WLAN Authentication and Privacy Infrastructure
WLAN Authentication and Privacy Infrastructure (WAPI) ist eine chinesische Sicherheitstechnologie für drahtlose Netzwerke. WAPI ist eine Alternative zum Sicherheitsprotokoll, welches im IEEE 802.11-Standard definiert ist.
Technik
[Bearbeiten | Quelltext bearbeiten]WAPI hat zwei architekturelle Komponenten:
- WAI (WLAN Authentication Infrastructure) für die gegenseitige Authentisierung von Nutzer und Wireless Access Point
- WPI (WLAN Privacy Infrastructure) für die Meldungs-Vertraulichkeit und -Integrität.
WPI ermöglicht die Selektion des AES- oder des SMS4-Verschlüsselungsalgorithmus.
WAI hat zwei Optionen für die kryptographischen Schlüssel:
- WAPI-PSK verwendet Pre-Shared Keys
- WAPI-CERT verwendet X.509-Zertifikate
WAPI-PSK unterscheidet sich nur unwesentlich von der Pre-Shared Key-Option von IEEE 802.11, während WAPI-CERT ein wesentlich anderes Konzept, andere Funktionen und andere kryptographische Mechanismen hat.
WAPI-CERT hat eine zentrale Komponente, die Authentication Service Unit (ASU). Deren Zertifikat ist sowohl dem Nutzer wie auch dem Access Point bekannt, und sie verifiziert beim Verbindungsaufbau als zentrale Autorität die Gültigkeit der Zertifikate des Nutzers und des Access Points. Access Point und Nutzer authentisieren sich gegenseitig mit ihren Zertifikaten und etablieren den sog. Base Key (BK) mittels Diffie-Hellman-Schlüsselaustausch. Der WAI-Mechanismus entspricht dem ISO/IEC 9798-3 Amendment 1 "Information technology - Security techniques - Entity authentication - Part 3: Mechanisms using digital signature techniques AMENDMENT 1: Mechanisms involving a trusted third party".
Geschichtlicher Hintergrund
[Bearbeiten | Quelltext bearbeiten]National
[Bearbeiten | Quelltext bearbeiten]WAPI wurde im Jahre 2003 durch die Standardization Administration of the People’s Republic of China (SAC) als Nationaler Standard publiziert. Die chinesische Regierung gab 2003 bekannt, dass jedes dort verkaufte Gerät Unterstützung für WAPI haben muss. Ausländische Unternehmen müssen hierzu mit einem von elf autorisierten chinesischen Unternehmen kooperieren, die im Besitz der proprietären Details für die Implementation sind.
International
[Bearbeiten | Quelltext bearbeiten]Die ersten zwei Anläufe, WAPI als internationalen Standard zu lancieren, scheiterten. Auf der ISO/IEC JTC/SC06/WG1-Konferenz in Frankfurt am Main lehnte die ISO den Antrag ab, WAPI und IEEE 802.11i gemeinsam zu diskutieren. Der Standard wurde im Oktober 2005 in überarbeiteter Form nochmals eingereicht und letztlich in einer Abstimmung am 7. März 2006 als Standard abgelehnt. Am selben Tag gab das chinesische Ministerium für Informationsindustrie die Gründung der WAPI-Industrieunion bekannt. Sie besteht aus insgesamt 22 Mitgliedern. Dazu gehören Lenovo, Huawei sowie Chinas vier Telekommunikationsunternehmen.
Im Jahre 2006 wurde der ursprünglich geheime SMS4-Algorithmus deklassiert und in der Folgezeit durch unabhängige Experten überprüft.
Im Jahre 2009 reichte SAC einen überarbeiteten Vorschlag bei der Internationalen Organisation für Normung ein, welcher im Januar 2010 durch die Mitglieder des JTC1/SC6 (gegen die Stimmen von UK und US) angenommen wurde (siehe Dokument JTC1/Sc6/6N14228). Das Standardisierungsprojekt ist derzeit unter der Standardnummer ISO/IEC 20011 im Gange. Der aktuelle Entwurf des ISO-Standards trägt die Dokumentnummer JTC1/Sc6/N14619.
Im Oktober 2011 jedoch zog China den Vorschlag zurück und reichte beim ISO-Zentralsekretariat Beschwerde ein. Diese ist derzeit noch pendent.