WPA

WPA ( Wi-Fi Protected Access ),  WPA2 och WPA3 är certifieringsprogram för trådlösa enheter som utvecklats av Wi-Fi Alliance för att säkra ditt trådlösa Wi-Fi-nätverk . WPA-tekniken i den första versionen kom att ersätta WEP -tekniken . Fördelarna med WPA är förbättrad datasäkerhet och strängare åtkomstkontroll till trådlösa nätverk . En viktig egenskap är kompatibiliteten mellan många trådlösa enheter både på hårdvaru- och mjukvarunivå .

Grundläggande begrepp

WPA tillhandahåller stöd för 802.1X- standarder , såväl som EAP (Extensible Authentication Protocol, Extensible Authentication Protocol).

Det är värt att notera att WPA2 stöder AES -kryptering (Advanced Encryption Standard), vilket har flera fördelar jämfört med WEP RC4 , som en mycket starkare kryptografisk algoritm.

Ett stort plus vid implementering av WPA är teknikens förmåga att fungera på befintlig Wi-Fi- hårdvara .

Några utmärkande egenskaper hos WPA:

• avancerat RC4- krypteringsschema
• obligatorisk autentisering med EAP .
• centraliserat säkerhetshanteringssystem, möjligheten att använda i befintliga företags säkerhetspolicyer .

Användarautentisering

Wi-Fi Alliance ger följande formel för att definiera vad WPA är:

Det kan ses att WPA i själva verket är summan av flera tekniker.

Som nämnts ovan använder WPA-standarden Extensible Authentication Protocol (EAP) som grund för användarautentiseringsmekanismen. Ett oumbärligt villkor för autentisering är att användaren presenterar ett certifikat (även kallat biljett) som bekräftar hans rätt att få tillgång till nätverket. För denna rättighet kontrolleras användaren mot en speciell databas med registrerade användare. Utan autentisering kommer nätverkande för användaren att vara förbjudet. Databasen med registrerade användare och verifieringssystemet i stora nätverk finns som regel på en speciell server (oftast RADIUS ).

Det bör noteras att WPA har ett förenklat läge. Det kallas för delad nyckel (WPA-PSK). När du använder PSK-läge måste du ange ett lösenord för varje enskild trådlös nätverksnod (trådlösa routrar , åtkomstpunkter, bryggor, klientadaptrar). Om lösenorden stämmer överens med posterna i databasen kommer användaren att ges tillstånd att komma åt nätverket.

Kryptering

Även utan att ta hänsyn till det faktum att WEP, föregångaren till WPA, inte har några användarautentiseringsmekanismer som sådan, ligger dess opålitlighet främst i krypteringsalgoritmens kryptografiska svaghet. Det viktigaste problemet med WEP är användningen av för lika nycklar för olika datapaket.

TKIP , MIC och 802.1X (delar av WPA-ekvationen) har stärkt krypteringen av överförda data på nätverk som använder WPA.

TKIP ansvarar för att öka nyckelstorleken från 40 till 128 bitar , samt att ersätta en statisk WEP-nyckel med nycklar som automatiskt genereras och distribueras av autentiseringsservern. Dessutom använder TKIP en speciell nyckelhierarki och nyckelhanteringsmetod som tar bort förutsägbarheten som användes för att manipulera WEP-nycklar.

Autentiseringsservern, efter att ha mottagit certifikatet från användaren, använder 802.1X för att generera en unik basnyckel för sessionen. TKIP överför den genererade nyckeln till användaren och åtkomstpunkten, varefter den bygger en hierarki av nycklar plus ett kontrollsystem. För att göra detta används en tvåvägsnyckel för att dynamiskt generera datakrypteringsnycklar, som i sin tur används för att kryptera varje datapaket. Denna TKIP-nyckelhierarki ersätter en WEP (statisk) nyckel med 500 miljarder möjliga nycklar som kommer att användas för att kryptera ett givet datapaket.

En annan viktig mekanism är Message Integrity Check (MIC). Det används för att förhindra avlyssning av datapaket, vars innehåll kan ändras, och det modifierade paketet återsänds över nätverket. MIC bygger på en kraftfull matematisk funktion som appliceras på sändar- och mottagarsidan, varefter resultatet jämförs. Om kontrollen visar att beräkningsresultaten inte stämmer överens, anses uppgifterna vara falska och paketet kasseras.

Samtidigt är krypteringsmekanismerna som används för WPA och WPA-PSK identiska. Den enda skillnaden med WPA-PSK är att autentiseringen görs med ett lösenord snarare än ett användarcertifikat.

WPA2

WPA2 definieras av standarden IEEE 802.11i , antagen i juni 2004, och syftar till att ersätta WPA. Den implementerar CCMP- och AES-kryptering , vilket gör WPA2 säkrare än sin föregångare. Från och med den 13 mars 2006 är WPA2-stöd ett krav för alla certifierade Wi-Fi-enheter [1] .

WPA3

I början av 2018 tillkännagav Wi-Fi Alliance det senaste trådlösa säkerhetsprotokollet, WPA3 [2] . De huvudsakliga tilläggen som implementeras i detta protokoll kommer att vara: inbyggt skydd mot brute force-attacker ; individuell datakryptering för att förbättra användarnas integritet på öppna Wi-Fi-nätverk; förenklad konfiguration av IoT- enheter; en förbättrad kryptografisk standard för Wi-Fi-nätverk - "192-bitars säkerhetspaket" [3] [4] .

Sårbarheter

Den 6 november 2008, på PacSec-konferensen, presenterades en metod som gör det möjligt att knäcka TKIP- nyckeln som används i WPA på 12-15 minuter [5] . Denna metod låter dig läsa data som överförs från åtkomstpunkten till klientmaskinen, samt överföra falsk information till klientmaskinen. Data som överförs från klienten till routern har ännu inte lästs. Ett annat villkor för en framgångsrik attack var att aktivera QoS på routern .

2009 utvecklade Toshihiro Oigashi och Masakatu Moriya, anställda vid University of Hiroshima och Kobe University, och framgångsrikt implementerade en ny attackmetod som låter dig knäcka vilken WPA-anslutning som helst utan begränsningar, och i bästa fall är crackningstiden 1 minut [ 6] .

WPA-anslutningar som använder den säkrare AES- nyckelkrypteringsstandarden , såväl som WPA2-anslutningar, är inte mottagliga för dessa attacker.

Den 23 juli 2010 publicerades information om Hole196- sårbarheten i WPA2-protokollet. Genom att använda denna sårbarhet kan en användare som är inloggad på nätverket dekryptera andra användares data med sin privata nyckel. Ingen nyckelsprickning eller brute force krävs [7] .

Men fram till 2017 var de viktigaste metoderna för att knäcka WPA2 PSK ordboksattack och brute force . För att göra detta, i det trådlösa kortövervakningsläget, skannas luften och de nödvändiga paketen registreras. Därefter avauktoriseras klienten för att fånga det initiala paketutbytet - " handshake " ( engelska  handshake ), eller så måste du vänta tills klienten gör en anslutning. Efter det finns det inte längre ett behov av att vara nära den attackerade åtkomstpunkten. Attacken utförs offline med hjälp av ett speciellt program och en fil med ett handslag.

I oktober 2017 publicerades en nyinstallationsattack på WPA2, kallad KRACK , som låter dig återställa nonce, när du använder AES-CCMP, spela upp tidigare skickade paket och dekryptera dem, när du använder WPA TKIP och GCMP lägen, dekryptera och injicera paket till anslutningen [8] [9] .

Se även

• WEP

Anteckningar

1. ↑ "WPA2-säkerhet nu obligatorisk för Wi-Fi-certifierade produkter" WPA2-säkerhet nu obligatorisk för Wi-Fi-certifierade produkter . WiFi Alliance . Arkiverad från originalet den 25 augusti 2011. (obestämd)
2. ↑ Wi-Fi Alliance® introducerar  säkerhetsförbättringar . WiFi Alliance . www.wi-fi.org (8 januari 2018). Hämtad 23 mars 2018. Arkiverad från originalet 23 mars 2018.
3. ↑ WPA3-standard tillkännages, Wi-Fi lovar att bli säkrare - "Hacker"  (ryska) , "Hacker"  (9 januari 2018). Arkiverad från originalet den 23 mars 2018. Hämtad 23 mars 2018.
4. ↑ Wi-Fi Alliance tillkännager WPA3 . iXBT.com (9 januari 2018). Hämtad 23 mars 2018. Arkiverad från originalet 23 mars 2018. (obestämd)
5. ↑ När man väl trodde att det var säkert, är WPA Wi-Fi-kryptering knäckt | IT-världen . Hämtad 7 november 2008. Arkiverad från originalet 9 november 2008. (obestämd)
6. ↑ Hacka WPA-protokollet, papper från JWIS2009-konferensen.  (engelska)  (otillgänglig länk)
7. ↑ Blogginlägg av AirTight Networks, vars specialister hittade sårbarheten  (engelska) (otillgänglig länk) . Datum för åtkomst: 26 juli 2010. Arkiverad från originalet 26 juli 2010. (obestämd) 
8. ↑ http://papers.mathyvanhoef.com/ccs2017.pdf Arkiverad 16 oktober 2017 på Wayback Machine Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2
9. ↑ KRACK Attacks: Breaking WPA2 . www.krackattacks.com. Hämtad 16 oktober 2017. Arkiverad från originalet 28 februari 2020. (obestämd)

Länkar

• WPA2-delen av Wi-Fi Alliances webbplats
• Wi-Fi Alliances interoperabilitetscertifikat
• Wi-Fi Protected Access: Stark, standardbaserad, interoperabel säkerhet för dagens Wi-Fi-nätverk.
• Pressmeddelande om nya EAP-typer som stöds av WPA  (länk ej tillgänglig)
• IEEE 802.11i-2004 standard
• Översättningar av man-sidorna från wpasupplicant-paketet: wpa_background(8) , wpa_supplicant(8) , wpa_supplicant.conf(5) , wpa_cli(8) , wpa_action(8) , wpa_passphrase(8)