Ursprünglich sah WEP eine feste Schlüssellänge vor, sodass Station und Access Point nur ein Bit brauchten, um anzuzeigen, ob Chiffrierung benutzt werden soll oder nicht. Das genügte nicht mehr, sobald Hersteller anfingen, WEP auch mit anderen Längen als 40 Bit anzubieten. Der Anwender musste dann schlicht aufpassen, dass neben dem gleichen Wert überall auch die gleiche Länge gesetzt ist. WPA stellt nun einen Mechanismus bereit, mit dem sich Client und Access Point detailliert verständigen können. Dazu wurde die Kommunikation zwischen AP und Client um ein neues Datenelement erweitert, das mehrere Dinge mitteilt:
Der AP strahlt diese Information in seinen Beacons zehnmal pro Sekunde aus, sodass Clients wissen, ob dieses Netz für sie geeignet ist. Bei der Anmeldung nennt ein Client seinerseits den von ihm gewünschten Typ des Pairwise Key sowie das Authentifizierungsschema. Der AP startet daraufhin entweder die EAP/802.1x- Verhandlung oder beginnt direkt mit dem Key Handshake.
Der ursprüngliche WPA-Standard sah einzig TKIP mit RC4 zur Chiffrierung und Michael zur Integritätsprüfung als verbessertes Verschlüsselungsverfahren vor. Mit der Weiterentwicklung des 802.11i-Standards kam das beide Funktionen leistende AES-CCM, bei WLANs meist kurz AES, hinzu. So ist es heutzutage in einem WPA-Netz möglich, dass ältere Clients über TKIP mit dem AP kommunizieren, neuere Clients, die dazu in der Lage sind, jedoch über AES. Eine moderne Basisstation sollte also Mischbetrieb beherrschen, ein Client dagegen automatisch die beste, vom AP angebotene Chiffriermethode wählen.
Ende Juni 2004 wurde endlich der lang erwartete Standard IEEE 802.11i verabschiedet, der das Sicherheitskonzept von WLAN auf eine neue Basis stellt. Bei ihm ist dank entwicklungsbegleitender, eingehender kryptologischer Prüfungen nicht zu erwarten, dass nach der Einführung ähnlich grobe Fehler auftauchen wie bei WEP.
Die auffälligste Erweiterung betrifft das neue Verschlüsselungsverfahren AES-CCM, das auf dem DES-Nachfolger AES (Advanced Encryption Standard) basiert. Da nur die aktuelle Generation von WLAN-Chips AES-Hardware enthält, definiert 802.11i auch weiterhin TKIP, allerdings mit umgekehrtem Vorzeichen: Standardkonforme Hardware muss AES unterstützen, während TKIP optional ist – bei WPA war es andersherum. Wegen der Verbreitung nicht-AES-fähiger Hardware ist aber zu erwarten, dass jede AES-fähige WLAN-Karte auch weiterhin WEP und TKIP unterstützen wird. Voraussichtlich werden WLAN-Geräte Einstellmöglichkeiten bieten, die den Einsatz von TKIP unterbinden, denn manche US-Behörden betrachten TKIP nicht als sicher genug, was angesichts des vergleichsweise schwachen Michael-Hashes gerechtfertigt sein mag.
Der Zusatz CCM (Counter with CBC-MAC) kennzeichnet, wie der AES-Algorithmus auf WLAN-Pakete angewendet wird. Wegen seiner Komplexität lässt sich CCM nur in Hardware effizient umsetzen. Software-basierte Implementierungen sind zwar möglich, erreichen auf den üblicherweise in Access Points eingesetzten Prozessoren nicht den Durchsatz moderner WLANs.
Anders als TKIP benötigt AES nur noch einen 128 Bit langen Schlüssel, der sowohl die Chiffrierung als auch Schutz gegen unerkanntes Verändern von Paketen erledigt. Dabei arbeitet CCM symmetrisch, man kann in beide Kommunikationsrichtungen den gleichen Schlüssel verwenden. Eine konforme TKIP-Implementierung hingegen verlangt unterschiedliche Michael-Schlüssel in Sende- und Empfangsrichtung. Ähnlich wie TKIP verwendet AES-CCM einen 48 Bit langen Initialization Vector. Eine IV-Wiederholung ist damit in der Praxis ausgeschlossen. Wie bei TKIP merkt sich der Empfänger den zuletzt benutzten IV und verwirft Pakete mit einem kleineren oder gleichen IV.
Es sind oft die Details, die die Verabschiedung eines Standards hinauszögern. 802.11i verzögerte sich hauptsächlich wegen zwei Funktionen, die insbesondere bei Telefonie (VoIP respektive Voice over WLAN, VoWLAN) in Unternehmensfunknetzen helfen sollen. Dieses braucht schnelles Roaming, den Wechsel zwischen Basisstationen ohne längere Unterbrechungen, denn schon Gesprächspausen von wenigen Zehntelsekunden wirken bei Telefonaten störend. Jedoch ist abzusehen, dass eine 802.1x-Authentifizierung inklusive Schlüsselverhandlung deutlich länger dauern kann.
Auf der nächsten Seite: PMK-Caching
Themenforum: Funknetze
