Ростелеком ТВ 

Тип безопасности и шифрования беспроводной сети. Какой выбрать? AES: шифрование данных

WPA шифрование подразумевает использование защищенной сети Wi-Fi. Вообще, WPA расшифровывается как Wi-Fi Protected Access, то есть защищенный .

Большинство системных администраторов умеют настраивать этот протокол и знают о нем достаточно много.

Но и обычные люди могут узнать достаточно много о том, что же такое WPA, как его настроить и как использовать.

Правда, в интернете можно найти множество статей по этому поводу, из которых невозможно ничего понять. Поэтому сегодня мы будем говорить простым языком о сложных вещах.

Немного теории

Итак, WPA – это протокол, технология, программа, которая содержит в себе набор сертификатов, используемых при передаче .

Если проще, эта технология позволяет использовать различные методы для защиты Wi-Fi сети.

Это может быть электронный ключ, он же – специальное свидетельство о праве использования данной сети (дальше мы об этом поговорим).

В общем, при помощи этой программы использовать сеть смогут только те, кто имеет на это право и это все, что Вам нужно знать.

Для справки: Аутентификация – это средство защиты, которое позволяет установить подлинность лица и его право на доступ к сети, при помощи сопоставления сообщенных им и ожидаемых данных.

К примеру, человек может проходить аутентификацию, когда прикладывает свой . Если он просто вводит логин и пароль, это только авторизация.

Но отпечаток пальца позволяет проверить, действительно ли заходит этот человек, а не кто-то взял его данные и вошел с их помощью.

Рис. 1. Сканер отпечатка пальца на смартфоне

А также на схеме есть WLC – контроллер беспроводной локальной сети. Справа расположен сервер аутентификации.

Все это соединяет обычный Switch (устройство, которое просто соединяет различные сетевые устройства). С контроллера посылается ключ на сервер аутентификации, запоминается там.

Клиент при попытке подключиться к сети должен передать на LAP ключ, который он знает. Этот ключ попадает на сервер аутентификации и сравнивается с нужным ключом.

Если ключи совпадают, сигнал свободно распространяется к клиенту.

Рис. 2. Примерная схема WPA в Cisco Pocket Tracer

Составляющие WPA

Как мы говорили выше, WPA использует специальные ключи, которые генерируются при каждой попытке начать передачу сигнала, то есть включить Wi-Fi, а также меняются раз в некоторое время.

В WPA входит сразу несколько технологий, которые и помогают генерировать и передавать эти самые ключи.

Ниже, на рисунке, показана общая формула, в которую входят все составляющие рассматриваемой технологии.

Рис. 3. Формула с составляющими WPA

А теперь рассмотрим каждую из этих составляющих по отдельности:

  • 1X – это стандарт, который используется для генерирования того самого уникального ключа, с помощью которого в дальнейшем и происходит аутентификация.
  • EAP – это так называемый расширяемый протокол аутентификации. Он отвечает за формат сообщений, с помощью которых передаются ключи.
  • TKIP – протокол, который позволил расширить размер ключа до 128 байт (раньше, в WEP, он был лишь 40 байт).
  • MIC – механизм проверки сообщений (в частности, они проверяются на предмет целостности). Если сообщения не отвечают критериям, они отправляются обратно.

Стоит сказать, что сейчас уже есть WPA2, в котором, кроме всего вышесказанного, используются также CCMP и шифрование AES.

Мы не будем сейчас говорить о том, что это такое, но WPA2 надежнее, чем WPA. Это все, что Вам точно нужно знать.

Еще раз с самого начала

Итак, у Вас есть . В сети используется технология WPA.

Чтобы подключиться к Wi-Fi, каждое устройство должно предоставить сертификат пользователя, а если проще, то специальный ключ, выданный сервером аутентификации.

Только тогда он сможет использовать сеть. Вот и все!

Теперь Вы знаете, что же такое WPA. Теперь поговорим о том, чем хороша и чем плоха эта технология.

Преимущества и недостатки WPA шифрования

К преимуществам данной технологии стоило бы отнести следующее:

  1. Усиленная безопасность передачи данных (в сравнении с WEP, предшественником, WPA).
  2. Более жесткий контроль доступа к Wi-Fi.
  3. Совместимость с большим количеством устройств, которые используются для организации беспроводной сети.
  4. Централизованное управление безопасностью. Центром в этом случае является сервер аутентификации. За счет этого злоумышленники не имеют возможности получить доступ к скрытым данным.
  5. Предприятия могут использовать собственные политики безопасности.
  6. Простота в настройке и дальнейшем использовании.

Конечно же, есть у данной технологии и недостатки, причем они зачастую оказываются весьма значительными. В частности, речь идет вот о чем:

  1. Ключ TKIP можно взломать максимум за 15 минут. Об этом заявила группа специалистов в 2008 году на конференции PacSec.
  2. В 2009 году специалистами из Университета Хиросимы был разработан метод взлома любой сети, где используется WPA, за одну минуту.
  3. С помощью уязвимости, названной специалистами Hole196, можно использовать WPA2 со своим ключом, а не с тем, который требуется сервером аутентификации.
  4. В большинстве случаев любое WPA можно взломать с помощью обычного перебора всех возможных вариантов (брут-форс), а также при помощи так называемой атаки по словарю. Во втором случае используются варианты не в хаотическом порядке, а по словарю.

Конечно, чтобы воспользоваться всеми этими уязвимостями и проблемами, необходимо иметь особенные знания в области построения компьютерных сетей.

Большинству рядовых пользователей все это недоступно. Поэтому Вы можете особо не переживать о том, что кто-то получит доступ к Вашему Wi-Fi.

Рис. 4. Взломщик и компьютер

Когда я впервые настраивала домашний Wi-Fi роутер, совершила серьезную ошибку: выбрала неправильный протокол шифрования. Как результат – мою точку взломали на следующий день даже с 8-значным паролем. Поняла я это только через несколько недель, а до этого довольствовалась медленной загрузкой страниц и прерыванием потокового видео. И это лишь половина вопроса: если через незащищенное соединение передавать конфиденциальную информацию и рабочие документы, они могут «уйти» не в те руки. Хотите избежать подобных проблем? Достаточно выбрать оптимальный протокол шифрования.

WEP 64 и WEP 128

Худшее, что можно сделать при настройке роутера – установить протокол шифрования WEP. Он не может гарантировать даже минимальный уровень безопасности: взломать вашу точку смогут за считанные минуты. И не только, чтобы воспользоваться бесплатным интернетом, но и получить личные данные.

WPA-PSK (TKIP) и

Еще один протокол шифрования, который я не советую выбирать: безопасность, прямо скажем, не 100%. Особенно, если вы выбрали тип шифрования TKIP.

WPA2-AES vs WPA2-TKIP

Версия протокола WPA2 – самый актуальный вариант. Когда возникает вопрос о типе шифрования, выбираем WPA2-AES – он обеспечит максимальную защиту вашей Wi-Fi сети и безопасность данных. В сравнении с ним тип шифрования TKIP считается менее надежным. Но если у вас устаревшее устройство и

Широкополосный доступ в интернет уже давно перестал быть роскошью не только в крупных городах, но и в отдалённых регионах. При этом многие сразу же обзаводятся беспроводными роутерами, чтобы сэкономить на мобильном интернете и подключить к скоростной линии смартфоны, планшеты и прочую портативную технику. Более того, провайдеры всё чаще сразу устанавливают своим клиентам маршрутизаторы со встроенной беспроводной точкой доступа.

Между тем, потребители далеко не всегда понимают, как на самом деле работает сетевое оборудование и какую опасность оно может нести. Главное заблуждение состоит в том, что частный клиент просто не представляет, что беспроводная связь может нанести ему какой-то ущерб – ведь он не банк, не секретная служба и не владелец порнохранилищ. Но стоит только начать разбираться, как вам сразу захочется вернуться к старому доброму кабелю.

1. Никто не станет взламывать мою домашнюю сеть

Вот главное заблуждение домашних пользователей, ведущее к пренебрежению элементарными нормами сетевой безопасности. Принято считать, есто если вы не знаменитость, не банк и не интернет-магазин, то никто не будет тратить на вас время, ведь результаты будут неадекватны приложенным усилиям.

Более того, почему-то упорно циркулирует мнение, что якобы небольшие беспроводные сети взломать сложнее, чем крупные, в чём есть крупица правды, но в целом это тоже миф. Очевидно, это утверждение основано на том, что у мелких локальных сетей ограниченная дальность распространения сигнала, поэтому достаточно понизить его уровень, и хакер просто не сможет обнаружить такую сеть из припаркованного рядом автомобиля или кафе по-соседству.

Возможно, когда-то это было так, но сегодняшние взломщики оснащены высокочувствительными антеннами, способными принять даже самый слабый сигнал. И тот факт, что у вас на кухне планшет постоянно теряет связь, вовсе не означает, что хакеру, сидящему в машине за два дома от вас, не удастся покопаться в вашей беспроводной сети.

Что же касается мнения, что взлом вашей сети не стоит потраченных усилий, то это совсем не так: в ваших гаджетах хранится море всевозможной персональной информации, которая, как минимум, позволит злоумышленнику от вашего имени заказать покупки, получить кредит, или, воспользовавшись методами социальной инженерии, добиться ещё более неочевидных целей вроде проникновения в сеть вашего работодателя или даже его партнёров. При этом отношение к сетевой безопасности у простых пользователей сегодня настолько пренебрежительное, что взломать домашнюю сеть не составит особого труда даже для новичков.

2. Дома не нужен двух- или трёхдиапазонный роутер

Считается, что многодиапазонные роутеры нужны только особо требовательным владельцам огромного количества гаджетов, которые хотят выжать из беспроводной связи максимально доступную скорость. Между тем, любому из нас не помешает хотя бы двухдиапазонный маршрутизатор.

Главное преимущество многодиапазонного роутера заключается в том, что разные устройства можно «раскидать» по разным диапазонам, и тем самым повысить потенциально возможную скорость передачи данных и, конечно же, надёжность связи. Например, вполне целесообразно было бы подключать ноутбуки к одному диапазону, телевизионные приставки – ко второму, а мобильные гаджеты – к третьему.

3. Диапазон 5 ГГц лучше диапазона 2,4 ГГц

Оценившие преимущества частотного диапазона 5 ГГц обычно рекомендуют всем переходить на него и вообще отказаться от использования частоты 2,4 ГГц. Но, как обычно, не всё так просто.

Да, 5 ГГц физически менее «заселён», чем более массовый 2,4 ГГц – в том числе и потому, что на 2,4 ГГц работает больше всего устройств на базе старых стандартов. Однако 5 ГГц уступает в дальности связи, в особенности в том, что касается проникновения через бетонные стены и другие преграды.

В целом, здесь нет однозначного ответа, можно посоветовать лишь использовать тот диапазон, в котором конкретно у вас приём лучше. Ведь вполне может оказаться, что в каком-то конкретном месте и полоса 5 ГГц перегружена устройствами – хотя это и очень маловероятно.

4. Не нужно трогать настройки роутера

Предполагается, что настройку оборудования лучше оставить профессионалам и ваше вмешательство способно только навредить работоспособности сети. Обычный способ представителей провайдера (и сисадминов) запугать пользователя, чтобы снизить вероятность неправильных настроек и последующих вызовов на дом.

Понятно, что если вы вообще не представляете, о чём там речь, лучше ничего не трогать, но даже непрофессионал вполне способен изменить некоторые настройки, повысив защищённость, надёжность и производительность сети. Хотя бы зайдите в веб-интерфейс и ознакомьтесь с тем, что там можно изменить – но если вы не знаете, что это даст, лучше оставьте всё как есть.

В любом случае есть смысл внести четыре поправки, если они уже не сделаны в настройках вашего роутера:

1) По возможности переключайтесь на новый стандарт – если его поддерживает как роутер, так и ваши устройства. Переход с 802.11n на 802.11ac даст существенный прирост скорости, как и переключение с более старых 802.11b/g на 802.11n.

2) Поменяйте тип шифрования . Некоторые установщики до сих пор оставляют домашние беспроводные сети либо полностью открытыми, либо с устаревшим стандартом шифрования WEP. Обязательно нужно поменять тип на WPA2 c шифрованием AES и сложным длинным паролем.

3) Измените логин и пароль по умолчанию . Практически все провайдеры при установке нового оборудования оставляют эти данные по умолчанию – если только их специально не попросить о смене. Это общеизвестная «дыра» домашних сетей, и любой хакер для начала обязательно попробует воспользоваться именно ею.

4) Отключите WPS (Wi-Fi Protected Setup) . Технология WPS обычно включена в роутерах по умолчанию – она предназначена для быстрого подключения совместимых мобильных устройств к сети без ввода длинных паролей. Вместе с тем WPS делает вашу локальную сеть очень уязвимой для взлома путём метода «грубой силы» – простого подбора пин-кода WPS, состоящего из 8 цифр, после чего злоумышленник без проблем получит доступ к ключу WPA/WPA2 PSK. При этом из-за ошибки в стандарте достаточно определить всего 4 цифры, а это уже всего 11 000 сочетаний, и для взлома понадобится перебрать далеко не все из них.

5. Сокрытие SSID спрячет сеть от хакеров

SSID – это сервисный идентификатор сети или попросту название вашей сети, которое используют для установки соединения различные устройства, когда-либо подключавшиеся к ней. Отключив трансляцию SSID, вы не будете появляться в соседском списке доступных сетей, но это не значит, что хакеры не смогут её найти: демаскировка скрытого SSID – задача для новичка.

Вместе с тем, спрятав SSID, вы даже упростите жизнь хакерам: все устройства, пытающиеся подключиться к вашей сети, станут перебирать ближайшие точки доступа, и могут подключиться к сетям-«ловушкам», специально созданным злоумышленниками. Можно развернуть такую подменную открытую сеть под вашим же раскрытым SSID, к которому ваши девайсы будут просто подключаться автоматически.

Поэтому общая рекомендация такова: дайте вашей сети такое название, в котором никак бы не упоминался ни провайдер, ни производитель роутера, ни какая-то личная информация, позволяющая идентифицировать вас и нанести точечные атаки по слабым местам.

6. Шифрование не нужно, если есть антивирус и брандмауэр

Типичный пример того, когда путают тёплое с мягким. Программы защищают от программных же угроз онлайн или уже находящихся в вашей сети, они не защищают вас от перехвата самих данных, передаваемых между роутером и вашим компьютером.

Для обеспечения сетевой безопасности нужен комплекс средств, куда входят и протоколы шифрования, и аппаратные или программные брандмауэры, и антивирусные пакеты.

7. Шифрования WEP достаточно для домашней сети

WEP небезопасен в любом случае, и он поддаётся взлому за считанные минуты с помощью смартфона. По уровню безопасности он мало отличается от полностью открытой сети, и это его главная проблема. Если вы интересуетесь историей вопроса, то можете найти в интернете массу материалов о том, что WEP запросто ломали ещё в начале «нулевых». Нужна ли вам такая «безопасность»?

8. Роутер с шифрованием WPA2-AES невозможно взломать

Если брать «сферический роутер с шифрованием WPA2-AES в вакууме», то это правда: по последним оценкам, при существующих вычислительных мощностей на взлом AES методами «грубой силы» уйдут миллиарды лет. Да, миллиарды.

Но это вовсе не означает, что AES не позволит хакеру добраться до ваших данных. Как и всегда, главная проблема – человеческий фактор. В данном случае, многое зависит от того, насколько сложным и грамотно составленным будет ваш пароль. При «бытовом» подходе к придумыванию паролей, методов социальной инженерии будет достаточно для взлома WPA2-AES за достаточно короткий срок.

О правилах составления хороших паролей мы подробно не так давно, так что всех интересующихся отсылаем к этой статье.

9. Шифрование WPA2-AES снижает скорость передачи данных

Технически, это действительно так, но в современных роутерах есть аппаратные средства, позволяющие свести это снижение к минимуму. Если вы наблюдаете существенное замедление соединения, это означает, что вы используете устаревший роутер, в которых были реализованы немного иные стандарты и протоколы. Например, WPA2-TKIP. Сам по себе TKIP был более безопасным, чем его предшественник WEP, но представлял из себя компромиссное решение, позволяющее использовать старое «железо» с более современными и защищёнными протоколами. Чтобы «подружить» TKIP c новым типом шифрования AES, использовались различные программные ухищрения, что и приводило к замедлению скорости передачи данных.

Ещё в 2012 году в стандарте 802.11 TKIP был признан недостаточно безопасным, но он всё ещё часто встречается в роутерах старых выпусков. Решение проблемы одно – купить современную модель.

10. Работающий роутер менять не нужно

Принцип для тех, кого сегодня вполне устраивает механическая пишущая машинка и телефон с наборным диском. Новые стандарты беспроводной связи появляются регулярно, и с каждым разом не только повышается скорость передачи данных, но и безопасность сети.

Сегодня, когда стандарт 802.11ac предусматривает передачу данных со скоростью выше 50 Мбит/с, старый роутер с поддержкой 802.11n и всех предыдущих стандартов может ограничивать потенциальную пропускную способность сети. В случае с тарифными планами, предусматривающими скорости выше 100 Мбит/с, вы просто будете платить лишние деньги, не получая полноценной услуги.

Конечно, срочно менять работающий роутер вовсе не обязательно, но в один прекрасный день настанет момент, когда к нему не сможет подключиться ни одно современное устройство.

), который позволяет защитить Вас от несанкционированного подключения, например, вредных соседей. Пароль паролем, но его ведь могут и взломать, если конечно, среди Ваших соседей нет «хакеров-взломщиков». Поэтому, Wi-Fi протокол еще имеет и различные типы шифрования, которые как раз и позволяют защитить Wi-Fi от взлома, хоть и не всегда.

На данный момент существуют такие типы шифрования, как OPEN , WEB , WPA , WPA2 , о которых мы сегодня и поговорим.

OPEN

Шифрование OPEN по сути никакого шифрования и не имеет, другими словами – нет защиты. Поэтому, любой человек, который обнаружит Вашу точку доступа, сможет легко к ней подключиться. Лучше всего будет поставить шифрования WPA2 и придумать какой-нибудь сложный пароль.

WEB

Данный тип шифрования появился в конце 90-х и является самым первым. На данный момент WEB (Wired Equivalent Privacy ) – это самый слабый тип шифрования. Некоторые роутеры и другие устройства, поддерживающие Wi-Fi, исключают поддержку WEB.

Как я уже сказал, шифрование WEB очень ненадежно и его лучше избегать, как и OPEN, так как, он создает защиту на очень короткое время, по истечению которого можно с легкостью узнать пароль любой сложности. Обычно пароли WEB имеют 40 или 103 бита, что позволяет подобрать комбинацию за несколько секунд.

Дело в том, что WEB передает части этого самого пароля (ключа) вместе с пакетами данных, а эти пакеты можно с легкостью перехватить. На данный момент существуют несколько программ, занимающихся как раз перехватом этих самых пакетов, но говорить об этом в этой статье я не буду.

WPA/WPA2


Данный тип является самым современным и новых пока что еще нет. Можно задавать произвольную длину пароля от 8 до 64 байтов и это достаточно сильно затрудняет взлом.

А тем временем, стандарт WPA поддерживает множество алгоритмов шифрования, которые передаются после взаимодействия TKIP с CCMP . TKIP был что-то типа мостика между WEB и WPA , и существовал до тех пор, пока IEEE (Institute of Electrical and Electronics Engineers) создавали полноценный алгоритм CCMP . Между тем, TKIP тоже страдал от некоторых типов атак, поэтому его тоже считают не очень безопасным.

Также, шифрование WPA2 использует два режима начальной аутентификации, другими словами, проверки пароля для доступа пользователя (клиента) к сети. Называются они PSK и Enterprise . Первый режим – означает вход по одному паролю, который мы вводим при подключении. Для больших компаний это не очень удобно, так как, после ухода каких-то сотрудников, приходится каждый раз менять пароль, чтобы он не получил доступ к сети, и уведомлять об этом остальных сотрудников, подключенных к этой сети. Поэтому, чтобы все это было более удобно, придумали режим Enterprise , который позволяет использовать множество ключей, хранящихся на сервере RADIUS .

WPS

Технология WPS или по-другому QSS позволяет подключаться к сети посредством простого нажатия кнопки. В принципе о пароле можно даже и не думать. Но тут тоже есть свои недостатки, которые имеют серьезные просчеты в системе допуска.

С помощью WPS мы можем подключаться к сети по коду, состоящему из 8 символов, по-другому PIN . Но в данном стандарте существуют ошибка из-за которой узнав всего 4 цифры данного пин кода, можно узнать и весть ключ, для этого достаточно 10 тысяч попыток . Таким образом, можно получить и пароль, каким бы сложным он не был.

На вход через WPS, в секунду можно отправлять по 10-50 запросов, и через часов 4-16 Вы получите долгожданный ключик.

Конечно, всему приходит конец, данная уязвимость была раскрыта и уже в будущих технологиях стали внедрять ограничения на число попыток входа, после истечения этого периода, точка доступа временно отключает WPS. На сегодняшний момент более половины пользователей все еще имеют устройства без данной защиты.

Если Вы хотите защитить свой пароль, то рекомендуется отключить WPS, делается это обычно в админ-панели. Если Вы иногда пользуетесь WPS, то включайте его только тогда, когда подключаетесь к сети, в остальное время выключайте.

Вот таким образом мы с Вами узнали о различных типах шифрования Wi-Fi сети, какие из них лучше, а какие хуже. Лучше, конечно же, использовать шифрование начиная с WPA, но WPA2 намного лучше.

По каким-то вопросам или есть, что добавить, обязательно отпишитесь в комментариях.

А тем временем, Вы можете посмотреть видео о том, как усилить Wi-Fi соединение , а также усилить USB-модем .

Здравствуйте дорогие читатели. Слабая система защиты маршрутизатора подвергает вашу сеть опасности. Все мы знаем, насколько важна безопасность маршрутизатора, но большинство людей не осознают, что некоторые настройки безопасности могут замедлить работы всей сети.

Основными вариантами шифрования данных, проходящих через маршрутизатор, являются протоколы WPA2-AES и WPA2-TKIP . Сегодня вы поговорим о каждом из них и объясним, почему стоит выбирать AES.

Знакомимся с WPA

WPA или защищённый доступ к Wi-Fi стал ответом Wi-Fi Альянса на уязвимости безопасности, которыми изобиловал протокол WEP. Важно отметить, что он не предназначался в качестве полноценного решения. Скорее, он должен был стать временным выбором, позволяющим людям использовать существующие маршрутизаторы, не прибегая к помощи протокола WEP, имеющего заметные изъяны в безопасности.

Хотя WPA и превосходил WEP, он тоже имел собственные проблемы с безопасностью. Несмотря на то, что атаки обычно не были способны пробиться через сам алгоритм TKIP (протокол целостности временного ключа), обладающий 256-битным шифрованием, они могли обойти дополнительную систему, встроенную в данный протокол и называющуюся WPS или Защищённая Установка Wi-Fi .

Защищённая Установка Wi-Fi была разработана для облегчения подключения устройств друг к другу. Однако из-за многочисленных брешей безопасности, с которыми она была выпущена, WPS начала исчезать в небытие, унося с собой WPA.

На данный момент как WPA, так и WEP уже не используются, поэтому мы станем вдаваться в подробности и, вместо этого, рассмотрим новую версию протокола — WPA2.

Почему WPA2 лучше

В 2006 году WPA стал устаревшим протоколом и на смену ему пришёл WPA2.

Замена шифрования TKIP на новый и безопасный алгоритм AES (стандарт продвинутого шифрования) привела к появлению более быстрых и защищённых Wi-Fi сетей. Причина в том, что TKIP был не полноценным алгоритмом, а скорее временной альтернативой. Проще говоря, протокол WPA-TKIP являлся промежуточным выбором, обеспечившим работоспособность сетей в течение трёх лет, прошедших между появлением WPA-TKIP и выпуском WPA2-AES.

Дело в том, что AES — реальный алгоритм шифрования, использующийся не только для защиты Wi-Fi сетей. Это серьёзный мировой стандарт, применявшийся правительством, когда-то популярной программой TrueCrypt и многими другими для защиты данных от любопытных глаз. Тот факт, что этот стандарт защищает вашу домашнюю сеть — приятный бонус, но для этого требуется приобрести новый маршрутизатор.

AES против TKIP в плане безопасности

TKIP — это, по сути, патч для WEP, решающий проблему из-за которой атакующий мог получить ваш ключ после исследования относительно небольшого объёма трафика, прошедшего через маршрутизатор. TKIP исправил эту уязвимость путём выпуска нового ключа каждые несколько минут, что в теории не позволило бы хакеру собрать достаточно данных для расшифровки ключа или потокового шифра RC4, на который полагается алгоритм.

Хотя TKIP в своё время стал значительным улучшением в плане безопасности, сегодня он превратится в устаревшую технологию, уже не считающуюся достаточно безопасной для защиты сетей от хакеров. К примеру, его крупнейшая, но не единственная уязвимость, известная как chop-chop атака стала достоянием общественности ещё до появления самого метода шифрования.

Chop-chop атака позволяет хакерам, знающим как перехватывать и анализировать потоковые данные, генерируемые сетью, использовать их для расшифровки ключа и отображения информации в виде обычного, а не закодированного текста.

AES — совершенно другой алгоритм шифрования, намного превосходящий возможности TKIP. Этот алгоритм представляет собой 128, 192 или 256-битный блоковый шифр, не страдающий уязвимостями, которые имел TKIP.

Если объяснять алгоритм простым языком, он берёт открытый текст и преобразует его в зашифрованный текст. Для стороннего наблюдателя, не имеющего ключа, такой текст выглядит как строка случайных символов. Устройство или человек на другой стороне передачи имеет ключ, который разблокирует или расшифровывает данные. В этом случае, маршрутизатор имеет первый ключ и шифрует данные до передачи, а у компьютера есть второй ключ, который расшифровывает информацию, позволяя вывести её на ваш экран.

Уровень шифрования (128, 192 или 256-бит) определяет количество перестановок применяемых к данным, а значит и потенциальное число возможных комбинаций, если вы заходите его взломать.

Даже самый слабый уровень AES шифрования (128-бит) теоретически невозможно взломать, поскольку компьютеру текущий вычислительной мощности потребовалось бы 100 миллиардов лет на поиск верного решения для данного алгоритма.

AES против TKIP в плане скорости

TKIP — устаревший метод шифрования и, кроме проблем с безопасностью, он также замедляет системы, которые до сих пор с ним работают.

Большинство новых маршрутизаторов (всё стандарта 802.11n или старше) по умолчанию используют шифрование WPA2-AES, но если вы работаете со старым маршрутизатором или по какой-то причине выбрали шифрование WPA-TKIP, высоки шансы, что вы теряете значительную часть скорости.

Любой маршрутизатор, поддерживающий стандарт 802.11n (хотя вам всё же стоит приобрести маршрутизатор AC), замедляется до 54 Мбит при включении WPA или TKIP в настройках безопасности. Это делается для того, чтобы протоколы безопасности корректно работали со старыми устройствами.

Стандарт 802.11ac с шифрованием WPA2-AES теоретически предлагает максимальную скорость 3,46 Гбит в оптимальных (читай: невозможных) условиях. Но даже если не принимать это во внимание, WPA2 и AES всё равно гораздо быстрее, чем TKIP.

Итоги

AES и TKIP вообще нельзя сравнивать между собой. AES — более продвинутая технология, во всех смыслах этого слова. Высокая скорость работы маршрутизаторов, безопасный браузинг и алгоритм, на который полагаются даже правительства крупнейших стран делают её единственно верным выбором для всех новых и уже существующих Wi-Fi сетей.

Учитывая всё, что предлагает AES, есть ли достойная причина отказаться от использования этого алгоритма в домашней сети? А почему вы применяете (или не применяете) его?