Verbesserung für WLAN-Sicherheit
Als Zwischenschritt zum offiziellen WEP-Nachfolger 802.11i für Verschlüsselung bei Funk-LANs bringt das Wi-Fi-Konsortium WPA (Wi-Fi Protected Access) heraus.
Am heutigen Donnerstag hat das Wi-Fi-Konsortium, ein Zusammenschluss von über 170 WLAN-Herstellern, seine Absicht bekanntgegeben, eine eigene Art der WLAN-Verschlüsselung zu etablieren. Wi-Fi Protected Access, kurz WPA, soll vom IEEE-Projekt 802.11i abgeleitet und aufwärtskompatibel sein.
Die bei Funknetzwerken nach dem IEEE-Standard 802.11 gebräuchliche Verschlüsselungstechnik WEP (Wired Equivalent Privacy) hat sich in der Vergangenheit als anfällig herausgestellt -- wenn sie überhaupt aktiviert ist. Zur WEP-Ausbesserung nutzt WPA ausgewählte Bestandteile von 802.11i wie beispielsweise einen erweiterten Initialization-Vector, Re-Keying oder Message-Integrity-Check. Bei größeren Netzwerken sieht WPA außerdem eine Authentifizierung mittels IEEE 802.1x und EAP (Extensible Authentication Protocol) vor, die auf einen vorhandenen RADIUS-Server für die Nutzerverwaltung zurückgreifen. Nicht dazu gehören 802.11i-Features wie sicheres Hand-off, sichere De-Authentifizierung oder verbesserte Verschlüsselungsverfahren (AES-CCMP).
Wi-Fi-zertifizierte WLAN-Geräte sollen sich per Software-Aktualisierung mit WPA ausrüsten lassen. Die ersten Updates erwartet man für Anfang 2003. Ab dem Frühjahr will das Wi-Fi-Konsortium, das auch Interoperabilitätsprüfungen für WLAN-Produkte anbietet, WPA zum Bestandteil seiner Tests machen.
Den Übergang von WEP auf WPA erleichtert bei Access Points der "Mixed Mode". Damit bekommen noch nicht aufgerüstete Clients ihren Netzzugang noch per WEP. Diese Abwärtskompatibilität hat jedoch Folgen: Eine im "Mixed Mode" laufende Funkzelle fällt auch bei nur einem nicht-WPA-fähigen Teilnehmer komplett auf die niedrigere Sicherheitsstufe WEP zurück. WPA bringt bei größeren Funknetzen also nur dann etwas, wenn man alle WLAN-Geräte aufrüsten kann. Wahrscheinlich werden einige Neuanschaffungen fällig. (ea)