WPA2

WLANs erfreuen sich seit eingen Jahren großer und zunehmender Beliebtheit. Zum Schutz der übertragenden Daten und der teilnehmenden Clients, wurde der Sicherheitsstandard Wired Equivalent Privacy (WEP) eingeführt. Schon nach relativ kurzer Zeit stellte sich dieser Standard als anfällig für Angriffe heraus. Durch Aufzeichnung und Analyse größerer Datenmegen kann der Netzwerkschlüssel ermittelt werden. Auch die im WEP eintegrierte Authentifizierung stellt kein nennenswertes Hindernis für Angreifer dar.

Ein weiterführeder sehr umfangreicher Standard für Sicherheit in WLANs (IEEE 802.11i) war zu diesem Zeitpunkt zwar in der Arbeit, aber eine Verabschiedung nicht in Sicht. Daher wurde ein Zwischenstandard auf Basis ,ehr oder weniger verabschiedeten Teile geschaffen: WPA. Dieser konnte durch Funktionen wie dynamische Schlüssel, vernüftige Authentifizierung und Unterstüzung von Radius Authentifikation den Funknetzen ihre Sicherheit zurückgeben. Es wurden bis heute keine signifikaten Schwachstellen in WPA gefunden.

Mit fortschreitender Entwicklung des Standards IEEE 802.11i, der auf dem Verschlüsselungalgorithmus AES basiert, wurden auch Anstrengungen unternommen AES in WPA zu integrieren. Daraus entstand der Standard WPA2. Erste Geräte mit WPA2 kamen im Herbst 2004 auf den Markt.

WPA2 basiert auf dem Verschlüsselungsstandard AES, WPA hingegen auf TKIP. Da es sich bei TKIP nur um eine leicht veränderte Version von WEP mit zusätzlichem Key-Management handelt, können viele ältere Komponenten nach einem Firmware-Update WPA nutzen. Ein Update auf WPA2 ist deutlich schwieriger, da AES in Hardware realisiert oder aufwendig in Software simuliert werden muss. Dazu sind ältere Geräte meist technisch nicht in der Lage.

Die Verschlüsselung erfolgt nach dem Advanced Encryption Standard (AES).

Zur Authentifizierung des Clients am Access Point und umgekehrt kann sowohl ein geheimer Text, der "Pre-Shared-Key", als auch ein RADIUS-Server verwandt werden.

Die Authentifizierung mit einem Pre-Shared-Key wird oft bei kleinen Installationen, also z.B. im Home-Bereich benutzt. Diese Variante wird auch als "Personal" bezeichnet.

In größeren Netzen ermöglich die Verwendung von RADIUS eine zentrale Benutzeradministration inkl. Accounting. Der Access Point leitet in diesem Fall die Authentifizierungsanfrage des Clients an den RADIUS-Server weiter und lässt - je nach Erfolg - den Zugriff zu. WPA und WPA2 per RADUIS ermöglichen zusätzliche Authentifikationsmethoden durch die Verwendung von EAP und TTLS. Diese Variante von WPA2 wird oft als "Enterprise" bezeichnet.

WPA2 und WPA können gemeinsam eingesetzt werden, sofern WPA2 vom Access Point unterstützt wird.

WPA2 und WEP können nur bei wenigen speziellen Access Points gemeinsam verwandt werden.

Alle Geräte die für WPA2 von der WiFi-Alliance zertifizieren müssen

WPA2 erfüllt die strengen Sicherheitsvorschriften für Datenaustausch in US-Behörden nach FIPS 140-2.

• Fragen und Antworten zu WPA2 (pdf; englisch)

• Seite der WiFi-Alliance zu WPA2 (englisch)