Wi-Fi Protected Access
Wi-Fi Protected Access (WPA) is een systeem om veilige draadloze netwerken (wifi) op te zetten dat is ontwikkeld nadat onderzoekers een aantal zwakke plekken in WEP (Wired Equivalent Privacy) hadden gevonden. WPA is gebaseerd op een deel van de 802.11i-standaard van IEEE en bedoeld als tussenoplossing voor de problemen met WEP terwijl de nieuwe draadloze veiligheidsstandaard (802.11i) werd ontwikkeld. Certificatie van producten met WPA is begonnen in april 2003; de volledige 802.11i werd geratificeerd in juni 2004.
WPA is bedoeld om gebruikt te worden met een IEEE 802.1X-authenticatieserver die elke gebruiker verschillende sleutels geeft, maar kan ook gebruikt worden in de zogenaamde pre-sharedkeymode (PSK) waarbij de sleutel door de gebruiker zelf moet worden ingevoerd. WPA gebruikt RC4 met een 128 bits sleutel en een 48 bits initialisatievector (IV).
Een belangrijke verbetering ten opzichte van WEP was het gebruik van het Temporal Key Integrity Protocol (TKIP) dat ervoor zorgde dat de sleutels regelmatig en automatisch worden gewijzigd, maar is ondertussen reeds vervangen door WPA2/CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol), gebaseerd op AES (Advanced Encryption Standard). De Cyclic Redundancy Check (CRC) gebruikt in WEP is compleet onveilig: het is mogelijk om, zonder de WEP-sleutel te weten, de inhoud van een versleuteld pakket en de CRC zo te wijzigen dat het pakket ten onrechte als goed zal worden herkend. WPA gebruikt een veel veiliger algoritme genaamd Message Integrity Check (MIC). De MIC in WPA wordt ook berekend over een pakketteller zodat een cryptoaanval waarbij bestaande pakketten worden herhaald (zo goed als) onmogelijk wordt.
De grotere sleutel en initialisatievector, het regelmatig wisselen van de sleutels en de toevoeging van de MIC lossen de bekende problemen met WEP op en maken het inbreken in een draadloos netwerk op basis van WPA veel moeilijker. Een aanval op RC4 is echter denkbaar ondanks de grotere sleutel en IV.
De Wi-Fi Alliance zal de term WPA2 gaan gebruiken voor de volledige IEEE 802.11i-standaard. Er wordt aangeraden om enkel WPA2/CCMP te gebruiken met een zo lang mogelijke en complexe passphrase. Alle moderne operating systemen kunnen met deze beveiliging overweg. Gebruik niet WEP noch WPA noch TKIP. Het eenvoudigste is dat het access punt goed beveiligd wordt en deze protocollen niet aanbiedt.
De Wi-Fi Alliance gebruikt de termen WPA(2)-personal en WPA(2)-enterprise voor wifi-interoperabiliteitscertificatie. WPA(2)-personal wordt gebruikt voor WPA in pre-sharedkeymode (PSK) terwijl WPA(2)-enterprise wordt gebruikt bij WPA in combinatie met een authenticatieserver. Tevens bestaat er ook EAP (Extensible Authentication Protocol).