IEEE 802.11i eli WPA2 on langattomien 802.11-verkkojen viimeisin tietoturvastandardi, jolla on pyritty ratkaisemaan niissä olevat tietoturvaongelmat.
Standardissa määritellään IEEE 802.1X:n mukainen todennus- ja avaintenhallintakäytäntö sekä parannetut menetelmät tiedon salaukseen. 802.11i tarjoaa samat ratkaisut kuin aiempi WPA-standardi mutta lisäksi valittavana on kokonaan uudenlainen salausmekanismi AES (Advanced Encryption Standard). AES on salausalgoritmina hyvin erilainen kuin WPA:n käyttämä RC4 ja vaatii jonkin verran enemmän prosessointitehoa. Se pystyy käyttämään eripituisia avaimia, vaihtoehtoina 128-, 192- ja 256-bittiset pituudet. 802.11i-standardin yhteydessä käytettäneen aluksi 128-bittistä salausta.
WPA2 on ollut Wi-Fi Alliancen hyväksymissä laitteissa tuettu vuodesta 2006 lähtien[1].
Policy Decision Point (PDP) Policyn päätöspiste
Policy Enforcing Point (PEP) looginen policyn noudattamispiste
Session Decision Token (SDT) data structure representing a policy decision
Session Enforcement Token (SET) data structure used to enforce policy decision
PDP → PEP
1. PDP lähettää Istuntokohtaisen SDT:n
2. SDT:stä rakennetaan SET ja levitetään se
3. PEP käyttää SET:iä toteuttaakseen policy-päätöksen
Kun langaton asema liittyy langattomaan verkkoon, autentikointi tapahtuu autentikointipisteessä, autentikointipalvelimella. PDP:tä on kuitenkin kaksi, autentikointipalvelin, sekä langaton asema. Molempien on tehtävä sama autentikointipäätös, tai yhteyttä ei synny. Policy päätetään autentikoituessa ja onnistuneen autentikoinnin seurauksena syntyy symmetrinen Master Key, joka on vain aseman ja autentikointipalvelimen välinen.
PEP:tä, eli missä policya noudatetaan ja valvotaan on myös kaksi, langaton asema, sekä tukiasema.
autentikointipalvelin lähettää SDT:n PEP:lle, joka voi olla sekä AP (access point) tai langaton autentikoitava asema, STA. Policy Enforcement Tokenia kutsutaan Pairwise Master Keyksi, PMK:si. Vain STA, sekä AS voi luoda PMK:n, joka johdetaan aikaisemmin jaetusta MK:sta. PMK:n hallinta edustaa valtuutettua pääsyä langattomalle kanavalle. MK sekä PMK ovat istuntokohtaisia.
Autentikoituessa käytössä on EAP-protokolla, EAP on käytössä päästä päähän. 802.1x kuljettaa EAP:in 802 LAN:in yli.
havainnointi
802.1X autentikointi
RADIUS-pohjainen avainten jakelu
802.1x-avainten hallinta
Salaukseen on tarjolla kaksi vaihtoehtoa, TKIP ja CCMP.
Temporal Key Integrity Protocol, TKIP on suunniteltu vanhemman WLAN –laitteiston yhteensopivuutta varten. TKIP on WPA standardin käyttämä salaustekniikka, jossa on korjattu WEPistä löytyneet turva-aukot. TKIP parantaa langattoman verkon turvallisuutta huomattavasti ottamalla käyttöön pakettikohtaiset salausavaimet. Salaukseen käytetään edelleen RC4-algoritmia, mutta salausavaimen pituus on 128 bittiä.
Counter Mode with CBC-MAC Protocol, CCMP, käyttää AES-salausta. Jokaisella salattavalla paketilla on yksilöllinen pakettinumero, jota käytetään pakettien toiston huomaamiseen.
Suomen Kyberturvallisuuskeskus suosittelee kuluttajille AES-algoritmia käyttävää WPA2-salausmenetelmää, ja vahvaa salasanaa. Langattoman tukiaseman asetuksissa se esiintyy yleensä merkintänä "WPA2+PSK (AES)" tai "WPA2-Personal"[1].