là một chương trình chứng nhận do Wi-Fi Alliance tạo ra để chỉ ra sự tuân thủ giao thức bảo mật do Wi-Fi Alliance tạo ra để bảo mật các mạng máy tính không dây. Giao thức này được tạo ra để giải quyết một số điểm yếu nghiêm trọng mà các nhà nghiên cứu đã tìm thấy trong hệ thống trước đó, Quyền riêng tư tương đương có dây (WEP).
Giao thức thực hiện phần lớn tiêu chuẩn IEEE 802.11i và được dự định như một biện pháp trung gian để thay thế WEP trong khi 802.11i đã được chuẩn bị. Cụ thể, Giao thức toàn vẹn khóa tạm thời (TKIP), đã được đưa vào WPA. TKIP có thể được triển khai trên các thẻ giao diện mạng không dây trước WPA bắt đầu xuất xưởng từ năm 1999 thông qua việc nâng cấp phần sụn. Bởi vì các thay đổi yêu cầu ít sửa đổi hơn trên máy khách so với điểm truy cập không dây, hầu hết các AP trước năm 2003 không thể được nâng cấp để hỗ trợ WPA với TKIP. Kể từ đó, các nhà nghiên cứu đã phát hiện ra một lỗ hổng trong TKIP dựa vào các điểm yếu cũ hơn để lấy dòng khóa từ các gói ngắn để sử dụng cho việc tiêm lại và giả mạo.
Dấu chứng nhận WPA2 sau này cho thấy sự tuân thủ với một giao thức nâng cao thực hiện tiêu chuẩn đầy đủ. Giao thức nâng cao này sẽ không hoạt động với một số card mạng cũ hơn. Các sản phẩm đã hoàn thành kiểm tra thành công bởi Wi-Fi Alliance về việc tuân thủ giao thức có thể mang dấu chứng nhận WPA.
WPA2
WPA2 thay thế WPA; như WPA, WPA2 yêu cầu kiểm tra và chứng nhận bởi Wi-Fi Alliance. WPA2 thực hiện các yếu tố bắt buộc của 802.11i. Đặc biệt, nó giới thiệu một thuật toán dựa trên AES mới, CCMP, được coi là hoàn toàn an toàn. Chứng nhận bắt đầu vào tháng 2004 năm 13; Từ ngày 2006 tháng 2 năm XNUMX, chứng nhận WPAXNUMX là bắt buộc đối với tất cả các thiết bị mới mang nhãn hiệu Wi-Fi.
Bảo mật ở chế độ khóa chia sẻ trước
Chế độ khóa chia sẻ trước (PSK, còn được gọi là chế độ Cá nhân) được thiết kế cho các mạng gia đình và văn phòng nhỏ không yêu cầu sự phức tạp của máy chủ xác thực 802.1X. Mỗi thiết bị mạng không dây mã hóa lưu lượng mạng bằng khóa 256 bit. Khóa này có thể được nhập dưới dạng chuỗi 64 chữ số thập lục phân hoặc dưới dạng cụm mật khẩu gồm 8 đến 63 ký tự ASCII có thể in được. Nếu các ký tự ASCII được sử dụng, khóa 256 bit được tính bằng hàm băm PBKDF2, sử dụng cụm mật khẩu làm khóa và SSID làm muối.
WPA khóa chia sẻ dễ bị tấn công bẻ khóa mật khẩu nếu sử dụng cụm mật khẩu yếu. Để bảo vệ khỏi một cuộc tấn công vũ phu, một cụm mật khẩu thực sự ngẫu nhiên gồm 13 ký tự (được chọn từ bộ 95 ký tự được phép) có lẽ là đủ. Các bảng tra cứu đã được Church of WiFi (một nhóm nghiên cứu bảo mật không dây) tính toán cho 1000 SSID hàng đầu [8] cho một triệu mật khẩu WPA / WPA2 khác nhau. [9] Để bảo vệ thêm khỏi sự xâm nhập, SSID của mạng không được khớp với bất kỳ mục nhập nào trong 1000 SSID hàng đầu.
Vào tháng 2008 năm 30, một bài đăng trên diễn đàn Nvidia-CUDA đã công bố, khả năng nâng cao hiệu suất của các cuộc tấn công bạo lực chống lại WPA-PSK bằng hệ số 2 trở lên so với việc triển khai CPU hiện tại. Tính toán PBKDF2 tốn nhiều thời gian được giảm tải từ CPU sang GPU có thể tính toán song song nhiều mật khẩu và các khóa Chia sẻ trước tương ứng của chúng. Thời gian trung bình để đoán thành công một mật khẩu thông thường giảm xuống còn khoảng 3-XNUMX ngày khi sử dụng phương pháp này. Các nhà phân tích của phương pháp nhanh chóng lưu ý rằng việc triển khai CPU được sử dụng trong phép so sánh sẽ có thể sử dụng một số kỹ thuật song song giống nhau — mà không cần giảm tải cho GPU — để tăng tốc độ xử lý lên hệ số sáu.
Điểm yếu trong TKIP
Một điểm yếu đã được phát hiện vào tháng 2008 năm 802.11 bởi các nhà nghiên cứu tại hai trường đại học kỹ thuật của Đức (TU Dresden và TU Darmstadt), Erik Tews và Martin Beck, dựa trên một lỗ hổng đã biết trước đây trong WEP mà chỉ có thể được khai thác cho thuật toán TKIP trong WPA. Các lỗ hổng chỉ có thể giải mã các gói tin ngắn với nội dung chủ yếu đã biết, chẳng hạn như tin nhắn ARP và XNUMXe, cho phép ưu tiên gói Chất lượng dịch vụ cho các cuộc gọi thoại và phương tiện truyền trực tuyến. Các sai sót không dẫn đến khôi phục khóa, mà chỉ là một dòng khóa mã hóa một gói tin cụ thể và có thể được sử dụng lại tới bảy lần để đưa dữ liệu tùy ý có cùng độ dài gói vào một máy khách không dây. Ví dụ, điều này cho phép đưa các gói ARP giả mạo khiến nạn nhân gửi các gói đến Internet đang mở.
Hỗ trợ phần cứng
Hầu hết các thiết bị Wi-Fi CERTIFIED mới hơn đều hỗ trợ các giao thức bảo mật được thảo luận ở trên, vì tuân thủ giao thức này đã được yêu cầu đối với chứng nhận Wi-Fi kể từ tháng 2003 năm XNUMX.
Giao thức được chứng nhận thông qua chương trình WPA của Wi-Fi Alliance (và ở mức độ thấp hơn là WPA2) được thiết kế đặc biệt để hoạt động với phần cứng không dây được sản xuất trước khi giao thức được giới thiệu, thường chỉ hỗ trợ bảo mật không đầy đủ thông qua WEP. Nhiều thiết bị trong số này hỗ trợ giao thức bảo mật sau khi nâng cấp chương trình cơ sở. Nâng cấp chương trình cơ sở không khả dụng cho tất cả các thiết bị cũ.
Hơn nữa, nhiều nhà sản xuất thiết bị Wi-Fi dành cho người tiêu dùng đã thực hiện các bước để loại bỏ khả năng lựa chọn cụm mật khẩu yếu bằng cách quảng bá một phương pháp thay thế để tự động tạo và phân phối khóa mạnh khi thêm thiết bị hoặc bộ điều hợp không dây mới vào mạng. Wi-Fi Alliance đã tiêu chuẩn hóa các phương pháp này và chứng nhận việc tuân thủ các tiêu chuẩn này thông qua một chương trình có tên là Wi-Fi Protected Setup.
Tham khảo Wikipedia
