Phương Thức Chứng Thực Và Mã Hóa WPA2 - 123doc

5.3.3.1 Giới thiệu

Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES. AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit.

Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của Mĩ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này. Và chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mĩ để bảo vệ các thông tin nhạy cảm.

Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES. Để đảm bảo về mặt hiệu năng, quá trình mã hoá cần được thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy nhiên, rất ít card mạng Wireless LAN hoặc các điểm truy cập có hỗ trợ mã hoá bằng phần cứng tại thời điểm hiện tại. Hơn nữa, hầu hết các thiết bị cầm tay Wi-Fi và máy quét mã vạch đều không tương thích với chuẩn 802.11i.

Trong phần trước Wi-Fi được bảo vệ truy cập (WPA) đã được xác định bởi các Wi-Fi kết hợp, với mục tiêu chính của tăng cường an ninh mạng hiện có 802,11 bằng cách thiết kế một giải pháp nào có thể được triển khai với một phần mềm đơn giản để nâng cấp, mà không cần nâng cấp phần cứng. Nói cách khác, WPA là một giải pháp được thiết kế theo chuẩn IEEE 802.11i. Điều này đã được đề nghị bảo mật được gọi là bảo mật thiết thực mạng (RSN) và cũng đã đến được biết đến như là giải pháp bảo mật 802.11i. Wi-Fi liên minh tích hợp giải pháp này trong đề xuất của mình và gọi nó là WPA2.

5.3.3.2 Thiết lập khóa bảo mật.

WPA là một tập hợp con của IEEE 802.11i. Nó được thông qua việc thành lập khóa, chìa khóa phân cấp và kiến nghị xác thực của 802.11i gần như hoàn toàn. Từ khi WPA2 và tiêu chuẩn 802.11i là như nhau, các quá trình thành lập khóa và điều này thường xảy ra mỗi khi các máy trạm: Liên kết với một AP. kiến trúc phân cấp trong WPA và WPA2 là gần như giống hệt nhau. Mặc dù vấn có một số khác biệt. Trong WPA2, khóa tương tự có thể được sử dụng cho mật mã và bảo vệ tính toàn vẹn của dữ liệu. Vì vậy, có một số vấn đề quan trọng cần thiết trong WPA2.

5.3.3.3 Chứng thực người dùng

Cũng giống như thành lập hệ thống phân cấp chính, WPA cũng đã thông qua kiến trúc chứng thực đặc biệt trong 802.11i. Vì vậy, việc xác thực kiến trúc trong WPA và WPA2 là giống hệt nhau.

5.3.3.4 Tính bảo mật

Trong phần này, chúng ta nhìn vào cơ chế bảo mật của WPA2 (802.11i). Nhớ lại rằng thuật toán mật mã được sử dụng trong WEP là RC4, một thuật toán mật mã dòng. Một số yếu kém trong WEP bắt nguồn từ việc sử dụng một thuật toán mật mã dòng trong một môi trường truyền dẫn kém đồng bộ. Đó là vì lý do mà việc sử dụng một thuật toán mật mã khối được thiết kế theo chuẩn 802,11. Kể từ khi AES được xem như là các thuật toán mật mã khối an toàn nhất, nó là một sự lựa chọn hiển nhiên. Đây là một việc tăng cường an ninh chính kể từ mật mã thuật toán nằm ở trung tâm của việc cung cấp chứng thực người dùng.

Như đã tìm hiểu ở phần trước rằng việc xác định một thuật toán mã hóa là không đủ cho cung cấp bảo mật hệ thống. Điều gì cũng cần thiết là để xác định một phương thức hoạt động. Với lí do như thế đã dẫn tới sự chứng thực người dùng trong 802.11i, AES được sử dụng ở chế độ truy cập. Số lượt truy cập chế độ thực tế sử dụng một thuật toán mật mã khối như là một thuật toán mật mã dòng, do đó kết hợp các an ninh của một khối thuật toán mật mã với tính dễ sử dụng của một dòng mã. Sử dụng chế độ truy cập đòi hỏi một truy cập. Số lượt truy cập bắt đầu tại một thời điểm tùy ý, các truy cập đơn giản trong hoạt động.

Tuy nhiên, nguồn gốc của giá trị ban đầu của truy cập từ một giá trị lần này được thay đổi cho mỗi tin nhắn tiếp theo. Các thuật toán mã hóa AES sau đó sẽ được sử dụng để mật mã truy cập. Khi được thông báo ban đầu đến, nó được chia thành các khối 128-bit và mỗi khối là XOR với 128 bit tương ứng của dòng chính tạo ra bản mã.

Hình 30. Thuật toán mã hóa AES

Toán học, quá trình mã hóa có thể được biểu như sau: Ci = Mi (+) Ek (i) trong đó i là truy cập. Bảo mật của hệ thống nằm trong truy cập đầu vào. Miễn là các giá trị truy cập là không bao giờ lặp lại với cùng khóa, hệ thống được an toàn. Trong WPA2, điều này là đạt được bằng cách sử dụng một chìa khóa mới cho mỗi phiên làm việc. Để tóm tắt, những tính năng nổi bật của AES trong chế độ truy cập như sau:

a. Nó cho phép một thuật toán mật mã khối sẽ được điều hành như là một thuật toán mật mã dòng.

b. Việc sử dụng chế độ truy nhập làm cho việc tạo ra dòng mã độc lập của tin nhắn, do đó cho phép các dòng chính được tạo ra trước khi thông báo đến. c. Vì giao thức tự nó không tạo ra bất kỳ sự phụ thuộc nào giữa mã hóa của các khối khác nhau trong một tin nhắn, các khối khác nhau của tin nhắn có thể được mã hóa song song nếu phần cứng có một dãy mã hóa AES.

d. Kể từ khi quá trình giải mã được chính xác giống như mã hoá, mỗi thiết bị chỉ cần để thực hiện khối mã hóa AES.

e. Kể từ khi chế độ truy cập không đòi hỏi rằng thông điệp được chia thành một số chính xác của các khối, độ dài của văn bản được mã hóa có thể được chính xác giống như độ dài của tin nhắn văn bản trước đó.

Lưu ý rằng: chế độ truy cập AES chỉ cung cấp cho chứng thực người dùng của tin nhắn và không phải là toàn vẹn tin nhắn. Ngoài ra, kể từ khi mã hóa và các quy trình bảo vệ toàn vẹn được quan hệ rất chặt chẽ với nhau trong WPA2/802.11i.