WPA - Turvamekanismit

Salaus

Temporal Key Integrity Protocol nostaa käytetyn salausavaimen koon 128:aan bittiin ja poistaa avainten ennustettavuuden avainhierarkialla ja avaintenhallinnalla. Yritysverkon autentikointipalvelin dynaamisesti luo ja jakelee näitä avaimia. [WAWP03, s. 4] Access Pointiin liitetty autentikointipalvelin tuottaa asiakkaan tunnistuksen jälkeen sille vastinparin eli ainutkertaisen, tapahtumakohtaisen masterin AP:lle [WAWP03, s. 4]. Tämän jälkeen kyseinen master hallitsee pakettikohtaisia salausavaimia siten, että ne vaihdetaan jokaiselle lähetyksen kehykselle ja jokainen muutos synkronoidaan langattoman asiakkaan ja AP:n välillä [MS03]. Yhdessä istunnossa samaa avainta ei koskaan käytetä kahdesti ja avainten hallinta tapahtuu automatisoidusti taustalla käyttäjältä näkymättömissä [WAHome05, s. 1-2].

TKIP salaa liikenteen RC4 algoritmilla ja siinä käytetään laajennettua 48-bittistä alustusvektoria sekä vektorien valinta- ja todentamissäännöstöä. Eräs WPA:n vahvuus syntyykin näin TKIP:n vaihtaessa WEP:n yhden pysyvän avaimen noin 500 triljoonaan mahdolliseen yksittäisen paketin avaimeen. [WAWC03, s. 16] Tämän lisäksi WPA:ssa on viestin eheystarkistus MIC, jonka tarkoituksena on estää hyökkääjää ottamasta kiinni, muuntelemasta ja uudelleen lähettämästä paketteja. Se tuottaa vahvan matemaattisen tarkistusfunktion, jonka lähettäjä ja vastaanottaja molemmat laskevat, ja sen jälkeen vertailevat tuloksia. Jos tulokset eivät täsmää, datan oletetaan olevan peukaloitua ja kyseinen paketti pudotetaan pois. [WAWP03, s. 4]

Langattomiin verkkoihin murtautuminen tehdään monin kerroin vaikeammaksi TKIP:n avulla, sillä se voimistaa niiden salauksen monimutkaisuutta ja vaikeutta huomattavasti [WAWP03, s. 4]. MIC:n vaatimat laskutoimenpiteet voidaan suorittaa olemassa olevilla langattomilla laitteistoilla, mutta RC4:sta edistyneemmän AES-salausalgoritmin käyttö on WPA:ssa määritelty vain vapaaehtoiseksi täydentäväksi mekanismiksi, koska sen lisääminen vaatisi uusien laitteistojen hankkimista [MS03].

Autentikointi yritysverkossa

WPA:ssa autentikointiin yritysverkossa käytetään EAP:ia sekä yhdistelmänä sen kanssa IEEE 802.1X:ää, joka on portteihin perustuva pääsynvalvonnan menetelmä yhtälailla lanka- kuin langattomille verkoille [WAWP03, s. 5]. Yhdessä nämä kaksi toteutusta luovat käyttäjien todennukselle vahvan rungon, joka hyödyntää verkossa autentikointipalvelinta. Tämä palvelin on verrattavissa RADIUS-palvelimeen (RADIUS Wikipediassa) ja käyttäjät autentikoituvat sen kanssa molemminpuoleisesti ennen kuin voivat liittyä verkkoon. [WAOver05, s. 2] Molemminpuoleinen autentikointi toisaalta estää käyttäjiä tahtomattaan kirjautumasta vihamieliseen verkkoon tai phishing AP:eille, jotka voisivat varastaa heidän tietojaan, ja toisaalta varmistaa pääsyn verkkoon vain siihen oikeutetuille [WAWP03, s. 5].

EAP:ssa käyttäjien valtuustietoja voidaan käsitellä missä tahansa verkon ylläpitäjän käyttöön ottamassa tunnistuksen muodossa, kuten digitaalisina sertifikaatteina, ainutkertaisina käyttäjäniminä ja salasanoina tai älykortteina. Valtuustietojen tyypin valinnan lisäksi WPA:ssa joustavuutta lisää mahdollisuus valita autentikointipalvelimella ja asiakkaiden verkkokorteilla käytettävän EAP:n tyyppi laajasta toteutusvalikoimasta (esim. EAP-TLS). Autentikointiprosessissa käyttäjän pyytäessä pääsyä verkkoon, asiakassovellus lähettää käyttäjän valtuustiedot autentikointipalvelimelle AP:n kautta. Mikäli palvelin hyväksyy käyttäjän tiedot, TKIP:n master -avain lähetetään sekä asiakkaalle että AP:lle. Lopuksi asiakas ja AP 4-tie kättelyllä vahvistavat toisensa ja asentavat avaimet, jotta varsinainen salattu tiedonsiirto voidaan aloittaa. [WAWP03, s. 5]

eaverkko.png
Kuva 1. WPA:n autentikointi yritysverkossa [WAWP03, s. 5]

Autentikointi kotiverkossa

Kodeissa ja pienissä toimistoissa (engl. SOHO, small office and home office), joissa ei ole käytettävissä RADIUS autentikointipalvelimia, WPA toimii avainten tai salasanojen manuaalisen tallennuksen sallivassa PSK-moodissa. Se tuottaa kotiverkkojen käyttäjille saman TKIP-salauksen, pakettikohtaisen avainrakenteen ja avaintenhallinnan kuin yritysverkoissakin on käytössä. [WAWP03, s. 6] PSK on helppo ottaa käyttöön, sillä kotikäyttäjän tarvitsee vain syöttää autentikointiin käytettävä salasana eli master avain omalle AP:lleen tai kodin langattomalle reitittimelle sekä jokaiselle langattomaan verkkoon liitetylle PC:lle. Sen jälkeen WPA automaattisesti huolehtii sekä luvattomien käyttäjien pitämisestä loitolla että TKIP-salausprosessin ylläpidosta. Vaikka PSK ei olekaan yhtä vakaa kuin yritysmoodi, on se edullinen ja tarpeeksi vahva suoja useimpia kehittyneitäkin hyökkäyksiä vastaan. [WAHome05, s. 1-2]

kotiverkko.png
Kuva 2. WPA:n autentikointi kotiverkossa [WAWP03, s. 6]

-- JarkkoSillanpaeae? - 23 Sep 2009
Topic attachments
ISorted ascending Attachment Action Size Date Who Comment
eaverkko.pngpng eaverkko.png manage 203.6 K 23 Sep 2009 - 23:16 JarkkoSillanpaeae Kuva 1. WPA:n autentikointi yritysverkossa [WAWP03, s. 5]
kotiverkko.pngpng kotiverkko.png manage 101.9 K 23 Sep 2009 - 23:17 JarkkoSillanpaeae Kuva 2. WPA:n autentikointi kotiverkossa [WAWP03, s. 6]
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 23 Sep 2009 - 23:24:52 - JarkkoSillanpaeae
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback