Der 2004 verabschiedete Standard IEEE 802.11i für die WLAN-Sicherheit löst das WEP-Protokoll ab und behebt dessen Schwachpunkte.

<< Anzeige >>

Authentifizierungsprozedur in 802.11i

Als Verschlüsselungsverfahren schreibt 802.11i die AES-Verschlüsselung mit Counter Mode With CBC-MAC Protocol (CCMP) vor, optional kann auch WRAP benutzt werden. CCMP beschreibt wie der AES-Algorithmus auf WLAN-Datenpakete angewendet wird und dient der Authentifizierung. Als Transportprotokoll für die Authentifizierungsmethoden zwischen den WLAN-Geräten und dem Zugangspunkten benutzt 802.11i das EAP-Protokoll, dessen Nachrichten verkapselt werden, und als Authentifizierungsinfrastruktur RADIUS. Die Integrität der Klartext-Header wird mit dem Message Integrity Check (MIC) gewährleistet.

Der AES-Algorithmus arbeitet mit einem 128 Bit langen Schlüssel und einem 48 Bit langen Initialisierungsvektor (IV), der sich ständig ändert und bei Wiederholung verworfen wird. Da ältere WLANs noch mit TKIP und dem WEP-Protokoll arbeiten sind diese neben WRAP optional zugelassen.

Schlüsselhierarchie von 802.11i

Die Authentifizierung in 802.11i basiert auf einer ausgefeilten Schlüsselhierarchie mit mehreren Hierarchieebenen. Dabei wird aus einem Master Key (MK) ein Pairwise Master Key (PMK), daraus wiederum ein Pairwise Transient Key (PTK) abgeleitet. Aus Letzterem werden die Schlüssel für die Verteilung der Chiffrierschlüssel und die Verschlüsselung der Daten gewonnen.