Fast Packet Keying
Som vi har skrevet tidligere, blev der i løbet af foråret og sommeren fundet mange fejl i WEP-standarden (Wired Equivalent Privacy), der bruges til kryptering i trådløse netværk. Men RSA har sammen med Hifn og andre medlemmer af 802.11-komiteen udviklet en softwareløsning til WEP, med navnet Fast Packet Keying, som kan gøre brugen af WEP-kryptering og dermed brugen af trådløse netværk sikrere. Fast Packet Keying blev lanceret den 17. december i år.
I starten af august blev der fundet en sårbarhed i den trådløse standard 802.11. I trådløse netværk kan man benytte kryptering ved hjælp af krypteringsstandarden WEP, og WEP benytter RSA's krypteringsalgoritme RC4. Sårbarheden i WEP var ikke på grund af RC4, men i måden hvorpå WEP genererede krypteringsnøgler for forskellige datapakker. På grund af sårbarheden kan en hacker hurtigt bryde krypteringen, og derved aflytte information, der sendes over trådløse netværk. To undersøgelser i august viste, at det faktisk kan lade sig gøre at opsnappe følsom information som passwords fra trådløse netværk ved at holde i en bil udenfor kontorbygning.
Derfor har RSA ændret i måden, hvorpå der genereres nøgler, og løsningen kaldes Fast Packet Keying. Fast Packet Keying er blevet godkendt af komiteen bag IEEE 802.11-standarden, og kan derfor allerede bruges - endda uden behov for at udskifte hardware.
Fejl i WEP
Fejlen i WEP bestod kort sagt i, at de krypteringsnøgler, som blev genereret for hver datapakke, var for ens. Ved at sammenligne meget få datapakker kunne en hacker udnytte lighederne til at finde den hemmelige information, som blev brugt til at generere nøglerne ud fra. Hvis denne hemmelige information blev fundet, så kunne en hacker dekryptere alle datapakker, som blev sendt i det pågældende netværk. Fast Packet Keying er derfor designet til at undgå at krypteringsnøglerne bliver for ens.
RC4 benyttes blandt andet også i SSL (Secure Socket Layer), som browsere anvender til kryptering, for eksempel i forbindelse med e-handel. Men her genereres der kun en krypteringsnøgle for hver forespørgsel, og ikke for hver datapakke. Derfor er der tid til at bruge en ekstra algoritme til at generere nøglerne med i SSL, og dermed er brugen af RC4 mere sikker i SSL end i WEP.
For at højne sikkerheden i WEP skal der genereres en krypteringsnøgle for hver datapakke. Men da pakkerne skal afsendes hurtigt, har der ikke været tid til at bruge en ekstra algoritme som i SSL. Til Fast Packet Keying anvendes der en ny hurtig metode: Der er udviklet en såkaldt hash funktion, som hurtigt kan generere en unik RC4 krypteringsnøgle for hver datapakke, som skal sendes over WLAN.
Man kan læse mere om hvordan Fast Packet Keying virker på RSA's site.
Sikkert WLAN
IEEE arbejder nu på 802.11i, som indarbejder rettelsen af WEP, og der bliver også tilføjet et ekstra lag autentifikation. Samtidig bliver det med 802.11i muligt at bruge dynamisk allokering af krypteringsnøgler, hvilket gør, at de automatisk bliver ændret, inden en hacker kan dekryptere dem. 802.11i bliver tidligst færdig i 2002.
Indtil 802.11i er gjort færdig, kan man selv indarbejde rettelsen af WEP i sit trådløse netværk. Anvisninger til hvordan dette gøres kan findes på RSA's site.
Derudover kan man gøre et trådløst netværk mere sikkert ved at bruge WEP-krypteringen med 128 bit. Flere forskere råder brugerne til at benytte et ekstra lag af sikkerhed, eksempelvis VPN (Virtual Private Network), når de bruger den trådløse forbindelse.
Alle, der anvender det samme trådløse netværk, skal bruge det samme password (Service Set Identifier, SSID). Men ofte ændres dette password ikke, så mange firmaer har det samme standard password, som de fik af netværksleverandøren. Disse passwords kendes også af hackere, så det er vigtigt at ændre passwords med det samme, og det skal selvfølgelig ikke ændres til noget, der kan relateres til firmaet.
Samtidig bør man sikre alle basestationer (access points) og installere firewalls på alle de bærbare pc'er i netværket.
Mange tror fejlagtigt, at signalerne i et 802.11b netværk kun rækker 30-50 meter, men dette er ikke rigtigt. Signalet er bare for svagt til at blive opfanget af de små antenner i pc-kort, men en kraftigere ekstern antenne kan fange signaler på meget større afstand. Det er endda muligt at opfange disse signaler, selvom man kører forbi med 100 km i timen.
