IV, Khoỏ mó từng gúi dữ liệu
4. Chuẩn bảo mật WPA2 (hay IEEE 802.11i)
Vào thỏng 6 năm 2004, chuẩn IEEE802.11i chớnh thức được thụng qua. Nú cũng được biết như là chuẩn WAP phiờn bản 2 kể từ khi WPA được thiết kế như là một chuẩn được sử dụng rộng rói. Nú định nghĩa dữ liệu một cỏch tin cậy, cho phộp chứng thực hai phớa, và cỏc giao thức quản lý khoỏ hiệu quả cú khả năng cải thiện bảo mật ở lớp MAC của một hệ thống mạng khụng dõy. Tập cỏc giao thức này định nghĩa ra một hệ thống cú tớnh bảo mật cao RSNA (Robust Security Network Association)
- Tớnh tin cậy/bảo mật : IEEE 802.11 cung cấp ba thuật toỏn để mó hoỏ dữ liệu : WEP, TKIP và CCMP (counter-mode/CBC-MAC Protocol). WEP và TKIP dựa trờn thuật toỏn RC4, và CCMPdựa trờn thuật toỏn nộn AES (Advance Encryption Standard)
- Tớnh xỏc thực : Một hệ thống RSNA cung cấp khả năng chứng thực dựa trờn 802.1x hoặc PSKs (pre-shared keys). IEEE 802.11 sử dụng EAP để chứng thực cỏc người dựng và mỏy chủ chứng thực với một phương thức khỏc.
60
- Quản lý khoỏ : Để cải thiện tớnh tin cậy, chứng thực dữ liệu, và tự động chống lại việc tấn cụng lặp dữ liệu, cỏc khoỏ được tạo mới sử dụng giao thức bắt tay bốn đường (4-way handshakes) và bắt tay nhúm (Group key handshake). Cỏc khoỏ được tạo sau khi chứng thực 802.1x được tiến hành, nhưng cú thể thay đổi sau một khoảng thời gian nếu cần thiết.
- Tớnh toàn vẹn dữ liệu : Toàn vẹn dữ liệu được cung cấp bởi giao thức CBCMAC (Cipher Block Chaning Message Authentication Code) và MIC (Message Intergrity Check)
4.1 – Khung tin 802.11i
Khụng giống như WEP và WPA sử dụng thuật toỏn mó hoỏ dũng RC4 cũn nhiều lỗi, 802.11i sử dụng thuật toỏn mó hoỏ 128 bit AES trong chế độ CBC-MAC. AES là một trong những thuật toỏn mó hoỏ cú độ an toàn cao nhất hiện nay và nú đó được chứng nhận bởi chớnh quyền liờn bang Mĩ (FIPS – Federal Information Processing Standard). Cỏc đặc tả của chuẩn 802.11i định nghĩa hai lớp khỏc nhau về cỏc thuật toỏn bảo mật : RSNA và Pre RSNA. Khỏc biệt chớnh giữa chỳng là Pre-RSNA bao gồm WEP và khụng sử dụng chứng thực bắt tay bốn đường. Mặt khỏc, RSNA cung cấp hai giao thức bảo đảm tớnh tin cậy của dữ liệu là TKIP và CCMP, chứng thực 802.1x, chứng thực bắt tay 4-way và quản lý khoỏ. Việc sử dụng TKIP là tuỳ chọn và nú chỉ được thờm vào vỡ nú là một chuẩn cú thể được tiến hành một cỏch dễ dàng trờn hệ thống phần cứng đó cú. Mặt khỏc, việc sử dụng CCM/CCMP cú tớnh bắt buộc với hệ thống 802.11i.
Tớnh toàn vẹn dữ liệu được cung cấp bởi CCMP qua việc kiểm tra MIC giống như ở TKIP, nhưng nú sử dụng thuật toỏn khỏc cho kết quả tốt hơn thuật toỏn Michael. Cho dự một bit bị thay đổi, giỏ trị kiểm tra tổng cũng sẽ khỏc rất nhiều.
61
CCMP dựa trờn chế độ CCM của AES. Nú được thiết kế bởi D. Whiting, N. Ferguson, và R. Housley để tiến hành 802.11i. Nú giải quyết việc chứng thực gúi tin cũng như mó hoỏ cỏc dữ liệu khụng dõy. Việc mó hoỏ dựa trờn AES cú thể sử dụng trong cỏc thuật toỏn hoặc chế độ khỏc nhau. Để cung cấp tớnh tin cậy, CCMP sử dụng AES trong chế độ đếm trong khi việc kiểm tra tớnh toàn vẹn cũng như chứng thực được đảm bảo bởi CBC-MAC. Trường CBC-MAC cú độ dài 64 bit, kớch thước nhõn để sinh khoỏ 48 bit và 16 bit được để dành cho cỏc mục đớch IEEE 802.11 về sau tạo thành một giỏ trị CCMP 128 bit, đụi khi cũn lớn hơn cả cỏc gúi tin khụng an toàn, nhưng kớch thước đú (đồng nghĩa với việc giảm tốc độ) là đỏng giỏ, xột theo phương diện bảo mật thụng tin. CCMP cũng cung cấp địa chỉ cỏc gúi tin gốc và địa chỉ đớch với mỗi gúi tin. Điều này làm triệt tiờu khả năng tấn cụng bằng cỏch gửi lại cỏc gúi tin đến cỏc địa chỉ khỏc trong 802.11i. Cũng giống như TKIP, CCMP cũng gửi đi một vector khởi tạo cú độ lớn 48 bit gọi là chỉ số gúi tin PN (Packet Number). Giỏ trị IV hay PN này là một bộ đếm được sử dụng để khởi tạo bộ mó hoỏ AES cho việc mó hoỏ khung tin cũng như tớnh toỏn MIC. Mặc dự AES cú thể triển khai với kớch thước 128 bit, 192 bit, 256 bit, nhưng chỉ cú chế độ AES 128 được sử dụng bởi chuẩn 802.11i.
4.2 – Điểm yếu của 802.11i
Chuẩn 802.11i được thiết kế để giải quyết tất cả cỏc điểm yếu của WEP. Về phương diện này, nú đó làm trũn nhiệm vụ của mỡnh. Nú cung cấp tớnh tin cậy và toàn vẹn dữ liệu một cỏch hiệu quả khi CCMP được sử dụng. Việc muốn tiến hành tất cả cỏc ưu điểm của 802.11i cú nghĩa rằng phần cứng và phần mềm phải được nõng cấp. Nú cú thể là một cụng việc rất phức tạp và tốn kộm. Kết quả là, một số người dựng đó quyết định rằng WPA đó là đủ cho họ ngay cả khi 802.11i cung cấp khả năng bảo mật tốt hơn. Khụng theo bất kỳ chuẩn IEEE nào được thiết kế để cung cấp dịch vụ mạng cú sẵn, 802.11i dễ bị
62
tấn cụng từ chối dịch vụ DoS. Khi tiến hành 802.11x với mọi tớnh năng của nú, nú làm tăng khả năng tấn cụng DoS trờn 802.11i. Tương tự, việc xỏc thực bắt tay 4-way cũng cú khả năng bị tấn cụng reflection nếu cỏc thiết bị khụng dõy đúng vai trũ authenticator và supplicant cũng một lỳc.