WPA 2 verspricht eine höhere Sicherheit für WLAN
Artikel erschienen in Swiss IT Magazine 2004/21
Glaubt man der Wi-Fi Alliance, sind die Tage der notorisch geöffneten und unsicheren Wireless-LANs gezählt. Dafür soll die im September veröffentlichte neue Sicherheitsspezifikation Wi-Fi Protected Access 2 (WPA 2) sorgen, die die Sicherheit im kabellosen Netzverkehr massiv erhöht. Gleichzeitig mit der Vorstellung der Spezifikation wurden auch die ersten danach zertifizierten WLAN-Geräte präsentiert.
Die Fakten zu WPA 2 sind schnell erzählt: Der Nachfolger des Verschlüsselungsstandards WPA (Wireless Protectet Access) arbeitet mit AES (Advanced Encryption Standard) statt mit RC4. Ausserdem entspricht er dem IEEE-Standard 802.11i, was bei WPA noch nicht der Fall war.
Weiter ist zu erwähnen, dass WPA 2 wie bereits WPA in zwei Modi existiert: Im Personal-Modus wird zwischen den beiden Kommunikationspartnern ein zuvor vereinbartes Passwort (Pre-shared Key) zur Authentifikation genutzt. Im Enterprise-Modus dagegen kommt eine Authentifizierung dazu, die nach dem 802.1X-Verfahren und EAP (Extensible Authentication Protocol) üblicherweise über einen Radius-Server erfolgt.
Nicht zuletzt ist WPA 2 laut Wi-Fi Alliance abwärtskompatibel und sollte mit vielen aktuelleren WLAN-Geräten funktionieren – ein Software-Update genügt.
Was auf den ersten Blick recht ansprechend ausschaut, wirft auf den zweiten Blick verschiedene Probleme auf. Das beginnt mit der (eigentlich willkommenen) Rückwärtskompatibilität zu vorhanderer Hardware und WPA. WPA 2 setzt für die Verschlüsselung nicht mehr auf RC4, sondern auf AES. Dadurch wird die Sicherheit zwar massiv erhöht, gleichzeitig steigen aber auch die Leistungsanforderungen. In einem für WPA 2 entwickelten Gerät wird dafür ein spezieller Verschlüsselungsprozessor eingesetzt, der in älterer Hardware natürlich fehlt. Daraus folgt, dass ein Grossteil der vorhandenen WLAN-Geräte WPA 2 nicht unterstützen wird, was wiederum der schnellen Verbreitung nicht gerade förderlich ist.
Ein anderes Problem ist, dass es sich bei WPA 2 gar nicht wirklich um einen Standard handelt. Der Standard heisst IEEE-802.11i, und WPA 2 ist eher eine Art Garantie, dass verschiedene Wireless-Verschlüsselungs- und -Authentifizierungsverfahren untereinander interoperabel sind.
Dies soll den Nutzen der Interoperabilitätsgarantie nicht schmälern, im Gegenteil, eine solche ist heutzutage nötiger denn je. Die Anzahl der Standards von 802.11b über 802.11g, 802.11i und 802.11n bis hin zu WEP und WPA etc. steigt ständig, und die Kompatibilität von Geräten selbst desselben Herstellers ist schon länger nicht mehr sichergestellt. Entsprechend nötig sind quasiunabhängige Tests, wie sie die WiFi Alliance durchführt.
Bei der Vorstellung von WPA 2 wurden die Verantwortlichen der Wi-Fi Alliance nicht müde zu betonen, dass der WPA-Sicherheitsstandard nach wie vor sicher und aktuell sei. Das ist nicht weiter erstaunlich, schliesslich ist WPA der eigentliche Fortschritt in Sachen Wireless Security, der einige der vielen Mängel von WEP (Wireless Encryption Protocol) ausmerzte. In der Tat unterscheiden sich WPA und WPA 2 nur hinsichtlich des verwendeten Verschlüsselungsalgorithmus.
Die Wi-Fi Alliance erklärt denn auch, dass WPA 2 nicht entwickelt wurde, um Fehler in WPA zu korrigieren. Vielmehr sei es darum gegangen, die Wünsche einiger Grossfirmen und Behörden zu befriedigen, die offenbar eine mit den US-Sicherheitsvorschriften FIPS 140-2 kompatible Lösung benötigten.
Damit wird klar, dass WPA 2 keineswegs zu sichereren kabellosen Netzwerken beiträgt. Es gibt nach wie vor zahlreiche andere Schwachstellen, die von WPA und der Schwesterversion 2 (denn um einen Nachfolger handelt es sich ja nicht) nicht adressiert werden (können).
Kommt dazu, dass WLANs nach dem 802.11i-Standard anfällig für Wörterbuchattacken sind, wie vor kurzem bekannt wurde. Voraussetzung dafür ist allerdings, dass zu schlichte Passwörter und Passphrasen genutzt werden – ein Fehler, der leider auch heute noch vielen Administratoren unterläuft.
Es gilt also auch nach der Einführung von WPA 2, die kabellosen Netzwerke durch einen Mix von verschiedenen, meist hinlänglich bekannten Massnahmen und Technologien abzusichern. Dazu gehören beispielsweise die Registrierung der MAC-Adressen der im Netz zugelassenen Access Points und Netzwerkkarten, die Veränderung der voreingestellten SSID und der Einsatz von komplexen Passwörtern.
Der Einsatz der beiden Sicherheitsstandards WPA und WPA 2 darf nicht mehr als ein kleines Steinchen in diesem Sicherheitsmosaik sein.
Schneller geht's immer: die Datenübertragungsrate von WLANs soll schon bald die Grenze von 100 MBit/s erreichen. Dies ist zumindest das Ziel des kommenden Standards 802.11n, an dem das IEEE schon seit geraumer Zeit arbeitet. Der fertige Standard wird auf frühestens Ende 2005 erwartet, wahrscheinlich geht es aber noch einiges länger.
Manchen Herstellern von WLAN-Hardware ist das deutlich zu langsam. Erste Anbieter wie beispielsweise Belkin haben Pre-Standard-Geräte bereits angekündigt und wollen sie schon bald auf den Markt bringen.
Dies wiederum passt der Wi-Fi Alliance überhaupt nicht in den Kram. So wurde vergangene Woche verlautet, dass Pre-Standard-Geräte weder eine Zertifizierung noch das zugehörige Logo erhalten würden, bevor der Standard verabschiedet sei – und zertifizierten Geräten, die beispielsweise durch Firmware-Updates erst nachträglich zu Prä-Standard-Hardware würden, werde man das Zertifikat umgehend wieder entziehen.
Auf diese Weise versucht die Wi-Fi Alliance die Probleme zu verhindern, die sich im Vorfeld der Standardisierung von 802.11g ergeben hatten. Damals wurden ebenfalls verschiedene Pre-Standard-Geräte auf den Markt gebracht, die mit den späteren normkonformen Geräten nicht oder nur teilweise kompatibel waren.
Es ist nicht ganz einfach, in der Flut der Standards und Akronyme im Wireless-Bereich noch den Überblick zu behalten. Wir haben deshalb die wichtigsten Begriffe zusammengestellt.
802.11i: Wurde als offizieller Standard des Institute of Electrical and Electronics Engineers (IEEE) im Juni 2004 als bisher jüngste WLAN-Standard ratifiziert. Hauptfortschritt im Vergleich zu den Vorgängern 802.11a, b und g ist die Integration des sicheren AES-Verschlüsselungsalgorithmus.
AES: Beim Advanced Encryption Standard AES handelt es sich um einen Algorithmus, der Daten mit Schlüsseln von 128, 192 oder 256 Bit Länge chiffriert. Er wurde 2001 vom amerikanischen National Institute of Standards and Technology (NIST) als Ersatz für den bekannten DES-Algorithmus (Data Encryption Standard) eingeführt. Ein Nachteil der hochsicheren AES-Verschlüsselung ist die dafür benötigte hohe Prozessorleistung. Geräte, die keinen integrierten Hardware-Support für AES besitzen, können nicht einfach aktualisiert, sondern müssen meist ersetzt werden.
FIPS 140-2: Der amerikanische Federal Information Processing Standard 140-2, ebenfalls vom NIST eingeführt, regelt die Anforderungen für die Datenverschlüsselung im Netzwerk amerikanischer Regierungsstellen. Hersteller, die diese Stellen als Kunden gewinnen wollen, tun gut daran, dem FIPS-140-2-Standard zu entsprechen.
WEP: Die erste Form von Wireless Security, Wired Equivalent Privacy, hat sich schnell als unsicher erwiesen. WEP wird heute nur noch der Form halber implementiert.
WiFi-certified: Auszeichnung für Produkte, die mit den Standards der Industriegemeinschaft WiFi Alliance (www.wi-fi.org) harmonieren. Besagt bloss, dass ausgezeichnete Produkte mit anderen ausgezeichneten Geräten interoperabel sind.
WPA: WiFi Protected Access wurde von der WiFi Alliance als Ersatz für WEP entwickelt und basiert auf einer Vorversion des 802.11i-Standards. WPA nutzt ein Verschlüsselungsmodell namens Temporal Key Integrity Protocol, das deutlich sicherer ist als WEP, aber den Anforderungen von FIPS 140-2 nicht gerecht wird. Weit über 600 Produkte sind heute «WiFi-certified for WPA security».
WPA 2: WiFi Protected Access 2 wurde auf Basis des fertigen 802.11i-Standards ausschliesslich zum Zweck der FIPS-140-2-Kompatibilität entwickelt. Er arbeitet mit AES. Derzeit umfasst das Portfolio der Produkte mit dem Zertifikat «WiFi-certified for WPA 2 security» unter www.wi-fi. org rund 75 Geräte.