WLAN-salauksen WPA-standardi ei vielä lopullisesti murtunut
Kommentoi
Saksalaisyliopiston tutkijat Erik Tews ja Martin Beck kertoivat viime viikolla lehdistölle onnistuneensa murtamaan osittain WPA-standardin salauksen (Wi-Fi Protected Access). Raportin mukaan murtaminen vaatii aikaa keskimäärin 12 minuuttia.
Teknisesti havaittu ongelma liittyy TKIP-protokollaan (Temporal Key Integrity Protocol), joka on salaustasoltaan heikon WEP:n korvaava tietoturvaprotokolla. Tekniikkaa hyödyntäen on omien tietoliikennepakettien lähettäminen kohdetietokoneeseen myös mahdollista. Tällä menetelmällä ei ole onnistuttu saamaan haltuun salaukseen käytettyä avainta.
Tutkijoiden kehittämä menetelmä ei toimi kehittyneempään WPA2-salaukseen ja sen käyttämään CCMP-protokollaan. Siinä käytetty AES-salausalgoritmi on WPA:n käyttämää RC4:ää vahvempi.
Tutkijakaksikkoa edustava Tews kertoi löydöksistä tarkemmin eilisessä PacSec 2008 –tietoturvakonferenssin luennossaan Tokiossa.
WLAN-salauksista heikoimman eli WEP:n puutteita on käytetty luottokorttitietojen hankkimisessa ns. TJX-tapauksessa. Keväällä tuli ilmi, että yli 90 miljoonaa luottokorttinumeroa sekä ajokorttitietoja ja henkilötunnuksia varastettiin kuuntelemalla yhdysvaltalaisen vaateliikeketjun kahden myymälän WEP:llä salattua WLAN-liikennettä. WEP-salaus (Wired Equivalent Privacy) purkautuu parissa minuutissa keskivertotason kannettavalla tietokoneella.
PCI Security Standards -toimielimen lokakuussa julkaisema päivitetty PCI DSS -standardi edellyttää vahvaa salausratkaisua sekä tunnistamisessa että liikennöinnissä. Standardin edellinen versio 1.1 on voimassa kuluvan vuoden loppuun saakka. Uusissa ratkaisuissa WEP-salausta ei saa käyttää 1.4.2009 alkaen.
blogi