自治区交通运输厅召开全区出租汽车改革推进会

百度 在此期间，他将在台北美国商会谢年饭致词，也会和台当局讨论许多至关重要的议题。

IEEE 802.11i o, più brevemente 802.11i, è un emendamento dello standard IEEE 802.11 che definisce l'implementazione del meccanismo Wi-Fi Protected Access 2 o WPA2. Il documento è stato ratificato da IEEE il 24 giugno 2004^[1] e specifica i meccanismi di sicurezza per le reti wireless, sostituendo il breve paragrafo Authentication and privacy dello standard originale con un capitolo Security più dettagliato. Il documento depreca l'algoritmo Wired Equivalent Privacy (WEP) ed è stato incorporato allo standard generale nella versione IEEE 802.11-2007.^[2]

La specifica annulla e sostituisce il meccanismo di sicurezza WEP, unico previsto fino a quel momento, che si era dimostrato altamente vulnerabile.^[3][4] Il consorzio Wi-Fi Alliance aveva già introdotto nel 2003 una versione preliminare del Wi-Fi Protected Access, nota anche come WPA, basata su una bozza intermedia della 802.11i, per iniziare a risolvere le vulnerabilità del WEP.^[5] Questa versione è in grado di interoperare con la versione definitiva dello standard.^[6]

L'algoritmo finale definito da 802.11i utilizza la cifratura a blocchi Advanced Encryption Standard (AES), mentre WEP e WPA si basano sulla cifratura a flusso RC4.^[1]

IEEE 802.11i estende lo standard precedente IEEE 802.11-1999 introducendo due nuovi protocolli che permettono di qualificare una rete wireless come Robust Security Network (rete a sicurezza robusta):^[7] l'handshake a quattro vie (four-way handshake) e il group key handshake (handshake a chiave di gruppo). Per il calcolo e lo scambio delle opportune chiavi crittografiche, entrambi i protocolli impiegano i servizi di autenticazione e di controllo di accesso alle porte descritti nello standard IEEE 802.1X.^[8]

Lo standard prevede inoltre due meccanismi per la confidenzialità e l'integrità dei dati sempre di tipo Robust Security Network Associations (RSNA): il Temporal Key Integrity Protocol (protocollo di integrità della chiave temporale, TKIP) e la crittografia di tipo CCMP, obbligatoria dato che i suoi meccanismi di confidenzialità e integrità sono più robusti rispetto a quelli del TKIP.^[9] Il motivo principale per l'implementazione del TKIP è garantire la compatibilità con la maggior parte dei dispositivi più vecchi il cui hardware supporta solo WEP.^[10]

Il processo di autenticazione iniziale avviene utilizzando una chiave pre-condivisa (Pre-Shared Key, PSK), o tramite Extensible Authentication Protocol (EAP) secondo lo standard 802.1X, nella modalità Extensible Authentication Protocol Over LAN (EAPOL) che richiede la presenza di un server per l'autenticazione. Questo processo assicura che il dispositivo client (client station, STA) sia prima di tutto autenticato verso l'Access Point (AP). Dopo che è avvenuta l'autenticazione, viene generata una chiave segreta condivisa, denominata Pairwise Master Key (PMK). Con l'autenticazione a chiave pre-condivisa, la PMK coincide con la PSK,^[11] che è ottenuta per derivazione dalla password del Wi-Fi usando SHA-1 come funzione di hash.^[12] Nel caso di autenticazione basata su EAP/802.1X, la PMK è derivata dai parametri EAP forniti dal server di autenticazione,^[13] in particolare dai primi 256 bit di una chiave speciale, la Master Session Key (MSK) che viene scambiata o generata durante l'autenticazione 802.1X.^[14] A partire dalla MSK l'AP genera anche una Group Master Key (GMK) per la crittografia dei messaggi di tipo multicast e broadcast. Allo scadere dell'intervallo temporale configurato, questa chiave viene rigenerata per ridurre il rischio di compromissione.

L'handshake a quattro vie^[1] è concepito in maniera tale che l'Access Point (che svolge il ruolo di "autenticatore", authenticator) e il client wireless (che svolge il ruolo di "richiedente", supplicant) sono in grado di dimostrarsi a vicenda che conoscono la PSK/PMK senza aver bisogno di rivelarla o trasmetterla e sulla base di questo generare le chiavi crittografiche come derivazione dalla PSK/PMK.

Per verificare che la PSK/PMK sia effettivamente la stessa, l'AP e il cliente si scambiano messaggi cifrati che possono essere decrittati solo tramite la PMK già condivisa: l'operazione, se va a buon fine, dimostra la conoscenza reciproca della chiave. L'handshake a quattro vie è cruciale per la protezione della PMK da parte di access point malevoli - per esempio una SSID ingannevole che imita un punto di accesso reale - dato che il client non comunica mai la sua PMK all'Access Point e l'handshake fallirebbe in caso di SSID ingannevoli.^[15]

Come indica il nome, l'handshake a quattro vie richiede lo scambio di quattro messaggi tra l'autenticatore (AP) e il richiedente (la stazione supplicant, STA).^[14] Alla fine dello scambio, vengono generate una chiave transitoria usata per la crittografia dei messaggi di tipo unicast, ossia quelli diretti tra AP e un singolo cliente (Pairwise Transient Key, PTK), e una chiave di gruppo (Group Temporal Key, GTK), derivata dalla GMK, che viene usata dall'AP per crittare i messaggi di tipo multicast o broadcast destinati a più client contemporaneamente; dato che i client possono trasmettere solo traffico unicast, utilizzano questa chiave solo per decrittare i messaggi multicast o broadcast.^[14] Mentre la GTK è condivisa da tutti i client connessi alla rete wireless, la PTK è unica e differente per ogni singolo client.^[14]

La generazione delle chiavi di tipo PTK si basa su cinque parametri:^[14]

1. Un numero pseudocasuale (nonce) che viene generato autonomamente dall'AP (ANonce); il numero è lungo 256 bit^[16]
2. Un numero pseudocasuale (nonce) che viene generato autonomamente dalla stazione STA (SNonce); il numero è lungo 256 bit^[16]
3. L'indirizzo MAC dell'Authenticator (AP), che è nativo per l'AP e noto alla STA tramite le frame ricevute dall'AP (MAC_Auth)
4. L'indirizzo MAC del cliente supplicant (STA), che è nativo per la STA e noto all'AP tramite le frame ricevute dalla STA (MAC_Supp)
5. La PMK condivisa

Il valore finale della PTK viene calcolato in questo modo:^[17]

${\displaystyle PTK=PRF(PMK,(min(ANonce,SNonce)||max(ANonce,SNonce)||min(MAC_{Auth},MAC_{Supp}||max(MAC_{Auth},MAC_{Supp})),Len)}$

dove ${\displaystyle PRF}$ è una funzione pseudocasuale, ${\displaystyle ||}$ è l'operatore di concatenazione e ${\displaystyle Len}$ la lunghezza in bit della chiave, che nel caso di AES-CCMP è pari a 384.^[18]

La PTK risultante combina in realtà tre chiavi crittografiche:^[17]

• I primi 128 bit della PTK (0–127) costituiscono la Key Confirmation Key (KCK) che è una chiave di sessione legata all'autenticazione
• I secondi 128 bit della PTK (128–255) costituiscono la Key Encryption Key (KEK) che è una chiave di sessione usata per crittare le chiavi
• I rimanenti bit della PTK (256–${\displaystyle n}$) costituiscono la Temporal Key (chiave temporale, TK).

La chiave di gruppo GTK viene invece calcolata in modo totalmente autonomo dall'AP come derivazione dalla GMK.^[14]

All'inizio della sequenza di handshaking, ogni entità coinvolta possiede queste informazioni:

• AP: PMK, ANonce, indirizzo MAC dell'AP e indirizzo MAC della STA (più la GMK precalcolata)
• STA: PMK, SNonce, indirizzo MAC dell'AP e indirizzo MAC della STA

I quattro messaggi della sequenza sono:^[14]

1. AP invia a STA il valore di ANonce. Con questo valore, STA possiede tutti i parametri per eseguire il calcolo della PTK.
2. STA invia ad AP il valore di SNonce, insieme alle proprie caratteristiche di RSN e un Message Integrity Check (controllo dell'integrità del messaggio, MIC) che AP utilizza per verificare che il messaggio è stato ricevuto senza errori. Anche AP possiede adesso tutti i parametri per eseguire il calcolo della PTK e procede al calcolo della GTK.
3. AP invia a STA ANonce, le proprie caratteristiche di RSN, MIC e il valore di GTK. STA, una volta verificata l'integrità del messaggio, procede a installare le chiavi crittografiche.
4. STA invia ad AP un messaggio finale di conferma dell'installazione delle chiavi crittografiche.

Da questo momento in avanti, tutti i messaggi unicast scambiati tra STA ed AP sono decrittati tramite PTK e tutti i messaggi multicast o broadcast inviati da AP sono decrittati tramite GTK.^[14]

Quando un client (stazione) esce dalla rete wireless, l'AP deve ricalcolare e rigenerare la GTK per evitare che la stazione possa continuare a decriptare messaggi multicast o broadcast che non sono più indirizzati a lei. Per comunicare il nuovo valore alle stazioni rimaste nella rete, si utilizza un handshake specifico a due vie (Group Key Handshake) che prevede le seguenti fasi:^[19][20]

1. AP manda a ciascun client il nuovo valore della GTK, crittato con la chiave KEK,^[21] insieme al MIC di controllo dell'integrità. Il client decritta il messaggio e installa la nuova chiave di gruppo
2. Il client manda ad AP un messaggio di conferma, insieme al relativo MIC, per segnalare che la nuova GTK è stata installata.

Va osservato che questo processo di rigenerazione riguarda solo la GTK: la PTK generata per i messaggi di tipo unicast non viene modificata.^[20]

WPA2 si è dimostrato vulnerabile agli attacchi di tipo KRACK (Key Reinstallation AttaCK, attacco tramite reinstallazione della chiave), scoperto nel 2016^[22] e dettagliato nel 2017^[23]. La vulnerabilità è intrinseca all'handshaking a quattro vie, in particolare l'attacco sfrutta il terzo messaggio dell'handshaking simulando una perdita di connessione temporanea e resettando in continuazione l'ANonce inviato in tale messaggio. A ogni reset, il messaggio diventa sempre più leggibile fino ad arrivare a poter leggere in chiaro le chiavi crittografiche.^[24]

Per mitigare il rischio di questo tipo di vulnerabilità, senza tuttavia annullarne la possibilità, il consorzio Wi-Fi Alliance ha definito WPA3,^[25] il cui supporto è stato indicato come obbligatorio nella normativa IEEE 802.11ax per le frequenze a 6 GHz.^[26]

• (EN) IEEE 802.11i-2004: Amendment 6: Medium Access Control (MAC) Security Enhancements (PDF), IEEE, 23 luglio 2004 (archiviato dall'url originale il 17 maggio 2005).
• (EN) Clint Chaplin, Emily Qi, Henry Ptasinski, Jesse Walker e Sheung Li, 802.11i Overview (PDF), doc.: IEEE 802.11-04/0123r1, IEEE, 9 febbraio 2005.

• IEEE 802.11
• WiFi
• Wired Equivalent Privacy
• Wi-Fi Protected Access

V · D · M Norme dell'Institute of Electrical and Electronics Engineers
Attuali	488 · 730 · 754 (Revision) · 854 · 828 · 829 · 896 · 1003 · 1014 · 1016 · 1076 · 1149.1 · 1154 · 1164 · 1275 · 1278 · 1284 · 1355 · 1394 · 1451 · 1497 · 1516 · 1541 · 1547 · 1584 · 1588 · 1596 · 1603 · 1613 · 1666 · 1667 · 1675 · 1685 · 1722 · 1733 · 1800 · 1801 · 1815 · 1850 · 1900 · 1901 · 1902 · 1904 · 1905 · 2030 · 2050 · 11073 · 12207 · 14764 · 16085 · 16326 · 29148 · 42010
802 series	802.1 D · p · Q · Qav · Qat · Qay · w · X · ab · ad · AE · ag · ah · ak · aq · AS · ax · az · BA 802.3 -1983 · a · b · d · e · i · j · u · x · y · z · ab · ac · ad · ae · af · ah · ak · an · aq · at · av · az · ba · bt · by · bz · cg 802.11 legacy · a · b · c · d · e · f · g · h · i · j · k · n · p · r · s · u · v · w · y · ac · ad · af · ah · ai · aj · aq · ax · ay · ba · bb · be · bn .2 · .4 · .5 · .6 · .7 · .8 · .9 · .10 · .12 · .14 · .15 (.1 · .4 · .4a · .6) · .16 (Original · d · e) · .17 · .18 · .20 · .21 · *.22
Proposte	P1363 · P1619 · P1699 · P1823 · P1906.1
Sostituite	754-1985 · 830 · 1219 · 1233 · 1362 · 1364 · 1471