IEEE 802.11i

IEEE 802.11i (también conocido como WPA2 - Wi-Fi Protected Access 2 ) es un estándar desarrollado por IEEE específicamente para proporcionar una capa de seguridad para las comunicaciones basada en el estándar IEEE 802.11 .

Características

El documento fue ratificado el 24 de junio de 2004 y representa un superconjunto (extensión) del estándar Wired Equivalent Privacy (WEP) anterior que había demostrado estar sujeto a errores de diseño conceptual. Antes del estándar 802.11i, Wi-Fi Alliance introdujo el acceso protegido Wi-Fi (WPA), que también es un subconjunto de la especificación 802.11i.

WPA se introdujo para amortiguar la emergencia de seguridad debido a WEP y representa solo un estándar transitorio, mientras que 802.11i se estaba terminando y perfeccionando. La Wi-Fi Alliance ha decidido llamar WPA2 a la especificación 802.11i para facilitar que el usuario común encuentre tarjetas basadas en el nuevo estándar. 802.11i utiliza el estándar de cifrado avanzado (AES) como algoritmo criptográfico, a diferencia de WEP y WPA, que utilizan RC4 .

La arquitectura 802.11i utiliza los siguientes componentes: IEEE 802.1x para la autenticación ( se puede utilizar el protocolo EAP o un servidor de autenticación ), el protocolo RSN para realizar un seguimiento de las asociaciones y CCMP para garantizar la confidencialidad , la integridad de los datos y la certeza del remitente. El proceso de autenticación se lleva a cabo a través de un protocolo de enlace de cuatro vías.

El apretón de manos de cuatro vías

El proceso de apretón de manos de cuatro vías (que se puede traducir como un apretón de manos de cuatro vías ) comienza a partir de dos consideraciones. El AP (punto de acceso, es decir, el cliente) tiene que autenticarse y la clave de sesión utilizada para cifrar los mensajes aún no se ha calculado. EAP primero debe intercambiar su clave privada (PMK, clave maestra por pares ) con AP. Pero esta clave debe revelarse lo menos posible y solo en un canal seguro, ya que es la palabra clave que protege todas las comunicaciones y, por lo tanto, entra en funcionamiento el protocolo de enlace de cuatro vías. Primero, EAP transmite una clave temporal PTK al AP. El PTK se genera mediante la concatenación de PMK, AP nonce (ANonce), STA nonce (Snonce), dirección MAC de AP y dirección MAC de STA. El producto se envía a una función hash criptográfica .

El protocolo utiliza la clave efímera GTK para descifrar el tráfico de multidifusión.

Evolución temporal del apretón de manos de cuatro vías

  1. AP envía el valor nonce a STA (ANonce). Ahora el cliente tiene todos los datos para generar el PTK. (Primera mano)
  2. STA envía el valor de nonce (SNonce) a AP más el MIC. (Segunda mano)
  3. AP envía GTK y un número secuencial junto con otro MIC. El número secuencial se utiliza para indicar el primer paquete cifrado desde entonces. (Tercera mano)
  4. STA envía confirmación a AP. (Cuarta mano)

Una vez que se recupera el PTK, se divide inmediatamente en las cinco claves:

  1. Clave de cifrado de clave EAPOL (KEK): la clave utilizada para proporcionar confidencialidad para cierta información adicional enviada al cliente (como GTK)
  2. Clave de confirmación de clave EAPOL (KCK): la clave utilizada para calcular el MIC en el mensaje clave EAPOL
  3. Clave temporal (TK): la clave utilizada para cifrar y descifrar el tráfico inalámbrico de unidifusión actual.
  4. Clave MIC Tx: la clave utilizada para calcular el MIC en el tráfico de unidifusión transmitido por el AP
  5. Clave MIC Rx: la clave utilizada para calcular el MIC en el tráfico de unidifusión transmitido por la STA

Las dos últimas claves (MIC Rx / Tx) se usan solo si la red usa TKIP para cifrar los datos.

Artículos relacionados