Reading Time: 5 minutes

Protocollo WPA

Per potersi definire soluzione di sicurezza efficace, al protocollo WEP mancano alcune caratteristiche fondamentali:

  • la possibilità di autenticare i partecipanti utilizzando un paradigma robusto, che non preveda l’uso di un comune segreto, condiviso tra molteplici soggetti;
  • un meccanismo di negoziazione delle chiavi condivise che consenta di definire delle “chiavi di sessione”, riducendo il periodo di validità di ciascuna chiave utilizzata;
  • un meccanismo che sia realmente in grado di proteggere l’integrità dei messaggi trasmessi;
  • la possibilità di ricorrere ad algoritmi di crittografia allo stato dell’arte per assicurare la data privacy;

Colmare queste lacune in maniera convincente, senza dover dichiarare obsoleti tutti i dispositivi di rete e le schede installate (salvaguardando così l’investimento fatto dalle aziende che avevano già investito in soluzioni wireless), è stato il mandato adottato per anni dalle principale realtà industriali coinvolte nello sviluppo delle soluzioni Wi-Fi.

Tale sforzo ha portato alla definizione di opzioni che miglioravano la soluzione WEP, riducendo il rischio derivante dall’adozione di tale tecnologia in architetture di rete critiche.

La proposta più significativa, introdotta secondo questa filosofia è nota come TKIP (Temporal Key Integrity Protocol – proposta dalla Cisco System).

La proposta TKIP prevede, l’introduzione di una funzione di data integrity per proteggere ogni frame trasmesso, e l’utilizzo di una chiave WEP valida esclusivamente per il singolo frame.

Per assicurare data integrity ogni frame (completo di payload) viene usato come ingresso di una funzione di digest che produce un output di 32 bit.

Il risultato dell’operazione, ha valenza di Message Integrity Code e viene inserito nell’intestazione del frame prima di essere cifrato.

Per la cifratura la keystream viene ricavata a partire dal vettore IV e da una Per-Packet key (ottenuta come output di una funzione di digest crittografica a cui si è posto in ingresso la chiave WEP base e il vettore IV stesso).

Anche se sarebbe meglio dire che si tratta di una Per-IV key, e che il riuso dei keystream non è di fatto inibito, è indubbiamente vero che risulta in tal caso molto complesso derivare la chiave WEP dalla conoscenza di un numero limitato di keystream.

Per mantenere piena compatibilità con lo standard IEEE 802.11 nel frame trasmesso è riservato uno spazio di 24 bit al vettore IV.

Pertanto lo spazio necessario per memorizzare tutti i keystream rimane lo stesso della soluzione WEP originaria.

Il TKIP propone solo l’accorgimento di utilizzare il principio di IV sequenzing per assicurarsi che vengano generati tutti i possibili vettori IV prima del riuso di un precedente valore (costringendo l’attaccante alla memorizzazione di un database di dimensione massima).

Al di là dell’efficacia di tale soluzione commerciale, il principale risultato ottenuto dal TKIP è stato quello di sperimentare alcuni accorgimenti per rendere più sicuro l’accesso wireless, recuperando quanto di utile era stato fatto nel processo di standardizzazione.

Nonostante lo sforzo profuso nel tentare di far passare la soluzione commerciale come nuovo standard era evidente a tutti gli addetti ai lavori che, le limitazioni di base del protocollo WEP richiedevano una revisione dello standard più sostanziale di quanto proposto dalla Cisco per rendere la soluzione adatta alla realizzazione di reti aziendali critiche.

L’uso di Per-packet Key, l’introduzione di un MIC e le altre aree di miglioramento erano convincenti ma potevano essere realmente efficaci solo sostituendo il protocollo WEP con uno tutto nuovo.

Il punto di arrivo è stato ratificato dal Wi-Fi Consortium ed è comunemente noto come modello WPA (Wi-Fi Protected Access).

Il modello WPA prevede completa integrazione con le principali soluzioni per il controllo accessi, cifratura e scambio delle chiavi diffuse nelle reti di comunicazione moderne.

Per il controllo accessi (e l’autenticazione delle stazioni richiedenti servizio agli AP, come caso particolare) è prevista l’opzione di ricorrere al protocollo EAP.

Anche se non esistono particolari limitazioni nella scelta del modello EAP da adottare per l’autenticazione tra supplicant e access point, l’uso del modello EAP-MD5 è deprecato dalla maggior parte dei costruttori di schede di rete wireless.

Per le piccole reti domestiche e per le reti aziendali di modesta estensione è inoltre prevista una versione nota come WPA-PSK (basata su un unico segreto condiviso) che fa a meno dell’uso di EAP per l’autenticazione dell’utente che utilizza la stazione mobile.

La soluzione WPA-PSK viene spesso adottata perché di più semplice attivazione ma occorre ricordare che essa è da considerarsi complessivamente debole in termini di sicurezza (in quanto può essere oggetto di attacchi basati su dizionario per il recupero della chiave condivisa), non diversamente dalla soluzione WEP precedentemente descritta, e pertanto non dovrebbe essere utilizzata in reti aziendali critiche.

Al termine della negoziazione tra stazione e AP legittimi viene scambiata una chiave comune temporanea, da utilizzare per cifrare tutti i frame scambiati all’interno di una data sessione autenticata.

Anche se al termine di ogni nuova fase di autenticazione/negoziazione della stazione viene rilasciata una nuova chiave temporanea, per evitare possibili replay attack il WPA ha innalzato la lunghezza del vettore IV a 48 bit.

In ogni frame, prima che il payload sia cifrato per la trasmissione radio, viene calcolata una checksum crittografica utilizzando un algoritmo digest stato dell’arte (tra cui MD5, SHA1, SHA-256).

Nel calcolo della checksum viene utilizzato anche l’indirizzo MAC sorgente e destinazione presente nell’intestazione del frame.

Il risultato della funzione di digest viene poi inserito come MIC (Message Integrity Code) nell’intestazione del frame e deve essere verificata dal destinatario per accertare l’integrità di ciascun singolo messaggio.

Per la data privacy la soluzione proposta è invece quella di lasciare la possibilità di adottare diverse soluzioni crittografiche simmetriche in accordo al throughput richiesto e alla velocità computazionale dei dispositivi di rete.

Possono essere adottati sia cipher che prevedono la codifica bit a bit (come il caso di RC4) sia block cipher (3DES, AES).

L’unico reale vincolo nella scelta dell’algoritmo da utilizzare per la crittografia a livello 2 è quello di non penalizzare le performance dei dispositivi e scendere a compromessi con la potenza dell’hardware.

Disponendo di schede acceleratrici hardware sugli AP è oggi possibile pensare all’introduzione di soluzioni AES per le trasmissioni wireless (soluzione introdotta con la prima revisione dello standard WPA originale, nota come WPA2), con lunghezza della chiave negoziabile tra i partecipanti coinvolti in base ai requisiti di velocità e sicurezza impostati.

error: Content is protected !!

La maggior parte dei contenuti del blog ComputerSec vengono pubblicati a beneficio di tutti e in modo completamente gratuito.
Tuttavia per supportare il blog, e per avere ulteriori vantaggi, puoi decidere di abbonarti e sfruttare al 100% tutti i contenuti!
Abbonati Ora!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.