- Hệ mật khóa công khai PKIPublic Key Infrastructure: dùng một khóa để lập mã và dùng khóa khác để giải mã, hệ mật này còn được gọi là hệ mật không đố
4.3.2.2 Thiết lập khóa bảo mật
TKIP tăng kích thước khóa từ 40bits lên 128 bits và thay thế khóa WEP đơn, tĩnh bằng cách cấp phát và phân phối tự động bởi server nhận thực. TKIP sử dụng hệ thống khóa và phương thức quản lý khóa, điều này sẽ loại bỏ khả năng dự đoán của hacker dựa trên khóa WEP.
Để làm được điều này, TKIP dựa trên cơ sở 802.1x/EAP. Server nhận thực, sau khi chấp nhận user, sử dụng 802.1x để cung cấp một khóa “pair-wise” cho phiên tính toán. TKIP phân phát khóa này cho cả client và AP dể client và AP có thể thiết lập hệ thông khóa và hệ thông quản lý sử dụng khóa “pair-wise”, để cấp phát tự động và để mã hóa dữ liệu trên từng gói tin.
TKIP có cùng kỹ thuật mã hóa và thuật toán RC4 định nghĩa cho WEP. Tuy nhiên khóa sử dụng cho mã hóa trong TKIP là 128 bit, điều này đã giải quyết vấn đề đầu tiên của WEP: độ dài khóa quá ngắn.Một điểm quan trọng nữa của TKIP là nó thay đổi khóa sử dụng trên từng gói tin. Khóa được tạo ra bằng cách kết hợp nhiều yếu tố bao gồm basekey (hay còn gọi là khóa pairwise), địa chỉ MAC của trạm phát và số thứ tự gói tin. Sự kết hợp này được thiết kế nhằm đem lại độ dài từ khóa đủ lớn để nó không dễ dàng có thể phát hiện được.
khởi tạo và là một phần của khóa. Việc đưa số thứ tự gói tin vào khóa để đảm bảo rằng khóa sẽ khác nhau cho mỗi gói tin. Điều này đã giải quyết được vấn đề gặp phải với WEP đó là “collision attack”, khi một khóa được sử dụng cho hai gói tin khác nhau. Sử dụng số thứ tự của mỗi gói tin cũng là vector khởi tạo sẽ khắc phục được một nguy cơ tấn công nữa gặp phải với WEP là “replay attack”. Với 48 bit dùng để đánh số thứ tự gói, sẽ mất hàng nghìn năm để nó lặp lại.
Điểm quan trọng cuối cùng mà cũng là điểm quan trọng nhất, một phần được trộn vào trong khóa TKIP là base-key, không giống như WEP, khóa này là cố định và được tất cả các user trong mạng Wirelees LAN biết đến. TKIP phát base-key và được trộn vào trong từng gói tin. Mỗi thời điểm client giao tiếp với AP, một khóa base-key mới được sinh ra. Khóa này được xây dựng dựa trên sự xáo trộn một vài số ngẫu nhiên được phát ra bởi AP và Client với địa chỉ MAC của AP và Client, và được truyền qua một phiên truyền bí mật. Với 802.1x, phiên truyền bí mật này là duy nhất và được truyền tin cậy tới client bởi server nhận thực. Khi sử dụng TKIP với Pre- Shares Key (PSK), phiên bí mật này giống nhau cho tất cả mọi user và không bao giờ thay đổi. Do đó vẫn tồn tại nguy hiểm khi sử dụng PSK.
MIC được thiết kế để chống lại kiểu tấn công bằng cách thu thập các gói dữ liệu, thay đổi và gửi lại chúng. MIC cung cấp một thuật toán mạnh giúp bên thu và bên phát có thể tính toán và so sánh MIC. Nếu không trùng nhau, dữ liệu được coi là giả mạo và bị hủy bỏ.
Bằng cách mở rộng kích thước khóa, số lượng khóa sử dụng, và tăng cơ chế kiểm tra độ toàn vẹn dữ liệu, TKIP đã tăng độ phức tạp và khó khăn trong việc giải mã dữ liệu. TKIP đã tăng độ dài và độ phức tạp của mật mã hóa trong Wirelees LAN, làm cho nó trở nên khó hơn và là không thể cho các hacker có thể truy nhập vào mạng. TKIP không chỉ được thiết kế để triển khai trên các thiết bị Wirelees LAN đã tồn tại mà còn được tích hợp và các thiết bị WPA2.
Hình 4.20 Mã hóa TKIP
Trong giai đoạn một, phiên mã hóa dữ liệu chính là "kết hợp" với trật tự cao 32bit của IV và địa chỉ MAC. Kết quả từ giai đoạn này là "kết hợp" với thứ tự thấp hơn 16 bit của IV và cho vào giai đoạn hai, tạo ra các 104-bit mỗi gói dữ liệu quan trọng. Có rất nhiều tính năng quan trọng cần lưu ý trong quá trình này:
a. Nó giả định việc sử dụng một 48-bit IV.
b. Kích cỡ của khoá mật mã vẫn là 104 bit, vì thế làm cho nó tương thích với WEP. c. Kể từ khi tạo ra một gói dữ liệu quan trọng liên quan đến mỗi một hoạt động chuyên sâu cho các bộ vi xử lý MAC nhỏ trong phần cứng WEP hiện có, các quá trình được chia làm hai giai đoạn. Các chuyên sâu một phần được thực hiện trong giai đoạn một, trong giai đoạn hai là ít hơn nhiều tính toán chuyên sâu.
d. Kể từ giai đoạn một liên quan đến trình tự cao 32 bit của IV, nó cần phải được thực hiện chỉ khi một trong những thay đổi bit; đó là một lần trong mỗi 65.536 gói.
e. Chức năng trộn khóa làm cho nó rất khó khăn cho những người nghe trộm thông tin trong mạng. IV và chìa khóa cho mỗi gói được sử dụng để mã hóa các gói dữ liệu.