Ποια είναι η καλύτερη λειτουργία ασφαλείας WPA2: AES, TKIP ή και τα δύο;

WPA2 TKIP AES


Η Wi-Fi Protected Access 2 (WPA2) είναι α πρόγραμμα πιστοποίησης ασφάλειας που αναπτύχθηκε από τη Wi-Fi Alliance για την εξασφάλιση ασύρματων δικτύων υπολογιστών. Ανάλογα με τον τύπο και την ηλικία του ασύρματου δρομολογητή σας, θα έχετε κάποιες διαθέσιμες επιλογές κρυπτογράφησης. Οι δύο βασικές για το WPA2-Personal (η έκδοση που χρησιμοποιείται από οικιακούς χρήστες ή χρήστες μικρών επιχειρήσεων) είναι Σύνθετο πρότυπο κρυπτογράφησης (AES) και τα παλαιότερα Πρωτόκολλο ακεραιότητας κλειδιού χρόνου (TKIP), ή α συνδυασμός και των δύο.

Σε αυτό το άρθρο, θα εξηγήσουμε τι είναι AES και TKIP και προτείνετε ποια επιλογή θα πρέπει να επιλέξετε για τις συσκευές που υποστηρίζονται από το WPA2. Πρέπει να επιλέξετε τον καλύτερο τρόπο κρυπτογράφησης όχι μόνο για λόγους ασφαλείας αλλά επειδή η εσφαλμένη λειτουργία μπορεί να επιβραδύνει τη συσκευή σας. Εάν επιλέξετε μια παλαιότερη λειτουργία κρυπτογράφησης, ακόμα και αν ο δρομολογητής wifi υποστηρίζει έναν πιο γρήγορο τύπο κρυπτογράφησης, η μετάδοση δεδομένων θα επιβραδυνθεί αυτόματα ώστε να είναι συμβατή με τις παλαιότερες συσκευές που συνδέεται με.

Θα εξηγήσουμε επίσης κάποιες wifi όρους ασφάλειας που σχετίζονται με το WPA2, π.χ. αυτά που αναφέρονται στο παρακάτω διάγραμμα, επικεντρώθηκαν κυρίως στο WPA2-Personal. Για παράδειγμα, οι όροι πιστοποιήσεις, πρότυπα, πρωτόκολλα και προγράμματα είναι μερικές φορές (σύγχυση) χρησιμοποιούνται εναλλακτικά και συχνά λανθασμένα. Είναι το πρωτόκολλο ή ένας τύπος κρυπτογράφησης AES; Είναι το WPA2 πρωτόκολλο ή πρότυπο; (Ειδοποίηση Spoiler: το AES είναι ένα πρότυπο και το WPA2 είναι μια πιστοποίηση.) Είναι εντάξει να είσαι λίγο επιεικής για την wifi ορολογία, εφ 'όσον ξέρετε τι σημαίνουν πραγματικά αυτοί οι όροι. Αυτό το άρθρο θέτει το αρχείο ευθεία. Και ναι, χρησιμοποιούμε τον όρο "λειτουργία" πολύ χαλαρά για να περιγράψουμε τις ρυθμίσεις κρυπτογράφησης και ελέγχου ταυτότητας WPA2.

WPA2 101 - μια (πολύ) σύντομη επισκόπηση

Υπάρχουν δύο εκδόσεις των εκδόσεων WPA2: Προσωπικές (για οικιακή και γραφική χρήση) και Enterprise (για εταιρική χρήση). Σε αυτό το άρθρο, θα επικεντρωθούμε στο πρώτο, αλλά θα το συγκρίνουμε με την έκδοση Enterprise, η οποία θα βοηθήσει να φανεί αυτό που δεν κάνει το WPA2-Personal.

WPA2 TKIP AES

Πόσο αξιόπιστες είναι οι κοινές πιστοποιήσεις ασφάλειας Wi-Fi?

"Τα ασύρματα δίκτυα είναι εγγενώς ανασφαλείς. Στις πρώτες μέρες της ασύρματης δικτύωσης, οι κατασκευαστές προσπάθησαν να το κάνουν όσο το δυνατόν πιο εύκολο για τους τελικούς χρήστες. Η διαμόρφωση εκτός δικτύου για τον μεγαλύτερο εξοπλισμό ασύρματης δικτύωσης παρέχει εύκολη (αλλά ανασφάλιστη) πρόσβαση σε ασύρματο δίκτυο. "(Πηγή: Dummies)

Πόσο ασφαλές είναι το WPA2 σε σύγκριση με άλλες κοινώς χρησιμοποιούμενες πιστοποιήσεις WiFi; Μέχρι να διαρκέσει πολύ το WPA3, θεωρήθηκε το WPA2, το KRACK και όλα, η πιο ασφαλή επιλογή. Τα τρέχοντα τρωτά σημεία του WPA2 ενδέχεται να διορθωθούν αποτελεσματικά, αλλά εξακολουθείτε να πρέπει να επιλέξετε τον καλύτερο τύπο κρυπτογράφησης για τη συσκευή Wi-Fi και τις απαιτήσεις χρήσης σας. Εάν είστε μια μικρή επιχείρηση με παλαιότερες συσκευές, για παράδειγμα, μπορεί να χρειαστεί να θυσιάσετε την ταχύτητα για την ασφάλεια ή να αναβαθμίσετε τις συσκευές σας. Εάν είστε ένας μεγάλος οργανισμός, μπορείτε να αποφασίσετε να χαράξετε το WPA2 συνολικά και να αρχίσετε να σχεδιάζετε το WPA3 το συντομότερο δυνατόν.

WPA2 AES TKIP

Wifi πρότυπα σύνδεσης κρυπτογράφησης που χρησιμοποιούνται σε δημόσια hotspots wifi παγκοσμίως (Πηγή: Kaspersky Security Network (KSN))

Πόσο ασφαλείς είναι οι κύριες πιστοποιήσεις Wi-Fi που χρησιμοποιούνται σήμερα?

  • Ανοιξε - Δεν υπάρχει καθόλου ασφάλεια
  • Wired Equivalent Privacy (WEP) - Πολύ αναξιόπιστο και χρησιμοποιεί τον κωδικό RC4, αρχικά αγκαλιάστηκε για να είναι πολύ γρήγορος και απλός στην εφαρμογή. Μόλις δημοφιλές - σύμφωνα με το WayBack Machine, το Skype χρησιμοποίησε μια τροποποιημένη έκδοση γύρω στο 2010 - έχει έκτοτε θεωρηθεί πολύ επισφαλής. Το WEP χρησιμοποιεί μια μέθοδο επαλήθευσης ταυτότητας όπου όλοι οι χρήστες μοιράζονται το ίδιο κλειδί, οπότε αν ένας πελάτης έχει συμβιβαστεί, όλοι στο δίκτυο διατρέχουν κίνδυνο. Το WPA-PSK (προ-κοινόχρηστο κλειδί) έχει το ίδιο πρόβλημα. Σύμφωνα με το Webopedia, το WEP είναι ανασφαλές καθώς, όπως και άλλες ραδιοφωνικές εκπομπές, στέλνει μηνύματα χρησιμοποιώντας ραδιοκύματα, τα οποία είναι ευαίσθητα στην υποκλοπή, παρέχοντας αποτελεσματικά ασφάλεια σε μια ενσύρματη σύνδεση. Η κρυπτογράφηση δεν εμποδίζει τους χάκερς να παρεμποδίζουν τα μηνύματα και το πρόβλημα με το WEP χρησιμοποιεί στατική κρυπτογράφηση (ένα κλειδί για όλα τα πακέτα για όλες τις συσκευές σε ένα δίκτυο), θέτοντας σε κίνδυνο όλες τις συσκευές, μια ενδεχομένως ωραία μεγάλη κίνηση για χάκερς. Οι κλέφτες μπορούν στη συνέχεια να επιχειρήσουν να αποκρυπτογραφήσουν τα δεδομένα σε ελεύθερο χρόνο τους εκτός σύνδεσης. Ένα από τα πράγματα που κάνει το WPA είναι να παράγει ένα μοναδικό κλειδί για κάθε συσκευή, περιορίζοντας τον κίνδυνο σε άλλους πελάτες όταν διακυβεύεται μία συσκευή σε ένα δίκτυο.
  • WPA - Χρησιμοποιεί το αναποτελεσματικό TKIP πρωτόκολλο κρυπτογράφησης, το οποίο δεν είναι ασφαλές. Το ίδιο το TKIP χρησιμοποιεί τον κωδικό RC4 και το AES είναι προαιρετικό για το WPA. Μια καλή μεταφορά για το πώς λειτουργεί το WPA προέρχεται από μια δημοσίευση Super User: "Εάν σκέφτεστε μια ξένη γλώσσα ως ένα είδος κρυπτογράφησης, το WPA μοιάζει κάπως με την κατάσταση όπου όλα τα μηχανήματα που συνδέονται με αυτό το δίκτυο WPA μιλούν την ίδια γλώσσα. μια ξένη γλώσσα σε άλλες μηχανές. Έτσι, φυσικά, τα μηχανήματα που είναι συνδεδεμένα σε αυτό το δίκτυο μπορούν να επιτεθούν ο ένας στον άλλο και να ακούσουν / να δουν όλα τα πακέτα που αποστέλλονται / λαμβάνονται από όλους τους άλλους. Η προστασία αφορά μόνο τους κεντρικούς υπολογιστές που δεν είναι συνδεδεμένοι στο δίκτυο (π.χ. επειδή δεν γνωρίζουν τον μυστικό κωδικό πρόσβασης). "
  • WPA2 - Λογικά ασφαλή, αλλά ευάλωτα σε βίαιες δυνάμεις και επιθέσεις λεξικών. Χρησιμοποιεί AES κρυπτογράφηση και εισάγει λειτουργία μετρητή με τον κώδικα επαλήθευσης μηνυμάτων αλυσίδας κρυπτογράφησης κρυπτογραφίας (CCMP), ισχυρή κρυπτογράφηση βασισμένη στο AES. Είναι συμβατό προς τα πίσω με το TKIP. Οι προμηθευτές έχουν κυκλοφορήσει ενημερώσεις κώδικα για πολλές από τις ευπάθειές τους, π.χ. KRACK. Ένα από τα κύρια μειονεκτήματα ασφάλειας της έκδοσης WPA2-Personal είναι Wifi Protected Setup (WPS), που επιτρέπει στους χρήστες να ρυθμίζουν γρήγορα ένα ασφαλές ασύρματο οικιακό δίκτυο. Σύμφωνα με την US-Cert, τα "Ελεύθερα διαθέσιμα εργαλεία επίθεσης μπορούν να ανακτήσουν ένα PIN WPS σε 4-10 ώρες." Συμβουλεύει τους χρήστες να ελέγχουν για την ενημέρωση του υλικολογισμικού από τον προμηθευτή τους για να συνδέσουν αυτό το θέμα ευπάθειας.WPA2-Enterprise είναι πιο ασφαλές αλλά υπάρχουν κάποια μειονεκτήματα.
  • WPA3 - Πάρα πολύ καινούργιο για να παράσχει σημαντικά δεδομένα χρήσης, αλλά αυτή τη στιγμή προσφέρεται ως η ασφαλέστερη επιλογή

AES, TKIP ή και τα δύο, και πώς λειτουργούν?

TKIP

Σύμφωνα με τη Wikipedia, η TKIP σχεδιάστηκε για να "αντικαταστήσει" το τότε ευάλωτο πρότυπο WEP "χωρίς να χρειάζεται να κάνει αλλαγές στο υλικό που διέτρεχε το πρότυπο WEP (Wired Equivalent Privacy). Χρησιμοποιεί τον κρυπτογράφο RC4.

Το Network World εξηγεί ότι το TKIP δεν αντικαθιστά το WEP. είναι ένα "περικάλυμμα". Δυστυχώς, είναι τυλιγμένο γύρω από το θεμελιωδώς ανασφαλές WEP, γιατί προοριζόταν ως προσωρινό μέτρο, επειδή κανείς δεν ήθελε να πετάξει όλες τις επενδύσεις υλικού που είχαν κάνει και ήταν σε θέση να αναπτυχθεί γρήγορα. Ο τελευταίος λόγος ήταν αρκετός για τους πωλητές και τους διευθυντές επιχειρήσεων να το αγκαλιάσουν με ενθουσιασμό. Την ημέρα της, η TKIP ενίσχυσε την ασφάλεια WEP από:

  • Ανάμιξη ενός βασικού κλειδιού, της διεύθυνσης MAC ενός σημείου πρόσβασης (AP) και ενός σειριακού αριθμού πακέτων - "Η λειτουργία ανάμειξης έχει σχεδιαστεί για να θέτει ελάχιστη ζήτηση στους σταθμούς και στα σημεία πρόσβασης, αλλά έχει αρκετή κρυπτογραφική ισχύ ώστε να μην μπορεί εύκολα να σπάσει".
  • Αυξάνοντας το μήκος του κλειδιού στα 128 bit - "Αυτό επιλύει το πρώτο πρόβλημα του WEP: πολύ μικρό μήκος πλήκτρου".
  • Δημιουργία ενός μοναδικός σειριακός αριθμός 48 bit το οποίο αυξάνεται για κάθε πακέτο που αποστέλλεται έτσι ώστε να μην υπάρχουν δύο κλειδιά τα ίδια - "Αυτό λύνει ένα άλλο πρόβλημα του WEP, το οποίο ονομάζεται "επιθέσεις σύγκρουσης","Το οποίο μπορεί να συμβεί όταν το ίδιο κλειδί χρησιμοποιείται για δύο διαφορετικά πακέτα.
  • Μείωση του κινδύνου επιθέσεων επανάληψης με τον διευρυμένο φορέα αρχικοποίησης (IV) που αναφέρθηκε παραπάνω - "Επειδή ένας αριθμός ακολουθίας 48 bit θα πάρει χιλιάδες χρόνια για να επαναληφθεί, κανείς δεν μπορεί να επαναλάβει παλιά πακέτα από μια ασύρματη σύνδεση- θα εντοπιστούν ως εκτός λειτουργίας, επειδή οι αριθμοί ακολουθίας δεν θα είναι σωστοί. "

Πόσο ευάλωτη είναι η TKIP? Σύμφωνα με την Cisco, η TKIP είναι ευάλωτη στην αποκρυπτογράφηση πακέτων από έναν εισβολέα. Ωστόσο, μόνο το κλειδί ελέγχου ταυτότητας μπορεί να κλαπεί από έναν εισβολέα και όχι από το κλειδί κρυπτογράφησης.

"Με το κλειδί που έχει ανακτηθεί, μόνο παγιδευμένα πακέτα μπορεί να είναι πλαστά σε ένα περιορισμένο παράθυρο με το πολύ 7 προσπάθειες. Ο εισβολέας μπορεί μόνο να αποκρυπτογραφήσει ένα πακέτο τη φορά, επί του παρόντος με ρυθμό ενός πακέτου ανά 12-15 λεπτά. Επιπλέον, τα πακέτα μπορούν να αποκρυπτογραφηθούν μόνο όταν αποστέλλονται από το σημείο ασύρματης πρόσβασης (AP) στον πελάτη (μονοκατευθυνόμενο). "

Το πρόβλημα είναι, αν τα λευκά καπέλα ανακαλύψουν ανακαλύψουν μεγαλύτερους φορείς για την εισαγωγή επιθέσεων, έτσι είναι τα μαύρα καπέλα.

Υπάρχει ένα όταν το TKIP χρησιμοποιείται με το PSK. "Με τον έλεγχο ταυτότητας 802.1X, το μυστικό της σύνδεσης είναι μοναδικό και μεταδίδεται με ασφάλεια στον σταθμό από το διακομιστή ελέγχου ταυτότητας. όταν χρησιμοποιείτε το TKIP με προ-κοινόχρηστα κλειδιά, το μυστικό της περιόδου σύνδεσης είναι το ίδιο για όλους και ποτέ δεν αλλάζει - εξ ου και η ευπάθεια της χρήσης του TKIP με προ-κοινόχρηστα κλειδιά. "

AES

Το AES (με βάση τον αλγόριθμο Rjiandael) είναι ένας block block (το "S" στην πραγματικότητα αντιπροσωπεύει το πρότυπο και είναι μια άλλη περίπτωση σύγχυσης της ορολογίας) που χρησιμοποιείται από το πρωτόκολλο CCMP. Μετατρέπει το plaintext σε ciphertext και έρχεται σε βασικά μήκη 28, 192 ή 256 bits. Όσο μεγαλύτερη είναι η διάρκεια του κλειδιού, τόσο πιο δύσκολο είναι τα κρυπτογραφημένα δεδομένα από τους χάκερς.

Οι ειδικοί ασφαλείας συμφωνούν γενικά ότι η AES δεν έχει σημαντικές αδυναμίες. Το AES έχει επιτεθεί με επιτυχία μόνο μερικές φορές από τους ερευνητές και αυτές οι επιθέσεις ήταν κυρίως παρενέργειες.

Το AES είναι η κρυπτογράφηση επιλογής για την Ομοσπονδιακή Κυβέρνηση των ΗΠΑ και τη NASA. Για περισσότερη διαβεβαίωση, επισκεφτείτε το φόρουμ Crypto του Stack Exchange. Για καλά εξηγούμενες τεχνικές λεπτομέρειες σχετικά με τον τρόπο λειτουργίας του AES, το οποίο είναι εκτός του πεδίου εφαρμογής αυτού του άρθρου, επισκεφθείτε τα eTutorials.

Wifi όροι και αρκτικόλεξα που πρέπει να γνωρίζετε

Πιστοποιήσεις και πρότυπα

Αν και το WPA2 είναι ένα πρόγραμμα πιστοποίησης, αναφέρεται συχνά ως πρότυπο και μερικές φορές ως πρωτόκολλο. Τα "πρότυπα" και τα "πρωτόκολλα" είναι περιγραφές που χρησιμοποιούνται συχνά από τους δημοσιογράφους και ακόμη και από τους προγραμματιστές αυτών των πιστοποιήσεων (και με κίνδυνο να είναι πεντανικοί), αλλά οι όροι μπορεί να είναι λίγο παραπλανητικοί όταν πρόκειται για την κατανόηση του τρόπου με τον οποίο τα πρότυπα και τα πρωτόκολλα σχετίζονται με το wifi πιστοποίηση, αν δεν είναι απόλυτα λανθασμένη.

Μπορούμε να χρησιμοποιήσουμε την αναλογία ενός οχήματος που έχει πιστοποιηθεί ως οδικής κυκλοφορίας. Ο κατασκευαστής θα έχει οδηγίες που θα καθορίζουν την ασφάλεια πρότυπα. Όταν αγοράζετε το αυτοκίνητο, θα είναι πιστοποιημένο καθώς είναι ασφαλές να οδηγεί από έναν οργανισμό που καθορίζει τα πρότυπα για την ασφάλεια των οχημάτων.

Έτσι, ενώ το WPA2 θα πρέπει να ονομάζεται πιστοποίηση, θα μπορούσε χαλαρά να ονομαστεί πρότυπο. Αλλά, για να το ονομάσει πρωτόκολλο, συγχέει την έννοια των πραγματικών πρωτοκόλλων - TKIP, CCMP και EAP - στην ασφάλεια WiFi.

Πρωτόκολλα και κρυπτογράφηση

Ένα άλλο στρώμα σύγχυσης: Το AES είναι το ακρωνύμιο για Advanced Encryption Πρότυπο. Και, σύμφωνα με ένα χρήστη Stack Exchange, το TKIP δεν είναι στην πραγματικότητα ένας αλγόριθμος κρυπτογράφησης. χρησιμοποιείται για να εξασφαλίσει ότι τα πακέτα δεδομένων αποστέλλονται με μοναδικά κλειδιά κρυπτογράφησης. Ο χρήστης, Lucas Kauffman, λέει: "Το TKIP υλοποιεί μια πιο εξελιγμένη λειτουργία μίξης κλειδιού για την ανάμειξη ενός κλειδιού συνεδρίας με ένα διάνυσμα αρχικοποίησης για κάθε πακέτο." Παρεμπιπτόντως, ο Kauffman ορίζει το EAP ως "πλαίσιο ελέγχου ταυτότητας". Είναι σωστό ότι το EAP καθορίζει τον τρόπο μετάδοσης των μηνυμάτων. δεν τα κρυπτογραφεί. Θα το αγγίξουμε ξανά στην επόμενη ενότητα.

WPA2 και άλλες πιστοποιήσεις μέσω wifi πρωτόκολλα κρυπτογράφησης για την εξασφάλιση δεδομένων wifi. Το WPA2-Personal υποστηρίζει πολλούς τύπους κρυπτογράφησης. Τα WPA και WPA2 είναι συμβατά προς τα πίσω με το WEP, το οποίο υποστηρίζει μόνο TKIP.

Ο Juniper αναφέρεται σε πρωτόκολλα κρυπτογράφησης όπως τα AES και TKIP ως κρυπτογράφηση κρυπτογράφησης. Ένας κρυπτογραφημένος κώδικας είναι απλά ένας αλγόριθμος που καθορίζει τον τρόπο διεξαγωγής μιας διαδικασίας κρυπτογράφησης.

Σύμφωνα με την AirHeads Community:

"Συχνά βλέπετε την αναφορά TKIP και AES κατά την εξασφάλιση πελάτη WiFi. Πραγματικά, θα πρέπει να αναφέρεται ως TKIP και CCMP, όχι AES. Τα TKIP και CCMP είναι πρωτόκολλα κρυπτογράφησης. Τα AES και RC4 είναι κρυφές ψηφίδες, CCMP / AES και TKIP / RC4. Μπορείτε να δείτε ότι οι προμηθευτές αναμιγνύουν έναν κρυπτογραφητή με ένα πρωτόκολλο κρυπτογράφησης. Εάν εξετάζετε έναν εύκολο τρόπο να θυμάστε τη διαφορά είναι να θυμάστε ότι το TKIP και το CCMP τελειώνουν στο 'P' για πρωτόκολλο κρυπτογράφησης. [ούτω]"

Όπως και το EAP, παρόλο που πρόκειται για έλεγχο ταυτότητας, όχι για πρωτόκολλο κρυπτογράφησης.

Η κατώτατη γραμμή:

  • WPA2-Personal - Υποστηρίζει το CCMP (το οποίο οι περισσότεροι καλούν AES) και το TKIP.
  • WPA2-Enterprise - Υποστηρίζει το Πρωτόκολλο CCMP και Extensible Authentication Protocol (Πρωτόκολλο Εξπρακτικού Ελέγχου Ενημέρωσης (EAP).

Κρυπτογράφηση και έλεγχο ταυτότητας WPA2

Έλεγχος ταυτότητας - PSK έναντι 802.1X

Όπως το WPA, το WPA2 υποστηρίζει τον έλεγχο ταυτότητας IEEE 802.1X / EAP και PSK.

WPA2-Personal - Ο PSK είναι ο μηχανισμός ελέγχου ταυτότητας που χρησιμοποιείται για την επικύρωση των WPA2-Προσωπικών χρηστών που πραγματοποιούν σύνδεση Wi-Fi. Σχεδιάστηκε κυρίως για γενική χρήση στο σπίτι και στο γραφείο. Το PSK δεν χρειάζεται να δημιουργηθεί ένας διακομιστής ελέγχου ταυτότητας. Οι χρήστες συνδέονται με το κοινόχρηστο κλειδί και όχι με όνομα χρήστη και κωδικό πρόσβασης όπως στην έκδοση Enterprise.

WPA2-Enterprise -Το αρχικό πρότυπο IEEE 802.11 (το "roadworthy" πρότυπο για την πιστοποίηση wifi) κυκλοφόρησε το 1997. Οι μεταγενέστερες εκδόσεις συχνά αναπτύχθηκαν για να βελτιώσουν την ταχύτητα των μεταδόσεων δεδομένων και να καλύψουν τις νέες τεχνολογίες ασφαλείας. Οι τελευταίες εκδόσεις WPA2- Enterprise συμμορφώνονται με το 802.11 Εγώ. Το υποκείμενο πρωτόκολλο ελέγχου ταυτότητας είναι 802.1Χ, το οποίο επιτρέπει σε συσκευές wifi να πιστοποιούνται με όνομα χρήστη και κωδικό πρόσβασης ή χρησιμοποιώντας πιστοποιητικό ασφαλείας. Ο έλεγχος ταυτότητας 802.1X επεκτείνεται σε ένα Διακομιστής ΑΑΑ (τυπικά RADIUS) που παρέχει κεντρική λειτουργία ελέγχου ταυτότητας και διαχείρισης χρηστών. EAP είναι το πρότυπο που χρησιμοποιείται για τη μετάδοση μηνυμάτων και τον έλεγχο ταυτότητας πελάτη και διακομιστή πριν από την παράδοση. Αυτά τα μηνύματα ασφαλίζονται μέσω πρωτοκόλλων όπως SSL, TLS και PEAP.

Κρυπτογράφηση - "σπόροι" και PMK

WPA2-Personal - Το PSK συνδυάζει μια φράση πρόσβασης (προ-κοινόχρηστο κλειδί) και ένα SSID (το οποίο χρησιμοποιείται ως "σπόρος" και είναι ορατό σε όλους όσους βρίσκονται στην εμβέλεια) για τη δημιουργία κλειδιών κρυπτογράφησης. Το παραγόμενο κλειδί - α Πλήκτρο Master Pairwise (PMK) - χρησιμοποιείται για την κρυπτογράφηση δεδομένων χρησιμοποιώντας το TKIP / CCMP. Το PMK βασίζεται σε μια γνωστή τιμή (η φράση πρόσβασης), οπότε οποιοσδήποτε με αυτήν την αξία (συμπεριλαμβανομένου ενός υπαλλήλου που εγκαταλείπει την εταιρεία) θα μπορούσε να συλλάβει το κλειδί και ενδεχομένως να χρησιμοποιήσει βίαιη δύναμη για να αποκρυπτογραφήσει την κυκλοφορία.

Λίγα λόγια για τους σπόρους και τα SSID.

  • SSID - Όλα τα ονόματα δικτύων που εμφανίζονται στη λίστα συσκευών Wi-Fi hotspots είναι SSID. Το λογισμικό ανάλυσης δικτύου μπορεί να ανιχνεύσει SSID, ακόμη και αυτά που υποτίθεται ότι είναι κρυφά. Σύμφωνα με τον Steve Riley της Microsoft, "Το SSID είναι ένα όνομα δικτύου, όχι - επαναλαμβάνω, όχι - ένας κωδικός πρόσβασης. Ένα ασύρματο δίκτυο διαθέτει ένα SSID για να το διακρίνει από άλλα ασύρματα δίκτυα κοντά. Το SSID δεν σχεδιάστηκε ποτέ για να είναι κρυφό και συνεπώς δεν θα παρέχει στο δίκτυό σας προστασία από κάθε είδους αν προσπαθήσετε να το αποκρύψετε. Πρόκειται για παραβίαση των προδιαγραφών 802.11 για να παραμείνει κρυφό το SSID σας. η τροπολογία προδιαγραφών 802.11i (η οποία καθορίζει το WPA2, που συζητείται αργότερα) δηλώνει ακόμη ότι ένας υπολογιστής μπορεί να αρνηθεί να επικοινωνήσει με ένα σημείο πρόσβασης που δεν μεταδίδει το SSID του. "
  • Σπόροι - Το μήκος SSID και SSID χειρίζεται πριν προχωρήσει σε μετατροπή σε μέρος του παραγόμενου PMK. Το μήκος SSID και το SSID χρησιμοποιούνται ως σπόροι, οι οποίοι αρχικοποιούν μια γεννήτρια ψευδοτυχαίων αριθμών που χρησιμοποιείται για να αλατίσει τη φράση πρόσβασης, δημιουργώντας ένα χασαφικό κλειδί. Αυτό σημαίνει ότι οι κωδικοί πρόσβασης έχουν χυθεί διαφορετικά σε δίκτυα με διαφορετικά SSID, ακόμα και αν μοιράζονται τον ίδιο κωδικό πρόσβασης.

Μια καλή φράση πρόσβασης μπορεί να μετριάσει τον πιθανό κίνδυνο που συνδέεται με τη χρήση ενός SSID ως σπόρου. Μια φράση πρόσβασης θα πρέπει να δημιουργείται τυχαία και να αλλάζει συχνά, ιδιαίτερα μετά τη χρήση ενός wifi hotspot και όταν ένας υπάλληλος εγκαταλείπει μια εταιρεία.

WPA2-Enterprise - Αφού ο διακομιστής RADIUS έχει πιστοποιήσει τον πελάτη, επιστρέφει τυχαία PMK 256-bit που χρησιμοποιεί το CCMP για την κρυπτογράφηση δεδομένων μόνο για την τρέχουσα περίοδο λειτουργίας. Ο "σπόρος" είναι άγνωστος και κάθε σύνοδος απαιτεί ένα νέο PMK, έτσι οι επιθέσεις βίαιων δυνάμεων είναι χάσιμο χρόνου. Η WPA2 Enterprise μπορεί, αλλά συνήθως δεν χρησιμοποιεί το PSK.

Ποιος τύπος κρυπτογράφησης είναι ο καλύτερος για εσάς, AES, TKIP ή και τα δύο; (Επίλυση)

Η αρχική ερώτηση που τέθηκε σε αυτό το άρθρο ήταν να χρησιμοποιήσετε το AES, το TKIP ή και τα δύο για το WPA2?

Επιλογή τύπου κρυπτογράφησης στο δρομολογητή σας

Οι επιλογές σας (ανάλογα με τη συσκευή σας) μπορεί να περιλαμβάνουν:

  • WPA2 με TKIP - Θα πρέπει να επιλέξετε αυτήν την επιλογή μόνο εάν οι συσκευές σας είναι πολύ παλιές για να συνδεθείτε με τον νεότερο τύπο κρυπτογράφησης AES
  • WPA2 με AES - Αυτή είναι η καλύτερη (και προεπιλεγμένη) επιλογή για νέους δρομολογητές που υποστηρίζουν AES. Μερικές φορές θα δείτε μόνο WPA2-PSK, που συνήθως σημαίνει ότι η συσκευή σας υποστηρίζει το PSK από προεπιλογή.
  • WPA2 με AES και TKIP - Αυτή είναι μια εναλλακτική λύση για τους πελάτες παλαιού τύπου που δεν υποστηρίζουν AES. Όταν χρησιμοποιείτε το WPA2 με AES και TKIP (που ίσως θέλετε να κάνετε εάν επικοινωνείτε με συσκευές παλαιού τύπου), θα μπορούσατε να δοκιμάσετε πιο αργές ταχύτητες μετάδοσης. Η AirHead Community εξηγεί ότι αυτό οφείλεται στο γεγονός ότι οι "chip groupers" θα πέφτουν πάντοτε στο χαμηλότερο κρυπτογραφικό. "Το AES χρησιμοποιεί περισσότερη υπολογιστική ισχύ, οπότε αν έχετε πολλές συσκευές, θα μπορούσατε να δείτε μείωση της παραγωγικότητας γύρω από το γραφείο. Ο μέγιστος ρυθμός μεταφοράς για δίκτυα που χρησιμοποιούν κωδικούς πρόσβασης WEP ή WPA (TKIP) είναι 54 Mbps (Πηγή: CNet).
  • WPA / WPA2 - Παρόμοια με την παραπάνω επιλογή, μπορείτε να την επιλέξετε αν έχετε παλιότερες συσκευές, αλλά δεν είναι τόσο ασφαλής όσο η επιλογή μόνο για WPA2

Στη συσκευή σας, αντί για WPA2, μπορεί να εμφανιστεί η επιλογή "WPA2-PSK". Μπορείτε να το αντιμετωπίζετε ως το ίδιο πράγμα.

Συμβουλές για να σκληρύνει την ασφάλεια PSK

Τα σχόλια του Terrence Koeman σχετικά με το Stack Exchange καθιστούν διαφωτιστική ανάγνωση για το γιατί το WPA2-Enterprise είναι πιο ασφαλές από το WPA2-Personal. Παρέχει επίσης τις παρακάτω συμβουλές:

  • Ρυθμίστε το SSID σας (το σπόρο PMK) σε μια τυχαία σειρά από όσο περισσότερα ψηφία επιτρέπετε, πράγμα που θα καταστήσει το PMK λιγότερο ευάλωτο σε βίαιες επιθέσεις
  • Δημιουργήστε ένα μακρύ τυχαίο PSK και αλλάξτε το τακτικά
  • Ένα μοναδικό SSID μπορεί να σας κάνει ευάλωτους σε κλέφτες που μπορούν να σας αναζητήσουν πιο εύκολα στο Wigle. Εάν είστε πραγματικά παρανοϊκοί, θα πρέπει να χρησιμοποιήσετε ένα VPN αντί.

Τι έπεται? Το WPA3 έχει κυκλοφορήσει

Σύμφωνα με το NetSpot, "Ίσως το μόνο μειονέκτημα του WPA2 είναι πόση επεξεργαστική ισχύς χρειάζεται για να προστατεύσει το δίκτυό σας. Αυτό σημαίνει ότι απαιτείται πιο ισχυρό υλικό για να αποφευχθεί η χαμηλότερη απόδοση του δικτύου. Αυτό το ζήτημα αφορά παλαιότερα σημεία πρόσβασης που εφαρμόστηκαν πριν από το WPA2 και υποστηρίζουν μόνο το WPA2 μέσω αναβάθμισης υλικολογισμικού. Τα περισσότερα από τα σημερινά σημεία πρόσβασης έχουν τροφοδοτηθεί με πιο ικανό εξοπλισμό. "Και, οι περισσότεροι προμηθευτές εξακολουθούν να παρέχουν ετικέτες WPA2.

Το WPA2 θα καταργηθεί σταδιακά από το WPA3, το οποίο κυκλοφόρησε τον Ιούνιο του 2018 μετά τον εντοπισμό μιας ευπάθειας ασφαλείας που ονομάζεται KRACK στο WPA2 το προηγούμενο έτος. Η επέκταση αναμένεται να διαρκέσει λίγο (πιθανώς μέχρι το 2019), ενώ οι πωλητές πιστοποιούν και αποστέλλουν νέες συσκευές. Ενώ οι ενημερώσεις κώδικα για την ευπάθεια KRACK έχουν κυκλοφορήσει, το WPA2 δεν είναι σχεδόν εξίσου ασφαλές συνολικά με το WPA3. Για αρχή, πρέπει να διασφαλίσετε ότι θα επιλέξετε την ασφαλέστερη μέθοδο κρυπτογράφησης. Ο σκεπτικιστής Dion Phillips, που γράφει για το InfiniGate, σκέφτεται: "... είναι αμφίβολο ότι οι τρέχουσες ασύρματες συσκευές θα ενημερωθούν για να υποστηρίξουν το WPA3 και πολύ πιο πιθανό ότι το επόμενο κύμα συσκευών θα τεθεί στη διαδικασία πιστοποίησης."

Το έχεις; στο τέλος, είναι πιθανό να πρέπει να αγοράσετε ένα νέο δρομολογητή. Εν τω μεταξύ, για να είστε ασφαλείς, μπορείτε να διορθώσετε και να ασφαλίσετε το WPA2.

Δεν έχουν υπάρξει τεκμηριωμένες αναφορές για επιθέσεις KRACK, αλλά η πιστοποίηση WPA3 παρέχει πολύ περισσότερη ασφάλεια από την απλή σύνδεση της ευπάθειας KRACK. Επί του παρόντος, ένα προαιρετικό πρόγραμμα πιστοποίησης, θα καταστεί υποχρεωτικό, καθώς οι περισσότεροι πωλητές θα το υιοθετήσουν. Μάθετε περισσότερα σχετικά με τα WPA2 και τα 3 με το άρθρο της Comparitech σχετικά με το τι είναι το WPA3 και πόσο ασφαλές είναι?

Μάθετε περισσότερα σχετικά με την ασφάλεια WiFi

  • Μια εξαίρετη τεχνική εισαγωγή στην TKIP, την AES και την προβληματική χρήση παραπλανητικής ορολογίας είναι η TKIP Hack
  • Αν ανησυχείτε για το WPA2 και οι συσκευές σας υποστηρίζουν μόνο TKIP, επιλέξτε ένα αξιόπιστο VPN
  • Κατανοήστε τα βασικά της κρυπτογραφίας
  • Μάθετε πώς μπορείτε να ασφαλίσετε το wifi router σας - συμβουλές για τον τυπικό χρήστη και όποιον έχει ευαίσθητα δεδομένα για προστασία

Δείτε επίσης:
Οδηγός πόρων κρυπτογράφησης
Βελτιώστε τη δικιά σας ασφάλεια στον κυβερνοχώρο

Εικόνα πρώτης σελίδας για το πρωτόκολλο WPA από τον Marco Verch. Αδειοδοτείται υπό CC BY 2.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

38 − 35 =