је програм сертификације који је креирао Ви-Фи Аллианце како би указао на усклађеност са сигурносним протоколом који је креирао Ви-Фи Аллианце за заштиту бежичних рачунарских мрежа. Овај протокол је настао као одговор на неколико озбиљних слабости које су истраживачи открили у претходном систему, Виред Екуивалент Приваци (ВЕП).
Протокол имплементира већину стандарда ИЕЕЕ 802.11и и био је замишљен као посредна мера која ће заузети место ВЕП -а док је 802.11и припремљен. Конкретно, Темпорал Кеи Интегрити Протоцол (ТКИП) је уведен у ВПА. ТКИП би се могао имплементирати на картице за интерфејс бежичне мреже пре ВПА које су се почеле испоручивати још 1999. године надоградњом фирмвера. Пошто су промене захтевале мање измена на клијенту него на бежичној приступној тачки, већина АП пре 2003. није могла бити надограђена да подржава ВПА са ТКИП-ом. Истраживачи су од тада открили пропуст у ТКИП-у који се ослањао на старије слабости при преузимању кључног тока из кратких пакета за поновно убризгавање и лажирање.
Каснији ВПА2 цертификацијски знак указује на усклађеност са напредним протоколом који имплементира пуни стандард. Овај напредни протокол неће радити са неким старијим мрежним картицама. Производи који су успешно завршили тестирање од стране Ви-Фи Аллианце-а у складу са протоколом могу носити ознаку ВПА сертификата.
ВПАКСНУМКС
ВПА2 је заменио ВПА; попут ВПА, ВПА2 захтева тестирање и сертификацију од стране Ви-Фи Аллианце. ВПА2 имплементира обавезне елементе стандарда 802.11и. Конкретно, уводи нови алгоритам заснован на АЕС-у, ЦЦМП, који се сматра потпуно сигурним. Сертификација је почела у септембру 2004; Од 13. марта 2006. ВПА2 сертификација је обавезна за све нове уређаје који носе заштитни знак Ви-Фи.
Заштита у режиму унапред дељеног кључа
Режим унапред дељеног кључа (ПСК, такође познат и као лични режим) је дизајниран за кућне и мале канцеларијске мреже које не захтевају сложеност сервера за потврду идентитета 802.1Кс. Сваки бежични мрежни уређај шифрира мрежни промет помоћу 256 -битног кључа. Овај кључ се може унети или као низ од 64 хексадецималне цифре, или као приступна фраза од 8 до 63 АСЦИИ знака за штампање. Ако се користе АСЦИИ знакови, 256 -битни кључ се израчунава помоћу хасх функције ПБКДФ2, користећи приступну фразу као кључ и ССИД као сол.
ВПА са дељеним кључем је осетљив на нападе ломљења лозинки ако се користи слаба лозинка. За заштиту од напада грубом силом вероватно је довољна заиста насумична лозинка од 13 знакова (изабрана из скупа од 95 дозвољених знакова). Прегледне табеле је израчунала Црква ВиФи (група за истраживање бежичне безбедности) за првих 1000 ССИД -ова [8] за милион различитих приступних фраза ВПА/ВПА2. [9] Да би се додатно заштитили од упада, ССИД мреже не би требао одговарати уносу у првих 1000 ССИД -ова.
У августу 2008., објављено је на форуму Нвидиа-ЦУДА, могућност да се побољшају перформансе грубих напада на ВПА-ПСК за фактор 30 и више у поређењу са тренутном имплементацијом ЦПУ-а. Рачунање дуготрајно ПБКДФ2 се преноси са ЦПУ на ГПУ који може паралелно израчунати многе лозинке и њихове одговарајуће унапред дељене кључеве. Средње време за успешно погађање уобичајене лозинке смањује се на око 2-3 дана коришћењем ове методе. Анализатори методе брзо су приметили да ће имплементација ЦПУ -а коришћена у поређењу моћи да користи неке од истих техника паралелизације - без истовара на ГПУ - да убрза обраду за фактор шест.
Слабост у ТКИП -у
Слабост су у новембру 2008. открили истраживачи са два немачка техничка универзитета (ТУ Дресден и ТУ Дармстадт), Ерик Тевс и Мартин Бецк, који су се ослањали на раније познати недостатак у ВЕП -у који се могао искористити само за ТКИП алгоритам у ВПА. Недостаци могу дешифровати само кратке пакете са углавном познатим садржајем, као што су АРП поруке и 802.11е, што омогућава приоритизацију пакета квалитета услуге за гласовне позиве и стриминг медије. Недостаци не воде опоравку кључа, већ само ток кључева који је шифровао одређени пакет и који се може поново користити чак седам пута за убризгавање произвољних података исте дужине пакета у бежични клијент. На пример, ово омогућава убризгавање лажних АРП пакета због чега жртва шаље пакете на отворени Интернет.
Хардверска подршка
Већина новијих Ви-Фи ЦЕРТИФИЦИРАНИХ уређаја подржава горенаведене сигурносне протоколе, одмах по испоруци, пошто је усаглашеност са овим протоколом потребна за Ви-Фи сертификацију од септембра 2003. године.
Протокол сертификован путем ВПА програма Ви-Фи Аллианце (и у мањој мери ВПА2) посебно је дизајниран да ради и са бежичним хардвером произведеним пре увођења протокола, који је обично подржавао само неадекватну безбедност путем ВЕП-а. Многи од ових уређаја подржавају сигурносни протокол након надоградње фирмвера. Надоградње фирмвера нису доступне за све старе уређаје.
Штавише, многи произвођачи Ви-Фи уређаја за широку потрошњу предузели су кораке да елиминишу потенцијал слабог избора приступних фраза промовишући алтернативну методу аутоматског генерисања и дистрибуције јаких кључева приликом додавања новог бежичног адаптера или уређаја у мрежу. Ви-Фи Аллианце је стандардизовао ове методе и потврђује усклађеност са овим стандардима кроз програм под називом Ви-Фи Протецтед Сетуп.
Референце Википедиа
