Tweet
Mã hóa trong Wi-Fi: Từ TKIP đến WPA3
Trong suốt quá trình phát triển của Wi-Fi, nhiều cơ chế mã hóa đã được áp dụng nhằm đảm bảo an toàn cho dữ liệu truyền không dây. Hai thuật toán quan trọng từng xuất hiện là TKIP và AES-CCMP, sau này gắn liền với các chuẩn WPA, WPA2, WPA3. 1. TKIP (Temporal Key Integrity Protocol)
TKIP được tạo ra như một bản vá cho WEP, tận dụng lại cơ chế RC4 vốn tồn tại nhiều lỗ hổng.
Đặc điểm chính:
AES-CCMP xuất hiện như sự thay thế hoàn toàn cho DES/3DES và RC4.
Đặc điểm chính:
Wi-Fi Protected Access (WPA)
Song song với các thuật toán mã hóa, Wi-Fi Alliance đã định nghĩa WPA như một chứng chỉ bảo mật Wi-Fi, kết hợp cả xác thực và mã hóa. WPA (Wi-Fi Protected Access)
Tóm lại
👉 Với anh em network engineer, cần lưu ý:
Trong suốt quá trình phát triển của Wi-Fi, nhiều cơ chế mã hóa đã được áp dụng nhằm đảm bảo an toàn cho dữ liệu truyền không dây. Hai thuật toán quan trọng từng xuất hiện là TKIP và AES-CCMP, sau này gắn liền với các chuẩn WPA, WPA2, WPA3. 1. TKIP (Temporal Key Integrity Protocol)
TKIP được tạo ra như một bản vá cho WEP, tận dụng lại cơ chế RC4 vốn tồn tại nhiều lỗ hổng.
Đặc điểm chính:
- TKIP là lớp bọc (wrapper) trên WEP, cho phép các thiết bị phần cứng cũ nâng cấp dễ dàng mà không cần thay đổi chipset.
- Cơ chế per-packet keying: mỗi gói tin đều được trộn với giá trị seed riêng, giúp tăng cường tính bảo mật so với WEP.
- Tuy nhiên, TKIP vẫn dựa vào RC4, vốn không còn an toàn.
- Được sử dụng trong WPA, nhưng đã bị khai tử khi WPA2 ra đời.
AES-CCMP xuất hiện như sự thay thế hoàn toàn cho DES/3DES và RC4.
Đặc điểm chính:
- Hỗ trợ các độ dài khóa 128, 192, 256 bit.
- Được chuẩn hóa trong IEEE 802.11i, là thành phần cốt lõi của WPA2.
- Hầu hết chipset hiện đại đều có phần cứng tăng tốc để xử lý AES.
- Được xem là chuẩn mã hóa chính thức, thay thế TKIP hoàn toàn.
Wi-Fi Protected Access (WPA)
Song song với các thuật toán mã hóa, Wi-Fi Alliance đã định nghĩa WPA như một chứng chỉ bảo mật Wi-Fi, kết hợp cả xác thực và mã hóa. WPA (Wi-Fi Protected Access)
- Xuất phát từ bản nháp 802.11i, nhưng vẫn dùng TKIP thay vì AES.
- Cơ chế tạo khóa gói (packet key) trộn master key + số gói (packet number) + MAC address, sau đó dùng engine WEP.
- Tương thích ngược với phần cứng cũ (WEP card).
- Hỗ trợ cả PSK và Enterprise (802.1X).
- Là giải pháp tạm thời thay thế WEP, nhưng nay đã lỗi thời.
- Chuẩn hóa hoàn toàn theo 802.11i.
- Sử dụng AES-CCMP.
- Hỗ trợ PSK hoặc Enterprise.
- Bổ sung bảo vệ Management Frame (802.11w).
- Trở thành chuẩn mặc định toàn cầu, và vẫn phổ biến rộng rãi.
- Được Wi-Fi Alliance công bố khoảng 2018–2019, kỳ vọng thành chuẩn mới từ 2020.
- Kháng tấn công mạnh hơn WPA2, đặc biệt với brute force.
- Hỗ trợ SAE (Simultaneous Authentication of Equals) thay thế cho PSK truyền thống.
- Cung cấp Forward Secrecy: dữ liệu vẫn an toàn ngay cả khi khóa bị lộ sau này.
- Hướng tới trải nghiệm vô hình với người dùng (transparency).
- Được thiết kế trở thành chuẩn bảo mật Wi-Fi mặc định trong thập kỷ mới.
Tóm lại
- TKIP: bản vá cho WEP, nhưng vẫn yếu do RC4.
- AES-CCMP: chuẩn mã hóa mạnh, thay thế RC4, nền tảng cho WPA2.
- WPA: giải pháp trung gian, nay đã lỗi thời.
- WPA2: chuẩn vàng của Wi-Fi gần 15 năm qua.
- WPA3: tương lai của bảo mật Wi-Fi, mang đến forward secrecy và bảo mật mạnh mẽ hơn.
👉 Với anh em network engineer, cần lưu ý:
- Trong các triển khai thực tế, luôn tắt TKIP, chỉ cho phép AES-CCMP hoặc cao hơn.
- Bắt đầu chuyển sang WPA3 khi hạ tầng và client đã hỗ trợ, đặc biệt trong môi trường doanh nghiệp nhạy cảm.
Attached Files