You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2005-7>2005-7-Turvamekanismit (revision 1)

WPA - Turvamekanismit

Salaus

Temporal Key Integrity Protocol nostaa käytetyn salausavaimen koon 128:aan bittiin ja poistaa avainten ennustettavuuden avainhierarkialla ja avaintenhallinnalla. Yritysverkon autentikointipalvelin dynaamisesti luo ja jakelee näitä avaimia. ![WAWP03, s. 4] Access Pointiin liitetty autentikointipalvelin tuottaa asiakkaan tunnistuksen jälkeen sille vastinparin eli ainutkertaisen, tapahtumakohtaisen masterin AP:lle ![WAWP03, s. 4]. Tämän jälkeen kyseinen master hallitsee pakettikohtaisia salausavaimia siten, että ne vaihdetaan jokaiselle lähetyksen kehykselle ja jokainen muutos synkronoidaan langattoman asiakkaan ja AP:n välillä ![MS03]. Yhdessä istunnossa samaa avainta ei koskaan käytetä kahdesti ja avainten hallinta tapahtuu automatisoidusti taustalla käyttäjältä näkymättömissä ![WAHome05, s. 1-2].

TKIP salaa liikenteen RC4 –algoritmilla ja siinä käytetään laajennettua 48 –bittistä alustusvektoria sekä vektorien valinta- ja todentamissäännöstöä. Eräs WPA:n vahvuus syntyykin näin TKIP:n vaihtaessa WEP:n yhden pysyvän avaimen noin 500 triljoonaan mahdolliseen yksittäisen paketin avaimeen. ![WAWC03, s. 16] Tämän lisäksi WPA:ssa on viestin eheystarkistus MIC, jonka tarkoituksena on estää hyökkääjää ottamasta kiinni, muuntelemasta ja uudelleen lähettämästä paketteja. Se tuottaa vahvan matemaattisen tarkistusfunktion, jonka lähettäjä ja vastaanottaja molemmat laskevat, ja sen jälkeen vertailevat tuloksia. Jos tulokset eivät täsmää, datan oletetaan olevan peukaloitua ja kyseinen paketti pudotetaan pois. ![WAWP03, s. 4]

Langattomiin verkkoihin murtautuminen tehdään monin kerroin vaikeammaksi TKIP:n avulla, sillä se voimistaa niiden salauksen monimutkaisuutta ja vaikeutta huomattavasti ![WAWP03, s. 4]. MIC:n vaatimat laskutoimenpiteet voidaan suorittaa olemassa olevilla langattomilla laitteistoilla, mutta RC4:sta edistyneemmän AES –salausalgoritmin käyttö on WPA:ssa määritelty vain vapaaehtoiseksi täydentäväksi mekanismiksi, koska sen lisääminen vaatisi uusien laitteistojen hankkimista ![MS03].

*Tarkempaa tietoa muun muassa [salaus- ja purkuprosesseista | http://www.microsoft.com/technet/community/columns/cableguy/cg1104.mspx] löytyy Microsoftin www-sivulta.

! Autentikointi yritysverkossa WPA:ssa autentikointiin yritysverkossa käytetään EAP:ia sekä yhdistelmänä sen kanssa IEEE 802.1X:ää, joka on portteihin perustuva pääsynvalvonnan menetelmä yhtälailla lanka- kuin langattomille verkoille ![WAWP03, s. 5]. Yhdessä nämä kaksi toteutusta luovat käyttäjien todennukselle vahvan rungon, joka hyödyntää verkossa autentikointipalvelinta. Tämä palvelin on verrattavissa RADIUS –palvelimeen ([RADIUS | http://en.wikipedia.org/wiki/RADIUS] Wikipediassa) ja käyttäjät autentikoituvat sen kanssa molemminpuoleisesti ennen kuin voivat liittyä verkkoon. ![WAOver05, s. 2] Molemminpuoleinen autentikointi toisaalta estää käyttäjiä tahtomattaan kirjautumasta vihamieliseen verkkoon tai phishing –AP:eille, jotka voisivat varastaa heidän tietojaan, ja toisaalta varmistaa pääsyn verkkoon vain siihen oikeutetuille ![WAWP03, s. 5].

EAP:ssa käyttäjien valtuustietoja voidaan käsitellä missä tahansa verkon ylläpitäjän käyttöön ottamassa tunnistuksen muodossa, kuten digitaalisina sertifikaatteina, ainutkertaisina käyttäjäniminä ja salasanoina tai älykortteina. Valtuustietojen tyypin valinnan lisäksi WPA:ssa joustavuutta lisää mahdollisuus valita autentikointipalvelimella ja asiakkaiden verkkokorteilla käytettävän EAP:n tyyppi laajasta toteutusvalikoimasta (esim. EAP-TLS). Autentikointiprosessissa käyttäjän pyytäessä pääsyä verkkoon, asiakas –sovellus lähettää käyttäjän valtuustiedot autentikointipalvelimelle AP:n kautta. Mikäli palvelin hyväksyy käyttäjän tiedot, TKIP:n master –avain lähetetään sekä asiakkaalle että AP:lle. Lopuksi asiakas ja AP 4-tie kättelyllä vahvistavat toisensa ja asentavat avaimet, jotta varsinainen salattu tiedonsiirto voidaan aloittaa. ![WAWP03, s. 5]

[internal://eaverkko.png] %%% Kuva 1. WPA:n autentikointi yritysverkossa ![WAWP03, s. 5]

! Autentikointi kotiverkossa Kodeissa ja pienissä toimistoissa (engl. SOHO, small office and home office), joissa ei ole käytettävissä RADIUS autentikointipalvelimia, WPA toimii avainten tai salasanojen manuaalisen tallennuksen sallivassa PSK –moodissa. Se tuottaa kotiverkkojen käyttäjille saman TKIP –salauksen, pakettikohtaisen avainrakenteen ja avaintenhallinnan kuin yritysverkoissakin on käytössä. ![WAWP03, s. 6] PSK on helppo ottaa käyttöön, sillä kotikäyttäjän tarvitsee vain syöttää autentikointiin käytettävä salasana eli master –avain omalle AP:lleen tai kodin langattomalle reitittimelle sekä jokaiselle langattomaan verkkoon liitetylle PC:lle. Sen jälkeen WPA automaattisesti huolehtii sekä luvattomien käyttäjien pitämisestä loitolla että TKIP –salausprosessin ylläpidosta. Vaikka PSK ei olekaan yhtä vakaa kuin yritysmoodi, on se edullinen ja tarpeeksi vahva suoja useimpia – kehittyneitäkin – hyökkäyksiä vastaan. ![WAHome05, s. 1-2]

[internal://kotiverkko.png] %%% Kuva 2. WPA:n autentikointi kotiverkossa ![WAWP03, s. 6]

-- JarkkoSillanpaeae? - 23 Sep 2009
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r1 - 23 Sep 2009 - 15:44:25 - JarkkoSillanpaeae
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback