IEEE 802.11i
IEEE 802.11i eli WPA2 on langattomien 802.11-verkkojen viimeisin tietoturvastandardi, jolla on pyritty ratkaisemaan niissä olevat tietoturvaongelmat.
Standardissa määritellään IEEE 802.1X:n mukainen todennus- ja avaintenhallintakäytäntö sekä parannetut menetelmät tiedon salaukseen. 802.11i tarjoaa samat ratkaisut kuin aiempi WPA-standardi mutta lisäksi valittavana on kokonaan uudenlainen salausmekanismi AES (Advanced Encryption Standard). AES on salausalgoritmina hyvin erilainen kuin WPA:n käyttämä RC4 ja vaatii jonkin verran enemmän prosessointitehoa. Se pystyy käyttämään eripituisia avaimia, vaihtoehtoina 128-, 192- ja 256-bittiset pituudet. 802.11i-standardin yhteydessä käytettäneen aluksi 128-bittistä salausta.
WPA2 on ollut Wi-Fi Alliancen hyväksymissä laitteissa tuettu vuodesta 2006 lähtien[1].
Todennus
Policy Decision Point (PDP) Policyn päätöspiste
Policy Enforcing Point (PEP) looginen policyn noudattamispiste
Session Decision Token (SDT) data structure representing a policy decision
Session Enforcement Token (SET) data structure used to enforce policy decision
PDP → PEP
1. PDP lähettää Istuntokohtaisen SDT:n
2. SDT:stä rakennetaan SET ja levitetään se
3. PEP käyttää SET:iä toteuttaakseen policy-päätöksen
Kun langaton asema liittyy langattomaan verkkoon, autentikointi tapahtuu autentikointipisteessä, autentikointipalvelimella. PDP:tä on kuitenkin kaksi, autentikointipalvelin, sekä langaton asema. Molempien on tehtävä sama autentikointipäätös, tai yhteyttä ei synny. Policy päätetään autentikoituessa ja onnistuneen autentikoinnin seurauksena syntyy symmetrinen Master Key, joka on vain aseman ja autentikointipalvelimen välinen.
PEP:tä, eli missä policya noudatetaan ja valvotaan on myös kaksi, langaton asema, sekä tukiasema.
autentikointipalvelin lähettää SDT:n PEP:lle, joka voi olla sekä AP (access point) tai langaton autentikoitava asema, STA. Policy Enforcement Tokenia kutsutaan Pairwise Master Keyksi, PMK:si. Vain STA, sekä AS voi luoda PMK:n, joka johdetaan aikaisemmin jaetusta MK:sta. PMK:n hallinta edustaa valtuutettua pääsyä langattomalle kanavalle. MK sekä PMK ovat istuntokohtaisia.
Autentikoituessa käytössä on EAP-protokolla, EAP on käytössä päästä päähän. 802.1x kuljettaa EAP:in 802 LAN:in yli.
Todentamisen vaiheet
havainnointi
- määrittelee osapuolille kenen kanssa ne kommunikoivat
- AP mainostaa verkon tukemia tekniikoita / algoritmeja verkkoon asemille RSN elementillä (mm. autentikointialgoritmit, unicast-salakirjoitusalgoritmit, multicast-salakirjoitusalgoritmit)
802.1X autentikointi
- keskittää verkon käyttöoikeuspäätökset AS:lle
- langaton asema valitsee käytettävät algoritmit verkon tarjoamista vaihtoehdoista. AP hylkää STA:t, jotka eivät valitse annetuista ehdoista
- aseman ja autentikointipalvelimen välinen autentikointi
- luodaan MK
- luodaan PMK onnistuneen autentikoinnin tuloksena
RADIUS-pohjainen avainten jakelu
- AS siirtää (EI kopioi) PMK:n STA:lta AP:lle
802.1x-avainten hallinta
- sitoo PMK:n STA:han ja AP:hen
- varmistaa, että sekä AP ja STA omistaa PMK:n,
- luo tuoreen PTK:n
- todentaa, että jokainen osapuoli (peer) on elossa
- synkronoi PTK:n käytön
- levittää GTK:n (Group Transient Key)
Salaus
Salaukseen on tarjolla kaksi vaihtoehtoa, TKIP ja CCMP.
Temporal Key Integrity Protocol
Temporal Key Integrity Protocol, TKIP on suunniteltu vanhemman WLAN –laitteiston yhteensopivuutta varten. TKIP on WPA standardin käyttämä salaustekniikka, jossa on korjattu WEPistä löytyneet turva-aukot. TKIP parantaa langattoman verkon turvallisuutta huomattavasti ottamalla käyttöön pakettikohtaiset salausavaimet. Salaukseen käytetään edelleen RC4-algoritmia, mutta salausavaimen pituus on 128 bittiä.
Suosituksia
Suomen Kyberturvallisuuskeskus suosittelee kuluttajille AES-algoritmia käyttävää WPA2-salausmenetelmää, ja vahvaa salasanaa. Langattoman tukiaseman asetuksissa se esiintyy yleensä merkintänä "WPA2+PSK (AES)" tai "WPA2-Personal"[1].
Lähteet
- Viestintävirasto (Kyberturvallisuuskeskus): Langattomasti, mutta turvallisesti - Langattomien lähiverkkojen tietoturvallisuudesta kyberturvallisuuskeskus.fi. 2014. Viitattu 22.7.2021.