Shared Key

Beim shared Key Verfahren wird zur Authentifizierung von auf einen Access Point zugriffsberechtigten WLAN-Clients ein Challenge Response Verfahren auf Basis des WEP-Keys gemacht. Dazu wird die Authentifizierungsanfrage von WLAN-Clients mit einem 128 Byte langen Zufallstext vom Access Point beantwortet. Der WLAN-Client verschlüsselt diesen Zufallstext anhand des beiden Systemen bekannten WEP-Schlüssels und sendet das Ergebnis als Antwort an den Access Point zurück. Erst wenn der Access Point diese Antwort über den eingestellten WEP-Schlüssel wieder rekonstruieren kann, erhält der Client Zugriff auf das Netz. Dieses Verfahren kostet natürlich etwas Performance, macht aber den Datenverkehr per Funk etwas sicherer als völlig ungeschützte Systeme. Allerdings ist dieses Verfahren nicht sicher gegenüber Replay-Attacken und gilt deshalb als unsicher.

Der am Access Point benutzte WEP-Schlüssel muß an allen angeschlossenen WLAN-Clients identisch sein. Da alle WLAN-Clients quasi denselben Schlüssel verwenden (to share = teilen) um sich als berechtigter Nutzer am Access Point zu authentifizieren ist dieses System für professionelle Hotspots mit individualisierten User-Logins (z.B. zur Abrechnung) völlig unbrauchbar.

Der Unterschied zum sichereren Personal-Key-Verfahren ist, dass hier ganze Gruppen von Usern denselben Schlüssel benutzen. Es kann über diese Methode also festgestellt werden, ob jemand überhaupt die Berechtigung hat, sich in ein Netz einzulinken – die Frage, um wen es sich nun aber ganz genau handelt, wird mit diesem Verfahren jedoch nicht geklärt.

Auch wenn bei diesem Verfahren der WEP-Key involviert ist, hat die Benutzer-Authentifizierung nichts mit der Daten-Verschlüsselung zu tun, denn beide Systeme sind unabhängig voneinander. Da das shared Key Verfahren eigentlich nicht wirklich wasserdicht funktioniert wie es sollte und zudem beim Cracken des WEP-Keys hilft ist es zu empfehlen Open System zu verwenden, am besten in Kombination mit einem professionellen Verschlüsselungssystem wie IPsec auf höherer Ebene und zur Authentifizierung von berechtigten Usern einen RADIUS-Server (Stichwort: Virtual Private Network, VPN).

Siehe auch Open System

Navigation
Drucken/exportieren