Wi-Fi Protected Access
Z Wikipedie, otevřené encyklopedie
WPA (Wi-Fi Protected Access, česky Wi-Fi chráněný přístup) je druh zabezpečení bezdrátových počítačových sítí (Wi-Fi). Vznikl jako reakce na vážné bezpečnostní nedostatky objevené v předchozím systému, jímž byl Wired Equivalent Privacy (WEP). Vznikl s cílem využít hardware podporující WEP, ale vhodnými doplňkovými mechanismy (především prací s klíči) eliminovat jeho slabá místa. Tento druh zabezpečení však nefunguje v tzv. ad-hoc sítích, ve kterých lze pro zabezpečení použít pouze WEP.
WPA implementuje velkou část standardu IEEE 802.11i. Vznikl jako dočasná náhrada WEP do doby, než bude dokončena specifikace 802.11i. WPA je navržen tak, aby pracoval se všemi Wi-Fi síťovými kartami, ale nemusí fungovat na nejstarší generaci přístupových bodů. Kompletní implementací standardu IEEE 802.11i je WPA2, což je následník WPA, který ale není podporován některými staršími kartami.
WPA a WPA2 poskytují kvalitní zabezpečení, pokud jsou správně použity:
- Většina bezdrátových zařízení, má jako první volbu žádné nebo WEP zabezpečení, je tedy třeba zvolit zabezpečení WPA nebo WPA2.
- Pokud se zvolí režim zabezpečení vyžadující heslo, je důležité, aby toto heslo odolávalo slovníkovým útokům i útokům hrubou silou. Tedy heslo by nemělo být žádné známé slovo, a mělo by být dostatečně dlouhé, například 10 znaků.
Obsah |
[editovat] Historie
WPA vytvořila Wi-Fi Aliance, jež vlastní práva na značku Wi-Fi a certifikuje zařízení, která ji nesou.
WPA je navrženo pro použití s autentizačním serverem IEEE 802.1X, který distribuuje jednotlivým uživatelům rozdílné klíče. Lze je však použít i v režimu s „předsdíleným heslem“ (pre-shared key, PSK), kdy všichni uživatelé používají stejné přístupové heslo. WPA vychází ze 3. pracovního návrhu IEEE 802.11i.
Wi-Fi Aliance vytvořila WPA s cílem umožnit zavedení bezpečných produktů pro bezdrátové sítě vycházejících ze standardů ještě před dokončením prací na IEEE 802.11i. Již při jeho návrhu autoři očekávali zavedení WPA2 kompatibilního s IEEE 802.11i, proto jsou značky používané v rámcích úmyslně odlišné od 802.11i, aby bylo snadné odlišit WPA od WPA2 v implementacích podporujících obě specifikace.
Data jsou zašifrována pomocí proudové šifrovací metody RC4 se 128bitovým klíčem a 48bitovým inicializačním vektorem (IV). Zásadní vylepšení oproti WEP zabezpečení spočívá v použití TKIP (Temporal Key Integrity Protocol), což je protokol dynamicky měnící klíče. Společně s mnohem delšími inicializačními vektory tak odolává útokům, jimiž je napadán WEP.
Kromě autentizace a šifrování WPA také vylepšuje kontrolu správnosti dat, tedy integritu. WEP používá metodu cyklického kontrolního součtu CRC-32, která je sama o sobě málo bezpečná, protože je možné pozměnit zprávu a kontrolní součet bez znalosti WEP klíče. WPA používá bezpečnější MAC (Message Authentication Code, česky autentizační kód zprávy), zde nazvanou MIC (Message Integrity Code, česky kód integrity pro zprávy), konkrétně algoritmus nazvaný Michael. MIC metoda použitá v WPA zahrnuje počítadlo rámců, které chrání před útoky snažícími se zopakovat předchozí odposlouchanou komunikaci.
Díky prodloužení klíčů a inicializačních vektorů, snížení počtu zaslaných paketů s příbuznými klíči a systému ověřujícímu zprávy je těžké WPA prolomit. Algoritmus Michael představuje to nejsilnější, co mohli autoři WPA použít při zachování kompatibility se staršími síťovými kartami. Díky nevyhnutelné slabosti algoritmu Michael obsahuje WPA speciální ochranný mechanismus, který detekuje pokus o prolomení TKIP a dočasně blokuje komunikaci s útočníkem.
[editovat] WPA2
Viz IEEE 802.11i
WPA2 implementuje povinné prvky IEEE 802.11i. Konkrétně přidává k TKIP a algoritmu Michael nový algoritmus CCMP založený na AES, který je považován za zcela bezpečný. Od 13. března 2006 je certifikace WPA2 povinná pro všechna nová zařízení, jež chtějí být certifikována jako Wi-Fi.
Podpora výrobců:
- Oficiální podpora WPA2 v Microsoft Windows XP vyšla 1. května 2005. Může vyžadovat aktualizaci ovladače síťové karty.
- Apple podporuje WPA2 na všech Macintoshích obsahujících AirPort Extreme, základnových stanicích AirPort Extreme, a AirPort Express. Potřebné aktualizace firware jsou obsaženy v AirPort 4.2, vydaném 14. července 2005.
[editovat] Bezpečnost v režimu s předsdíleným heslem
Režim s předsdíleným heslem (označovaný také jako osobní režim) je navržen pro sítě v domácnostech a malých kancelářích, které si nemohou dovolit náklady a složitost autentizačního serveru pro IEEE 802.1X. Každý uživatel musí před vstupem do sítě zadat heslo obsahující 8 až 63 tisknutelných ASCII znaků nebo 64 šestnáctkových číslic. Pokud použijete ASCII znaky, hašovací funkce je zkrátí z původních 504 bitů (63 znaků po osmi bitech) na 256 bitů (používá také SSID). Většina operačních systémů umožňuje uložení hesla na uživatelském počítači, aby nebylo nutné jej opakovaně zadávat. Heslo musí být uloženo na přístupových bodech Wi-Fi sítě.
Bezpečnost zvyšuje použití funkce PBKDF2 (Password-Based Key Derivation Function) pro odvozování klíčů. Nicméně uživatelé často používají slabá hesla, která neodolají útokům hrubou silou zaměřeným na hádání hesel. Riziko tohoto útoku lze snížit použitím hesel kombinujících alespoň 5 spojených náhodných slov či obsahujících alespoň 14 zcela náhodných písmen. Maximální ochrana v tomto režimu vyžaduje klíč obsahující 54 náhodných písmen nebo 39 náhodných ASCII znaků.
Někteří výrobci spotřebních mikroprocesorů se snaží obejít slabou volbu hesla pomocí metody, která automaticky generuje a distribuuje silné klíče pomocí softwarového či hardwarového rozhraní používajícího externí metodu přidávání nového Wi-Fi adaptéru či zařízení do sítě. Tyto metody zahrnují stisknutí tlačítka (Broadcom SecureEasySetup a Buffalo AirStation One-Touch Secure System) a zadání krátkého hesla prostřednictvím programu (Atheros JumpStart). Wi-Fi Aliance tyto metody standardizovala v programu nazvaném Wi-Fi Protected Setup (WPS, dříve Simple Config).
[editovat] Externí odkazy
- WPA stránka u Wi-Fi Aliance
- Certifikáty interoperability
- Konfigurace sítě s WPA
- Bezpečnost Apple Airport a Wi-Fi sítě
- EAP typy podporované pod WPA-Enterprise
- WPA/WPA2/IEEE 802.1X suplikant pro Linux
- Program Quicklink Mobile
- Online generátor WEP/WPA klíčů
- Captive Portal s WPA
- Volný WPA software od McAfee pro Windows 98/2000/ME/XP