WPA
WPA (Wi-Fi Protected Access) jest mechanizmem stworzonym z powodów, które nie są w pełni związane z bezpieczeństwem.Gdy udowodniono, że protokół WEP nie jest bezpieczny, a w Internecie pojawiły się programy służące do łamania
kluczy WEP producenci byli zmuszeni przyspieszyć badania nad nowym standardem. Specyfikacja, w której poprawiono błędy zaobserwowane w WEP, była stworzona w pośpiechu i miała za zadanie przekonać firmy, że sieć WLAN nie jest niebezpieczna. WPA pojawiła się na przełomie 2002–2003 roku. Nadal wykorzystując algorytm szyfrujący RC4. Długość kluczy bazowych zwiększono z 64 do 128 bitów. Administrator uzyskał możliwość ustalania w punkcie dostępu lub w bramie bezprzewodowej, co jaki okres mają być zmieniane klucze bazowe. Proces ten przebiega automatycznie, a klucze przekazywane są w sposób zaszyfrowany. Dzieje się tak dzięki protokołowi TKIP (Temporal Key Integrity Protocol). Zmianą uległa także długość wektora inicjującego. Zwiększono ją z 24 bitów do 48. Znacznie wydłużyło to czas, jaki potrzebny jest do powtórzenia się wartości wektora inicjującego. Są to zmiany na tyle istotne, że osoba przeprowadzająca atak nie jest w stanie zebrać dpowiedniej
liczby pakietów ze słabymi wektorami inicjującymi, aby metodami wykorzystywanymi do ataków w przypadku WEP rozszyfrować klucze. Wprowadzono uwierzytelnianie wzajemne, czyli takie, gdzie punkt dostępu uwierzytelnia się u klienta w taki sam sposób jak klient uwierzytelnia się w punkcie dostępu. Ta modyfikacja pozwala na uniknięcie ataku, w którym ktoś podszywa się pod punkt dostępu. Za sprawdzanie integralności pakietu, a tym samym zapewnienie o braku zmian w przesyłanych pakietach, odpowiada algorytm MIC (Massage Integrity Code). Jest on mało skomplikowany, aby mógł działać na starszych urządzeniach. Funkcjonuje na podstawie długości pakietów, a wszystkie przeprowadzane działania polegają na przesunięciach bitowych oraz dodawaniu.
Sposób działania WPA w małych sieciach domowych [1] różni się od sposobu działania w większych i obciążonych sieciach firmowych (rys. 3) [1]. W przypadku tych drugich wykorzystywany jest serwer RADIUS, zarządzający centralnie uwierzytelnianiem w sieci oraz dystrybucją kluczy szyfrowania. 802.1x definiuje na jakie różne sposoby może przebiegać proces uwierzytelnienia.
Serwer RADIUS nie jest potrzebny w przypadku małych sieci. Za uwierzytelnienie odpowiada jak już wcześniej wspomniano punkt dostępu lub brama bezprzewodowa. Problemem jest jednak konieczność samodzielnego wprowadzania kluczy do punktów dostępu oraz kart sieciowych tak, aby posiadały one klucze przed włączeniem mechanizmu WPA. Klucze te często nazywa się wstępnie przydzielonymi PSK (preshared key).
WPA2
WPA2 jest ostateczną wersją standardu 802.11i, która ukazała się w 2004 roku. Nie jest on już kompatybilny ze starszym sprzętem, zatem często istnieje potrzeba zakupienia nowszego lub praca z szyfrowaniem WEP. Jest jednak w pełni wstecznie zgodny ze swoim poprzednikiem WPA. W protokole tym zastosowano nowe metody szyfrowania oraz kontroli integralności danych. Zwiększone bezpieczeństwo zapewniają algorytmy silniejsze niż TKIP. Główną częścią standardu 802.11i jest protokół CCMP, w którym zrezygnowano z algorytmu szyfrowania RC4 i zastąpiono go algorytmem AES. W przeciwieństwie do swojego poprzednika został on dokładnie przeanalizowany przez ekspertów i zatwierdzony jako bardzo bezpieczny. Najważniejszą cechą tego algorytmu jest to, iż te same komunikaty będą wyglądały po zaszyfrowaniu zupełnie inaczej. Dzieje się tak, ponieważ CCMP zapewnia użycie za każdym razem innej wartości licznika. W celu odszyfrowania danych odbiorca musi posiadać jedynie wartość początkową licznika oraz przeprowadzić podobnie jak w mechanizmie WEP operacje XOR. W WPA2 wprowadzono także zmianę dotyczącą zarządzaniem kluczami (rys. 5)[1].
Najpierw użytkownik i serwer inicjują procedurę uwierzytelnienia EAP,a potem za pomocą punktu dostępu uzgadniają tzw. główny klucz emisji pojedynczej PMK (Pairwise Master Key). Serwer RADIUS wysyła klucz PMK do punktu dostępu. Następnie użytkownik i punkt dostępu rozpoczynają czteroetapową negocjację (komunikaty „handshake”) mającą na celu utworzenie klucza pośredniego PTK (Pairwise Transient Key). Jest to klucz 384-bitowy składający się z trzech podkluczy 128-bitowych.
Rys. 5. Proces łączenia z wykorzystaniem serwera RADIUS
Niezaprzeczalną zaletą WPA2 jest przyspieszenie roamingu, czyli zmiany punktu dostępowego w przypadku poruszania się klienta z kartą bezprzewodową. Zaleta ta wynika z tego, że użytkownik nie musi ponownie uwierzytelniać się w sieci, ponieważ WPA2 umożliwia punktom dostępowym oraz użytkownikom buforowanie klucza PMK oraz procedury wstępnego uwierzytelnienia 802.11x.
wstecz
