Вводная информация о защищённом доступе по Wi−Fi и IEEE 802.11i
Исходный механизм безопасности IEEE 802.11 был спроектирован не достаточно сильным и была доказана его недостаточность для большинства сетей, которым необходим какой−либо аспект безопасности. Задачей номер один (Безопасность) рабочей группы IEEE 802.11 (http://www.ieee802.org/11/) была работа, нацеленная на недостатки основного стандарта, которая была практически завершена в мае 2004 года. В июне 2004 года была принята поправка IEEE 802.11i к стандарту IEEE 802.11, а в июле 2004 года она была опубликована.
Специалисты альянса Wi−Fi (http://www.wi−fi.org/) использовали предварительную версию стандарта IEEE 802.11i (draft 3.0) для определения подмножества расширений безопасности, которое может быть реализовано на существующем оборудовании беспроводных сетей. Расширения получили название Wi−Fi Protected Access<TM> (WPA) и стали одним из основных компонентов теста на сетевую совместимость при получении сертификата альянса Wi−Fi. Информацию о WPA можно получить на веб−сайте Wi−Fi (http://www.wi−fi.org/knowledge_center/wpa2).
В стандарте IEEE 802.11 был определён алгоритм защиты беспроводных сетей для обеспечения секретности равносильной проводным сетям − WEP (wired equivalent privacy). WEP использует 40−битные ключи RC4, 24−битный вектор инициализации, и CRC32 для защиты от подделки пакетов. Всех этих решений оказалось недостаточно: число вариаций ключа слишком мало, чтобы противостоять атакам, существующим в настоящее время; планирование ключа RC4 недостаточно (начало псевдослучайного потока может быть пропущено); число вариаций вектора инициализации также мало, а повторное его использование облегчает атаку; отсутствует защита от повтора; авторизация без использования ключей не обеспечивает защиту от подмены битов в пакете данных.
WPA − это промежуточное решение для обеспечения безопасности. Для замены WEP в нём используется протокол TKIP (Тemporal Key Integrity Protocol). TKIP − это компромисс между высокой защищённостью и возможностью использования на существующей аппаратной базе. Он, как и WEP, всё ещё использует для шифрования алгоритм RC4, используются попакетные ключи RC4. Также добавлена защита от повторов и механизм аутентификации пакетов по ключам (Michael MIC).
Существует два разных механизма управления ключами. WPA может использовать любой из двух вариантов: либо внешний сервер аутентификации (например, RADIUS) либо с помощью внешнего протокола аутентификации (EAP) согласно IEEE 802.1X с использованием общих ключей без необходимости в дополнительных серверах. Wi−Fi называет их соответственно "WPA−Enterprise" и "WPA−Personal". При использовании обоих механизмов будет создан сеансовый ключ аутентификатора (точки доступа) и просителя (клиентской станции).
WPA реализует новый механизм (4−Way Handshake − четырёхэтапное рукопожатие и Group Key Handshake − рукопожатие ключом группы) для создания и обмена ключами шифрования данных между аутентификатором и просителем. Этот механизм также используется для проверки того, что и аутентификатору и клиенту известен главный сеансовый ключ. Механизм всегда одинаков и не зависит от выбранного механизма управления ключами (меняется только алгоритм генерации главного сеансового ключа).
Разработка частей IEEE 802.11i, которые не были включены в WPA, была завершена в мае 2004 года и эти поправки к IEEE 802.11 были утверждены в июне 2004 года. Окончательная версия стандарта IEEE 802.11i используется альянсом Wi−Fi в качестве новой версии WPA и называется WPA2. Она включает, например, поддержку более стойкого алгоритма шифрования (CCMP:AES в счётном режиме с CBC−MAC) в качестве замены TKIP, а также оптимизированный механизм перехода (handoff) (уменьшено количество сообщений в начальном обмене ключами, предварительной аутентификации и кэшировании PMKSA).
wpa_supplicant(8)
wpa_supplicant защищён авторскими правами copyright (c) 2003−2014, Джуни Мэлайнен (Jouni Malinen) <j@w1.fi> и вкладчики. Все права защищены.
Эта программа распространяется под лицензией BSD (в которой удалено требование о рекламе).
Перевод выполнен на сайте коллективных переводов http://translated.by. Авторы перевода Олег Безначев aka saturn721, Владимир Ступин <vladimir@stupin.su>, MOP3E.