Шифрование tkip что это
Повысит ли безопасность сети Wi-Fi включение WPA2-AES и WPA2-TKIP
Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) и Wi-Fi Protected Access II (WPA2) – это основные алгоритмы безопасности, которые вы увидите при настройке беспроводной сети. WEP является самым старым и оказался уязвимым. WPA улучшила безопасность, но теперь также считается уязвимой. WPA2, хотя и не идеален, в настоящее время является самым надежным выбором.
Протокол целостности временного ключа (TKIP) и Advanced Encryption Standard (AES) – это два разных типа шифрования, которые вы увидите в сетях, защищенных WPA2. Давайте посмотрим, как они отличаются и какой лучше всего подходит для вас.
AES против TKIP
TKIP и AES – это два разных типа шифрования, которые могут использоваться сетью Wi-Fi.
TKIP является более старым протоколом шифрования, введенным с WPA, чтобы заменить незащищенное шифрование WEP. TKIP, на самом деле, очень похож на WEP-шифрование. TKIP больше не считается безопасным и относится к устаревшим.
Другими словами, вы не должны использовать TKIP.
AES – это более безопасный протокол шифрования, введенный с WPA2. AES – это не какой-то жесткий стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, который используется даже правительственными учреждениями. Например, когда вы шифруете жесткий диск с помощью TrueCrypt, для этого может использоваться шифрование AES.
AES считается достаточно безопасным, и основными недостатками могут быть подверженность атаке грубой силой и нарушения безопасности в других аспектах WPA2.
Короткое объяснение заключается в том, что TKIP является более старым стандартом шифрования, используемым в старом WPA. AES – это новое решение для шифрования Wi-Fi, используемое новым и безопасным стандартом WPA2. Теоретически, это конец! Но, в зависимости от вашего маршрутизатора, выбор WPA2 может быть недостаточно хорошим решением.
Хотя WPA2 должен использовать AES для обеспечения оптимальной безопасности, он также может использовать TKIP, когда необходима обратная совместимость с устаревшими устройствами. В таком состоянии устройства, поддерживающие WPA2, будут подключаться к WPA2, а устройства, поддерживающие WPA, будут подключаться к WPA. Поэтому «WPA2» не всегда означает WPA2-AES. Однако на устройствах без видимой опции «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.
Режимы безопасности Wi-Fi
Ещё не запутались? Всё, что вам действительно нужно сделать, это выбрать один, самый безопасный вариант в списке, который работает с вашими устройствами.
Вот варианты, которые вы, вероятно, увидите на своем маршрутизаторе:
Сертификация WPA2 стала доступной в 2004 году. С 2006 года сертификация WPA2 стала обязательной. Любое устройство, изготовленное после 2006 года с логотипом «Wi-Fi», должно поддерживать шифрование WPA2.
Поскольку ваши устройства с поддержкой Wi-Fi, скорее всего, не старее 10 лет, вы не будете испытывать проблем при выборе WPA2-PSK (AES). Если устройство перестает работать, вы всегда можете его изменить. Хотя, если вам важна ваша безопасность, то лучше купить новое устройство, выпущенное после 2006 года.
WPA и TKIP замедлят ваш Wi-Fi
Параметры совместимости WPA и TKIP также могут замедлить работу вашей сети Wi-Fi. Многие современные маршрутизаторы Wi-Fi, поддерживающие 802.11n и более новые, более быстрые стандарты, будут замедляться до 54 Мбит/с, если вы включите WPA или TKIP. Они делают это, чтобы гарантировать совместимость со старыми устройствами.
Для сравнения, даже 802.11n поддерживает до 300 Мбит/с, если вы используете WPA2 с AES. Теоретически 802.11ac предлагает максимальную скорость 3,46 Гбит/с при оптимальных условиях (считайте: идеальных).
На большинстве маршрутизаторов, которые мы видели, параметры, как правило, включают WEP, WPA (TKIP) и WPA2 (AES) – с возможностью совместимости с WPA (TKIP) + WPA2 (AES). Если ваш маршрутизатор предлагает WPA2 в вариантах TKIP или AES, выберите AES. Почти все ваши устройства будут работать с ним, и это быстрее и безопаснее.
Национальная библиотека им. Н. Э. Баумана
Bauman National Library
Персональные инструменты
TKIP (Temporal Key Integrity Protocol)
| General | |
|---|---|
| Designers | Wi-Fi Alliance |
| First published | 31 October 2002 года ; 19 years ago ( 2002-10-31 ) |
| Derived from | Wired Equivalent Privacy |
| Cipher detail | |
| Key sizes | 128 bits |
| Best public cryptanalysis | |
| Устарел | |
Содержание
История создания
31 октября 2002 года Альянс Wi-Fi одобрил TKIP под названием WPA. IEEE одобрила окончательную версию TKIP наряду с более надежными решениями, такими как 802.1X и AES на основе CCMP, когда они опубликовали IEEE 802.11 I-2004 23 июля 2004 года. Альянс Wi-Fi вскоре принял полную спецификацию под торговым названием WPA2. [Источник 1]
TKIP был признан устаревшим в январе 2009 года.
Технические особенности
TKIP и соответствующий стандарт WPA реализуют три новые функции безопасности для решения проблем безопасности, встречающихся в защищенных сетях WEP. Во-первых, TKIP реализует функцию микширования клавиш, которая объединяет секретный корневой ключ с вектором инициализации, прежде чем передавать его в инициализацию RC4. WEP, напротив, просто конкатенировал вектор инициализации корневому ключу и передал это значение в процедуру RC4.
Чтобы иметь возможность запускать на устаревшем оборудовании WEP с незначительными обновлениями, TKIP использует RC4 в качестве своего шифра. TKIP также предоставляет механизм rekeying. TKIP гарантирует, что все данные отправляются с уникальным ключ шифрования.
Смешение клавиш увеличивает сложность декодирования ключей, предоставляя злоумышленнику существенно меньше данных, которые были зашифрованы с использованием любого одного ключа. WPA2 также реализует новый код целостности сообщения, MIC. Проверка целостности сообщения предотвращает прием поддельных пакетов. В WEP можно было изменить пакет, содержимое которого было известно, даже если оно не было расшифровано.
TKIP ключ
A TKIP key can be one of the following: Pairwise key Этот ключ используется для всех пакетов, отправленных станцией 802.11, включая одноадресные, многоадресные и широковещательные пакеты. Парольная клавиша также используется для всех одноадресных пакетов, принимаемых станцией. Станция 802.11 должна поддерживать хотя бы один парный ключ. Для парного ключа станция должна использовать либо ключ в индексе 0 в таблице ключей по умолчанию, либо ключ сопоставления клавиш, проиндексированный адресом управления доступом к среде (MAC) точки доступа (AP). Group key Этот ключ используется для всех многоадресных и широковещательных пакетов, принятых станцией 802.11. Если AP объявляет пакетный набор шифров «Use Group», станция 802.11 будет использовать групповой ключ для отправки и приема одноадресных и широковещательных или многоадресных пакетов, если это связано с AP. Дополнительные сведения о шифровом наборе «Use Group» см. В разделе 7.3.2.25 стандарта IEEE 802.11i-2004. Из-за поворота ключа группы станция 802.11 должна поддерживать не менее двух групповых клавиш. Для групповых клавиш станция должна использовать ключи в индексах с 1 по 3 в таблице ключей по умолчанию. Клавиши TKIP выводятся через взаимный парный мастер-ключ (PMK), который может быть статически определен (предварительно согласован) на станции 802.11 или динамически определен через алгоритм аутентификации на основе порта, такой как IEEE 802.1X. PMK проверяется между станцией 802.11 и точкой доступа (AP) во время операции объединения.
Безопасность
TKIP использует тот же базовый механизм, что и WEP, и, следовательно, уязвим для ряда подобных атак. Проверка целостности сообщения, хеширование ключа для каждого пакета, ротация широковещательного ключа и счетчик последовательности препятствуют многим атакам. Функция микширования клавиш также устраняет атаки восстановления ключа WEP.
Несмотря на эти изменения, слабость некоторых из этих дополнений позволила использовать новые, хотя и более узкие, атаки.
Спуффинг пакетов
TKIP уязвим для атаки MIC key, который, если он был успешно выполнен, позволяет злоумышленнику передавать и дешифровать произвольные пакеты в атакуемой сети. Текущие общедоступные атаки, специфичные для TKIP Не раскрывают Pairwise Master Key или Pairwise Temporal Keys. 8 ноября 2008 года Мартин Бек и Эрик Тийс выпустили документ, в котором подробно описывается, как восстановить ключ MIC и передать несколько пакетов. Мартин Бек и Эрик Тиус «Практические атаки против WEP и WPA». Эта атака была улучшена Мати Ванхоф и Фрэнком Пьенсеном в 2013 году, где они увеличивают количество пакетов, которые может передать злоумышленник, и показывают, как злоумышленник может также дешифровать произвольные пакеты.
Основой атаки является расширение атаки WEP chop-chop. Поскольку WEP использует криптографически небезопасный механизм контрольной суммы (CRC32, злоумышленник может угадать отдельные байты пакета, а точка беспроводного доступа будет подтверждать или отрицать правильность угадывания. Если догадка верна, злоумышленник сможет определить правильность предположения и продолжить угадывать другие байты пакета. Однако, в отличие от атаки Chop-chop против сети WEP, злоумышленник должен дождаться не менее 60 секунд после неправильной догадки (успешного обхода механизма CRC32), прежде чем продолжить атаку. Это связано с тем, что, хотя TKIP продолжает использовать механизм контрольной суммы CRC32, он реализует дополнительный код MIC под названием Michael. Если в течение 60 секунд будут получены два неправильных кода MIC MIC, точка доступа будет выполнять контрмеры, то есть он будет повторно активировать ключ сеанса TKIP, тем самым изменив будущие ключевые потоки. Соответственно, атаки на TKIP будут ждать достаточное количество времени, чтобы избежать этих контрмер. Поскольку пакеты [[протокол разрешения адресов] ARP] легко идентифицируются по их размеру, и подавляющее большинство содержимого этого пакета будет известно злоумышленнику, количество байтов, которое злоумышленник должен угадать с использованием вышеуказанного метода, является довольно небольшим (Приблизительно 14 байтов). Оценка Beck и Tews позволяет восстановить 12 байт за 12 минут в обычной сети, что позволит злоумышленнику передавать 3-7 пакетов не более 28 байт. Атаки Vanhoef-Piessens также могут использоваться для дешифрования произвольных пакетов по выбору атаки.
Злоумышленник уже имеет доступ ко всему пакету шифрованного текста. Получив весь открытый текст того же пакета, злоумышленник имеет доступ к ключевому потоку пакета, а также коду MIC для сеанса. Используя эту информацию, злоумышленник может построить новый пакет и передать его в сети. Чтобы обойти защищенную защиту WPA, атаки используют каналы QoS для передачи этих вновь созданных пакетов. Злоумышленник, способный передавать эти пакеты, может реализовать любое количество атак, включая атаки ARP poisoning, отказ в обслуживании и другие подобные атаки, без необходимости связывания с сетью.
Атака Holloway
Группа исследователей безопасности в Группе информационной безопасности Королевского университета Холлоуэй из Лондона сообщила о теоретической атаке на TKIP, которая использует основанный на RC4 механизм шифрования. TKIP использует аналогичную ключевую структуру для WEP с низким 16-битным значением счетчика последовательности (используется для предотвращения повторных атак), который расширяется в 24-битный «IV», и этот счетчик последовательностей всегда увеличивается на каждый новый пакет. Злоумышленник может использовать эту ключевую структуру для улучшения существующих атак на RC4. В частности, если одни и те же данные зашифровываются несколько раз, злоумышленник может изучить эту информацию только из 2 24 [Источник 2] соединений. Хотя они утверждают, что эта атака находится на грани практичности, были выполнены только симуляции, и атака не была продемонстрирована на практике.
Устаревание
ZDNet сообщила 18 июня 2010 года, что WEP и TKIP скоро будут запрещены Wi-Fi-устройствами альянсом Wi-Fi. Однако опрос в 2013 году показал, что он все еще широко используется. [Источник 3]
Какое шифрование лучше AES или TKIP
Беспроводной Wi-Fi трафик легко подвергается перехвату, поэтому важно защитить его с помощью шифрования. Для этого в современные маршрутизаторы встроены протоколы безопасности WPA2-AES и WPA2-TKIP. Алгоритм их работы различается и может влиять на скорость работы всей сети. Давайте разберемся, какой работает быстрее, а какой обеспечивает лучший уровень безопасности.
Начнем с базовых теоретических сведений, которые помогут разобраться в теме.
Что такое WPA2 и WPA3
WPA2 — это вторая версия стандарта безопасности беспроводной связи. Дословно аббревиатура расшифровывается как Wi-Fi Protected Access — защищенный доступ к Wi-Fi. Стандарт включает в себя ряд протоколов и алгоритмов шифрования.
Предшественниками были WPA и WEP.
WPA3 — долгожданное обновление, которое пока мало распространено, но уже встречается на рынке маршрутизаторов. По сравнении с предшественником, отмечу преимущества:
AES или TKIP: что лучше
AES и TKIP это методы шифрования, которые входят в состав стандарта безопасности WPA2. TKIP (протокол целостности временного ключа) является более старым. Использует для шифрования данных 128-битный ключ, что равносильно 500 миллиардам возможных вариаций. Несмотря на кажущуюся внушительность цифры, это не самый лучший показатель. К тому же есть некоторые уязвимости, которые теоретически могут позволить хакерам расшифровать ключ при перехвате достаочного количества трафика.
AES расшифровывается как симметричный алгоритм блочного шифрования. Он представляет из себя 128-битный, 192-битный или 256-битный блочный шифр, который не имеет ни одной из тех уязвимостей, которые есть у TKIP. Даже 128-битный шифр обеспечивает высокую надежность, так как для его расшифровки требуются значительные вычислительные мощности и может уйти несколько сотен лет для расшифровки.
Что быстрее работает
TKIP может замедлить работу Wi-Fi сети, поэтому большинство современных маршрутизаторов используют WPA2-AES. Например, при шифровании WPA-TKIP, максимальная скорость не будет превышать 54 Мбит/с. В то время, как стандарт 802.11ac с шифрованием WPA2-AES предполагает теоретически максимальную скорость до 3,46 Гбит/с.
Так что выбор очевиден. AES обеспечивает более высокую скорость и лучшую безопасность, которой доверяют крупнейшие мировые организации в своих Wi-Fi сетях.
Приписка PSK (Personal Security Key) к стандарту расшифровывается как персональный ключ безопасности и рекомендуется для использования в домашних беспроводных сетях.
Встречается также ESK (Enterprise Security Key) — корпоративный меняющийся ключ. Если в случае WPA2-PSK для всех подключенных устройств будет один пароль, то при использовании WPA2-ESK для каждого устройства выдается свой ключ, который обычно еще и автоматически меняется через какое-то время. Подключение при этом не прерывается, а за раздачу персональных ключей отвечает отдельный сервер авторизации — RADIUS.
AES или TKIP: какой метод проверки подлинности лучше?
Привет! Заходишь ты такой в настройки своего роутера, а в разделе безопасности беспроводной сети сталкиваешься с первой серьезной и непонятно проблемой – TKIP или AES? Что выбрать пока не понятно, да и практических советов на эту тему нет, ибо все мануалы по настройкам шифрования написаны специалистами для специалистов. Что делать? WiFiGid и Ботан помогут разобраться!
Остались вопросы? Добро пожаловать в наши горячие комментарии с приятным сообществом!
Краткий ответ
Тем, кто не хочет терять своего времени, лучший вариант:
Для тех, кому важно узнать почему да как это все было определено, предлагаю ознакомиться со статьей.
Про аутентификацию
Wi-Fi без защиты в наше время похож на находки якутскими учеными мамонтов – зверь вымер, но раз в год находки всплывают. Это к тому, что любую домашнюю сеть в наше время принято защищать любым типом аутентификации. А какие они есть?
Поленились поставить пароль? Толпа довольных соседей с радостью пожалует в ваше сетевое пространство. Будьте с ними гостеприимны, ведь сами пригласили)
Что касается современных WPA – то и здесь есть деление:
Про шифрование
Но, кроме этого, есть еще и сам алгоритм шифрования, который не дает прослушивать всем желающим со стороны вашу домашнюю сеть (точнее дает, но при этом там отображается откровенная шифрованная белеберда). Сейчас распространены 2 типа шифрования:
Итого, мои настройки:
На сегодняшний день для большинства людей лучше связки WPA2 и AES не найти. Владельцам же роутеров последнего поколения рекомендуется сразу устанавливать WPA3.
Исключение, ваши старые устройства отказываются работать с AES. В этом, и только в этом случае можно попробовать активировать TKIP. Как альтернатива – доступен обычно метод АВТО (TKIP+AES), самостоятельно разрешающий такие проблемы. Но лучше использовать чистый AES.
Т.е. TKIP поддерживается только в 802.11g и ранних стандартах, то при принудительной его установке для совместимости со старыми устройствами общая скорость Wi-Fi будет снижена до 54 Мбит/с. В этом плане использование чистого WPA и TKIP – медленно.
Выбор на разных роутерах
Ну а здесь я покажу, какие настройки нужно активировать на разных моделях роутеров. Раздел создан с целью показать разницу в интерфейсах, но единую модель выбора.
Все модели перечислить невозможно. Пользуйтесь поиском на нашем сайте, найдите свою модель, ознакомьтесь с полной инструкцией по настройке.
TP-Link
Современные интерфейсы TP-Link тоже могут отличаться между собой. У меня до сих пор вот такой «зеленый». Но даже на самых новых идея сохраняется – заходите в пункт «Беспроводной режим», а в подпункте «Защита…» располагаются все нужные нам настройки.
В роутерах Asus тип аутентификации называется «Метод проверки подлинности». От этого выбор не меняется, по прежнему лучшим остается WPA2.
ZyXEL Keenetik
D-Link
Вот вроде бы и все, что можно было сказать по теме. А вы используете тоже AES? А если нет, то почему?
Защита информации в сетях Wi-Fi: что использовать – WPA2-AES, WPA2-TKIP или и то и другое?
Многие роутеры в качестве опций предоставляют следующие стандарты безопасности: WPA2-PSK (TKIP), WPA2-PSK (AES) и WPA2-PSK (TKIP/AES). Сделаете неправильный выбор – получите более медленную и менее защищенную сеть.
Стандарты WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) и WPA2 (Wi-Fi Protected Access II), которые будут вам предложены на выбор при настройке параметров безопасности беспроводной сети, представляют собой основные алгоритмы защиты информации. WEP является старейшим из них и наиболее уязвимым, так как за время его использования в нем было обнаружено множество слабых мест. WPA дает более совершенную защиту, но по имеющимся данным он также подвержен взлому. WPA2 – в настоящее время развивающийся стандарт – на текущий момент является самым распространенным вариантом защиты. TKIP (Temporal Key Integrity Protocol) и AES (Advanced Encryption Standard) представляют собой два различных типа шифрования, которые могут применяться в стандарте WPA2. Давайте посмотрим, чем они отличаются и какой из них в наибольшей степени подходит вам.
AES vs. TKIP
TKIP и AES представляют собой два различных стандарта шифрования, которые могут использоваться в сетях Wi-Fi. TKIP – более старый протокол шифрования, введенный в свое время стандартом WPA взамен крайне ненадежного алгоритма WEP. На самом деле TKIP во многом подобен алгоритму шифрования WEP. TKIP уже не считается надежным методом защиты и в настоящее время не рекомендуется. Другими словами, вам не следует его использовать.
AES – более надежный протокол шифрования, введенный стандартом WPA2. AES – это не какой-нибудь унылый, тот или другой стандарт, разработанный специально для сетей Wi-Fi. Это серьезный мировой стандарт шифрования, взятый на вооружение даже правительством США. Например, когда вы зашифровываете жесткий диск с помощью программы TrueCrypt, она может использовать для этого алгоритм шифрования AES. AES является общепризнанным стандартом, обеспечивающим практически полную безопасность, а его возможные слабые места – потенциальная восприимчивость к атакам методом «грубой силы» (для противодействия которым применяются достаточно сложные кодовые фразы) и недостатки защиты, связанные с другими аспектами WPA2.
Усеченный вариант защиты – TKIP, более старый протокол шифрования, используемый стандартом WPA. AES для Wi-Fi – более новое решение в части шифрования, применяемое в новом и безопасном стандарте WPA2. В теории на этом можно было бы закончить. Но на практике, в зависимости от вашего роутера, простого выбора WPA2 может оказаться недостаточно.
Хотя стандарт WPA2 для оптимальной защиты предполагает использование AES, он может использовать и TKIP – там, где требуется обратная совместимость с устройствами предыдущих поколений. При таком раскладе устройства, поддерживающие WPA2, будут подключаться в соответствии с WPA2, а устройства, поддерживающие WPA, будут подключаться в соответствии с WPA. То есть «WPA2» не всегда означает WPA2-AES. Тем не менее, на устройствах без явного указания опций «TKIP» или «AES» WPA2 обычно является синонимом WPA2-AES.
Аббревиатура «PSK» в полном наименовании этих опций расшифровывается как «pre-shared key» – ваша кодовая фраза (ключ шифра). Это отличает персональные стандарты от WPA-Enterprise, в котором используется RADIUS-сервер для выдачи уникальных ключей в больших корпоративных или правительственных сетях Wi-Fi.
Опции безопасности для сети Wi-Fi
Поскольку ваше устройство с возможностью подключения к сети Wi-Fi скорее всего моложе 11 лет, вы можете чувствовать себя спокойно, просто выбирая опцию WPA2-PSK (AES). Установив эту опцию, вы также сможете проверить работоспособность вашего устройства. Если устройство перестает работать, вы всегда сможете вернуть или обменять его. Хотя, если безопасность имеет для вас большое значение, вы можете просто купить новое устройство, произведенное не ранее 2006 г.
WPA и TKIP замедляют сеть Wi-Fi
Выбираемые в целях совместимости опции WPA и TKIP могут еще и замедлить работу сети Wi-Fi. Многие современные роутеры Wi-Fi, поддерживающие 802.11n или более новые и быстрые стандарты, будут снижать скорость до 54 Мбит/с, если вы установите на них опцию WPA или TKIP, – для обеспечения гарантированной совместимости с гипотетическими старыми устройствами.
Для сравнения, при использовании WPA2 с AES даже стандарт 802.11n поддерживает скорость до 300 Мбит/с, а стандарт 802.11ac предлагает теоретическую максимальную скорость 3,46 Гбит/с при оптимальных (читай: идеальных) условиях.
В большинстве роутеров, как мы уже убедились, список опций обычно включает в себя WEP, WPA (TKIP) и WPA2 (AES) – и, возможно, смешанную опцию режима максимальной совместимости WPA (TKIP) + WPA2 (AES), добавленную с лучшими намерениями.
Если у вас роутер необычного типа, который предлагает WPA2 или вместе с TKIP, или вместе с AES, выбирайте AES. Почти все ваши устройства точно будут с ним работать, к тому же более быстро и более безопасно. AES – простой и рациональный выбор.