Hvorfor er WPA Enterprise sikrere enn WPA2?

PSK-variantene av WPA og WPA2 bruker en 256-bit nøkkel hentet fra et passord for autentisering.

Enterprise-variantene av WPA og WPA2, også kjent som 802.1x bruker en RADIUS-server for autentiseringsformål. Autentisering oppnås ved hjelp av varianter av EAP -protokollen. Dette er et mer komplekst, men sikrere oppsett.

Hovedforskjellen mellom WPA og WPA2 er krypteringsprotokollen som brukes. WPA bruker TKIP protokollen mens WPA2 introduserer støtte for CCMP protokollen.

Kommentarer

• Så når du bruker en RADIUS-server, vil en EAP-protokoll brukes i stedet for TKIP eller CCMP?
• @ Unw0und Nei, EAP er en autentisering protokoll mens TKIP og CCMP er en kryptering protokoll.
• Dette svaret er ikke ‘ t veldig informativ. Hvordan er EAP “sikrere”? Beskytter den mot flere trusler, eller gir den større styrke mot brutal kraft? Hvilken forskjell gjør TKIP vs CCMP?
• EAP er sikrere fordi nøkkelmaterialet er unikt og opprettet mellom klient og AP i stedet for å genereres basert på en kjent verdi (PSK). I personlig modus genereres nøkkelmaterialet basert på en kjent verdi (PSK), og alle med den kjente verdien er i stand til å fange nøkkelforhandlingene og dekryptere derfor all den resulterende trafikken. I tillegg, med EAP, kan nøkkelmaterialet endres under økten, noe som gjør det sikrere.
• WPA2 Personal bruker en nøkkel. Alle med nøkkelen vet hvordan de dekrypterer ‘ -trafikken din. WiFi-segmentet er et stort kringkastingsnettverk. Kablede nettverk vil generelt holde datamaskinens ‘ trafikk privat så lenge bryterne er sikret. Trafikken din går langs ledningen og blir bare levert til destinasjonen. Selv noen som er koblet til en annen kontakt, kan ‘ ikke se trafikken med mindre bryteren ikke er satt opp riktig. WPA Enterprise gir hver bruker sin egen private øktnøkkel. Dette fjerner kringkastingseffekten. Nå oppfører WiFi-nettverket seg som alle har sin egen ledning.

Alle tidligere svar mangler veldig viktig trinn og dets implikasjoner og misforstår EAP.

WPA2-PSK (aka WPA2 Personal) gjør i utgangspunktet det samme som WPA2-Enterprise fra klientperspektivet: Klienten knytter seg til tilgangspunktet, autentiserer til tilgangspunkt ved hjelp av den forhåndsdelte nøkkelen og tilgangspunktet oppretter en 256bit PMK (parvis hovednøkkel) fra SSID og den forhåndsdelte nøkkelen (PSK). Denne PMK blir deretter brukt til å kryptere datatrafikk ved hjelp av CCMP / AES eller TKIP.

Det viktige å merke seg her er at alle klienter alltid vil kryptere dataene sine med samme PMK, hele tiden. Så det er lett å samle mye data kryptert med samme PMK. Skulle noen bryte PMK, kan de dekryptere alle data kryptert med den nøkkelen, tidligere / registrert og fremtidig / sanntid.

WPA2- Enterprise er bare litt annerledes bak kulissene, men sikkerhetsimplikasjonene er alvorlige: Klienten knytter seg til tilgangspunktet, autentiserer til tilgangspunktet, som sender dette videre til en RADIUS-server for backend (ved hjelp av EAP, men det er ikke viktig her, så mer om det på slutten). Når RADIUS-serveren har autentisert klienten, gir det tilgangspunktet en OK, pluss en RANDOM 256 bit parvis hovednøkkel (PMK) for kun å kryptere datatrafikk for den aktuelle økten.

Vel, det er ganske stor forskjell. I stedet for at hver klient bruker den samme PMK hele tiden (frøet til dette er kjent tekst, fordi SSID brukes som frø!), Bruker nå hver klient en annen PMK, den endres hver økt / tilknytning og frøet er tilfeldig og ukjent. Ikke bare det, men denne PMK vil være 256 bit ekte entropi (ikke en hash fra et vanligvis mye mindre passord som inneholder ord), så ordbokangrep er ubrukelige.

Skulle noen bryte en bestemt PMK, får de bare tilgang til en økt av en klient. Også (hvis den riktige EAP-metoden brukes), får de ikke tilgang til brukeropplysningene, siden de var individuelt kryptert. Det er mye sikrere.

Husk også at denne PMK er 256bit AES , dette er for øyeblikket «ikke-knekkbart» (128bit regnes som trygt for øyeblikket, men ikke for lenge). Det at PMK til WPA2-PSK (også 256bit) kan bli sprukket kommer fra de vanligvis svake passordene (ordbokangrep), det kjente frøet (SSID) og det faktum at alle klienter bruker samme PMK hele tiden, så mye kryptering av kjent ren tekst kan fanges opp.

Så litt om Extensible Authentication Protocol (EAP). Dette blir ofte forstått som en sikkerhetsprotokoll i seg selv, men det er ikke «t. Det er i utgangspunktet en standard for å sende meldinger fra en klient som ønsker å autentisere og en server som autentiserer. EAP selv har ingen sikkerhetsfunksjoner, det spesifiserer bare hvordan klienten snakker med RADIUS-serveren.

Nå kan du kapsle disse EAP-meldingene i en sikker tunnel. Som HTTP (en usikker meldingsprotokoll) går over et sikkert lag, SSL / TLS for å gi en sikker forbindelse til en webserver. Noen sa i et annet svar at det er over 100 forskjellige EAP «metoder», noen veldig usikre. Dette er sant, fordi EAP er gammel, ble det implementert krypteringsstandarder som er understandard i dag.

Men i praksis, hvis du trenger å støtte nyere Apple- eller Android-maskiner / enheter og Windows-maskiner, er det bare to alternativer, fordi andre ganske enkelt ikke støttes: Protected EAP (PEAP) og TLS-EAP (vel, jeg løy: egentlig er det noen flere, men de er i utgangspunktet identiske med TLS-EAP i funksjonalitet og sikkerhet).

PEAP er akkurat som en https-server, en sikker TLS-tunnel settes opp mellom klienten og RADIUS-serveren (beskytter hele den trådløse og kablede banen mellom dem), serveren presenterer et sertifikat til klienten (i selskaper ofte signert av sin egen CA) og en sikker kanal settes opp på grunnlag av dette sertifikatet.

Hvis klienten har CA som klarert i sertifikatlageret, sender den brukernavnet og passordet til RADIUS-serveren. CA ikke er klarert, får brukeren en advarsel om sertifikatet som med et https-nettsted som har noe ng feil med sertifikatet. Påloggingsinformasjonen er vanligvis beskyttet med den (gamle og nå svake) MSCHAPv2-protokollen, men det betyr ikke noe, siden alt allerede er beskyttet av 256 bit TLS. MSCHAPv2-protokollen snakker med RADIUS-serveren ved hjelp av EAP.

Et åpenbart svakt punkt er at du kan konfigurere et falskt tilgangspunkt, presentere et falskt sertifikat som du har den private nøkkelen for, og håpe at noen idiotbrukere får en advarsel om et ikke-klarert sertifikat og bare klikker «tillit» (og det alternativet er ikke deaktivert av en administrator). Da kan du kanskje fange klientens svakt krypterte legitimasjon som er ganske enkle å knekke (jeg er ikke sikker på dette, da jeg vet at MSCHAPv2 lett kan knekkes hvis du har HELE utvekslingen, i i dette tilfellet ville du bare ha klientsiden, ettersom du ikke kunne sende et gyldig nonce til klienten for å fullføre utvekslingen, ettersom du ikke har den virkelige hashen til brukerens passord).

Mens dette kan gi deg tilgang til det virkelige nettverket med mye arbeid (og jeg tviler på det, men hvis du må vite, se på MSCHAPv2 på http://www.revolutionwifi.net/revolutionwifi/2012/07/is-wpa2-security-broken-due-to-defcon.html ), det vil ikke gi deg tilgang til andre trådløse enheter data, ettersom de er kryptert med en annen PMK.

Men for selskaper kan dette fremdeles være et problem. Skriv inn TLS-EAP. TLS-EAP er i utgangspunktet det samme som PEAP med den bemerkelsesverdige forskjellen at klienten også har et sertifikat. Så serveren presenterer sertifikatet for klienten som klienten må stole på (fordi CA er i den klarerte butikken, eller en idiot klikket på «tillit»), men klienten må også presentere et sertifikat for serveren. Dette kan være et sertifikat som har blitt plassert i cert-butikken da enheten / arbeidsstasjonen ble klargjort, men det kan også være fra et smartkort etc. Serveren må stole på dette klientsertifikatet, ellers får du ikke en gang sjansen å presentere legitimasjon.

Som mange av dere kanskje vet, kan slik toveisgodkjenning også gjøres for HTTP over TLS, men dette ses ikke ofte utenfor bedriftsinnstillingene. I så fall kan du ikke få tilgang til nettstedet med mindre du først viser et sertifikat som serveren stoler på.

Så det falske tilgangspunktet er ikke veldig nyttig lenger. Du kan få de svakt krypterte legitimasjonene hvis idiot klikker «tillit» og du deretter blindt godtar ethvert klientsertifikat, men siden du ikke har den private nøkkelen til klientsertifikatet, får du ikke tilgang til det trådløse nettverk, og du får heller ikke krypterte trådløse data fra denne eller andre klienter fremdeles med tillatelse til den tilfeldige øktbaserte PMK.Du kan få tilgang til noe intranett med påloggingsinformasjonen, men hvis de gjør seg bryet med å sette opp en CA for trådløst, trenger de sannsynligvis et klientsertifikat for det også.

I selskaper er det vanlig å ha slike et klientsertifikat på et smartkort, som de ansatte trenger for å få tilgang til alle ressurser: pålogging, nettverksressurser, e-post ved hjelp av smtps, imaps, pop3s, intranett ved hjelp av https, alt som bruker TLS kan konfigureres for å kreve et klientsertifikat. «så enkelt som å legge det på tastaturet og angi en PIN-kode, så vil Windows presentere det når det kreves av en pålitelig server som kjører TLS.

Så jeg håper dette avklarer en bit. Skalaen går: «i utgangspunktet usikret» (WEP) «knekkbar med litt innsats» (WPA2-PSK) «delvis sosial-konstruerbar» (WPA2-Enterprise m / PEAP) «for tiden sikker» (WPA2-Enterprise m / TLS-EAP og lignende)

Det er måter å gjøre WPA2-PSK noe sikrere, ved at det vil ta måneder å knekke det i stedet for minutter (forhåndsberegnede regnbuetabeller) eller timer (ordbokangrep): Angi SSID til en tilfeldig streng av maksimal lengde (64 tror jeg), siden den brukes som frø for PMK, og bruker en tilfeldig forhåndsdelt nøkkel (PSK) av maksimal lengde. Hvis så endrer du nøkkelen månedlig. Du kan være rimelig sikker på at ingen har en nåværende PMK eller har / har tilgang til nettverket ditt.

Selv om du ikke kan bli kvitt det faktum at noen kunne ha lagret i måneder verdt data for alle klienter og leser at når de først får PMK for den måneden (som kan gjøres, da det ikke er en nøkkel med 256bit ekte entropi mens du sender det frøet som brukes).

En annen ulempe er at du vil ha en svært unik SSID, en som de trådløse enhetene dine vil sende uansett hvor du går. Hvis noen har ditt unike SSID i hjemmenettverket ditt, er det et stykke kake å slå opp SSID-en din på https://wigle.net/ og finn ut hvor du bor. Så du går i grunnen rundt med telefonen / nettbrettet / den bærbare datamaskinen din og kunngjør hvor du bor …

Hvis du er personvernbevisst, er det kanskje en god mellomvei til hold SSID satt til en som er vanlig, men ikke i topp 30 eller så (på den måten er det lite sannsynlig at regnbuebord for den er tilgjengelig online) og bruk en tilfeldig PSK med maksimal lengde. Du mister imidlertid noe entropi.

Hvis du vil ha samme sikkerhet som kablet, bruk WPA2-Enterprise med TLS-EAP. (Vel, for nå … Det er ingenting som hindrer noen i å fange og lagre alle dataene de ønsker og dekryptere alt på 20 år når vi alle kan leie tid på en kvantecomputer og faktorisere alle nøkler på få minutter.

NSA sies å ha bygget et datasenter for å gjøre nettopp det, lagre alt kryptert de møter til de kan knekke det, slik at problemet også påvirker alt på ledninger hvis det krysser internett. Hvis noe må være sikkert for hele tiden, bruk en tilfeldig engangspute som du bytter ut utenfor bandet 🙂

Alt som er sagt, mens jeg er paranoid og ønsker best sikkerhet og dermed bruker to dager på å lage WPA2-Enterprise / TLS-EAP fungerer, dette er sannsynligvis utenfor rekkevidde (og overkill) for de fleste hjemmebrukere. Hvis du ikke allerede har en domenekontroller eller annen katalogtjeneste på nettverket ditt, vil erfaring med RADIUS og ha alt dyrt pro wifi-utstyr som en bedrift vil bruke, så vil du mest sannsynlig ikke få det å jobbe. Det er bedre å bare sette opp en VPN som alltid er på, og kjøre den over wifi-en din, som gir deg all sikkerhet og ingen morsom feilsøking EAP.

PS. For enkelhets skyld også utelatt det faktum at kommunikasjonen mellom tilgangspunktet og RADIUS-serveren også er kryptert av en forhåndsdelt nøkkel (kalt «delt hemmelighet»). Denne krypteringen er ikke bra i dag (bruker MD5 som i utgangspunktet er ødelagt ) men siden du uansett setter TLS over det, spiller det ingen rolle. Du kan bruke en anstendig nøkkelstørrelse (noe mellom 64-128 tegn = 512-1024biter avhengig av implementeringen). Jeg setter alltid den største hemmeligheten mulig, den kan » t vondt.

Kommentarer

• Det åpenbare svake punktet du presenterer ligner på det svake punktet ved online shopping – noen idiotbrukere kan gi kredittkortet sitt detaljer uten å se en grønn lås i nærheten av URL-en eller når du ser en rød ødelagt. Men jeg lurer på en annen ting. Hva om angriperen kjøper et TLS-sertifikat for et domene han eier, og setter opp en rouge CA og presenterer dette sertifikatet for den useriøse RADIUS-serveren han opprettet? Høres ut som om dette ikke skal fungere ‘, men jeg ser ikke ‘ noe i beskrivelsen din som forhindrer dette, og i motsetning til nettlesing der du til og med et gyldig sertifikat for www.g00gle.com kan få deg til å mistenke …
• du ikke ‘ ikke ser URL-en til RADIUS-serveren du ‘ snakker med (i det minste ikke i Windows, iOS og Android).
• CA må matche klienten ‘ s cert, slik at ‘ ikke fungerer.
• Jeg var ikke ‘ Jeg var ikke klar over noen klientsertifikater som spilles av i PEAP-MS-CHAPv2. Jeg ser til og med en TechNet-artikkel som sier » PEAP-MS-CHAP v2 en EAP-type som er lettere å distribuere enn Extensible Authentication Protocol with Transport Level Security (EAP-TLS) eller PEAP-TLS fordi brukerautentisering oppnås ved å bruke passordbasert legitimasjon (brukernavn og passord) i stedet for digitale sertifikater eller smartkort. » Hvilket klientsertifikat snakker du om?
• conio: Riktig, i PEAP-klienter har ikke ‘ sertifikater (bare serveren har, men brukernavn / passord (som gjør det mulig å fange kreditter når en MITM AP er satt opp). Jeg sa at EAP-TLS la til klientsertifikater i blandingen for å forhindre dette.

Si at du har 10 brukere. I PSK-modus bruker alle 10 brukere den samme passordfrasen for å generere den samme nøkkelen. Derfor er sannsynligheten for å fange trafikk og analysere den for å finne nøkkelen høyere med så mye trafikk, og den nøkkelen vil være gå od til alle de 10 brukerne er enige om å endre passordfrasen (og derfor nøkkelen)

Hvis de samme 10 brukerne bruker sitt eget brukernavn og passord for å logge på et bedriftens WiFi-nettverk, autentiserer hver bruker til RADIUS-serveren , som deretter genererer en nøkkel for økten og gir den til AP for å bruke den sammen med klienten.

Derfor er trafikken med samme nøkkel bare en brukertrafikk, så det er 1/10 så mye data å jobbe med, og nøkkelen vil endres neste gang brukeren logger på. Passordet brukeren autentiserer med kan forbli den samme, men nøkkelen som genererer er unik for hver økt. Kombinert med gode passordvaner, er WPA-bedrift bedre. Også tilgang til individuelle brukere kan når som helst tilbakekalles uten å påvirke andre brukere.

Kommentarer

• » tilgang til individuelle brukere kan når som helst tilbakekalles uten å påvirke andre brukere » Det visste jeg ‘. Mener du at de kan tilbakekalles i sanntid? Hvis det er tilfelle, hva ville jeg brukeren sett? Bare en frakobling, og når prøver du å koble til passordet sitt en feilmelding? Hvis RADIUS-serveren min er koblet til en SQL-database og jeg fjerner en bruker, vil denne brukeren da bli fjernet i sanntid? Tusen takk for avklaring.

WPA2 er sikrere enn WPA som forklart av Terry. Du trenger bare å forstå forskjellen mellom personlig (forhåndsdelt nøkkel) og bedriftsversjoner av begge protokollene.

Den personlige versjonen er der alle brukerne deler et hemmelig passord som er konfigurert i tilgangspunktet. I bedriftsversjonen er det en sentral autentiseringsserver, og alle brukerne har forskjellige sett med legitimasjon som de bruker for å få tilgang til WiFi. Så i utgangspunktet er det ikke noe delt delt passord.

Enterprise (RADIUS / EAP / 802.1X) -modus for WPA eller WPA2 gir følgende fordeler i forhold til bruk av personlig (pre-delt nøkkel eller PSK) -modus for WPA eller WPA2:

• Totalt sett kompliserer det prosessen med å «hacke» den trådløse.
• Hver bruker kan tildeles en unik påloggingsinformasjon (brukernavn eller passord, sikkerhetssertifikater eller smartkort) for Wi-Fi, i stedet for et enkelt globalt passord for alle.
• Snooping fra bruker til bruker forhindres, i motsetning til den personlige modusen der tilkoblede brukere kan fange hverandres trafikk, inkludert passord og kapring.
• Aktiverer tilleggskontroller (autorisasjoner) slik som påloggingstid, slik at du kan definere eksakte dager ganger brukere kan logge på, Called-Station-ID for å spesifisere hvilke tilgangspunkter de kan koble seg til, og Calling-Station-ID for å spesifisere hvilke klientenheter de kan koble til fra.

Selv om Enterprise-modus krever bruk av en RADIUS-server. Det er hostede eller skytjenester der ute.

Det blandes mange ord her.

WPA2 er et krypteringsskjema. Virksomheten kontra personlig refererer til autentiseringsskjemaet, men ikke krypteringsordningen. Autentiseringsskjemaet bekrefter i utgangspunktet identiteten din til nettverkseieren før du får lov til å sende krypterte data.

Fra et krypteringsperspektiv har WPA2-Enterprise og WPA2-Personal den samme 256-biters krypteringsalgoritmen (I tror det kalles AES-CCMP). Så forskjellen mellom dem ligger i autentiseringsskjemaet.

Nå kan EAP og 802.1x betraktes som en og samme protokoll. De definerer signalmetoder for å tillate autentisering å skje mellom (nå er dette viktig): klienten, tilgangspunktet og en tredje enhet kalt registraren som lagrer autentiseringslegitimasjonen.EAP brukes i Personal og Enterprise MEN nøkkelforskjellen er plasseringen og typen legitimasjon som registraren krever fra klienten før han godtar å gi den tilgang til nettverket. I PERSONAL er det vanlig at registratoren ligger på samme fysiske enhet som tilgangspunktet (dvs. trådløs ruter), og autentiseringsmetoden er vanligvis basert på en forhåndsdelt nøkkel (f.eks. De som er forhåndsprogrammert med ruteren når du kjøper den eller den som eieren av ruteren vil gi deg når du kommer til hans sted). Endring av den forhåndsdelte nøkkelen krever en global oppdatering når noen av de gamle klientene vil få tilgang til nettverket igjen (dvs. du må fortelle dem at du har endret nøkkelen og nøkkelen er XYZ). I ENTERPRISE er registraren vanligvis en egen enhet som kjører en protokoll kalt RADIUS. Det gir mer håndterbarhet (f.eks. Forhåndsdelt nøkkel for hver bruker, administratoren kan tilbakekalle en nøkkel for en bestemt bruker, osv.).

Nå er det virkelig noe viktig her (fra et sikkerhetsperspektiv), krypteringsnøkkelen (dvs. ikke autentiseringen) er avledet fra den forhåndsdelte nøkkelen, og dermed er det lettere for noen som har den forhåndsdelte autentiseringsnøkkelen i PERSONLIG å gjenskape krypteringsnøkkelen og dermed dekryptere dataene. I tillegg tillater PERSONAL andre metoder for å forenkle problemet med å skrive inn forhåndsdelt nøkkel, for eksempel trykknappen (trykknapp på ruteren og enheten samtidig, og alt skjer sømløst) ytterligere. Denne metoden kompromitterte sikkerheten hvis noen lyttet på kanalen og viste seg å være lett å bryte (nå er begrepet lett relativt !!). En slik metode er ikke tilgjengelig i Enterprise. Derfor er sammendrag ja Enterprise er sikrere, men er også mer egnet for noen som har kunnskap og ressurser til å installere og administrere en RADIUS-server. God sikkerhet kan oppnås over PERSONLIG ved å velge en sterk forhåndsdelt nøkkel og deaktivere trykknappmetoden på den trådløse ruteren.

Jeg antar at når du spør om WPA-Enterprise er sikrere enn WPA2, mener du WPA2-PSK (også kalt WPA-Personal). Dette er litt som å spørre er grønnsaker sunnere enn et eple. WPA-Enterprise dekker et spekter av autentiseringsmetoder (omtrent 100 av dem alle under utvidbar autentiseringsprotokoll), noen veldig sterke, noen veldig svake. WPA2-PSK er et spesifikt middel for autentisering avhengig av 256-biters AES. Den eneste mulige måten å bryte WPA2-PSK er å fange håndtrykkpakker og deretter kjøre et ordbokangrep mot det. Det spiller ingen rolle hvor mange håndtrykk du fanger (dvs. om det er en klient eller 100 som kobler til ved hjelp av passordet). Det er ikke som WEP. Derfor, hvis du har et godt passord (f.eks. 20 tegn og ganske tilfeldig), vil det være ganske darn sikkert. Til sammenligning kan WPA-Enterprise bruke ordninger som er svake, for eksempel LEAP, som bruker MS-CHAPv2 håndtrykk. Dette er bare 56-biters DES-kryptering, som lett kan knekkes via brute force uansett passordkompleksitet. Nå, blant de 100 EAP-alternativene, som varierer i pris og kompleksitet, kan du finne noe som vil tilnærme styrken til en WPA2-PSK med et tilfeldig passord på 20 tegn. Men hvis det er ditt eneste mål, savner du poenget med WPA Enterprise. Hoveddriveren for WPA Enterprise er den detaljerte kontrollen du kan ha over hvem eller hva som kobles til nettverket ditt. WPA Enterprise kan opprette legitimasjon for hver enhet og bruker. Hvis du plutselig trenger å kutte ut en bruker eller en kategori av enheter (f.eks. Mobiltelefoner), kan du gjøre det. Selvfølgelig når du setter opp det, hvis du kjemper mot implementeringen ved å bruke noe som LEAP, lar du bare de menneskene / tingene du vender bort ved inngangsdøren inn gjennom bakdøren. Med mindre du har budsjett, ressurser og behov for WPA Enterprise, vil WPA2-PSK være enklere, billigere og sannsynligvis sikrere. De tre advarslene: Et tilstrekkelig komplekst passord som du endrer av og til, du trenger ikke noe bruker- eller enhetsspesifikk kontroll, og viktigst – deaktiver den helt dumme Wifi Protected Access (WPS) som kommer på noen tilgangspunkter.

Det er ikke. WPA-Enterprise og WPA-PSK vil til slutt lage en PTK-nøkkel som skal brukes i TKIP-algoritmen, fordi den er WPA , derfor mindre sikker enn WPA2, enten det er WPA2-PSK eller WPA2-Enterprise.

Enterprise tilbyr bare kryptering for 4-veis håndtrykk, for eksempel PEAP, eller bruk av sertifikater, så WPA-Enterprise er uten tvil sikrere enn WPA-PSK, men vil til slutt møte samme skjebne. Enterprise tilbyr også høyere granularitet over hvem som får tilgang til nettverk ved å bruke brukerkontoer eller forhåndsdelt nøkkelinformasjon per bruker fra RADIUS eller til slutt Active Directory for materiale som skal brukes i generering av CCMP-nøkler.