WPA

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

WPA ו-WPA2, (ראשי תיבות: Wi-Fi Protected Access) הם שמם של שני פרוטוקלי אבטחה שפותחו על ידי התאחדות ה-Wi-Fi במטרה לאבטח רשתות אלחוטיות. אלו פותחו בעקבות פריצות חמורות שנמצאו על ידי מומחים במערכת הקודמת, ה-WEP. הפרוטוקול מיישם את סטנדרט ה-IEEE 802.11i. התאחדות ה-Wi-Fi ראתה את ה-WPA כצעד ביניים, אשר נועד לתפוס את מקומו של ה-WEP בציפייה לתקן ה-802.11i, לאחר שהתמהמה אישורו‏[1]. הפרוטוקול משתמש ב-TKIP (פרוטוקול מפתח זמני)‏[2]. הצפנת TKIP החליפה את המפתח הקטן יחסית, בגודל 40 ביט, אשר אינו משתנה, של תקן ה-WEP. ה-TKIP הוא מפתח של 128 ביט לכל חבילת מידע והוא יוצר באופן דינאמי מפתח חדש לכל חבילת מידע וכך מונע התנגשויות.

ה-WPA2 תואם את סטנדרט ה-IEEE 802.11i במלואו.

חלוקה לגרסאות[עריכת קוד מקור | עריכה]

  • WPA - הגרסה הראשונית, אשר מטרתה להחליף את פרוטוקול ה-WEP הישן. משתמשת בדרך כלל בפרוטוקול ההצפנה TKIP.
  • WPA2 - ידועה גם כ-IEEE 802.11i-2004. יורשו של ה-WPA. משתמש ב-CCMP במקום ב-TKIP על מנת להשיג אבטחה נוספת. מחויב בכל התקני ה-Wi-Fi המאושרים מאז 2006.
  • WPA-Personal - מכונה גם WPA-PSK (מפתח משותף מראש, Pre-shared key). מיועד עבור רשתות ביתיות או משרדים קטנים ואינו זקוק לשרת אימות. כל ההתקנים מאמתים עם נקודת הגישה באמצעות מפתח זהה בגודל 256 ביט.
  • WPA-Enterprise - מכונה גם WPA-802.1x. מיועד עבור רשתות ארגוניות ומחייב אימות דרך שרת באמצעות RADIUS. הדבר דורש התקנה מסובכת יותר אך מעניק הגנה טובה יותר.

אבטחה ופרצות ב-WPA-PSK[עריכת קוד מקור | עריכה]

במצב המפתח המשותף מראש (PSK) נועד עבור רשתות ביתיות בעיקרו ואינו דורש את המורכבות של שרת האימות 802.1X. כל התקן ברשת מצפין את התעבורה באמצעות מפתח בגודל 256 ביט. ניתן להזין את המפתח כ-64 ספרות הקסדצימליות, או כסיסמה של 8 עד 63 תווים (מיוצגים ב-ASCII). כאשר משתמשים בסיסמה, המפתח מחושב על ידי פונקציית גיבוב קריפטוגרפית מתאימה. WPA-PSK נותר פגיע להתקפות כוח גס אם המשתמש מסתמך על סיסמה חלשה.

בחודש נובמבר 2008, אריק טאוס ומרטין בק, חוקרים משתי אוניברסיטאות גרמניות חשפו פרצת אבטחה מוגבלת של פרוטוקול זה אשר הסתמכה על הפגם הידוע בפרוטוקול WEP הישן, אשר ניתן לנצל רק בפרוטוקול ה-TKIP. הפרצה איננה חושפת את המפתח או הסיסמא, אך מצליחה לפענח חלק מהמידע‏[3], בעיקר חבילות מידע קטנות עם תוכן ידוע מראש כגון ARP. באוקטובר 2009 הושגה התקדמות נוספת המאפשרת לתוקפים להזריק חבילות מידע זדוניות גדולות יותר (596 בתים) בזמן של 25 דקות ו-28 שניות. בפברואר 2010 נתגלתה פרצה חדשה המאפשרת לתוקף לפענח את כל התעבורה כלפי הלקוח.

נקודות התורפה של ה-TKIP אשר נעשה בו שימוש ב-WPA-PSK הן משמעותיות מכיוון שהוא נחשב לבטוח מאוד בעבר, והוא עדיין נמצא בשימוש בהתקנים אלחוטיים רבים.

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ אושר תקן האבטחה 802.11i באתר ynet טכנולוגיה, 28.6.2004
  2. ^ רשתות האלחוט: בעיית האבטחה באתר ynet מחשבים, 1.10.2003
  3. ^ ניב ליליאן, דיווח: פירצת אבטחה ברשתות אלחוטיות, באתר ynet‏, 9 בנובמבר 2008