Вводная информация о защищённом доступе по Wi-Fi и IEEE 802.11i
Исходный механизм безопасности IEEE 802.11 был спроектирован не достаточно сильным и была доказана его недостаточность для большинства сетей, которым необходим какой-либо аспект безопасности. Задачей номер один (Безопасность) рабочей группы IEEE 802.11 (http://www.ieee802.org/11/) была работа, нацеленная на недостатки основного стандарта, которая была практически завершена в мае 2004 года. В июне 2004 года была принята поправка IEEE 802.11i к стандарту IEEE 802.11, а в июле 2004 года она была опубликована.
Специалисты альянса Wi-Fi (http://www.wi-fi.org/) использовали предварительную версию стандарта IEEE 802.11i (draft 3.0) для определения подмножества расширений безопасности, которое может быть реализовано на существующем оборудовании беспроводных сетей. Расширения получили название Wi-Fi Protected Access<TM> (WPA) и стали одним из основных компонентов теста на сетевую совместимость при получении сертификата альянса Wi-Fi. Информацию о WPA можно получить на веб-сайте Wi-Fi (http://www.wi-fi.org/knowledge_center/wpa2).
В стандарте IEEE 802.11 был определён алгоритм защиты беспроводных сетей для обеспечения секретности равносильной проводным сетям - WEP (wired equivalent privacy). WEP использует 40-битные ключи RC4, 24-битный вектор инициализации, и CRC32 для защиты от подделки пакетов. Всех этих решений оказалось недостаточно: число вариаций ключа слишком мало, чтобы противостоять атакам, существующим в настоящее время; планирование ключа RC4 недостаточно (начало псевдослучайного потока может быть пропущено); число вариаций вектора инициализации также мало, а повторное его использование облегчает атаку; отсутствует защита от повтора; авторизация без использования ключей не обеспечивает защиту от подмены битов в пакете данных.
WPA - это промежуточное решение для обеспечения безопасности. Для замены WEP в нём используется протокол TKIP (Тemporal Key Integrity Protocol). TKIP - это компромисс между высокой защищённостью и возможностью использования на существующей аппаратной базе. Он, как и WEP, всё ещё использует для шифрования алгоритм RC4, используются по-пакетные ключи RC4. Также добавлена защита от повторов и механизм аутентификации пакетов по ключам (Michael MIC).
Существует два разных механизма управления ключами. WPA может использовать любой из двух вариантов: либо внешний сервер аутентификации (например, RADIUS) либо с помощью внешнего протокола аутентификации (EAP) согласно IEEE 802.1X с использованием общих ключей без необходимости в дополнительных серверах. Wi-Fi называет их соответственно "WPA-Enterprise" и "WPA-Personal". При использовании обоих механизмов будет создан сеансовый ключ аутентификатора (точки доступа) и просителя (клиентской станции).
WPA реализует новый механизм (4-Way Handshake - четырёхэтапное рукопожатие и Group Key Handshake - рукопожатие ключом группы) для создания и обмена ключами шифрования данных между аутентификатором и просителем. Этот механизм также используется для проверки того, что и аутентификатору и клиенту известен главный сеансовый ключ. Механизм всегда одинаков и не зависит от выбранного механизма управления ключами (меняется только алгоритм генерации главного сеансового ключа).
Разработка частей IEEE 802.11i, которые не были включены в WPA, была завершена в мае 2004 года и эти поправки к IEEE 802.11 были утверждены в июне 2004 года. Окончательная версия стандарта IEEE 802.11i используется альянсом Wi-Fi в качестве новой версии WPA и называется WPA2. Она включает, например, поддержку более стойкого алгоритма шифрования (CCMP:AES в счётном режиме с CBC-MAC) в качестве замены TKIP, а также оптимизированный механизм перехода (handoff) (уменьшено количество сообщений в начальном обмене ключами, предварительной аутентификации и кэшировании PMKSA).
wpa_supplicant(8)
wpa_supplicant Copyright © 2003-2007, Джуни Мэлайнен (Jouni Malinen) <j@w1.fi> и вкладчики. Все права защищены.
Эта программа распространяется под двумя лицензиями: GPL версии 2 и лицензией BSD. Любая из лицензий может использоваться на ваш выбор.
Перевод выполнен на сайте коллективных переводов http://translated.by. Авторы перевода Олег Безначев aka saturn721, Владимир Ступин <wheelof@gmail.com>, MOP3E.
| WPA_BACKGROUND (8) | 02 декабря 2008 |