IEEE 802.11i
Această intrare sau secțiune privind telecomunicațiile nu citează sursele necesare sau cei prezenți sunt insuficienți . |
IEEE 802.11i (cunoscut și sub numele de WPA2 - Wi-Fi Protected Access 2 ) este un standard dezvoltat de IEEE special pentru a oferi un strat de securitate pentru comunicații bazat pe standardul IEEE 802.11 .
Caracteristici
Documentul a fost ratificat la 24 iunie 2004 și reprezintă un superset (extensie) al standardului anterior Wired Equivalent Privacy (WEP) care s-a dovedit a fi supus erorilor conceptuale de proiectare. Înainte de standardul 802.11i, Wi-Fi Alliance a introdus accesul protejat Wi-Fi (WPA), care este, de asemenea, un subset al specificației 802.11i.
WPA a fost introdus pentru tamponarea urgenței de securitate datorită WEP și reprezintă doar un standard tranzitoriu, în timp ce 802.11i era în curs de finalizare și perfecționare. Wi-Fi Alliance a decis să apeleze specificația 802.11i WPA2 pentru a facilita pentru utilizatorul comun găsirea de carduri bazate pe noul standard. 802.11i folosește Advanced Encryption Standard (AES) ca algoritm criptografic spre deosebire de WEP și WPA care utilizează RC4 .
Arhitectura 802.11i utilizează următoarele componente: IEEE 802.1x pentru autentificare (se poate utiliza protocolul EAP sau un server de autentificare) Protocol RSN pentru a urmări asociațiile și CCMP pentru a asigura confidențialitatea , integritatea datelor și certitudinea expeditorului. Procesul de autentificare are loc printr-o strângere de mână în patru direcții.
Strângerea de mână în patru sensuri
Procesul de strângere de mână în patru direcții (care poate fi tradus prin strângere de mână în patru direcții) pornește de la două considerații. AP (punctul de acces, adică clientul) trebuie să se autentifice și cheia de sesiune utilizată pentru a cripta mesajele nu a fost încă calculată. EAP ar trebui să schimbe mai întâi cheia sa privată (PMK, Pairwise Master Key ) cu AP. Dar această cheie trebuie să fie dezvăluită cât mai puțin posibil și numai pe un canal securizat, deoarece este cuvântul cheie care protejează toate comunicațiile și, prin urmare, intrarea în funcțiune în patru direcții. În primul rând, EAP transmite o cheie temporară PTK către AP. PTK este generat de concatenarea adresei MAC AP, AP nonce (ANonce), STA nonce (Snonce) și adresa MAC STA. Produsul este trimis către o funcție hash criptografică .
Protocolul folosește cheia efemeră GTK pentru a decripta traficul multicast.
Evoluția în timp a strângerii de mână în patru moduri
- Nonce : număr pseudo-aleatoriu
- AP : Punct de acces
- STA : Clientul stației
- AP trimite valoarea nonce către STA (ANonce). Acum, clientul are toate datele pentru a genera PTK. (Prima mână)
- STA trimite valoarea nonce (SNonce) către AP plus MIC. (La mâna a doua)
- AP trimite GTK și un număr secvențial împreună cu un alt MIC. Numărul secvențial este utilizat pentru a indica primul pachet criptat de atunci. (A treia mână)
- STA trimite confirmarea către AP. (Mâna a patra)
Odată ce PTK este recuperat, acesta este imediat împărțit în cele cinci taste:
- EAPOL-Key Encryption Key (KEK) - Cheia utilizată pentru a oferi confidențialitate pentru unele informații suplimentare trimise clientului (cum ar fi GTK)
- EAPOL-Key Confirmation Key (KCK) - Cheia utilizată pentru calcularea MIC pe mesajul cheie EAPOL
- Temporal Key (TK) - Cheia utilizată pentru a cripta și decripta traficul wireless unicast curent.
- Tasta MIC Tx - Cheia utilizată pentru a calcula MIC pe traficul unicast transmis de AP
- Tasta MIC Rx - Cheia utilizată pentru a calcula MIC pe traficul unicast transmis de STA
Ultimele două chei (MIC Rx / Tx) sunt utilizate numai dacă rețeaua utilizează TKIP pentru a cripta datele.
