Witaj na portalu z odpowiedziami na Twoje pytania!
Co to jest...? Jak zrobić...? Dlaczego...?

Na pewno często zastanawiałeś się co to jest... albo jak zrobić.. Ten portal powstał po to aby móc znaleźć odpowiedzi na takie właśnie pytania.  Odpowiedzi na pytania przygotowany są przez specjalistów w danych tematach. Odpowiedzi są rzeczowe i kompetentne.  Zapraszamy do lektury.

Możecie również zgłaszać swoje pytania poprzez formularz kontaktowy. Odpowiemy na 100%!

Autorzy.
Surreal Template Image

 

Co to jest WPA2?


Przyjrzyjmy się teraz szczegółom mechanizmów uwierzytelnienia użytkowników i kodowania danych które zostały użyte w WPA2 /802.11i. Zostały one szczegółowo opisane w artykule „IEEE 802.11i - bezprzewodowo bezpieczniej” opublikowanym w czasopiśmie NETWORLD.
W  pierwszym kroku w WPA2 po nawiązaniu łączności pomiędzy klientem a punktem dostępu uzgadniany jest klucz Pairwise Master Key(PMK). Jeśli sieć działa w rybie Enterprise (z serwerem uwierzytelniającym) klucz jest generowany przy użyciu protokołu 802.1X, który potwierdza tożsamość klienta, odwołując się do serwera RADIUS lub do innego serwera uwierzytelniania obsługującego protokół EAP (Extensible Authentication Protocol). Obie strony (klient i serwer RADIUS) uzyskują wtedy identyczne klucze, a serwer RADIUS dostarcza ten klucz punktowi dostępu. W trybie PSK korzysta się ze współdzielonego klucza i omija w tym procesie serwer RADIUS.
Następnie klient i punkt dostępu zaczynają ze sobą "rozmawiać", wymieniając cztery komunikaty, noszące nazwę four-way handshake. Podczas wymiany tych komunikatów dochodzi do utworzenia nowego klucza - Pairwise Transient Key (PTK). Klucz jest budowany na podstawie klucza PMK i świeżo wygenerowanych przypadkowych kluczy, które tworzą obie strony (klient i punkt dostępu). Klucz Pairwise Transient Key jest dzielony na kilka podkluczy: jeden jest używany do podpisywania komunikatów four-way handshake, drugi do ochrony pakietów transmitowanych między klientem i punktem dostępu; oraz trzeci do kodowania klucza grupy (group key), który jest udostępniany klientowi podczas sesji four-way handshake. Klucz grupy pozwala punktowi dostępu generować i rozsyłać do wszystkich klientów jeden pakiet rozgłoszeniowy, zamiast wysyłać taki zakodowany pakiet wiele razy, za każdym razem dostarczając go innemu klientowi.
Podczas sesji four-way handshake klient i punkt dostępu negocjują, jak będą kodować dane. Obie strony negocjują dwa szyfry: szyfr parowania (pairwise; używany dla pakietów unicast - w transmisji typu stacja-stacja - wymienianych między klientem i punktem dostępu); oraz szyfr grupy, używany dla ruchu broadcast/multicast (pakiety rozsyłane w trybie stacja-wszystkie stacje lub stacja-wiele stacji, które z punktu dostępu wysyła do wielu klientów).

O ile szyfr kodowania WPA2 może być negocjowany, o tyle standard 802.11i używa zawsze 128-bitowego szyfrowania Advanced Encryption Standard (AES).
Protokół 802.11i przyspiesza roaming, czyli przełączanie klienta z jednego punktu dostępu na następny. Poprzednio klient musiał za każdym razem (przy przełączaniu) powtarzać procedurę uwierzytelniania 802.1X. W sieciach 802.11i jest inaczej - gdy klient wraca do punktu dostępu, na których był już uwierzytelniony, może wykorzystać ponownie klucz PMK ustanowiony przez ten punkt dostępu, po to aby ominąć procedurę uwierzytelniania 802.1X i zainicjować tylko sesję four-way handshake. Dlatego procedura przełączania klienta z jednego punktu dostępu na kolejny przebiega dużo szybciej. Dodatkowo klient może się wstępnie uwierzytelnić na nowym punkcie, na który ma zamiar przełączyć się, wymieniając jednocześnie cały czas dane ze starym punktem dostępu.
Inna technika szybkiego przełączania się między punktami dostępu, możliwa dzięki protokołowi 802.11i, została nieformalnie nazwana Opportunistic Key Caching (inna nazwa to Proactive Key Caching). Jeśli wiele punktów dostępu może przekazywać sobie i współdzielić klucze PMK, klient może się przełączyć na nowy punkt dostępu, z usług którego nie korzystał poprzednio, wykorzystując do tego celu ponownie klucz PMK, który uzgodnił z poprzednim punktem dostępu; dzięki takiemu rozwiązaniu klient może się szybko przełączyć na punkt dostępu, na którym się jeszcze nigdy nie uwierzytelnił, nie inicjując nawet procedury wstępnego uwierzytelnienia się .