Derivación de Claves y Autenticación en WPA2: Comparativa PSK vs. 802.1X

Clasificado en Informática

Escrito el en español con un tamaño de 3,54 KB

Gestión de Claves y Autenticación en el Estándar 802.11i (WPA2)

Group Key Handshake (Intercambio de Clave de Grupo)

El Punto de Acceso (AP) comienza la fase con el envío de una trama que contiene la nueva GTK (Group Temporal Key) cifrada con la clave KEK (Key Encryption Key), la cual es calculada en la fase 3 de 802.11i.

La trama lleva a su vez un campo Grupo, que es el número de secuencia de la clave de grupo, y un MIC (Message Integrity Code) calculado usando el primer trozo de la PTK (Pairwise Temporal Key). La estación devuelve una trama EAPoL-Key asintiendo el Grupo y protegida con un MIC calculado de la misma forma que se ha indicado anteriormente.

Diferencias en la Derivación de Claves: WPA2-PSK (SOHO) vs. WPA2 (RADIUS)

WPA2-PSK (Redes SOHO)

En una red configurada como WPA2-PSK, no se autentica a los clientes individualmente. Estaríamos en un tipo de red SOHO (Small Office/Home Office).

En la fase 3 de 802.11i se calculan y derivan las claves partiendo de la PSK (Pre-Shared Key), además de valores aleatorios (nonces) y las direcciones MAC de las estaciones y del punto de acceso.

La PSK es la clave precompartida que todos los clientes introducen para conectarse a la red. La derivación de la PMK (Pairwise Master Key) puede realizarse de dos maneras:

  • Si la PSK se establece como exactamente 64 caracteres hexadecimales, la PSK será la PMK o clave base para obtener todas las demás claves por medio de la aplicación de una función de derivación de clave pseudoaleatoria (PRF-X).
  • Si la PSK se establece como una frase de paso (passphrase), la PMK se deduce de un cálculo de 4096 iteraciones de HASH, en las que interviene la PSK, el nombre de la red (SSID) y la longitud del nombre de la red.

En las redes WPA2-PSK, la PMK es siempre la misma para todas las sesiones y para todas las estaciones, lo cual puede ser una debilidad y propiciar ataques por diccionario a partir de la captura, en la red, de las cuatro tramas del 4-way handshake.

WPA2 (Redes Enterprise/RADIUS)

En una red configurada como WPA2 (Enterprise), la PMK que se utiliza proviene de la fase 2 (Autenticación 802.1X).

En la fase 2, el Servidor de Autenticación genera una Master Key (MK) de 256 bits. Esta Master Key se envía desde el Servidor de Autenticación hacia el Punto de Acceso para su utilización en la fase 3 y será coincidente con la PMK, base para el cálculo del resto de las claves.

En las redes WPA2 (Enterprise), la MK es siempre distinta, ya que es un subproducto de la fase 2 anterior. Por lo tanto, no presenta la vulnerabilidad del ataque por diccionario que se produce en las redes WPA2-PSK.

Autenticación RADIUS (Fase 2 de 802.11i)

La autenticación involucra tres actores principales: el cliente, el autenticador (Punto de Acceso) y el Servidor de Autenticación.

Esta fase se realiza también con la utilización de varios protocolos, principalmente EAPoL (Extensible Authentication Protocol over LAN) y RADIUS (Remote Authentication Dial-In User Service).

Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
autenticación RADIUS KEK GTK PMK PTK 802.11i PSK Group Key Handshake Enterprise EAPoL SOHO seguridad WiFi WPA2 4-way handshake