Ob. 21)Zabezpečení-lokálních sítí LAN

Integrita 

K zajištění integrity (neměnnosti) dat při přenosu, provádí WEP výpočet kontrolního součtu datové 
části rámce využitím CRC (Cyclic Redundancy Check), jehož výsledkem je hodnota označovaná 
ICV  
(Integrity Check Value). Tento ICV se následně připojuje na konec příslušného rámce a šifrování 
probíhá rovnou pro data společně s připojeným ICV. Takovýto rámec se na přijímací straně 
dešifruje a provede se kontrola ICV, v případě nesouhlasu s hodnotou uvedenou v rámci dojde k 
jeho zahození. 
 
 

+ nejméně výpočetně náročný 

-

krátký a statický( neměnný v čase) šifrovací klíč; neexistence mechanismu pro automatickou 
výměnu klíče; existence pouze slabých klíčů; slabá a pouze jednostranná možnost 
autentizace 

WAP 

 
Z anglického překladu (WiFi Protected Access). Představoval mezikrok mezi starým a 
nebezpečným protokolem WEP a zcela novým komplexním doporučením IEEE 802.11i. Řešil 
problémy WEP při současném zachování zpětné kompatibility s již existujícími zařízeními. 

WPAje nemožné používat zároveň s WEP. V síti mohou být přítomna buď zařízení 

zabezpečená pomocí WPA nebo WEP. Z toho vyplývá, že pokud chcete v síti použít zabezpečení 
WPA, je nutné aby veškerá zařízení vsíti tento standard podporovala. 
 
 
Základními vlastnostmi WPA jsou: 

-

autentizace pomocí IEEE 802.1x nebo pomocí PSK (Pre-Shared Key) 

-

šifrování pomocí protokolu TKI PTemporal Key Integrity Protocol) 

-

zajištění integrity dat pomocí algoritmuMIC(Message Integrity Code) 

-

kompatibilita se stávajícími zařízeními (podporu WPA lze přidat pouhou změnou ve firmwaru 
zařízení) 

Integrita 

Oběvuje se další nový protokol nový protokol 

​MIC​ pro zajištění integrity přenášených dat. Ten je 

vypočten z užitečných dat, zdrojové adresy, cílové adresy a hodnoty pole priorita. MIC slouží k 
ochraně dat proti úmyslné modifikaci a vícenásobnému použití zpráv (replay attack). 
 
 
 
 

Autentizace 

PKS 

V případě PSK je jak na AP, tak i na klientech umístěn 256bitový klíč, který v průběhu další 

výměny plní funkci PMK (Pairwise Master Key). PMK se obvykle nezadává přímo, ale místo něj se 
zadá heslo (passphrase) délky 8-63 znaků, které se převádí na PMK pomocí vztahu:  

PMK = PBKDF2(HMAC-SHA1, passphrase, ssid, 4096, 256) 

​kde PBKDF2 (Password-Based Key Derivation Function) je funkce definovaná v RFC2898.

 Protože kromě hesla je dalším parametrem i SSID sítě,je z bezpečnostního hlediska 

vhodné zvolit si pokud možno unikátní SSID, aby byla omezena možnost využití před počítaných 
slovníků na útoky typu rainbow attack.Číslo 4096 zde udává počet iterací funkce HMAC-SHA1 a 
256 je délka výstupu. Z klíče PMK je v průběhu čtyřcestné výměny (4-way handshake) odvozen 
PTK.Celý proces je znázorněn na obrázku. Stanice i AP vygenerují náhodná čísla ANonce a 
SNonce, která jsou spolu s PMK a MAC adresami obou zařízení použita k odvození PTK. 
PTK=PRF-512(PMK,„PairwiseKeyExpansion“,MIN(MACadresa-stanice,MACadresa-AP)||MAX(MACadresa-s