Wired Equiвалентная конфиденциальность ( WEP ) представляла собой серьезно ошибочный алгоритм безопасности для беспроводных сетей 802.11 . Представленный как часть первоначального стандарта IEEE 802.11, ратифицированного в 1997 году, его целью было обеспечить конфиденциальность данных, сравнимую с конфиденциальностью традиционной проводной сети . [1] WEP, узнаваемый по ключу, состоящему из 10 или 26 шестнадцатеричных цифр (40 или 104 бита), одно время широко использовался и часто был первым выбором безопасности, предлагаемым пользователям инструментами настройки маршрутизатора. [2] [3]
После того, как в 2001 году была обнаружена серьезная ошибка в конструкции алгоритма, [4] WEP больше никогда не был безопасным на практике. В подавляющем большинстве случаев аппаратные устройства Wi-Fi, использующие безопасность WEP, не могли быть обновлены для обеспечения безопасной работы. Некоторые конструктивные недостатки были устранены в WEP2, но WEP2 также оказался небезопасным, и оборудование другого поколения не могло быть модернизировано для обеспечения безопасной работы.
В 2003 году Wi-Fi Alliance объявил, что WEP и WEP2 были заменены защищенным доступом Wi-Fi (WPA). В 2004 году, после ратификации полного стандарта 802.11i (т.е. WPA2), IEEE объявил, что WEP-40 и WEP-104 устарели. [5] WPA сохранил некоторые конструктивные характеристики WEP, которые оставались проблематичными.
WEP был единственным протоколом шифрования, доступным для устройств 802.11a и 802.11b , созданным до стандарта WPA, который был доступен для устройств 802.11g . Однако некоторые устройства 802.11b позже были снабжены обновлениями прошивки или программного обеспечения для включения WPA, а в более новых устройствах он был встроен. [6]
WEP был ратифицирован как стандарт безопасности Wi-Fi в 1999 году. Первые версии WEP не были особенно надежными даже на момент их выпуска из-за ограничений США на экспорт различных криптографических технологий. Эти ограничения привели к тому, что производители ограничили свои устройства только 64-битным шифрованием. Когда ограничения были сняты, шифрование было увеличено до 128 бит. Несмотря на появление 256-битного WEP, 128-битный вариант остается одной из наиболее распространенных реализаций. [7]
WEP был включен в качестве компонента конфиденциальности в первоначальный стандарт IEEE 802.11 [8] , ратифицированный в 1997 году. [9] [10] WEP использует поточный шифр RC4 для обеспечения конфиденциальности , [11] и контрольную сумму CRC-32 для обеспечения целостности . [12] Он был признан устаревшим в 2004 году и задокументирован в текущем стандарте. [13]
Стандартный 64-битный WEP использует 40- битный ключ (также известный как WEP-40), который объединяется с 24-битным вектором инициализации (IV) для формирования ключа RC4. В то время, когда был разработан первоначальный стандарт WEP, ограничения правительства США на экспорт криптографических технологий ограничивали размер ключа . После снятия ограничений производители точек доступа внедрили расширенный 128-битный протокол WEP с использованием 104-битного размера ключа (WEP-104).
64-битный ключ WEP обычно вводится как строка из 10 шестнадцатеричных (по основанию 16) символов (0–9 и A–F). Каждый символ представляет 4 бита, 10 цифр по 4 бита каждая дают 40 бит; добавление 24-битного IV дает полный 64-битный ключ WEP (4 бита × 10 + 24-битный IV = 64-битный ключ WEP). Большинство устройств также позволяют пользователю вводить ключ в виде 5 символов ASCII (0–9, a–z, A–Z), каждый из которых преобразуется в 8 бит с использованием значения байта символа в ASCII (8 бит × 5 + 24 -bit IV = 64-битный ключ WEP); однако это ограничивает каждый байт печатным символом ASCII, который составляет лишь небольшую часть возможных значений байта, что значительно сокращает пространство возможных ключей.
128-битный ключ WEP обычно вводится в виде строки из 26 шестнадцатеричных символов. 26 цифр по 4 бита каждая дают 104 бита; добавление 24-битного IV дает полный 128-битный ключ WEP (4 бита × 26 + 24-битный IV = 128-битный ключ WEP). Большинство устройств также позволяют пользователю вводить его в виде 13 символов ASCII (8 бит × 13 + 24-битный IV = 128-битный ключ WEP).
Некоторые поставщики предлагают 152-битные и 256-битные системы WEP. Как и в других вариантах WEP, 24 бита из них предназначены для IV, а для фактической защиты остается 128 или 232 бита. Эти 128 или 232 бита обычно вводятся как 32 или 58 шестнадцатеричных символов (4 бита × 32 + 24-битный IV = 152-битный ключ WEP, 4 бита × 58 + 24-битный IV = 256-битный ключ WEP). Большинство устройств также позволяют пользователю вводить его как 16 или 29 символов ASCII (8 бит × 16 + 24-битный IV = 152-битный ключ WEP, 8 бит × 29 + 24-битный IV = 256-битный ключ WEP).
С WEP можно использовать два метода аутентификации: аутентификация открытой системы и аутентификация с общим ключом.
При аутентификации в открытой системе клиент WLAN не предоставляет свои учетные данные точке доступа во время аутентификации. Любой клиент может пройти аутентификацию в точке доступа, а затем попытаться установить соединение. По сути, никакой аутентификации не происходит. Впоследствии ключи WEP можно использовать для шифрования кадров данных. На этом этапе у клиента должны быть правильные ключи.
При аутентификации с общим ключом ключ WEP используется для аутентификации в четырехэтапном рукопожатии «запрос-ответ» :
После аутентификации и ассоциации общий ключ WEP также используется для шифрования кадров данных с использованием RC4.
На первый взгляд может показаться, что аутентификация с общим ключом более безопасна, чем аутентификация в открытой системе, поскольку последняя не обеспечивает реальной аутентификации. Однако все происходит наоборот. Можно получить поток ключей, используемый для рукопожатия, путем захвата кадров запроса при аутентификации с общим ключом. [14] Таким образом, данные легче перехватить и расшифровать при использовании аутентификации с общим ключом, чем при аутентификации в открытой системе. Если конфиденциальность является первоочередной задачей, для аутентификации WEP более целесообразно использовать аутентификацию открытой системы, а не аутентификацию с общим ключом; однако это также означает, что любой клиент WLAN может подключиться к точке доступа. (Оба механизма аутентификации слабы; WEP с общим ключом устарел в пользу WPA/WPA2.)
Поскольку RC4 является потоковым шифром , один и тот же ключ трафика никогда не должен использоваться дважды. Цель IV, передаваемого в виде открытого текста, состоит в том, чтобы предотвратить любое повторение, но 24-битного IV недостаточно для обеспечения этого в загруженной сети. Способ использования IV также открыл WEP для атаки по связанному ключу . Для 24-битного IV существует 50% вероятность того, что тот же IV повторится после 5000 пакетов.
В августе 2001 года Скотт Флюрер, Ицик Мантин и Ади Шамир опубликовали криптоанализ WEP [4] , в котором используется способ использования шифров RC4 и IV в WEP, что приводит к пассивной атаке, которая может восстановить ключ RC4 после подслушивания сеть. В зависимости от объема сетевого трафика и, следовательно, количества пакетов, доступных для проверки, успешное восстановление ключа может занять всего одну минуту. Если отправляется недостаточное количество пакетов, у злоумышленника есть способы отправить пакеты в сеть и тем самым стимулировать ответные пакеты, которые затем можно проверить, чтобы найти ключ. Атака вскоре была реализована, и с тех пор были выпущены автоматизированные инструменты. Атаку можно выполнить с помощью персонального компьютера, готового оборудования и бесплатного программного обеспечения, такого как aircrack-ng, чтобы взломать любой ключ WEP за считанные минуты.
Кэм-Вингет и др. [15] рассмотрели различные недостатки WEP. Они написали: « Полевые эксперименты показывают, что при наличии надлежащего оборудования можно подслушивать сети, защищенные WEP, на расстоянии мили и более от цели ». Они также сообщили о двух общих недостатках:
В 2005 году группа из Федерального бюро расследований США провела демонстрацию взлома сети, защищенной WEP, за три минуты, используя общедоступные инструменты. [16] Андреас Кляйн представил еще один анализ потокового шифра RC4. Кляйн показал, что существует больше корреляций между ключевым потоком RC4 и ключом, чем те, которые обнаружили Флюрер, Мантин и Шамир, что дополнительно можно использовать для взлома WEP в режимах использования, подобных WEP.
В 2006 году Биттау, Хэндли и Лэки показали [2] , что сам протокол 802.11 может использоваться против WEP для обеспечения возможности более ранних атак, которые ранее считались непрактичными. Перехватив один пакет, злоумышленник может быстро подготовиться к передаче произвольных данных. Подслушанный пакет затем можно расшифровать по одному байту (передавая для расшифровки около 128 пакетов на байт) для обнаружения IP-адресов локальной сети. Наконец, если сеть 802.11 подключена к Интернету, злоумышленник может использовать фрагментацию 802.11 для воспроизведения прослушанных пакетов, одновременно создавая для них новый IP-заголовок. Затем точку доступа можно использовать для расшифровки этих пакетов и передачи их партнеру в Интернете, что позволяет расшифровать WEP-трафик в режиме реального времени в течение минуты после прослушивания первого пакета.
В 2007 году Эрик Тьюс, Андрей Пышкин и Ральф-Филипп Вайнманн смогли расширить атаку Кляйна 2005 года и оптимизировать ее для использования против WEP. С помощью новой атаки [17] можно восстановить 104-битный ключ WEP с вероятностью 50%, используя всего 40 000 перехваченных пакетов. Для 60 000 доступных пакетов данных вероятность успеха составляет около 80%, а для 85 000 пакетов данных — около 95%. Используя активные методы, такие как атаки деаутентификации Wi-Fi и повторное внедрение ARP , при хороших условиях можно перехватить 40 000 пакетов менее чем за одну минуту. Фактическое вычисление занимает около 3 секунд и 3 МБ оперативной памяти на Pentium-M 1,7 ГГц и может быть дополнительно оптимизировано для устройств с более медленными процессорами. Ту же атаку можно использовать и для 40-битных ключей с еще большей вероятностью успеха.
В 2008 году Совет по стандартам безопасности индустрии платежных карт (PCI SSC) обновил Стандарт безопасности данных (DSS), запретив использование WEP как часть любой обработки кредитных карт после 30 июня 2010 года, а также запретив установку любой новой системы, использующей WEP. после 31 марта 2009 г. Использование WEP способствовало вторжению в сеть материнской компании TJ Maxx . [18]
Атака Caffe Latte — еще один способ победить WEP. Злоумышленнику не обязательно находиться в зоне сети, использующей этот эксплойт. Используя процесс, ориентированный на стек беспроводной сети Windows , можно получить ключ WEP от удаленного клиента. [19] Отправляя поток зашифрованных запросов ARP , злоумышленник пользуется преимуществами аутентификации с общим ключом и недостатками модификации сообщений в 802.11 WEP. Злоумышленник использует ответы ARP для получения ключа WEP менее чем за 6 минут. [20]
Использование зашифрованных протоколов туннелирования (например, IPsec , Secure Shell ) может обеспечить безопасную передачу данных по незащищенной сети. Однако были разработаны замены WEP с целью восстановления безопасности самой беспроводной сети.
Рекомендуемое решение проблем безопасности WEP — переключиться на WPA2. WPA был промежуточным решением для оборудования, которое не поддерживало WPA2. И WPA, и WPA2 гораздо более безопасны, чем WEP. [21] Чтобы добавить поддержку WPA или WPA2, возможно, потребуется заменить некоторые старые точки доступа Wi-Fi или обновить их прошивку . WPA был разработан как временное программно-реализуемое решение для WEP, которое могло предотвратить немедленное развертывание нового оборудования. [22] Однако TKIP (основа WPA) подошел к концу своего расчетного срока службы, был частично сломан и официально признан устаревшим с выпуском стандарта 802.11-2012. [23]
Это временное усовершенствование WEP присутствовало в некоторых ранних проектах 802.11i. Его можно было реализовать на некотором (не всем) оборудовании, не способном обрабатывать WPA или WPA2, и расширяли как IV, так и значения ключа до 128 бит. [8] Была надежда устранить дублирующийся недостаток IV, а также остановить атаки методом перебора ключей .
После того, как стало ясно, что общий алгоритм WEP является несовершенным (а не только IV и размеры ключей) и потребует еще больше исправлений, как имя WEP2, так и исходный алгоритм были исключены. Две расширенные длины ключей остались в том, что в конечном итоге стало TKIP WPA .
WEPplus, также известный как WEP+, представляет собой собственное усовершенствование WEP от Agere Systems (ранее дочерней компании Lucent Technologies ), которое повышает безопасность WEP за счет исключения «слабых IV». [24] Полностью эффективен только в том случае, если WEPplus используется на обоих концах беспроводного соединения. Поскольку это нелегко обеспечить, это остается серьезным ограничением. Это также не обязательно предотвращает атаки повторного воспроизведения и неэффективно против последующих статистических атак, которые не полагаются на слабые IV.
Динамический WEP представляет собой комбинацию технологии 802.1x и расширяемого протокола аутентификации . Динамический WEP динамически меняет ключи WEP. Это функция, специфичная для конкретного поставщика, предоставляемая несколькими поставщиками, такими как 3Com .
Идея динамических изменений вошла в 802.11i как часть TKIP, но не в сам протокол WEP.
WEP — это стандарт IEEE, представленный в 1997 году и предназначенный для защиты сетей 802.11.
Стандарт IEEE 802.11-1997 (802.11a) определяет эквивалентную конфиденциальность проводной сети (WEP).
Использование TKIP устарело.
Алгоритм TKIP непригоден для целей настоящего стандарта.