TKIP und WPA

Wie in den letzten Abschnitten klar geworden ist, ist der WEP-Algorithmus prinzipiell fehlerhaft und unsicher; die bisherigen Maßnahmen waren im wesentlichen entweder 'Schnellschüsse' mit nur geringen Verbesserungen oder so kompliziert, dass sie für den Heimbenutzer oder kleine Installationen schlicht unpraktikabel sind.

Die IEEE hatte nach Bekanntwerden der Probleme mit WEP mit der Entwicklung des Standards IEEE 802.11i begonnen. Als Zwischenlösung wurde von der Wi‑Fi-Alliance der 'Standard' Wi‑Fi Protected Access (WPA) definiert. WPA setzt auf die folgenden Änderungen:

TKIP und Michael als Ersatz für WEP
Ein standardisiertes Handshake-Verfahren zwischen Client und AP zur Ermittlung / Übertragung der Sitzungsschlüssel.
Ein vereinfachtes Verfahren zur Ermittlung des im letzten Abschnitt erwähnten Master Secret, das ohne einen RADIUS-Server auskommt.
Aushandlung des Verschlüsselungsverfahrens zwischen AP und Client.

Bei der Verschlüsselung werden bekannte Bestandteile des WEP-Verfahrens weiter verwendet, aber an den entscheidenden Stellen um den "Michael-Hash" zur besseren Verschlüsselung und das TKIP-Verfahren zur Berechnung der RC4-Schlüssel erweitert. Desweiteren ist der intern hochgezählte und im Paket im Klartext übertragene IV statt 24 jetzt 48 Bit lang – damit ist das Problem der sich wiederholenden IV-Werte praktisch ausgeschlossen.

Als weiteres Detail mischt TKIP in Berechnung der Schlüssel auch noch die MAC-Adresse des Senders ein. Auf diese Weise ist sichergestellt, dass eine Verwendung gleicher IVs von verschiedenen Sendern nicht zu identischen RC4-Schlüsseln und damit wieder zu Angriffsmöglichkeiten führt.

Der Michael-Hash stell jedoch keine besonders hohe kryptographische Hürde dar: kann der Angreifer den TKIP-Schlüssel brechen oder verschlüsselte Pakete durch Modifikationen ähnlich wie bei WEP an der CRC-Prüfung vorbeischleusen, bleiben nicht mehr allzu viele Hürden zu überwinden. WPA definiert aus diesem Grund Gegenmaßnahmen, wenn ein WLAN-Modul mehr als zwei Michael-Fehler pro Minute erkennt: sowohl Client als auch AP brechen dann für eine Minute den Datentransfer ab und handeln danach TKIP- und Michael-Schlüssel neu aus.

Anmerkung: Mit der Zeit werden Möglichkeiten gefunden, die Verschlüsselungsprotokolle zu kompromittieren. Die Wi‑Fi-Alliance hat dem mit den Zertifizierungsstandards WPA2 und später WPA3 entgegengewirkt, indem dort jeweils modernere Verschlüsselungsverfahren zum Einsatz kommen, während bekannt unsichere Verfahren nicht mehr verwendet werden dürfen.