Bezprzewodowa dziura

Wykryto poważne zagrożenie bezpieczeństwa danych, przesyłanych z wykorzystaniem bezprzewodowych sieci LAN w standardzie IEEE 802.11b.

W ostatnich dniach wykryto drugie już poważne zagrożenie dla danych przesyłanych bezprzewodowymi sieciami LAN w standardzie IEEE 802.11b. Po raz kolejny dokonali tego ci sami ludzie: Adi Shamir - współautor algorytmu szyfrowania RSA, Itsik Mantin - informatyk z Weizmann Institute oraz Scott Fluhrer z Cisco.

Problem polega na tym, iż nawet bez znajomości właściwego klucza możliwe jest odszyfrowanie informacji kodowanych z użyciem algorytmu Wired Equivalent Privacy (WEP), opartego na RC4. WEP stosowany jest do zabezpieczania danych przesyłanych drogą radiową w sieciach wykorzystujących standard 802.11b, zwanych też WiFi. Trójka kryptologów odkryła, iż można wykryć regularności w przechwytywanych pakietach i na tej podstawie poznać pełną treść informacji.

Zobacz również:

I. Mantin, A. Shamir i S. Fluhrer opublikowali już wcześniej informacje o podobnej luce w tym systemie. David Cohen, przewodniczący Wireless Ethernet Compatibility Alliance (WECA), organizacji testującej kompatybilność produktów WiFi, stwierdził, iż: "Wtedy była to możliwość raczej teoretyczna. Teraz okazało się, że złamanie kodu RC4 jest całkowicie możliwe". Zalecane wcześniej stosowanie dłuższego (128-bitowego) klucza szyfrującego zamiast standardowego (40-bitowego) może się na nic nie zdać. Okazuje się bowiem, że można go złamać w znacznie krótszym czasie niż przedtem sądzono.

WECA uważa jednak, że bezprzewodowe sieci nadal są bezpieczne, gdyż złamać kody mogą tylko bardzo dobrzy matematycy-kryptoanalitycy, a takich nie ma na świecie zbyt wielu. Organizacja zaleca jednak stosowanie także innych środków ochrony, takich jak np. wirtualne sieci prywatne (VPN), protokół IPSec albo serwery uwierzytelniania RADIUS. D. Cohen dodał, iż obecnie nad rozwiązaniem problemu pracują dwie grupy z amerykańskiego Stowarzyszenia Inżynierów i Elektroników (IEEE) - organizacji, która stworzyła standard 802.11.

Więcej informacji:

http://www.crypto.com/papers/others/rc4_ksaproc.ps