Windows XP:n WPA (Wi-Fi Protected Access) -tietoturvapäivityksen yleiskatsaus

Yhteenveto

Tässä artikkelissa käsitellään Microsoft Windows XP:n uutta WPA (Wi-Fi Protected Access) -päivitystä.

IEEE:n (Institute of Electrical & Electronics Engineers) langattoman verkkokäytön 802.11i-standardissa määritetään parannuksia langattoman lähiverkon käytön turvallisuuteen. 802.11i-standardi oli tämän artikkelin kirjoittamishetkellä luonnos, jonka vahvistaminen oli suunniteltu tehtäväksi vuoden 2003 loppuun mennessä. 802.11i-standardi korjaa useita alkuperäisen 802.11-standardin suojausongelmia. Kun uutta IEEE 802.11i-standardia oltiin vahvistamassa, langattomien tuotteiden valmistajat olivat sopineet yhteiskäytössä olevasta välistandardista nimeltä WPA (Wi-Fi Protected Access).

Palaa alkuun

WPA-suojauksen ominaisuudet

Seuraavat suojausominaisuudet sisältyvät WPA-standardiin:

WPA-todennus

WPA edellyttää 802.1x-todennusta. 802.11-standardissa 802.1x-todennus oli valinnainen.

WPA tukee esijaetun avaimen käyttämistä ympäristöissä, joissa ei ole RADIUS (Remote Authentication Dial-In User Service) -infrastruktuuria. Ympäristöissä, joissa on RADIUS-infrastruktuuri, tuetaan EAP (Extensible Authentication Protocol) -protokollaa ja RADIUS-infrastruktuuria.

Palaa alkuun

WPA-avaintenhallinta

802.1x-standardia käytettäessä yksittäislähetyksen salausavainten uudelleenmäärittäminen on valinnaista. Lisäksi standardit 802.11 ja 802.1x eivät sisällä mekanismeja moni- ja yleislähetyksessä käytettävän yleisen salausavaimen muuttamiseen. WPA-suojauksessa edellytetään yksittäislähetyksen ja yleisen salauksen avaimet. Kunkin yksittäislähetyksen salausavaimen kohdalla TKIP (Temporal Key Integrity Protocol) muuttaa avaimen jokaiselle kehykselle. Tämä muutos synkronoidaan langattoman asiakkaan ja langattoman tukiaseman välillä. Yleisen salausavaimen kohdalla WPA sisältää toiminnon, jonka avulla langaton tukiasema ilmoittaa muuttuneen avaimen yhteydessä oleville langattomille asiakkaille.

Palaa alkuun

TKIP (Temporal Key Integrity Protocol) -protokolla

802.11-standardissa WEP (Wired Equivalent Privacy) -salaus on valinnainen. WPA-suojauksessa edellytetään TKIP-salaus. TKIP-salaus korvaa WEP-salauksen uudella salausalgoritmilla, joka on WEP-algoritmia vahvempi mutta tekee salaustoiminnot aiempien langattomien laitteiden laskentaominaisuuksien avulla. TKIP tarjoaa myös seuraavat:
 • suojauskokoonpanon tarkistus suojausavainten määrittämisen jälkeen
 • yksittäislähetyksen salausavaimen synkronoitu muuttaminen kullekin kehykselle
 • aloittavan yksittäislähetyksen yksilöllisen salausavaimen määrittäminen kullekin esijaetun avaimen todennukselle.
Palaa alkuun

Michael

802.11-standardissa ja WEP-salauksessa tietojen yhtenäisyys taataan 32-bittisellä yhtenäisyyden tarkistusarvolla, joka liitetään 802.11-tietoihin ja salataan WEP-salauksen avulla. Vaikka yhtenäisyyden tarkistusarvo salataan, voit muuttaa salattujen tietojen osia salausanalyysin avulla ja päivittää salatun yhtenäisyyden tarkistusarvon niin, ettei vastaanottaja huomaa sitä.

WPA-suojauksessa Michael-menetelmä määrittää uuden algoritmin, joka laskee 8-tavuisen sanoman yhtenäisyyskoodin aiemmissa langattomissa laitteissa olevien laskentaominaisuuksien avulla. Sanoman yhtenäisyyskoodi sijoitetaan IEEE 802.11 -kehyksen tieto-osan ja nelitavuisen yhtenäisyyden tarkistusarvon väliin. Sanoman yhtenäisyyskoodin kenttä salataan yhdessä kehyksen tietojen ja yhtenäisyyden tarkistusarvon kanssa.

Michael auttaa myös suojautumaan toistohyökkäyksiltä. IEEE 802.11 -kehyksen uusi kehyslaskuri auttaa ehkäisemään toistohyökkäyksiä.

Palaa alkuun

AES-tuki

WPA määrittää AES (Advanced Encryption Standard) -standardin käyttämisen WEP-salauksen korvaavana. Koska et välttämättä pysty lisäämään AES-tukea aiemman langattoman laitteiston laitteisto-ohjelmistopäivityksen avulla, AES-tuki on valinnainen ja se riippuu valmistajan ohjaintuesta.

Palaa alkuun

Langattomien WPA- ja WEP-asiakkaiden samanaikainen tuki

Langaton tukiasema voi tukea samanaikaisesti WEP- ja WPA-asiakkaita. Tämä mahdollistaa WEP-pohjaisten langattomien verkkojen asteittaisen siirtymisen WPA:han. Kytkennän aikana langaton tukiasema selvittää, mitkä asiakkaat käyttävät WEP-salausta ja mitkä WPA-suojausta. WEP- ja WPA-asiakkaiden samanaikainen tuki aiheuttaa ongelmia. Yleinen salausavain ei ole dynaaminen, koska WEP-asiakkaat eivät pysty tukemaan sitä. Muut WPA-asiakkaiden edut säilytetään, yhtenäisyys mukaan lukien.

Palaa alkuun

WPA-tuen edellyttämät muutokset

WPA edellyttää ohjelmistomuutoksia seuraaviin:
 • langattomat tukiasemat
 • langattomat verkkosovittimet
 • langattomat asiakasohjelmat.
Palaa alkuun

Langattomien tukiasemien muutokset

Langattomien tukiasemien laitteisto-ohjelmistot on päivitettävä tukemaan seuraavia:
 • Uusi WPA-tietoelementti

  Langattomat tukiasemat ilmoittavat WPA-tuestaan lähettämällä ilmoituskehyksen, jossa on langattoman tukiaseman suojauskokoonpanon (salausalgoritmit ja langattoman suojauksen kokoonpanotiedot) sisältävä uuden 802.11:n WPA-tietoelementti.
 • Kaksivaiheinen WPA-todennus

  Avaa järjestelmä ja avaa sitten 802.1x (EAP ja RADIUS tai esijaettu avain).
 • TKIP
 • Michael
 • AES (valinnainen)
Jos haluat päivittää langattomat tukiasemasi tukemaan WPA-suojausta, hanki laitteisto-ohjelmiston WPA-päivitys langattoman tukiasemasi valmistajalta ja lataa se langattomaan tukiasemaasi.

Palaa alkuun

Langattomien verkkosovitinten muutokset

Langattomien verkkosovitinten laitteisto-ohjelmistot on päivitettävä tukemaan seuraavia:
 • Uusi WPA-tietoelementti
  Langattomien asiakkaiden on pystyttävä käsittelemään WPA-tietoelementti ja vastaamaan tietyllä suojauskokoonpanolla.
 • Kaksivaiheinen WPA-todennus
 • Avaa järjestelmä ja avaa sitten 802.1x (EAP tai esijaettu avain).
 • TKIP
 • Michael
 • AES (valinnainen)
Jos haluat päivittää langattomat verkkosovittimesi tukemaan WPA-suojausta, hanki WPA-päivitys langattoman verkkosovittimesi valmistajalta ja päivitä langattoman verkkosovittimen ohjain.

Jos kyseessä on langaton Windows-asiakas, sinun on hankittava päivitetty verkkosovittimen ohjain, joka tukee WPA-suojausta. Jos kyseessä ovat langattoman verkkosovittimen ohjaimet, jotka eivät ole yhteensopivat Windows XP:n (Service Pack 1) kanssa, päivitetyn verkkosovittimen ohjaimen on pystyttävä välittämään sovittimen WPA-ominaisuudet ja suojauskokoonpano Wireless Zero Configuration -palvelulle.

Microsoft on tehnyt yhteistyötä useiden langattomien laitteiden valmistajien kanssa upottaakseen laitteisto-ohjelmiston WPA-päivityksen langattoman sovittimen ohjaimeen. Tämän vuoksi langattoman Windows-asiakkaan päivittäminen edellyttää vain uuden WPA-yhteensopivan ohjaimen hankkimista ja asentamista. Laitteisto-ohjelmisto päivitetään automaattisesti, kun langattoman verkkosovittimen ohjain ladataan Windowsissa.

Palaa alkuun

Langattomien asiakasohjelmien muutokset

Langattomat asiakasohjelmat on päivitettävä sallimaan WPA-todennuksen (sekä esimääritetyn avaimen) ja uusien WPA-salausalgoritmien (TKIP ja valinnainen AES-osa) määrittäminen.

Jos kyseessä ovat langattomat asiakkaat, joiden käyttöjärjestelmä on Windows XP Service Pack 1 (SP1) ja jotka käyttävät Wireless Zero Configuration -palvelua tukevaa langatonta verkkosovitinta, sinun on hankittava ja asennettava Windows WPA Client. Jos kyseessä ovat langattomat asiakkaat, joiden käyttöjärjestelmä on Windows XP Service Pack 2 (SP2) ja jotka käyttävät Wireless Zero Configuration -palvelua tukevaa langatonta verkkosovitinta, Windows WPA Client sisältyy Windows XP SP2:een. Tämän vuoksi muita ladattavia tiedostoja ei tarvita. Windows WPA Client päivittää langattoman verkon määrityksen valintaikkunat tukemaan uusia WPA-asetuksia.

Saat lisätietoja ja ohjeet WPA-asiakasohjelman hankkimiseen napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

826942 Windows XP:n langattomien ominaisuuksien Update Rollup -päivityspaketti on saatavana

Jos kyseessä ovat langattomat asiakkaat, joiden käyttöjärjestelmä on Windows 2000 (tai käyttöjärjestelmä on Windows XP SP1 ja käytössä on langaton verkkosovitin, joka ei tue Wireless Zero Configuration -palvelua), sinun on hankittava ja asennettava uusi WPA-yhteensopiva määritystyökalu langattoman verkkosovittimesi valmistajalta.

Palaa alkuun

Aiheeseen liittyviä tietoja Inteliltä

Saat lisätietoja seuraavasta Intelin WWW-sivustosta: Tässä artikkelissa käsitellyt kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien yritysten valmistamia. Microsoft ei anna näiden tuotteiden suorituskykyä tai luotettavuutta koskevaa takuuta.


Microsoft antaa kolmannen osapuolen yhteystiedot, jotta asiakas voi hankkia teknistä tukea. Nämä yhteystiedot voivat muuttua ilman ennakkoilmoitusta. Microsoft ei takaa kolmannen osapuolen yhteystietojen paikkansapitävyyttä.
Ominaisuudet

Artikkelin tunnus: 815485 – Viimeisin tarkistus: 10.6.2013 – Versio: 1

Palaute