Temporal Key Integrity Protocol
TKIP (Temporal Key Integrity Protocol) es también llamado hashing de clave WEP WPA, incluye mecanismos del estándar emergente 802.11i para mejorar el cifrado de datos inalámbricos. WPA tiene TKIP, que utiliza el mismo algoritmo que WEP, pero construye claves en una forma diferente. Esto era necesario porque la ruptura de WEP había dejado a las redes WiFi sin seguridad en la capa de enlace, y se necesitaba una solución para el hardware ya desplegado.
Contexto
El 31 de octubre de 2002, la Wi-Fi Alliance respaldó la aprobación de TKIP bajo el nombre de Wi-Fi Protected Access (WPA).[1] El IEEE aprobó la versión final del protocolo TKIP, junto con las soluciones más robustas, tales como 802.1X y la AES basada en CCMP, cuando publicaron los estándares IEEE 802.11i-2004, el 23 de julio de 2004.[2] la Wi-Fi Alliance poco después adoptó la especificación completa bajo el nombre comercial WPA2.[3]
TKIP fue dado de baja por la IEEE en enero de 2009.[4]
Detalles técnicos
TKIP es una solución temporal que resuelve el problema de reutilización de los Vectores de Inicialización del cifrado WEP. WEP utiliza periódicamente el mismo Vector de Inicialización para cifrar los datos.
El proceso de TKIP comienza con una clave temporal de 128 bits que es compartida entre los clientes y los puntos de acceso. Combina la clave temporal con la dirección MAC del cliente. Luego agrega un vector de inicialización relativamente largo, de 16 octetos, para producir la clave que cifrará los datos. Este procedimiento asegura que cada estación utilice diferentes streams claves para cifrar los datos. El hashing de clave WEP protege a los vectores de inicialización (IVs) débiles para que no sean expuestos haciendo hashing del IV por cada paquete.
Utiliza el algoritmo RC4 para realizar el cifrado, que es lo mismo que se usa en el cifrado WEP. Sin embargo, una gran diferencia con el WEP es que cambia las claves temporales cada 10 000 paquetes. Esto proporciona un método de distribución dinámico, lo que mejora significativamente la seguridad de la red.
Ventajas frente a WEP
Una ventaja de usar TKIP es que las compañías que tienen puntos de acceso basados en WEP y NICs de radio pueden actualizarse a TKIP a través de parches de firmware relativamente simples. Además, el equipo sólo WEP aún interoperará con los dispositivos con TKIP activado usando WEP. TKIP es sólo una solución temporal. La mayoría de los expertos creen que aún es necesario un cifrado más fuerte.
Las mejoras de TKIP, como MIC, proveen claves WEP más fuertes. MIC evita los ataques de bit-flip en paquetes cifrados. Durante un ataque bit-flip, un intruso intercepta un mensaje cifrado, lo altera levemente y lo retransmite. El receptor acepta el mensaje retransmitido como legítimo. El controlador y el firmware del adaptador cliente deben soportar la funcionalidad del MIC, y MIC debe estar activo en el punto de acceso. Las mejoras de TKIP, como MIC y hashing de clave WEP pueden ser activadas usando claves WEP estáticas. No necesitan un servidor RADIUS para funcionar.
Seguridad
TKIP utiliza el mismo mecanismo subyacente como WEP, y en consecuencia es vulnerable a un número de ataques similares. La comprobación de la integridad del mensaje, hashing por paquete, la rotación de claves de difusión, y un contador de secuencia desalientan muchos ataques. La función de mezcla de claves también elimina los ataques de recuperación de clave WEP.
A pesar de estos cambios, la debilidad de algunas de estas incorporaciones han permitido nuevos, aunque más estrechos, ataques.
Legado
ZDNet informó el 18 de junio de 2010 que WEP y TKIP pronto serían prohibidos en dispositivos Wi-Fi por la Wi-Fi Alliance.[5]
Véase también
Referencias
- «Wi-Fi Alliance Announces Standards-Based Security Solution to Replace WEP». Wi-Fi Alliance. 31 de octubre de 2002. Archivado desde el original el 3 de enero de 2008. Consultado el 21 de diciembre de 2007.
- «IEEE 802.11i-2004: Amendment 6: Medium Access Control (MAC) Security Enhancements» (pdf). IEEE Standards. 23 de julio de 2004. Consultado el 21 de diciembre de 2007.
- «Wi-Fi Alliance Introduces Next Generation of Wi-Fi Security». Wi-Fi Alliance. 1 de septiembre de 2004. Archivado desde el original el 3 de enero de 2008. Consultado el 21 de diciembre de 2007.
- «802.11mb Issues List v12» (excel). 20 de enero de 2009. p. CID 98.
- ZDNet (18 de junio de 2010). «Wi-Fi Alliance to dump WEP and TKIP ... not soon enough» (en inglés). Archivado desde el original el 27 de septiembre de 2011. Consultado el 1 de junio de 2012.