IEEE 802.11i
Hemos visto que con WEP utilizamos claves estáticas que son relativamente fáciles de averiguar. La solución al problema que plantea WEP consiste en establecer un sistema dinámico de claves sin necesidad de intervención del administrador y con este propósito se establece el estándar IEEE 802.11i.
El estándar IEEE 802.11i incluye protocolos de gestión de claves y mejoras de cifrado y autenticación con IEEE 802.1X.
TKIP
TKIP (Temporary Key Integrity Protocol) es un protocolo de gestión de claves dinámicas admitido por cualquier adaptador que permite utilizar una clave distinta para cada paquete transmtido. La clave se construye a partir de la clave base, la dirección MAC de la estación emisora y del número de serie del paquete como vector de inicialización.
Cada paquete que se transmite utilizando TKIP incluye un número de serie único de 48 bits que se incrementa en cada nueva transmisión para asegurar que todas las claves son distintas. Esto evita "ataques de colisión" que se basan en paquetes cifrados con la misma clave.
Por otro lado al utilizar el número de serie del paquete como vector de inicialización (IV), también evitamos IV duplicados. Además, si se inyectara un paquete con una contraseña temporal que se hubiese podido detectar, el paquetes estaría fuera de secuencia y sería descartado.
En cuanto a la clave base, se genera a partir del identificador de asociación, un valor que crea el punto de acceso cada vez que se asocia una estación. Además del identificacador de asociación, para generar la clave base se utilizan las direcciones MAC de la estación y del punto de acceso, la clave de sesión y un valor aleatorio.
Como veremos más adelante, la clave de sesión puede ser estática y compartida (PSK) por toda la red o bien, mediante 802.1X, transmitirla por un canal seguro.
CCMP
CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) es un nuevo protocolo que utiliza AES como algoritmo criptográfico y proporciona integridad y confidencialidad.
CCMP se basa en el modo CCM del algoritmo de cifrado AES y utiliza llaves de 128 bits con vectores de inicialización de 48 bits.
CCMP consta del algoritmo de privacida que es el "Counter Mode" (CM) y del algoritmo de integridad y autenticidad que es el "Cipher Block Chaining Message Authentication Code" (CBC-MAC).
CCMP es obligatorio sobre RSN (Robust Secure Network).
WRAP
Existe un sistema de cifrado opcional denominado WRAP (Wireless Robust Authentication Protocol) que puede sustituir a CCMP.