 so raziskovalci na dveh nemških tehničnih univerzah (TU Dresden in TU Darmstadt), Erik Tews in Martin Beck, odkrili šibkost, ki se je opirala na prej znano napako v WEP, ki bi jo lahko uporabili le za algoritem TKIP v WPA. Pomanjkljivosti lahko dešifrirajo le kratke pakete z večinoma znano vsebino, kot so sporočila ARP, in 802.11e, ki omogoča določanje prioritete paketov kakovosti storitve za glasovne klice in pretočne medije. Pomanjkljivosti ne vodijo do obnovitve ključa, ampak le tok ključev, ki je šifriral določen paket in ga je mogoče znova uporabiti kar sedemkrat, da brezžičnemu odjemalcu vbrizga poljubne podatke enake dolžine paketa. To na primer omogoča injiciranje ponarejenih paketov ARP, zaradi česar žrtev pošlje pakete na odprti internet.
Strojna podpora
Večina novejših naprav s certifikatom Wi-Fi podpira zgoraj obravnavane varnostne protokole, saj je skladnost s tem protokolom od septembra 2003 zahtevana za certificiranje Wi-Fi.
Protokol, certificiran prek programa WPA Wi-Fi Alliance (in v manjši meri WPA2), je bil posebej zasnovan za delo tudi z brezžično strojno opremo, ki je bila proizvedena pred uvedbo protokola, ki je običajno podpiral le neustrezno varnost prek WEP. Mnoge od teh naprav podpirajo varnostni protokol po nadgradnji vdelane programske opreme. Nadgradnje vdelane programske opreme niso na voljo za vse starejše naprave.
Poleg tega so številni proizvajalci potrošniških naprav Wi-Fi sprejeli ukrepe za odpravo možnosti šibke izbire gesla s spodbujanjem alternativne metode samodejnega ustvarjanja in razdeljevanja močnih ključev pri dodajanju novega brezžičnega vmesnika ali naprave v omrežje. Wi-Fi Alliance je standardiziral te metode in potrjuje skladnost s temi standardi s programom, imenovanim Wi-Fi Protected Setup.
Reference Wikipedia
