Після виконання відкритої аутентифікації і завершення процесу асоціювання клієнт може почати передачу і прийом даних. Якщо клієнт налаштований так, що його ключ відрізняється від ключа точки доступу, він не зможе правильно зашифровувати і розшифровувати фрейми, і такі фрейми будуть відкинуті як точкою доступу, так і клієнтської станцією. Цей процес надає собою досить-таки ефективний засіб контролю доступу до BSS (рис. 8).


Рис. 8. Процес відкритої аутентифікації при відмінності WEP-ключів
На відміну від відкритої аутентифікації, при аутентифікації з спільно використовуваних ключем потрібно, щоб клієнтська станція і точка доступу були здатні підтримувати WEP і мали однакові WEP-ключі. Процес аутентифікації з спільно використовуваних ключем здійснюється наступним чином.
1. Клієнт посилає точці доступу запит на аутентифікацію за спільне ключем.
2. Точка доступу відповідає фреймом виклику (challenge frame), що містить відкритий текст.
3. Клієнт шифрує виклик і посилає його назад точці доступу.
4. Якщо точка доступу може правильно розшифрувати цей кадр і отримати свій вихідний виклик, клієнтові надсилається повідомлення про успішну аутентифікації.
5. Клієнт отримує доступ до WLAN.
Передумови, на яких заснована аутентифікація з спільно використовуваних ключем, точно такі ж, як і ті, які передбачалися при відкритій аутентифікації, використовує WEP-ключі як засіб контролю доступу. Різниця між цими двома схемами полягає в тому, що клієнт не може асоціювати себе з точкою доступу при використанні механізму аутентифікації з спільно використовуваних ключем, якщо його ключ не налаштований належним чином. На рис. 9 схематично представлений процес аутентифікації з спільно використовуваних ключем.

Рис. 9. Процес аутентифікації з спільно використовуваних ключем

 

Аутентифікація з використанням МАС-адрес

Аутентифікація з використанням МАС-адрес не специфікована стандартом 802.11. але забезпечується багатьма виробниками. У ході аутентифікації з використанням МАС-адрес перевіряється відповідність МАС-адреси клієнта локально сконфигурированное списку дозволених адрес або списку, що зберігається на зовнішньому аутентификационной сервері (рис. 10). Аутентифікація з використанням МАС-адрес підсилює дію відкритої аутентифікації і аутентифікації з спільно використовуваних ключем, забезпечуваними стандартом 802.11, потенційно знижуючи тим самим імовірність того, що неавторизовані пристрою отримають доступ до мережі. Наприклад, адміністратор мережі може побажати обмежити доступ до певної точки доступу для трьох конкретних пристроїв. Якщо всі станції і всі точки доступу BSS використовують однакові WEP-ключі, при використанні відкритої аутентифікації і аутентифікації з спільно використовуваних ключем такий сценарій реалізувати важко. Щоб підсилити дію механізму аутентифікації стандарту 802.11, він може застосувати аутентифікацію з використанням МАС-адрес.

Рис. 10. Процес аутентифікації з використанням МАС-адрес

 

Уразливість системи захисту стандарту 802.11

У попередньому розділі розповідалося про те, як здійснюються аутентифікація та шифрування при використанні пристроїв стандарту 802.11. Не секрет, що система захисту, специфіковані в стандарті 802.11, недосконала. Незабаром після затвердження стандарту 802.11 з'явилися статті, в яких вказувалися слабкі місця механізму аутентифікації стандарту 802.11 і шифрування за алгоритмом WEP.

 

Уразливість відкритої аутентифікації

При використанні механізму відкритої аутентифікації точка доступу не має можливості перевірити правомочність клієнта. Відсутність такої можливості є недоліком системи захисту, якщо в бездротової локальної мережі не використовується WEP-шифрування. Навіть при використанні і клієнтом, і точкою доступу статичного WEP механізм відкритої аутентифікації не надає засобів для визначення того, хто використовує пристрій WLAN. Авторизоване пристрій у руках неавторизованого користувача - це загроза безпеці, рівносильна повній відсутності будь-якого захисту мережі!

 

Уразливість аутентифікації з спільно використовуваних ключем

У випадку аутентифікації з спільно використовуваних ключем необхідно, щоб клієнт використовував заздалегідь виділений для спільного використання ключ і шифрував текст виклику, отриманого від точки доступу. Точка доступу аутентифікує клієнта шляхом розшифровки зашифрованого за допомогою спільно використовуваного ключа відповіді і перевірки того, що отриманий текст виклику повністю відповідає відправленому.
Процес обміну текстом виклику здійснюється по бездротовому каналу зв'язку і є вразливим для атаки, можливою за знанні відкритого тексту. Ця вразливість у разі аутентифікації з спільно використовуваних ключем обумовлена ​​математичними методами, що лежать в основі шифрування. Раніше в цій главі говорилося про те, що процес кодування полягає в перемішуванні відкритого тексту з ключовим потоком та отримання у результаті зашифрованого тексту. Процес перемішування являє собою виконання двійковій математичної операції, яка називається "виключне АБО" (XOR). Якщо відкритий текст перемішати з відповідним зашифрованим текстом, в результаті виконання цієї операції буде отримана наступна пара: ключовий потік, який використовується для WEP-ключа, і вектор ініціалізації (рис. 11).
Зловмисник може захопити як відкритий, так і зашифрований текст відповіді. Виконавши над цими значеннями операцію "виключне АБО", він може отримати діючий ключовий потік. Потім зловмисник може використовувати цей ключовий потік для розшифровки фреймів, що мають такий же розмір, як і ключовий потік, оскільки вектор ініціалізації, що використовується для отримання ключового потоку, такий же, як і у розшифрованого фрейму. На рис. 12 показано, як атакуючий мережа зловмисник може простежити процес аутентифікації з спільно використовуваних ключем і дістати ключовою потік.

Рис. 11. Витяг ключового потоку
 

Рис. 12. Уразливість механізму аутентифікації з спільно використовуваних ключем

 

Уразливість аутентифікації з використанням МАС-адрес

МАС-адреси пересилаються за допомогою незашифрованих фреймів стандарту 802.11, як і обумовлено в специфікації цього стандарту. У результаті бездротові LAN. в яких застосовується аутентифікація з використанням МАС-адрес, уразливі для атак, в ході яких зловмисник "підкопується" під аутентифікацію з використанням МАС-адрес шляхом імітації "законного" МАС-адреси.
Імітація МАС-адреси можлива для мережевих карт стандарту 802.11, які дозволяють замінювати універсально-призначуваний адресу (universally administered address, UAA) локально-який призначається (locally administered address, LAA). Універсальний адреса - це МАС-адресу, жорстко закодований для мережевої карти виробником. Атакуючий може використовувати аналізатор протоколу для визначення дозволеного в BSS МАС-адреси і мережеву карту, яка допускає локальне призначення адреси, для імітації дозволеного МАС-адреси.

 

Уразливість WEP-шифрування

Найбільш серйозні й нездоланні проблеми захисту мереж стандарту 802.11 були виявлені криптоаналитики Флурером (Fluhrer), Мантинеї (Mantin) і Шамір (Shamir). У своїй статті вони показали, що WEP-ключ може бути отриманий шляхом пасивного накопичення окремих фреймів, що розповсюджуються в бездротової LAN.
Уразливість обумовлена ​​саме тим, як механізм WEP застосовує алгоритм складання ключа (key scheduling algorithm, KSA) на основі потокового шифру RC4. Частина векторів ініціалізації (їх називають слабкі IV - weak IV) можуть розкрити біти ключа в результаті проведення статистичного аналізу. Дослідники компанії AT & T і університету Rice скористалися цією вразливістю і з'ясували, що можна дістати WEP-ключі довжиною 40 або 104 біт після обробки 4 мільйонів фреймів. Для перших бездротових LAN стандарту 802.11b це означає, що вони повинні передавати фрейми приблизно одну годину, після чого можна вивести 104-розрядний WEP-ключ. Подібна вразливість робить WEP неефективним механізмом забезпечення захисту інформації.
Атака вважається пасивною, якщо атакуючий просто прослуховує BSS і накопичує передані фрейми. На відміну від вразливості аутентифікації з спільно використовуваних ключем, атакуючий, як показали Флурер, Мантинеї і Шамір, може дістати діючий WEP-ключ, а не тільки ключовою потік. Ця інформація дозволить атакуючому отримати доступ до BSS в якості аутентифікованим пристрою без відома адміністратора мережі.
Якщо атаки такого типу виявиться недостатньо, можна, як показує теорія, провести на механізм WEP і іншу (правда, на практиці атаки такого роду не проводилися). Ця логічно можлива атака може бути заснована на методах, що застосовуються для подолання захисту, забезпечується механізмом аутентифікації з спільно використовуваних ключем: для отримання ключового потоку використовуються відкритий текст і відповідний йому зашифрований текст.
Як вже говорилося, виведений ключовою потік можна використовувати для дешифрування фреймів для пари "вектор ініціалізації-WEP-ключ" і для певної довжини. Умоглядно можна припустити, що атакуючий буде прослуховувати мережу з метою нагромадження як можна більшої кількості таких ключових потоків, щоб створити базу даних ключ потік, зламати мережу і отримати можливість розшифровувати фрейми. У бездротової LAN, в якій не використовується аутентифікація з спільно використовуваних ключем, атака із застосуванням побітової обробки фрейму дозволяє зловмисникові вивести велику кількість ключових потоків за короткий час.
Атаки з використанням побітової обробки (або "жонглювання бітами", bit flipping) засновані на уразливості контрольного ознаки цілісності (ICV). Даний механізм базується на поліноміальної функції CRC-32. Але ця функція неефективна як засіб контролю цілісності повідомлення. Математичні властивості функції CRC-32 дозволяють підробити фрейм і модифікувати значення ICV, навіть якщо початковий вміст фрейма невідомо.
Хоча розмір корисних даних може бути різним для різних фреймів, багато елементів фреймів даних стандарту 802.11 залишаються одними і тими ж і на одних і тих самих позиціях. Атакуючий може використовувати цей факт і підробити частина фрейму з корисною інформацією, щоб модифікувати пакет більш високого рівня. Сценарій проведення атаки з використанням побітової обробки може бути таким (рис. 13).
1. Атакуючий захоплює фрейм бездротової LAN.
2. Атакуючий змінює випадкові біти (flips random bits) корисного навантаження фрейму.
3. Атакуючий модифікує ICV (докладніше про це - нижче).
4. Атакуючий передає модифікований фрейм.
5. Приймач (клієнт або точка доступу) отримує фрейм і обчислює ICV по вмісту фрейма.
6. Приймач порівнює обчислений ICV зі значенням, що зберігається в полі ICV фрейму.
7. Приймач приймає модифікований фрейм.
8. Приймач передає модифікований фрейм на пристрій більш високого рівня (повторювач або хост-комп'ютер).
9. Оскільки в пакеті рівня 3 біти змінені, контрольна сума для рівня 3 виявляється неправильною.
10. Протокол IP приймача видасть повідомлення про помилку.
11. Атакуючий отримує відомості про бездротової LAN, аналізуючи незашифрованому повідомлення про помилку.
12. Отримуючи повідомлення про помилку, атакуючий виводить ключовою потік, як у випадку атаки з повторенням IV.
Основою такої атаки є невідповідність ICV потрібне. Значення ICV знаходиться в зашифрованій за допомогою WEP частини фрейму; як атакуючий може змінити її, щоб узгодити зміни, викликані жонглюванням бітами, з фреймом? На рис. 14 проілюстрований процес "жонглювання бітами" та зміни ICV.
1. Нехай фрейм (F1) має ICV, значення якого дорівнює С1.
2. Генерується новий фрейм (F2) тієї ж довжини, яку має набір бітів фрейму F1.

Рис. 13. Атака з використанням побітової обробки
3. За допомогою операції "виключає АБО" над F1 і F2 створюється фрейм F3.
4. Обчислюється ICV для F3 (С2).
5. За допомогою операції "виключає АБО" над С1 і С2 генерується ICV СЗ.


Рис. 14. Модифікування ICV за рахунок побітової обробки

 

Проблеми управління статичними WEP-ключами

У специфікації стандарту 802.11 не вказано конкретний механізм управління ключами. WEP за визначенням підтримує тільки статичні ключі, заздалегідь призначені для спільного використання. Оскільки в процесі аутентифікації за стандартом 802.11 автентифіковані пристрій, а не користувач цього пристрою, втрата або крадіжка бездротового адаптера негайно призводить до виникнення проблеми, пов'язаної із захистом мережі. Для її рішення адміністратору мережі доведеться довго вручну змінювати ключі всіх бездротових пристроїв мережі, якщо наявний ключ "скомпрометований" через втрати або крадіжки адаптера.
Такий ризик може виявитися прийнятним для невеликих мереж, коли управління користувацькими пристроями - нескладне завдання. Але подібна перспектива неприйнятна для великих мереж, коли рахунок бездротових пристроїв для йде на тисячі. Без механізму розподілу або генерації ключів адміністратору доведеться днювати і ночувати там, де розгорнута бездротова мережа.

 

Захищені LAN стандарту 802.11

Промисловість подолала слабкі місця в механізмах аутентифікації та захисту мереж стандарту 802.11. Щоб надати користувачам рішення, що забезпечують захищеність, масштабованість та керованість мереж, IEEE підвищив захищеність мереж стандарту 802.11, розробивши покращений механізм аутентифікації і шифрування. Ці зміни були введені в проект стандарту 802.11i. На сьогоднішній день проект 802.11i не затверджений як стандарт, тому Альянс Wi-Fi (Wi-Fi Alliance) зібрав поднабор компонентів, відповідних стандартам 802.11i, який отримав назву "захищений доступ до Wi-Fi" (Wi-Fi Protected Access, WPA ). У даному розділі детально описані стандарт 802.11i і компоненти WPA.
Багато хто помилково вважає, що WEP - це єдиний компонент, який забезпечує захист бездротових LAN. Насправді захист бездротових мереж має чотири складові.
· Базова аутентифікація (authentication framework). Являє собою механізм, який підсилює дію алгоритму аутентифікації шляхом організації захищеного обміну повідомленнями між клієнтом, точкою доступу і сервером аутентифікації.
· Алгоритм аутентифікації. Являє собою алгоритм, за допомогою якого підтверджуються повноваження користувача.
· Алгоритм захисту даних. Забезпечує захист при передачі через бездротову середу фреймів даних.
· Алгоритм забезпечення цілісності даних (data integrity algorithm). Забезпечує цілісність даних при передачі їх через бездротову середу, дозволяючи приймача переконатися в тому, що дані не були підмінені.

Перша складова: базова автентифікація

Основою аутентифікації стандарту 802.11 є службовий фрейм аутентифікації стандарту 802.11. Цей службовий фрейм допомагає реалізувати алгоритми відкритої аутентифікації і аутентифікації з спільно використовуваних ключем, хоча сам по собі фрейм не має здатність аутентифікувати клієнта. Оскільки про недоліки аутентифікації стандарту 802.11 ми вже говорили, спробуємо розібратися в тому, що необхідно зробити для того, щоб забезпечити проведення захищеної аутентифікації в бездротових LAN.
У стандарті 802.11 не визначені основні компоненти, здатні забезпечити ефективну аутентифікацію (вони перераховані нижче).
· Централізована аутентифікація, орієнтована на користувача.
· Динамічно шіфруемие ключі.
· Управління зашифрованими ключами.
· Взаємна аутентифікація.
Аутентифікація, орієнтована на користувача, надзвичайно важлива для забезпечення захисту мережі. Аутентифікація, орієнтована на пристрої, подібна відкритої аутентифікації і аутентифікації з спільно використовуваних ключем, не здатна перешкодити неавторизованим користувачам скористатися авторизованим пристроєм. З цього випливає, що при втраті або крадіжці такого пристрою або після закінчення роботи за наймом адміністратор мережі буде змушений вручну змінювати ключі усіх точок доступу та клієнтів мережі стандарту 802.11. При централізованому, орієнтованому на користувача управлінні через сервер аутентифікації, авторизації та обліку (authentication, authorization, and accounting, AAA), такий як. RADIUS, адміністратор може заборонити доступ до мережі окремим користувачам, а не їх пристроїв.
Вимога проводити аутентифікацію, орієнтовану на користувача, має позитивний побічний ефект: наявність окремих ключів шифрування для кожного користувача. Різновиди аутентифікації, які підтримують створення динамічних ключів шифрування, добре підходять для поліпшення захисту бездротових LAN і моделі управління ними. Динамічні ключі, індивідуальні для кожного користувача, звільняють адміністратора мережі від необхідності використання статично керованих ключів. Ключі шифрування динамічно призначаються і анулюються, коли користувач проходить процедуру аутентифікації або виходить з мережі. Для того щоб видалити будь-якого користувача з мережі, досить анулювати його профіль, і він втратить можливість доступу до мережі.
Взаємна аутентифікація - це аутентифікація двостороння. Її "двостороння" природа зумовлена ​​тим, що не тільки мережа аутентифікує клієнта, але і клієнт аутентифікує мережу. При відкритій аутентифікації і аутентифікації з спільно використовуваних ключем точка доступу або мережу аутентифікує клієнта. Останній не знає напевно, що підключився саме до тієї мережі, до якої потрібно, оскільки в стандарті 802.11 не передбачений механізм, що дозволяє клієнту автентифікувати мережу. У результаті належить зловмиснику точка доступу або клієнтська станція може видати себе за "законну" точку доступу і пошкодити дані на клієнтській машині. На рис. 15 представлені діаграми, що ілюструють процеси односторонньою і взаємної аутентифікації.


Рис. 15. Одностороння і взаємна аутентифікація
Постачальники мереж стандарту 802.11 і IEEE усвідомлюють необхідність посилення та заміни існуючих механізмів забезпечення захисту - і аутентифікації, і шифрування. Дослідницька група I робочої групи стандарту 802.11 зараз працює над цим, і після того, як зміни будуть повністю підготовлені, специфікації по захисту будуть затверджені як специфікації стандарту 802.11i.
IEEЕ почав боротьбу з дефектами механізму аутентифікації стандарту 802.11 з прийняття базової аутентифікації, що відповідає стандарту 802.1X. Стандарт 802.1X представляє собою стандарт IEEE, який відноситься до всіх топологиям канального рівня серії стандартів 802 і дозволяє нарощувати його механізми аутентифікації до таких, зазвичай реалізуються на більш високих рівнях. Стандарт 802.1X заснований на принципах аутентифікації, характерних для протоколу типу "точка-точка" (Point-to-Point Protocol, PPP), і називається розширюваний протокол автентифікації (Extensible Authentication Protocol, EAP). Простіше кажучи, стандарт 802.1X інкапсулює повідомлення для використання їх на рівні 2. Стандарт 802.11i включає базову автентифікацію стандарту 802.1X, вимагаючи, щоб вона застосовувалася для аутентифікації користувачів. На рис. 16 представлений стандарт 802.1X в частині алгоритму аутентифікації і топологій канального рівня серії стандартів 802.

Рис. 16. Стандарт 802.1 X і топології канального рівня
Протокол ЕАР (RFC 2284) і стандарт 802.1X не регламентують використання особливого алгоритму аутентифікації. Адміністратор мережі може застосовувати відповідну протоколу ЕАР різновид аутентифікації - або 802.1X, або ЕАР. Єдина вимога - щоб як клієнт стандарту 802.11 (тут він називається прохачем (supplicant)), так і сервер аутентифікації підтримували алгоритм ЕАР-аутентифікації. Така відкрита і розширювана архітектура дозволяє використовувати базову аутентифікацію в різних умовах, і в кожній ситуації можна застосовувати відповідну різновид аутентифікації.
Нижче наведено приклади типів ЕАР-аутентифікації.
· ЕАР захисту транспортного рівня (EAP-transport layer security, EAP-PEAP). Працює аналогічно протоколу захищених сокетів (secure sockets layer, SSL). Взаємна аутентифікація виконується з використанням цифрових сертифікатів на стороні сервера для створення SSL-тунелю для клієнта, що здійснює захищену аутентифікацію в мережі.
· EAP-Message Digest 5 (EAP-MD5). Аналогічно протоколу аутентифікації з попереднім погодженням виклику (challenge handshake authentication protocol, CHAP), EAP-MD5 забезпечує роботу алгоритму односторонньої аутентифікації з використанням пароля.
· EAP - Cisco. ЕАР-аутентифікація типу EAP-Cisco, яку називають також LEAP, була першою, визначеної для застосування спеціально в бездротових LAN. EAP-Cisco - це алгоритм взаємної аутентифікації з використанням пароля.
Аутентифікація за стандартом 802.1X вимагає наявності трьох складових.
· Прохач. Розміщується на стороні клієнта бездротової LAN.
· Аутентифікатором (authenticator). Розміщується в точці доступу.
· Сервер аутентифікації. Розміщується на сервері RADIUS.
Ці складові являють собою програмні компоненти, що встановлюються на пристроях мережі. З точки зору стандарту 802.11 аутентифікатор створює логічний порт для пристрою клієнта, заснований на ідентифікаторі асоціації (AID). Цей логічний порт має два тракту проходження даних: неконтрольований і контрольований. Неконтрольований тракт проходження даних дозволяє проходити через мережу всьому трафіку аутентифікації стандарту 802.1X. Контрольований тракт проходження даних блокує звичайний трафік мережі до тих пір, поки не буде здійснена успішна аутентифікація клієнта. На рис. 17 показані логічні порти аутентифікатором стандарту 802.1X


Рис. 17. Логічні порти аутентифікатором стандарту 802. 1 X

 

Друга складова: алгоритм аутентифікації

Стандарт 802.11i і WPA забезпечують механізм, який підтримує роботу алгоритму аутентифікації з метою забезпечення зв'язку між клієнтом, точкою доступу і сервером аутентифікації з використанням механізму базової аутентифікації стандарту 802.1X.
Ні стандарт 802.11i, ні WPA не регламентують застосування особливого алгоритму аутентифікації, але обидва рекомендують використовувати алгоритм, який підтримував би взаємну аутентифікацію, генерацію динамічних ключів шифрування і аутентифікацію користувача. Прикладом такого алгоритму є алгоритм EAP-Cisco. Цей алгоритм, більш відомий як Cisco LEAP, являє собою простий та ефективний алгоритм, розроблений спеціально для використання в бездротових LAN.
Алгоритм EAP-Cisco є патентованим алгоритмом, який працює поверх алгоритму базової відкритої аутентифікації. З цієї причини деталі алгоритму EAP-Cisco, що стосуються вмісту генеруються виклику і відповіді на виклик, а також розподілу ключів шифрування, не можуть бути розголошені. Алгоритм EAP-Cisco перевиконує вимоги, які пред'являються до захищеної аутентифікації користувача в бездротової LAN, за рахунок застосування таких заходів.
· Ідентифікація, орієнтована на користувача.
· Взаємна аутентифікація.
· Динамічні ключі шифрування.
Якщо якому-небудь користувачеві потрібно заборонити доступ до мережі, достатньо видалити його обліковий запис на централізованому сервері аутентифікації. У результаті користувач не зможе успішно пройти процес аутентифікації, а його пристрій - згенерувати правильний динамічний ключ шифрування.

 

Третя складова: алгоритм захисту даних

Уразливість шифрування в WEP поставила виробників мереж стандарту 802.11 і дослідників IEEE у скрутне становище. Як можна поліпшити систему шифрування стандарту 802.11, не вдаючись до заміни всіх точок доступу і мережевих карт клієнтів?
IEEE відповів на це питання, запропонувавши є частиною стандарту 802.11i (і WPA) тимчасовий протокол інтеграції ключа (temporal key integrity protocol, TKIP).
Цей протокол використовує багато основні функції WEP, щоб виправдати інвестиції, зроблені клієнтами в устаткування та інфраструктуру стандарту 802.11, але ліквідує кілька слабких місць останнього, забезпечуючи ефективне шифрування фреймів даних. Основні удосконалення, внесені протоколом TKIP, такі.
· Пофреймовое зміна ключів шифрування. WEP-ключ швидко змінюється, і для кожного фрейма він інший.
· Контроль цілісності повідомлення (message integrity check, MIC). Забезпечується ефективний контроль цілісності фреймів даних з метою запобігання проведення таємних маніпуляцій з фреймами і відтворення фреймів.
Атаки, що використовують уразливість слабких IV, засновані на накопиченні декількох фреймів даних, що містять інформацію, зашифровану з використанням слабких IV. Найпростішим способом стримування таких атак є зміна WEP-ключа, використовуваного при обміні фреймами між клієнтом і точкою доступу, до того як атакуючий встигне накопичити фрейми в кількості, достатній для висновку бітів ключа.
IEEE адаптувала схему, відому як пофреймовое зміна ключа (per-frame keying). (Її також називають зміну ключа для кожного пакета (per-packet keying) і часта зміна ключа пакета (fast packet keying).) Основний принцип, на якому грунтується пофреймовое зміна ключа, полягає в тому, що IV, МАС-адресу передавача і WEP -ключ обробляються разом з допомогою двоступеневої функції перемішування. Результат застосування цієї функції відповідає стандартним 104-розрядному WEP-ключа і 24-розрядному IV.
IEEE запропонувала також збільшити 24-розрядний вектор ініціалізації до 48-розрядного IV. У наступних розділах пояснюється, чому необхідно таке розширення IV. На рис. 18 представлений зразок 48-розрядного IV і показано, як цей IV розбивається на частини для використання при пофреймовом зміні ключа.

Рис. 18. Розбиття на частини IV для використання при пофреймовом змінюється ключ
Процес пофреймового зміни ключа можна розбити на наступні етапи.
1. Базовий WEP-ключ (отриманий в процесі аутентифікації за стандартом 802.1X) перемішується зі старшими 32 розрядами 48-розрядного IV (32-розрядні числа можуть приймати значення 0-4 294967295) і Мас-адресою передавача. Результат цієї дії називається ключ 1-ї фази (phase 1 key). Цей процес дозволяє занести ключ 1-ї фази в кеш і також безпосередньо помістити в ключ (рис. 19).
2. Ключ 1-ї фази знову перемішується з IV і Мас-адресою передавача (ТА) для вироблення значення пофреймового ключа.
3. Вектор ініціалізації (IV), який використовується для передачі фрейму, має розмір лише 16 біт (16-розрядні числа можуть приймати значення 0-65 535). Решта 8 біт представляють фіксоване значення, яке використовується як заповнювач.
4. Пофреймовий ключ використовується для WEP-шифрування фрейму даних.
5. Коли 16-бітове простір IV виявляється вичерпаним, ключ 1-ї фази відкидається і 32 старших розряду збільшуються на 1. (Якщо значення IV першої фази було рівне 12, воно збільшується до 13.)
6. Значення Пофреймового ключа обчислюється заново, як на етапі 2.

Рис. 19. Процес Пофреймового зміни ключа
Пофреймово змінюваний ключ має силу тільки тоді, коли 16-розрядні значення IV не використовуються повторно. Якщо 16-розрядні значення IV використовуються двічі, відбувається колізія, в результаті чого з'являється можливість провести атаку і вивести ключовою потік. Щоб уникнути колізій IV, значення ключа 1-ї фази обчислюється заново шляхом збільшення старших 32 розрядів IV на 1 і повторного обчислення пофреймового ключа.
Цей алгоритм посилює WEP до такої міри, що майже всі відомі нині можливості атак усуваються без заміни існуючого обладнання. Слід зазначити, що цей алгоритм (і TKIP в цілому) розроблений з метою залатати дірки в системі аутентифікації WEP і стандарту 802.11. Він жертвує слабкими алгоритмами, замість того щоб замінювати обладнання. Наступне покоління обладнання стандарту 802.11 повинна підтримувати TKIP, але WEP / TKIP буде поступово згортатися на користь алгоритму з великими можливостями шифрування, такого як удосконалений стандарт шифрування (advanced encryption standard, AES).

 

Четверта складова: цілісність даних

У майбутньому для посилення малоефективного механізму, заснованого на використанні контрольного ознаки цілісності (ICV) стандарту 802.11, буде застосовуватися контроль цілісності повідомлення (MIC). Завдяки MIC можуть бути ліквідовані слабкі місця захисту, що сприяють проведенню атак з використанням підроблених фреймів і жонглюванням бітами, розглянуті раніше в. IEEE запропонувала спеціальний алгоритм, який отримав назву Michael (Майкл), щоб підсилити роль ICV в шифруванні фреймів даних стандарту 802.11.
MIC має унікальний ключ, який відрізняється від ключа, використовуваного для шифрування фреймів даних. Цей унікальний ключ перемішується з призначеним МАС-адресою і вихідним МАС-адресою фрейму, а також з усією незашифрованою частиною фрейму, що несе корисне навантаження.
Заходи протидії MIC полягають у виконанні приймачем наступних завдань.
1.Пріемнік видаляє існуючий ключ на асоціювання.
2.Пріемнік реєструє проблему як і ставиться до безпеки мережі.
3.Ассоціірованний клієнт, від якого було отримано помилковий кадр, не може бути асоційований і аутентифікований протягом 60 секунд, щоб уповільнити атаку.
4.Якщо клієнт отримав помилковий кадр, то він відкидає всі фрейми, не відповідають стандарту 802.1X.
5.Такой клієнт також запитує новий ключ.
Наш розгляд пофреймового призначення ключів і MIC стосувалося переважно ключа шифрування і ключа MIC. Але ми нічого не говорили про те, як ключі генеруються і пересилаються від клієнта до пункту доступу і навпаки. У наступному розділі ми і розглянемо пропонований стандартом 802.11 механізм управління ключами.

 

Вдосконалений механізм управління ключами

Алгоритми аутентифікації стандарту 802.11 і ЕАР можуть забезпечити сервер RADIUS і клієнта динамічними, орієнтованими на користувача ключами. Але той ключ, який створюється в процесі аутентифікації, не є ключем, що використовуються для шифрування фреймів або перевірки цілісності повідомлень. У стандарті 802.11i WPA для отримання всіх ключів використовується так званий майстер-ключ (master key). Клієнт і точка доступу встановлюють динамічний ключ (він називається парний майстер-ключ, або РМК, від англ. Pairwise master key), отриманий в процесі аутентифікації за стандартом 802.1X. На основі цього ключа, а також МАС-адрес клієнта і точки доступу генерується парний перехідний ключ (painvise transient key, PTK), на основі якого отримують ключі для шифрування фреймів та перевірки цілісності повідомлень.
Парний майстер-ключ (РМК) і парний перехідний ключ (РТК) є одноадресатнимі за своєю природою. Вони тільки шифрують і дешифрує одноадресатние фрейми, і призначені для єдиного користувача. Широкомовні фрейми вимагають окремої ієрархії ключів, тому що використання з цією метою одноадресатних ключів призведе до різкого зростання трафіку мережі. Точки доступу (єдиному об'єкту BSS, яка має право на розсилку широкомовних або многоадресатних повідомлень) довелося б посилати один і той же широкомовний або многоадресатний фрейм, зашифрований відповідними пофреймовимі ключами, кожному користувачеві.
Широкомовні або многоадресатние фрейми використовують ієрархію групових ключів. Груповий майстер-ключ (group master key, GMK) знаходиться на вершині цієї ієрархії і виводиться в точці доступу.
Груповий майстер-ключ, текстовий рядок, МАС-адреса точки доступу і Gnonce (значення, яке береться з лічильника ключа точки доступу) об'єднуються і обробляються за допомогою генератора ПСП, в результаті чого виходить 256-розрядний груповий перехідний ключ (group transient key, GTK ). GTK ділиться на 128-розрядний ключ шифрування широкомовних / многоадресатних фреймів, 64-розрядний ключ передачі MIC (transmit MIC key) і 64-розрядний ключ прийому MIC (MIC receive key).
За допомогою цих ключів широкомовні і многоадресатние фрейми шифруються і дешифруються точно так само, як за допомогою одноадресатних ключів, отриманих на основі парного майстер-ключа (РМК).
Групові ключі видаляються і регенеруються кожен раз, коли яка-небудь станція діассоцііруется або деаутентнфіціруется в BSS. Якщо відбувається помилка MIC, одним із заходів протидії також є видалення всіх ключів з має відношення до помилки приймальні станції, включаючи групові ключі.

 

Шифрування за алгоритмом AES

Відомо, що шифрування і аутентифікація, що проводяться у відповідності зі стандартом 802.11, мають слабкі сторони. IEEE і WPA посилили алгоритм WEP протоколом TKIP та пропонують сильний механізм аутентифікації за стандартом 802.11i, що забезпечує захист бездротових LAN стандарту 802.11. У той же час IEEE розглядає можливість посилення механізму шифрування. З цією метою IEEE адаптував алгоритм AES для застосування його по відношенню до розділу, що стосується захищаються даних запропонованого стандарту 802.11i. Компоненти WPA не забезпечують підтримку шифрування за алгоритмом AES. Однак останні версії WPA, можливо, будуть реалізовані відповідно до стандарту 802.11i і для забезпечення взаємодії будуть підтримувати шифрування за алгоритмом AES.
Алгоритм AES являє собою наступне покоління засобів шифрування, схвалене Національним інститутом стандартів і технологій (NIST) США. IEEE розробив режим AES, призначений спеціально для застосування в бездротових LAN. Цей режим називається режим рахунку зчеплень блоків шифру (Cipher Block Chaining Counter Mode, CBC-CTR) з контролем автентичності повідомлень про зчепленнях блоків шифру (Cipher Block Chaining Message Authenticity Check, CBC-MAC), все разом це позначається абревіатурою AES-CCM. Режим ССМ являє собою комбінацію режиму шифрування CBC-CTR і алгоритму контролю автентичності повідомлень СВС-МАС. Ці функції скомбіновані для забезпечення шифрування та перевірки цілісності повідомлень в одному рішенні.
Алгоритм шифрування CBC-CTR працює з використанням лічильника для поповнення ключового потоку. Значення цього лічильника збільшується на одиницю після шифрування кожного блоку. Такий процес забезпечує отримання унікального ключового потоку для кожного блоку. Фрейм з відкритим текстом ділиться на 16-байтові блоки. Після шифрування кожного блоку значення лічильника збільшується на одиницю, і так до тих пір, поки не будуть зашифровані всі блоки. Для кожного нового фрейму лічильник встановлювати заново.
Алгоритм шифрування СВС-МАС виконується з використанням результату шифрування СВС по відношенню до всього фрейму, до адреси призначення, адресою джерела і даними. Результуючий 128-розрядний вихід усікається до 64 біт для використання в переданому фреймі.
СВС-МАС працює з відомими криптографічними функціями, але має витрати, пов'язані з виконанням двох операцій для шифрування і цілісності повідомлень. Цей процес вимагає серйозних обчислювальних витрат і значно збільшує "накладні витрати" шифрування.

Цей текст може містити помилки.