Elle a pour seul but d'amener une réelle couche de sécurité au protocole 802.1x.
Avec l'utilisation de ce protocole dans nos réseaux non filaires GNU/Linux et BSD, nous devrions être en mesure de travailler réellement à la sécurité du réseau et non plus à contourner les faiblesses du protocole.
En effet, comment profiter d'une infrastructure fiable si le protocole est vérolé ! La 802.11i v1 utilisant le protocole TKIP sera compatible avec le parc existant. La 802.11i v2 ou l'utilisation exclusive de AES et 802.1x sera incompatible.
+Synopsis :
La création et le lancement de la norme 802.11b (Wi-Fi étant le nom commercial) fut marqué par de graves manques et défaillances au niveau de la sécurité de son algorithme de chiffrement WEP :
- utilisation d'un contrôle d'intégrité (CRC32) pour valider les messages !
- clef unique, partagée et invariable dans le temps pour l'ensemble des communications
- mécanisme d'authentification unilatéral (basée sur l'unique clef ! et RC4)
- chiffrement inadapté au contexte (moteur RC4 alimenté par clef WEP+vecteur d'initialisation de 24 bits)
Face à cette situation et dans l'attente du lancement de la 802.11i, certains constructeurs ont formé un groupe, le Wi-Fi Alliance, et créé une norme (non homologué) WPA (Wi-Fi Protected Access) ne nécessitant pas de mise à jour matérielle.
WPA améliore (au niveau du micrologiciel) WEP :
- un nouveau mécanisme de contrôle d'intégrité des trames (WEP+rustine TKIP)
- un nouveau mécanisme d'authentification par secret partagé ou par 802.1x
- un nouveau mécanisme de dérivation des clefs WEP utilisées pour le chiffrement des trames (MIC).
Nonobstant cela n'est pas complètement suffisant (rien n'est sécurisé au niveau du trafic de contrôle et de données)
Finalement pour ne plus se gaver avec un RPV (réseau privé virtuel) il _serait_ suffisant d'utiliser cette nouvelle norme 802.11i qui prend en charge :
- la pré-authentification EAP (de simple à certificats x509 !)
- utilisation de AES
- plus besoin de mécanisme de variation de clef de type WEP ou TKIP
- plus besoin de mécanisme de vecteur (variable) IV ou EAP+ExtIV)
+Lexique :
IEEE : "Institut of Electrical & Electronic Engineers" association états-unienne (de plus de 320 000 membres) qui souhaite favoriser les contacts et échanges entre les ingénieurs électriciens et électroniciens, ainsi que des domaines de l'informatique, de la robotique, par la définitions de normes.
L'Institut est majoritairement implanté aux États-Unis mais se développe de plus en plus hors des États-Unis.
http://standards.ieee.org
AES : "Advanced Encryption Standard"
Algorithme de chiffrement à clef symétriques utilisant le chiffrement par blocs qui nécessite une grosse puissance de calcul exigeant des fonctionnalités matérielles non présentes sur les cartes actuelles.
AES est destiné à remplacer le DES (Data Encryption Standard) qui est devenu trop faible au regard des attaques actuelles.
TKIP : "Temporal Key Integrity Protocol"
Protocole permettant le chiffrement et le contrôle d'intégrité des données par un renouvellement des clefs de chiffrement. Il utilise RC4 d'où sa compatibilité avec WEP.
NB. : je n'ai pas réussi à trouver les spécifications de cette norme ! Apparemment il serait nécessaire d'être membre .... peut-être sur http://ieee802.org/
NB2. : donc utiliser le terme WPA2 pour 802.11i est abusif, la Wi-Fi Alliance n'est pas l'IEEE et ce n'est pas "sa" norme.
Aller plus loin
- Groupe de travail 802.11 (7 clics)
- Standards IEEE.org (3 clics)
# Mais où sont les spécifications ?
Posté par raphulon . Évalué à 2.
http://standards.ieee.org/getieee802/(...)
Si vous en voulez vraiment, il existe une présentation qui détaille pas mal la chose (attention,c'est technique !) :
http://csrc.nist.gov/wireless/S10_802.11i%20Overview-jw1.pdf(...)
Si vous voulez une introduction globale à la sécurité des réseaux sans fils, je vous renvoie vers un livre blanc Cisco :
http://cisco.com/en/US/tech/tk722/tk809/technologies_white_paper091(...)
Ou une présentation (Powerpoint) de chez m$, qui a l'avantage d'être abordable :
http://download.microsoft.com/download/7/c/a/7cac79ca-cbf3-4eff-91c(...)
# les carottes sont cuites, je repete: les carottes sont cuites
Posté par riba . Évalué à 3.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
# AES, gourmand en CPU ?
Posté par Olivier Jeannet . Évalué à 2.
Algorithme de chiffrement à clef symétriques utilisant le chiffrement par blocs qui nécessite une grosse puissance de calcul exigeant des fonctionnalités matérielles non présentes sur les cartes actuelles.
Il me semblait avoir lu que l'AES (plus précisément l'algorithme nommé Rijndael qui est derrière) a été choisi pour la faculté de le coder efficacement sur des plateformes matérielles diverses, et en particulier des légères.
Sur http://www.esat.kuleuven.ac.be/~rijmen/rijndael/(...) on peut lire "Rijndael can be implemented very efficiently on a wide range of processors and in hardware."
[^] # Re: AES, gourmand en CPU ?
Posté par raphulon . Évalué à 1.
Certes, mais il me semble que pour les anciens matériels, c'est encore trop lourd. Et puis, il faut pouvoir assurer le cryptage à 54 Mbps.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.