EducationBot: Новая страница: «{{Русская Википедия/Панель перехода}} '''WPA''' ('''Wi-Fi Protected Access'''), '''WPA2''' и '''WPA3''' — программы сертификации устройств беспроводной связи, разработанные объединением Wi-Fi Alliance для защиты беспроводной Wi-Fi-сети. Технология WPA первой версии...»

2023-07-18T03:53:13Z

Новая страница: «{{Русская Википедия/Панель перехода}} '''WPA''' ('''Wi-Fi Protected Access'''), '''WPA2''' и '''WPA3''' — программы сертификации устройств беспроводной связи, разработанные объединением Wi-Fi Alliance для защиты беспроводной Wi-Fi-сети. Технология WPA первой версии...»

Новая страница

{{Русская Википедия/Панель перехода}}
'''WPA''' ('''Wi-Fi Protected Access'''), '''WPA2''' и '''WPA3''' — программы сертификации устройств беспроводной связи, разработанные объединением [[Wi-Fi Alliance]] для [[защита в сетях Wi-Fi|защиты беспроводной Wi-Fi-сети]]. Технология WPA первой версии пришла на замену технологии [[WEP]]. Плюсами WPA являются усиленная безопасность данных и ужесточённый контроль доступа к беспроводным [[компьютерные сети|сетям]]. Немаловажной характеристикой является совместимость между множеством беспроводных устройств как на [[Аппаратное обеспечение|аппаратном]], так и на [[Программное обеспечение|программном]] уровнях.

__TOC__'''

== Основные понятия ==
В WPA обеспечена поддержка стандартов [[IEEE 802.1X|802.1X]], а также протокола [[EAP]] (Extensible Authentication Protocol, расширяемый протокол аутентификации).

Стоит заметить, что в WPA2 поддерживается [[шифрование]] в соответствии со стандартом [[Advanced Encryption Standard|AES]] (Advanced Encryption Standard, усовершенствованный стандарт шифрования), который имеет ряд преимуществ над используемым в WEP [[RC4]], например гораздо более стойкий криптографический алгоритм.

Большим плюсом при внедрении WPA является возможность работы технологии на существующем аппаратном обеспечении [[Wi-Fi]].

Некоторые отличительные особенности WPA:
* усовершенствованная схема шифрования [[RC4]]
* обязательная [[аутентификация]] с использованием [[EAP]].
* система централизованного управления безопасностью, возможность использования в действующих корпоративных [[Политика безопасности|политиках безопасности]].

== Аутентификация пользователей ==
Wi-Fi Alliance даёт следующую формулу для определения сути WPA:

<pre>
WPA = 802.1X + EAP + TKIP + MIC
</pre>

Видно, что WPA, по сути, является суммой нескольких технологий.

Как упомянуто выше, в стандарте WPA используется Расширяемый протокол аутентификации (EAP) как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства (иначе называют мандатом), подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена. База зарегистрированных пользователей и система проверки в больших сетях, как правило, расположены на специальном сервере (чаще всего [[RADIUS]]).

Следует отметить, что WPA имеет упрощённый режим. Он получил название Pre-Shared Key (WPA-PSK). При применении режима PSK необходимо ввести один [[пароль]] для каждого отдельного узла беспроводной сети (беспроводные [[маршрутизатор]]ы, точки доступа, мосты, клиентские адаптеры). Если пароли совпадают с записями в базе, пользователь получит разрешение на доступ в сеть.

== Шифрование ==
Даже не принимая во внимание тот факт, что WEP, предшественник WPA, не обладает какими-либо механизмами аутентификации пользователей как таковыми, его ненадёжность состоит, прежде всего, в криптографической слабости алгоритма шифрования. Ключевая проблема WEP заключается в использовании слишком похожих ключей для различных пакетов данных.

[[TKIP]], MIC и 802.1X (части уравнения WPA) усилили шифрование передаваемых данных в сетях, использующих WPA.

TKIP отвечает за увеличение размера ключа с 40 до 128 [[бит]], а также за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкционированного снятия защиты WEP ключей.

[[Сервер (программное обеспечение)|Сервер]] аутентификации после получения сертификата от пользователя использует 802.1X для генерации уникального базового ключа для сеанса связи. TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа, после чего выстраивает иерархию ключей плюс систему управления. Для этого используется двусторонний ключ для динамической генерации ключей шифрования данных, которые в свою очередь используются для шифрования каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ WEP (статический) на 500 миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных.

Другим важным механизмом является проверка целостности сообщений (Message Integrity Check, MIC). Её используют для предотвращения перехвата пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети. MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает на несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается.

При этом механизмы шифрования, которые используются для WPA и WPA-PSK, идентичны. Единственное отличие WPA-PSK состоит в том, что аутентификация производится с использованием пароля, а не по сертификату пользователя.

== WPA2 ==
WPA2 определяется стандартом [[IEEE 802.11i-2004|IEEE 802.11i]], принятым в июне 2004 года, и призван заменить WPA. В нём реализовано [[CCMP]] и шифрование [[Advanced Encryption Standard|AES]], за счёт чего WPA2 стал более защищённым, чем свой предшественник. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных устройств [[Wi-Fi]]<ref name="wpa2-mandatory">«WPA2 Security Now Mandatory for Wi-Fi CERTIFIED Products» {{cite web|work=[[Wi-Fi Alliance]]|url=http://www.wi-fi.org/pressroom_overview.php?newsid=16|title=WPA2 Security Now Mandatory for Wi-Fi CERTIFIED Products|archiveurl=https://www.webcitation.org/61CsIwk3A?url=http://www.wi-fi.org/news_articles.php?f=media_news|archivedate=2011-08-25}}</ref>.

== WPA3 ==
В начале 2018 года международный альянс Wi-Fi Alliance анонсировал новейший протокол беспроводной безопасности — WPA3<ref>{{Cite web|url=https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements|title=Wi-Fi Alliance® introduces security enhancements|author=|website=Wi-Fi Alliance|date=2018-01-08|publisher=www.wi-fi.org|lang=en|accessdate=2018-03-23|archiveurl=https://www.webcitation.org/6y81Bmc2h?url=https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements|archivedate=2018-03-23|deadlink=no}}</ref>. Основными дополнениями, реализованными в этом протоколе, станут: встроенная защита от [[Полный перебор|брутфорс-атак]]; индивидуальное шифрование данных для усиления конфиденциальности пользователей в открытых сетях Wi-Fi; упрощенная настройка [[IoT]]-устройств; усовершенствованный криптографический стандарт для сетей Wi-Fi — «192-разрядный пакет безопасности»<ref>{{Cite news|title=Анонсирован стандарт WPA3, Wi-Fi обещают сделать безопаснее - «Хакер»|url=https://xakep.ru/2018/01/09/wap3/|work=«Хакер»|date=2018-01-09|accessdate=2018-03-23|language=ru|archivedate=2018-03-23|archiveurl=https://web.archive.org/web/20180323155545/https://xakep.ru/2018/01/09/wap3/}}</ref><ref>{{Cite web|url=https://www.ixbt.com/news/2018/01/09/wi-fi-alliance-wpa3.html|title=Wi-Fi Alliance анонсирует WPA3|author=|website=iXBT.com|date=2018-01-09|publisher=|access-date=2018-03-23|archive-date=2018-03-23|archive-url=https://web.archive.org/web/20180323154802/https://www.ixbt.com/news/2018/01/09/wi-fi-alliance-wpa3.html|deadlink=no}}</ref>.

== Уязвимости ==
6 ноября 2008 года на конференции PacSec был представлен способ, позволяющий взломать ключ [[TKIP]], используемый в WPA, за 12—15 минут<ref>{{Cite web |url=http://www.itworld.com/security/57285/once-thought-safe-wpa-wi-fi-encryption-cracked |title=Once thought safe, WPA Wi-Fi encryption is cracked {{!}} ITworld |access-date=2008-11-07 |archive-date=2008-11-09 |archive-url=https://web.archive.org/web/20081109110433/http://www.itworld.com/security/57285/once-thought-safe-wpa-wi-fi-encryption-cracked |deadlink=no }}</ref>. Этот метод позволяет прочитать данные, передаваемые от точки доступа клиентской машине, а также передавать поддельную информацию на клиентскую машину. Данные, передаваемые от клиента к маршрутизатору, пока прочитать не удалось. Ещё одним условием успешной атаки было включение [[QoS]] на [[маршрутизатор]]е.

В 2009 году сотрудниками университета Хиросимы и университета Кобе Тосихиру Оигаси и Масакату Мории был разработан и успешно реализован на практике новый метод атаки, который позволяет взломать любое соединение WPA без ограничений, причём, в лучшем случае, время взлома составляет 1 минуту<ref>[http://www.infsec.ethz.ch/education/as09/secsem/papers/WPA.pdf Взлом протокола WPA, документ с конференции JWIS2009. {{ref-en}}]{{Недоступная ссылка|date=Сентябрь 2018 |bot=InternetArchiveBot }}</ref>.

Соединения WPA, использующие более защищённый стандарт шифрования ключа [[Advanced Encryption Standard|AES]], а также WPA2-соединения, не подвержены этим атакам.

23 июля 2010 года была опубликована информация об уязвимости [[Hole196]] в протоколе WPA2. Используя эту уязвимость, авторизовавшийся в сети пользователь может расшифровывать данные других пользователей, используя свой закрытый ключ. Никакого [[Криптоанализ|взлома ключей]] или [[Полный перебор|брут-форса]] не требуется<ref>{{Cite web |url=http://blog.airtightnetworks.com/wpa2-finds-itself-in-a-hole-vulnerable-to-insider-attacks/ |title=Сообщение в блоге компании AirTight Networks, специалисты которой нашли уязвимость{{ref-en}} |accessdate=2010-07-26 |archiveurl=https://web.archive.org/web/20100726072445/http://blog.airtightnetworks.com/wpa2-finds-itself-in-a-hole-vulnerable-to-insider-attacks/ |archivedate=2010-07-26 |deadlink=yes }}</ref>.

Тем не менее до 2017 года основными методами взлома WPA2 PSK являлись [[атака по словарю]] и [[брутфорс]]. Для этого в режиме мониторинга беспроводной карты сканируется эфир и записываются необходимые пакеты. Далее проводится деавторизация клиента для захвата начального обмена пакетами — «{{iw|Handshaking|рукопожатие|en|Handshaking}}» ({{Lang-en|handshake}}), либо нужно ждать, пока клиент совершит подключение. После этого уже нет необходимости находиться недалеко от атакуемой точки доступа. Атака проводится офлайн с помощью специальной программы и файла с хэндшейком.

В октябре 2017 году была опубликована атака переустановки ключа на WPA2, названная [[KRACK]], которая позволяет сбросить nonce, при использовании AES-CCMP воспроизводить ранее отправленные пакеты и расшифровывать их, при использовании режимов WPA TKIP и GCMP — расшифровывать и внедрять пакеты в соединение<ref>http://papers.mathyvanhoef.com/ccs2017.pdf {{Wayback|url=http://papers.mathyvanhoef.com/ccs2017.pdf |date=20171016090254 }} Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2</ref><ref>{{Cite web|url=https://www.krackattacks.com/|title=KRACK Attacks: Breaking WPA2|publisher=www.krackattacks.com|accessdate=2017-10-16|archive-date=2020-02-28|archive-url=https://web.archive.org/web/20200228145457/https://www.krackattacks.com/|deadlink=no}}</ref>.

== См. также ==
* [[WEP]]

== Примечания ==
{{примечания}}

== Ссылки ==
* [https://web.archive.org/web/20080213010150/http://www.wi-fi.org/knowledge_center/wpa2 Раздел сайта Wi-Fi Alliance, посвященный WPA2]
* [http://certifications.wi-fi.org/wbcs_certified_products.php Wi-Fi Alliance’s Interoperability Certificate]
* [https://web.archive.org/web/20050528103930/http://www.wifialliance.com/OpenSection/pdf/Whitepaper_Wi-Fi_Security4-29-03.pdf Wi-Fi Protected Access: Strong, standards-based, interoperable security for today’s Wi-Fi networks.]
* [http://www.wi-fi.org/OpenSection/ReleaseDisplay.asp?TID=4&ItemID=205&StrYear=2005&strmonth=4 Пресс-релиз о новых типах EAP, поддерживаемых в WPA]{{Недоступная ссылка|date=Сентябрь 2017 |bot=InternetArchiveBot }}
* [http://standards.ieee.org/getieee802/download/802.11i-2004.pdf Стандарт IEEE 802.11i-2004]
* Переводы страниц руководства man из пакета wpasupplicant: [http://manpages.ylsoftware.com/ru/wpa_background.8.html wpa_background(8)], [http://manpages.ylsoftware.com/ru/wpa_supplicant.8.html wpa_supplicant(8)], [http://manpages.ylsoftware.com/ru/wpa_supplicant.conf.5.html wpa_supplicant.conf(5)], [http://manpages.ylsoftware.com/ru/wpa_cli.8.html wpa_cli(8)], [http://manpages.ylsoftware.com/ru/wpa_action.8.html wpa_action(8)], [http://manpages.ylsoftware.com/ru/wpa_passphrase.8.html wpa_passphrase(8)]

[[Категория:Беспроводные сети]]
[[Категория:Сетевые протоколы]]
[[Категория:Wi-Fi]]
[[Категория:IEEE 802.11]]
{{Навигационная таблица/Портал/Русская Википедия}}
[[Категория:Русская Википедия]]
[[Категория:Википедия]]
[[Категория:Статья из Википедии]]
[[Категория:Статья из Русской Википедии]]

Русская Википедия:WPA - История изменений