Wi-Fi Protected Access

Z Multimediaexpo.cz

WPA (Wi-Fi Protected Access, česky Wi-Fi chráněný přístup) je druh zabezpečení bezdrátových počítačových sítí (Wi-Fi). Vznikl jako reakce na vážné bezpečnostní nedostatky objevené v předchozím systému, jímž byl Wired Equivalent Privacy (WEP). Vznikl s cílem využít hardware podporující WEP, ale vhodnými doplňkovými mechanismy (především prací s klíči) eliminovat jeho slabá místa. Tento druh zabezpečení však nefunguje v tzv. ad-hoc sítích, ve kterých lze pro zabezpečení použít pouze WEP.

WPA implementuje velkou část standardu IEEE 802.11i. Vznikl jako dočasná náhrada WEP do doby, než bude dokončena specifikace 802.11i. WPA je navržen tak, aby pracoval se všemi Wi-Fi síťovými kartami, ale nemusí fungovat na nejstarší generaci přístupových bodů. Kompletní implementací standardu IEEE 802.11i je WPA2, což je následník WPA, který ale není podporován některými staršími kartami.

WPA a WPA2 poskytují kvalitní zabezpečení, pokud jsou správně použity:

  • Většina bezdrátových zařízení, má jako první volbu žádné nebo WEP zabezpečení, je tedy třeba zvolit zabezpečení WPA nebo WPA2.
  • Pokud se zvolí režim zabezpečení vyžadující heslo, je důležité, aby toto heslo odolávalo slovníkovým útokům i útokům hrubou silou. Tedy heslo by nemělo být žádné známé slovo, a mělo by být dostatečně dlouhé, například 10 znaků.

Obsah

Historie

WPA vytvořila Wi-Fi Aliance, jež vlastní práva na značku Wi-Fi a certifikuje zařízení, která ji nesou.

WPA je navrženo pro použití s autentizačním serverem IEEE 802.1X, který distribuuje jednotlivým uživatelům rozdílné klíče. Lze je však použít i v režimu s „předsdíleným heslem“ (pre-shared key, PSK), kdy všichni uživatelé používají stejné přístupové heslo. WPA vychází ze 3. pracovního návrhu IEEE 802.11i.

Wi-Fi Aliance vytvořila WPA s cílem umožnit zavedení bezpečných produktů pro bezdrátové sítě vycházejících ze standardů ještě před dokončením prací na IEEE 802.11i. Již při jeho návrhu autoři očekávali zavedení WPA2 kompatibilního s IEEE 802.11i, proto jsou značky používané v rámcích úmyslně odlišné od 802.11i, aby bylo snadné odlišit WPA od WPA2 v implementacích podporujících obě specifikace.

Data jsou zašifrována pomocí proudové šifrovací metody RC4 se 128bitovým klíčem a 48bitovým inicializačním vektorem (IV). Zásadní vylepšení oproti WEP zabezpečení spočívá v použití TKIP (Temporal Key Integrity Protocol), což je protokol dynamicky měnící klíče. Společně s mnohem delšími inicializačními vektory tak odolává útokům, jimiž je napadán WEP.

Kromě autentizace a šifrování WPA také vylepšuje kontrolu správnosti dat, tedy integritu. WEP používá metodu cyklického kontrolního součtu CRC-32, která je sama o sobě málo bezpečná, protože je možné pozměnit zprávu a kontrolní součet bez znalosti WEP klíče. WPA používá bezpečnější MAC (Message Authentication Code, česky autentizační kód zprávy), zde nazvanou MIC (Message Integrity Code, česky kód integrity pro zprávy), konkrétně algoritmus nazvaný Michael. MIC metoda použitá v WPA zahrnuje počítadlo rámců, které chrání před útoky snažícími se zopakovat předchozí odposlouchanou komunikaci.

Díky prodloužení klíčů a inicializačních vektorů, snížení počtu zaslaných paketů s příbuznými klíči a systému ověřujícímu zprávy je těžké WPA prolomit. Algoritmus Michael představuje to nejsilnější, co mohli autoři WPA použít při zachování kompatibility se staršími síťovými kartami. Díky nevyhnutelné slabosti algoritmu Michael obsahuje WPA speciální ochranný mechanismus, který detekuje pokus o prolomení TKIP a dočasně blokuje komunikaci s útočníkem.

WPA2

Viz IEEE 802.11i

WPA2 implementuje povinné prvky IEEE 802.11i. Konkrétně přidává k TKIP a algoritmu Michael nový algoritmus CCMP - "Counter Mode with Cipher Block Chaining Message Authentication Code Protocol" založený na AES, který je považován za zcela bezpečný. Od 13. března 2006 je certifikace WPA2 povinná pro všechna nová zařízení, jež chtějí být certifikována jako Wi-Fi.

Podpora výrobců:

  • Oficiální podpora WPA2 v Microsoft Windows XP vyšla 1. května 2005. Může vyžadovat aktualizaci ovladače síťového adaptéru.
  • Windows Vista mají podporu již zabudovanou v základním vydání.
  • Apple podporuje WPA2 na všech Macintoshích obsahujících AirPort Extreme, základnových stanicích AirPort Extreme, a AirPort Express. Potřebné aktualizace firware jsou obsaženy v AirPort 4.2, vydaném 14. července 2005.

Bezpečnost v režimu s předsdíleným heslem

Režim s předsdíleným heslem - PSK pre-shared key (označovaný také jako osobní režim) je navržen pro sítě v domácnostech a malých kancelářích (tzv. SOHO segment), které si nemohou dovolit náklady a složitost autentizačního serveru pro IEEE 802.1X - např. RADIUS server. Každý uživatel musí před vstupem do sítě zadat heslo obsahující 8 až 63 tisknutelných ASCII znaků nebo 64 šestnáctkových číslic. Pokud použijete ASCII znaky, hašovací funkce je zkrátí z původních 504 bitů (63 znaků po osmi bitech) na 256 bitů (používá také SSID). Většina operačních systémů umožňuje uložení hesla na uživatelském počítači, aby nebylo nutné jej opakovaně zadávat. Heslo musí být uloženo na všech přístupových bodech Wi-Fi sítě.

Bezpečnost zvyšuje použití funkce PBKDF2 (Password-Based Key Derivation Function) pro odvozování klíčů. Nicméně uživatelé často používají slabá hesla, která neodolají útokům hrubou silou zaměřeným na hádání hesel. Riziko tohoto útoku lze snížit použitím hesel kombinujících alespoň 5 spojených náhodných slov či obsahujících alespoň 14 zcela náhodných písmen. Maximální ochrana v tomto režimu vyžaduje klíč obsahující 54 náhodných písmen nebo 39 náhodných ASCII znaků. V praxi většinou postačí vyvarovat se krátkým a slovníkovým řetězcům.

Někteří výrobci spotřebních WLAN zařízení se snaží obejít slabou volbu hesla pomocí metody, která automaticky generuje a distribuuje silné klíče pomocí softwarového či hardwarového rozhraní používajícího externí metodu přidávání nového Wi-Fi adaptéru či zařízení do sítě. Tyto metody zahrnují stisknutí tlačítka (Broadcom SecureEasySetup a Buffalo AirStation One-Touch Secure System či AVM Fritz!Box Fon 7170, 7270) a zadání krátkého hesla prostřednictvím programu (Atheros JumpStart). Wi-Fi Aliance tyto metody standardizovala v programu nazvaném Wi-Fi Protected Setup (WPS, dříve Simple Config).

Některá zařízení podporují tzv. Mixed mode, kdy WLAN Access Point podporuje WPA a současně i WPA2 na jediném WLAN rozhraní, v některých případech umožňuje vytvořit i více, typicky 2 SSID bud přímo pro klienty (například mini router od FON.com - La Fonera, 2x SSID, 2 metody šifrování), v jiných případech např. pro WDS režim, kdy páteř je šifrována nezávisle na klientském signálu (např. Fritz!Box FON, i když obě SSID, páteřní i klientské, musí být shodné, tak každé může mít jinou metodu šifrování či klíče).

Externí odkazy