Wired Equivalent Privacy (WEP)
Wired Equivalent Privacy ist ein Verfahren zur Datenverschlüsselung und Authentifizierung in Wireless LANs.
Die physikalische Sicherheit in einem Kabel-Ethernet ist prinzipiell höher, da Kabel, meist innerhalb eines Gebäudes verlegt und so vor dem Zugang durch Fremde geschützt sind. Im Gegensatz dazu reicht es bei einem Funknetzwerk unter Umständen bereits schon aus sich in der Nähe eines Netzes aufzuhalten, um Daten aus der Luft zu empfangen.
Der Verschlüsselungsalgorithmus WEP ist daher ein fester Bestandteil des IEEE 802.11b Protokoll-Stacks. Dennoch ist der WEP-Algorithmus alleine nicht mit einer Ende-zu-Ende-Sicherheitslösung zu verwechseln.
Die WEP-Verschlüsselung verwendet den 1987 entwickelten RC4-Algorithmus von RSA Security Inc., der in sehr vielen kryptographischen Implementationen, wie z.B. SSL(Secure Socket Layer) für sichere Internet-Transaktionen, verwendet wird. Aktuelle WLAN-Produkte verwenden RC4 mit einer Schlüssellänge von 40 oder 104 Bit zuzüglich eines Initialisierungsvektors von 24 Bit. In der Praxis wird daher von den Varianten WEP64 (40 +24Bit) und WEP128(104+24Bit) gesprochen.
Ein vorgegebener Schlüssel (40 oder 104 Bit) wird zunächst mit einem errechneten Initialisierungsvektor kombiniert. Beides zusammen bildet die Eingabe für einen Pseudo-Noise-Generator (dem RC4-Algorithmus). Für die zu übertragenden Daten (Plaintext) wird ein Integritäts-Check (ICV) berechnet, und beides mit dem Ergebnis des RC4-Algorithmus XOR verknüpft. Der so erhaltene Code wird gesendet.
Damit der Empfänger die Nachricht mit demselben WEP-Schlüssel decodieren kann, wird der Initialisierungsvektor zusätzlich im Klartext übermittelt. Der Initialisierungsvektor wird für jede Nachricht neu berechnet.
Der WEP-Schlüssel kann neben der reinen Datenverschlüsselung auch zur Authentifizierung verwendet werden.
Zur Authentifizierung sind in der WEP-Verschlüsselung zwei verfahren definiert. Die Open System Authentification(OSA) und die Shared Key Authentification (SKA). Jede Station kann sich mit einem Access Point während der Assoziation einer Funkstation im Challenge-Response-Verfahren, ob ein gültiger WEP-Schlüssel vorhanden ist. Erst nach erfolgter Prüfung können angemeldete Stationen Daten übertragen.
Die WEP-Schlüssel müssen auf allen Clients und Access Points lokal vorhanden sein. In der Regel können vier verschiedene WEP-Schlüssel bei Sender und Empfänger eingetragen werden, um den Schlüsselwechsel zu erleichtern.