WLAN Authentication and Privacy Infrastructure

WAPI (WLAN Authentication and Privacy Infrastructure) ist eine Chinesische Sicherheitstechnologie für drahtlose Netzwerke. WAPI ist eine Alternative zum Sicherheitsprotokoll, welches im 802.11-Standard definiert ist.

Technik

WAPI hat zwei architekturelle Komponenten:

• WAI (WLAN Authentication Infrastructure) für die gegenseitige Authentisierung von Nutzer und Access Point
• WPI (WLAN Privacy Infrastructure) für die Meldungs-Vertraulichkeit und -Integrität.

WPI ermöglicht die Selektion des AES- oder des SMS4-Verschlüsselungsalgorithmus.

WAI hat zwei Optionen für die kryptographischen Schlüssel:

• WAPI-PSK verwendet Pre-Shared Keys
• WAPI-CERT verwendet X.509-Zertifikate

WAPI-PSK unterscheidet sich nur unwesentlich von der Pre-Shared Key-Option von IEEE 802.11, während WAPI-CERT ein wesentlich anderes Konzept, andere Funktionen und andere kryptographische Mechanismen hat.

WAPI-CERT hat eine zentrale Komponente, die Authentication Service Unit (ASU). Deren Zertifikat ist sowohl dem Nutzer wie auch dem Access Point bekannt, und sie verifiziert beim Verbindungsaufbau als zentrale Autorität die Gültigkeit der Zertifikate des Nutzers und des Access Points. Access Point und Nutzer authentisieren sich gegenseitig mit ihren Zertifikaten und etablieren den sog. Base Key (BK) mittels Diffie-Hellman-Schlüsselaustausch. Der WAI-Mechanismus entspricht dem ISO/IEC 9798-3 Amendment 1 "Information technology - Security techniques - Entity authentication - Part 3: Mechanisms using digital signature techniques AMENDMENT 1: Mechanisms involving a trusted third party".

Geschichtlicher Hintergrund

National

WAPI wurde im Jahre 2003 durch die Standardization Administration of China (SAC) als Nationaler Standard publiziert. Die chinesische Regierung gab 2003 bekannt, dass jedes dort verkaufte Gerät Unterstützung für WAPI haben muss. Ausländische Unternehmen müssen hierzu mit einem von elf autorisierten chinesischen Unternehmen kooperieren, die im Besitz der proprietären Details für die Implementation sind.

International

Die ersten zwei Anläufe, WAPI als Internationalen Standard zu lancieren, scheiterten. Auf der ISO/IEC JTC/SC06/WG1-Konferenz in Frankfurt am Main lehnte die ISO den Antrag ab, WAPI und IEEE802.11i gemeinsam zu diskutieren. Der Standard wurde im Oktober 2005 in überarbeiteter Form nochmals eingereicht und letztlich in einer Abstimmung am 7. März 2006 als Standard abgelehnt. Am selben Tag gab das chinesische Ministerium für die Informationsindustrie die Gründung der WAPI-Industrieunion bekannt. Sie besteht aus insgesamt 22 Mitgliedern. Dazu gehören Lenovo, Huawei sowie Chinas vier Telekomunternehmen.

Im Jahre 2006 wurde der ursprünglich geheime SMS4-Algorithmus deklassiert und in der Folgezeit durch unabhängige Experten überprüft.

Im Jahre 2009 reichte SAC einen überarbeiteten Vorschlag bei ISO ein, welcher im Januar 2010 durch die Mitglieder des JTC1/SC6 (gegen die Stimmen von UK und US) angenommen wurde (siehe Dokument JTC1/Sc6/6N14228). Das Standardisierungsprojekt ist derzeit unter der Standard-Nummer ISO/IEC 20011 im Gange. Der aktuelle Entwurf des ISO-Standards trägt die Dokument-Nummer JTC1/Sc6/N14619.

Weblinks

• silicon.de - China gönnt sich eigenen Verschlüsselungsstandard für WLAN
• Heise.de - China verzichtet auf eigene WLAN-Verschlüsselung
• Heise.de Streit um WLAN-Verschlüsselung in China spitzt sich zu
• Standardization Administration of China (SAC)