WLAN-Verschlüsselung

Seite 5: PMK-Caching

PMK-Caching

Als erste Maßnahme wurde deshalb PMK-Caching eingeführt. Der PMK (Pairwise Master Key) ist das nach einer 802.1x-Authentifizierung in Client und AP vorhandene Master Secret als Basis für den Schlüsselaustausch. In VoIP-Umgebungen ist es typisch, dass sich ein Anwender in einer relativ kleinen Gruppe von APs hin und her bewegt. Es wird passieren, dass ein Client zu einem AP zurückwechselt, an dem er früher angemeldet war. Dann wäre es unsinnig, die 802.1x-Authentifizierung zu wiederholen. Bei 802.11i versieht daher der AP den PMK mit einer Kennung (PMKID), die er an den Client übermittelt.

Bei einer Wiederanmeldung fragt der Client den AP mittels der PMKID, ob der PMK noch gültig ist. Falls ja, überspringen beide die 802.1x-Phase und brauchen nur sechs kurze Pakete zu tauschen, bis die Verbindung wieder steht. Diese Optimierung ist bei PSK-basierten WLANs unnötig, weil dort der PMK überall gleich ist.

Die zweite Maßnahme erlaubt auch bei der erstmaligen Anmeldung eine Beschleunigung. Sie erfordert aber etwas Vorausschau vom Client. Dieser muss bereits im Betrieb eine schlechter werdende Verbindung zum AP erkennen und eine neue Basisstation auswählen, während er noch Verbindung zum alten AP hat. Dann kann er die 802.1x- Verhandlung über den alten AP mit dem neuen AP führen, was die Unterbrechung beim Wechsel um die Zeit der 802.1x-Verhandlung verkürzt.

WPA-Werbung und Wahrheit

Unter Windows XP mit Service Pack 1 muss man zur Nutzung von WPA mit Passphrase einen Patch von Microsoft einspielen. Im Service Pack 2 ist er bereits integriert. Das Fehlen dieses Patches erkennt man daran, dass die WLAN-Konfiguration trotz entsprechend konfiguriertem Access Point kein TKIP anbietet. WPA2 beherrscht Windows erst nach Installation des Service Pack 2 und eines weiteren Patches.

Bei älteren Microsoft-Betriebssystemen ist der Kartenhersteller vollständig für den Betrieb der Karte verantwortlich: Er muss für den bei WPA anfallenden Key Exchange ein passendes Zusatzprogramm, den Supplicant, mitliefern. Während ein Adapter-Produzent den eigentlichen Treiber vom Lieferanten des WLAN-Chipsatzes gestellt bekommt und nur noch für seine Bedürfnisse kosmetisch anpasst, kommt die Lizenz für einen Supplicant üblicherweise von einem Dritthersteller. Diese Ausgabe sparen sich jedoch die meisten Fabrikanten, sodass Benutzer von Windows 98, ME oder 2000 oft ins Leere laufen.

Dem Autor liegt als Beispiel eine Prism-basierte 11g-Karte eines namhaften Herstellers vor, die auf dem Karton Unterstützung für Windows ab Version 98 sowie WPA-Support listet. Unerwähnt bleibt, dass WPA nur in Verbindung mit Windows XP läuft. Benutzer älterer Windows- Versionen schauen in die Röhre und müssen versuchen, die Karte mit dem Supplicant eines Drittanbieters zu betreiben. Auf Nachfrage gab der Support den Zusammenhang zu, konnte aber auch nicht weiterhelfen. Eine Alternative dazu kann dieser freie Supplicant für Windows, Linux und BSD sein.

Eine Umtauschmöglichkeit ist für den WPA-interessierten Nutzer generell von Vorteil. Denn bei der Marktsichtung fiel auch eine WLAN-Karte auf, die mit WPA angepriesen wurde. Der Inhalt des Kartons beherrschte dann aber doch nur WEP. In diesem Fall – einer 11g-Karte mit Chipsatz von Texas Instruments – versuchte der Support sich dahingehend herauszureden, dass man jeden Tag auf einen aktualisierten Treiber von TI warte. Also hatte man vorsorglich schon mal WPA auf die Kartons gedruckt, und gehofft, dass es bis dahin niemand merkt.

Eine weitere Spielart scheinbaren WPA-Supports fand sich bei einer 11b-Karte mit Realtek-Chipsatz. Es sollte schon stutzig machen, wenn die Verpackung TKIP und AES listet, aber kein WPA. Die Bedienungsanleitung offenbarte, dass TKIP und AES nur im Adhoc- Modus (WLAN-Betrieb ohne Access Point) angeboten werden. Dabei darf der Anwender analog zu WEP den Schlüssel per Hand eingeben – keine Spur von WPA und dynamisch verhandelten Schlüsseln, in der Praxis nahezu unbrauchbar.

Bei WLAN-Hardware mit aktuellen 11g- respektive 11a-Chipsätzen von Atheros, Broadcom oder Conexant (Prism-Chips früher von GlobespanVirata, davor Intersil) sieht die WPA-Unterstützung durchweg gut aus. Wenigstens TKIP-Verschlüsselung mit Windows XP ist immer drin. Atheros-basierte Karten wie beispielsweise die AirLancer MC54ag von Lancom Systems bringen meist ein eigenes Konfigurationstool inklusive WPA-Supplicant für Windows 2000 und eventuell auch ältere Versionen mit, das auch schon AES anstelle von TKIP aushandeln kann.

Kümmerlicher sieht die Sache bei WLAN-Hardware nach dem älteren 11b-Standard aus. Viele 11b-Chipsätze werden im Augenblick durch 11g-Nachfolger ersetzt, und sowohl Karten- als auch Chipsatzhersteller verlieren erfahrungsgemäß schnell die Lust, die Software für die alten Boards weiter zu pflegen. Man sollte daher beim Kauf eines Schnäppchens nicht auf Upgrades hoffen, sondern sich vorher im Internet gründlich informieren und sich ein Rückgaberecht vom Hersteller einräumen lassen. Insbesondere Billigstprodukte der 20-Euro-Klasse werden inzwischen als Wegwerf-Hardware betrachtet, für die es so gut wie nie Upgrades gibt.

Bekannte 11b-Karten, die WPA und TKIP unterstützen, sind beispielsweise die in Centrino-Notebooks verbauten PRO/Wireless- 2100-Module von Intel oder WLAN-Karten, die auf dem Hermes- Chipsatz von Agere basieren. Auch mit einer älteren Spectrum24- Karte von Symbol Technologies gelangen WPA und TKIP nach einem Firmware- und Treiber-Update auf Anhieb. Bezeichnenderweise sind sowohl Agere als auch Symbol Markenhersteller, die auf den professionellen Markt abzielen, wo Wert auf langfristige Produktpflege gelegt wird. Diese bezahlt der Anwender natürlich mit, eine Hermes- oder Symbol-Karte war nie für 30 Euro zu haben.