• Ваш кошик порожній!

Сервісний центр VPSGroup ремонт комп'ютерної техніки, заправка картриджів, ремонт оргтехніки, Київ, Виставковий центр, Васильківська, 55

WPA2.

31/10/2021

26.11.2016



Зміст

  • 1 Різниця між WPA і WPA2
    • 1.1 Відмінність WPA2 від WPA полягає в наступному:
  • 2 Аутентифік WPA2
  • 3 Шифрування WPA2

Протокол WPA2 визначається стандартом IEEE 802.11i , створеним в 2004 році, з метою замінити WPA. У ньому реалізовано CCMP і шифрування AES, за рахунок чого WPA2 став більш захищеним, ніж свій попередник. З 2006 року підтримка WPA2 є обов'язковою умовою для всіх сертифікованих Wi-Fi пристроїв.

Різниця між WPA і WPA2

Пошук різниці між WPA і WPA2 для більшості користувачів актуальності не має, так як вся захист бездротової мережі зводиться до вибору більш- менш складного пароля на доступ. На сьогоднішній день ситуація така, що всі пристрої, що працюють в мережах Wi-Fi, зобов'язані підтримувати WPA2, так що вибір WPA обумовлений може бути тільки нестандартними ситуаціями. Наприклад, операційні системи старше Windows XP SP3 не підтримують роботу з WPA2 без застосування патчів, так що машини і пристрої, керовані такими системами, вимагають уваги адміністратора мережі.Навіть деякі сучасні смартфони можуть не підтримувати новий протокол шифрування, переважно це стосується внебрендових азіатських гаджетів. З іншого боку, деякі версії Windows старше XP не підтримують роботу з WPA2 на рівні об'єктів групової політики, тому вимагають в цьому випадку більш тонкої настройки мережевих підключень.

Технічне відміну WPA від WPA2 полягає в технології шифрування, зокрема , в використовуваних протоколах.В WPA використовується протокол TKIP, в WPA2 - протокол AES. На практиці це означає, що більш сучасний WPA2 забезпечує більш високу ступінь захисту мережі. Наприклад, протокол TKIP дозволяє створювати ключ аутентифікації розміром до 128 біт, AES - до 256 біт.

Відмінність WPA2 від WPA полягає в наступному:

  • WPA2 є покращений WPA .
  • WPA2 використовує протокол AES, WPA - протокол TKIP.
  • WPA2 підтримується всіма сучасними бездротовими пристроями.
  • WPA2 може не підтримуватися застарілими операційними системами.
  • Ступінь захисту WPA2 вище, ніж WPA.

Аутентифік WPA2

Як WPA, так і WPA2 працюють в двох режимах аутентифікації: персональному (Personal) і корпоративному (Enterprise). У режимі WPA2-Personal з введеної відкритим текстом парольної фрази генерується 256-розрядний ключ, іноді іменований попередньо розподіляється ключем PSK (Pre Shared Key). Ключ PSK, а також ідентифікатор SSID (Service Set Identifier) ​​і довжина останнього разом утворюють математичний базис для формування головного парного ключа PMK (Pairwise Master Key), який використовується для ініціалізації чотиристороннього квітірованія зв'язку та генерації тимчасового парного або сеансового ключа PTK (Pairwise Transient Key ), для взаємодії бездротового користувацького пристрою з точкою доступу.Як і статичному протоколу WEP, протоколу WPA2-Personal властива наявність проблем розподілу і підтримки ключів, що робить його більш відповідним для застосування в невеликих офісах, ніж на підприємствах.

Однак в протоколі WPA2-Enterprise успішно вирішити проблеми, що стосуються розподілу статичних ключів та управління ними, а його інтеграція з більшістю корпоративних сервісів аутентифікації забезпечує контроль доступу на основі облікових записів.Для роботи в цьому режимі потрібні такі реєстраційні дані, як ім'я та пароль користувача, сертифікат безпеки або одноразовий пароль; аутентифікація ж здійснюється між робочою станцією і центральним сервером аутентифікації. Точка доступу або бездротовий контролер проводять моніторинг з'єднання і направляють аутентифікаційні пакети на відповідний сервер аутентифікації, як правило, це сервер RADIUS. Базою для режиму WPA2-Enterprise служить стандарт 802.1X, що підтримує засновану на контролі портів аутентифікацію користувачів і машин, придатну як для дротових комутаторів, так і для бездротових точок доступу.

Шифрування WPA2

В основі стандарту WPA2 лежить метод шифрування AES, яка прийшла на зміну стандартам DES і 3DES як галузевого стандарту де-факто. Вимагає великого обсягу обчислень, стандарт AES потребує апаратної підтримки, яка не завжди є в старому обладнанні БЛВС.

Для аутентифікації і забезпечення цілісності даних WPA2 використовує протокол CBC-MAC (Cipher Block Chaining Message Authentication Code), а для шифрування даних і контрольної суми MIC - режим лічильника (Counter Mode - CTR). Код цілісності повідомлення (MIC) протоколу WPA2 є не що інше, як контрольну суму і на відміну від WEP і WPA забезпечує цілісність даних для незмінних полів заголовка 802.11. Це запобігає атаки типу packet replay з метою розшифровки пакетів або компрометації криптографічного інформації.

Для розрахунку MIC використовується 128-розрядний вектор ініціалізації (Initialization Vector - IV), для шифрування IV - метод AES і тимчасовий ключ, а в підсумку виходить 128-розрядний результат. Далі над цим результатом і наступними 128 біт даних виконується операція "виключає АБО". Результат її шифрується за допомогою AES і TK, а потім над останнім результатом і наступними 128 біт даних знову виконується операція "виключає АБО". Процедура повторюється до тих пір, поки не буде вичерпана вся корисне навантаження.Перші 64 розряду отриманого на самому останньому кроці результату використовуються для обчислення значення MIC.

Для шифрування даних і MIC використовується заснований на режимі лічильника алгоритм. Як і при шифруванні вектора ініціалізації MIC, виконання цього алгоритму починається з попереднього завантаження 128-розрядного лічильника, де в поле лічильника замість значення, відповідного довжині даних, береться значення лічильника, встановлений на одиницю.Таким чином, для шифрування кожного пакету використовується свій лічильник.

З застосуванням AES і TK шифруються перші 128 біт даних, а потім над 128-біт результатом цього шифрування виконується операція "виключає АБО". Перші 128 біт даних дають перший 128-розрядний зашифрований блок. Попередньо завантажене значення лічильника Інкрементальний збільшується і шифрується за допомогою AES і ключа шифрування даних. Потім над результатом цього шифрування і наступними 128 біт даних, знову виконується операція "виключає АБО".

Процедура повторюється до тих пір, поки не зашифрують все 128-розрядні блоки даних. Після цього остаточне значення в полі лічильника скидається в нуль, лічильник шифрується з використанням алгоритму AES, а потім над результатом шифрування і MIC виконується операція "виключає АБО". Результат останньої операції пристиковується до зашифрованого кадру.

Після підрахунку MIC з використанням протоколу CBC-MAC проводиться шифрування даних і MIC.Потім до цієї інформації спереду додається заголовок 802.11 і поле номера пакета CCMP, пристиковується кінцевик 802.11 і все це разом відправляється за адресою призначення.

Розшифровка даних виконується в зворотному шифрування порядку. Для вилучення лічильника задіюється той же алгоритм, що і при його шифруванні. Для дешифрування лічильника і зашифрованою частини корисного навантаження застосовуються заснований на режимі лічильника алгоритм розшифровки і ключ TK.Результатом цього процесу є розшифровані дані і контрольна сума MIC. Після цього, за допомогою алгоритму CBC-MAC, здійснюється перерахунок MIC для розшифрованих даних. Якщо значення MIC не збігаються, то пакет скидається. При збігу зазначених значень розшифровані дані відправляються в мережевий стек, а потім клієнту.

.