Jak funguje šifrování WiFi?

[Petrik]

Zlehka jsem WPA/WPA2 PSK nastudoval a v pripade pouziti TKIP je miziva sance, ze to prolomit pujde, v pripade AES to je vpodstate vyloucene, to je alespon nazor odborniku v oboru kryptografie. Pokud tomu dobre rozumim, v pripade TKIP se prenasena data sifruji 128-bit stream sifrou RC4 s 48-bit inicializacnim vektorem (IV), pro kazdy packet je sifrovaci klic jiny. Prave IV o prilis male velikosti 24bitu se stal kamenem urazu sifrovani WEP, dvojnasobna velikost silne omezuje podobny utok, ale neni to na 100%. V pripade AES u WPA1/2 je cely sifrovanci algoritmus postaven na bazi AES a je povazovan za zcela bezpecny. Pokud tam neni nejaka zasadni chyba v navrhu ci implementaci, melo by to byt dostatecne bezpecne.

Zajimave je, ze AES je u WPA nepovinne, zato u WPA2 povinne. Ve windows XP vsak WPA2 nefunguje vubec, nebo hodne spate, WPA1 s AES pritom funguje vpohode. AES by pritom mel byt hlavni rozdil mezi WPA1 a 2.

EDIT: hodne zajimavy odkaz: http://www.informationweek.com/news/...leID=177105338

WPA s AES zajistuje 100% integritu dat - dalsi duvod, proc to pouzivat

[beavel]

WPA s AES zajistuje 100% integritu dat, dalsi duvod proc, to pouzivat

bych rek ze tkip pomoci MICHAELu taky

[Millisx]

2Petrik. Díky, dostatečně jsi mi i odpověděl, proč se mi zatím WPA2 nepodařilo korektně rozchodit

[Petrik]

SP3 by pry mela WPA2 resit, prakticky vyzkousene to ale nemam. Jinak kombinace mikrotik + AirCA8-Pro nebo nanostation 5GHz funguje s WPA2+AES vpohode ale to vsechno bezi na linuxu...

bych rek ze tkip pomoci MICHAELu taky

Jasne, s AES to ma byt snad jeste o neco lepsi, ale TKIP to umi take

[frelichl]

SP3 by pry mela WPA2 resit, prakticky vyzkousene to ale nemam. Jinak kombinace mikrotik + AirCA8-Pro nebo nanostation 5GHz funguje s WPA2+AES vpohode ale to vsechno bezi na linuxu...

Není potřeba SP3, už hodně dlouho existuje aktualizace, která WPA2 zprovozňuje. Dlouhodobě doma použiváno bez problémů (šifrování AES).

http://support.microsoft.com/kb/893357

[Petrik]

Existuje, ale nefunguje...zkousel jsem ji na 4 pocitacich, poradne to nefungovalo ani na jednom. MS o tom zrejme vi a proto neni v oficialnich updatech a proto to resi az ted v SP3...

[HollyG]

V oficialnich updatech neni, protoze to neni update...ale pridani funkce
Nicmene tohle by si mely osetrovat ovladace k wifi

[frelichl]

Existuje, ale nefunguje...zkousel jsem ji na 4 pocitacich, poradne to nefungovalo ani na jednom. MS o tom zrejme vi a proto neni v oficialnich updatech a proto to resi az ted v SP3...

Jak myslíš to pořádně nefungovalo (ať vím, jestli jsem se s tím někdy setkal)? Nešlo se připojit, padalo to nebo nějaké jiné symptomy?

[monsoon]

Zajimave je, ze AES je u WPA nepovinne, zato u WPA povinne. Ve windows XP vsak WPA2 nefunguje vubec, nebo hodne spate, WPA1 s AES pritom funguje vpohode. AES by pritom mel byt hlavni rozdil mezi WPA1 a 2.

Dovolim si nesouhlasit, sice wifi neprovozuji nejak zavratne dlouho, asi od listopadu 2006, ale uz v te dobe nebyl zadny problem s WPA2, at uz enterprise pres radius, tak WPA2-PSK pod WindowsXP a ani do dnes jsem zadny neobjevil. Mozna pokud nebyly aktualizace, tak se neni cemu divit, kdyz WPA2 je novejsi dokonce i nez XP SP2.

[Petrik]

WPA2 se mi v XPckach budto vubec nepripoji, nebo vypada v intervalu cca 1 minuta. Je mozne, ze to byla i chyba APcka, ale zrvona vcera jsem se trapil s jednim noutasem, ktery jsem proste nepremluvil aby se pripojil k TP-LINKu s atheros chipsetem, ktery jinak WPA2 bez problemu zvlada. Sitovka v noutasu je intel 2200BG, posledni ovladace a XPcka s SP3 a tim patchem na WPA2.

UPDATE: zase jsem se trapil s WPA2 vs. Win XP SP3 a znovu bez uspechu. Ty dva stare patche do SP3 aplikovat nejdou, zrejme tam uz jsou, ale proste se to na WPA2 APcko linksys skrz tu wokenni utilitu nepripoji. Pomohlo az nainstalovani ridici utilitky intel pro 2200BG, ta se pripojila. Na druhem stroji s broadcom WLAN to vsak dat nejde, takze jsem musel rezignovat a hodit tam bezproblemovy mod WPA1+AES.

[KUBA]

K bezpečnosti domácí WiFi, doporučuju vypnout broadcast ssid .

[Keymaster]

to je totálně k ničemu.
Buď nešifruješ, a potom jsou všechny ochrany jako omezení podle MAC, vyplý SSID, atd. k prdu, protože se to vše dá obejít za pár minut, nebo šifruješ, a potom je zbytečný se s tímhle štvát, protože každej, kdo by dokázal prolomit šifrování, nebude pravděpodobně mít vůbec problémy s dalšími opatřeními - ochrana navíc je nulová

[Petrik]

prolomeni WPA/WPA2 pomoci GPU: http://www.cdr.cz/a/25543 pokud to je vazne pravda, tak to je dost vazne.

z debaty pod clankem:
Tohle o tom říká Bruce Schneier, jedna z největších světových kapacit na šifrování:

"Elcomsoft is claiming that the WPA protocol is dead, just because they can speed up brute-force cracking by 100 times using a hardware accelerator. Why exactly is this news? Yes, weak passwords are weak -- we already know that. And strong WPA passwords are still strong. This seems like yet another blatent attempt to grab some press atttention with a half-baked cryptanalytic result."

http://www.schneier.com/blog/archive...ng_up_wif.html

[admix]

Jojo, kdyby tam napsali ze doba prolomeni se zkratila z milionu let na sto tisic let, tak by to nebylo tak napinave

[Keymaster]

crackování na gpu = 100x rychlejší? No tak co, přidám 2 písmenka do hesla a jedu vesele dál . 128bitový heslo není a nikdy nebude prolomitelný (jo, vím, kdyby někdy byly kvantový počítače... )