[ Accueil ] [ Introduction ] [ Solutions ] [ Authenticator ] [ WPA2 ] [ Authentifications ] [ Les certificats ]
802.11i (WPA2) est une norme tendant à sécuriser un accès sans fils (Wi-Fi). Dans la version "WPA2-Enterprise", celle qui nous intéresse ici, il nous faut 802.1x pour assurer l'attachement du "supplicant" à point d'accès et RADIUS pour la partie authentification. RADIUS n'est pas obligé par la norme, mais c'est un standard de fait.
Dans une connexion sans fils, il convient de prendre un soin particulier à être sûr que :
Il y a donc du travail.
Les protocoles d'authentification (TLS, PEAP, TTLS...) ne sont pas du domaine de 802.1X, RADIUS non plus.
Cependant, compte tenu de ce qui a été déjà vu, il est clair qu'il n'y a pas d'alternative.
- la "Key Confirmation Key" (KCK) qui, comme son nom l'indique, est utilisée pour prouver la possession de la PMK et pour attacher la PMK au point d'accès.
- la "Key Encryption Key" (KEK) est utilisée pour distribuer la "Group Transcient Key" (GTK), décrite plus loin.
- les "Temporal Key 1 & 2" (TK1/TK2) sont utilisées pour le chiffrement.
En résumé :
La MK représente la décision d'accès (positive).
La PMK représente l'autorisation d'accès au medium 802.11.
La PTK, contient :
La KCK, utilisée pour attacher la PMK au point d'accès et pour prouver que le point d'accès dispose lui aussi de la PMK (authentification mutuelle entre le point d'accès et le client).
La KEK, utilisée pour distribuer la GTK.
Les TK, utilisées pour sécuriser le transfert de données.
Au final, nous avons bien :
le client authentifié par le serveur RADIUS,
le serveur authentifié par le client,
le client authentifié par le point d'accès,
le point d'accès authentifié par le client,
les données sont sécurisées. Chaque paquet (et même chaque fragment de paquet) est authentifié, si bien qu'il n'est normalement pas possible d'injecter frauduleusement des paquets forgés.
Le point d'accès et le serveur sont reliés par le réseau filaire. A priori, il y a moins de dangers. L'authentification mutuelle se fait par un "secret partagé", comme nous le verrons dans la mise en oeuvre.