In Wifi WPA verstehe ich, dass ein 802.11-Client und ein AP während der Zuordnung einen PTK (Pairwise Transient Key) aushandeln, mit dem der Station der Groupwise Transient Key (GTK) zur Verfügung gestellt wird.
Warum muss der Client dann die Sendung mit der GTK verschlüsseln? Warum kann der Client den Broadcast-Frame nicht einfach mit seinem PTK verschlüsseln und der AP entschlüsseln und dann mit jedem PTK des anderen Clients verschlüsseln, bevor er an diese gesendet wird?
Antworten:
Warum muss der Client dann die Sendung mit der GTK verschlüsseln?
Das tut es nicht. Da der AP sendet und nicht der Client, verwendet der Client die GTK nicht zum Verschlüsseln des Frames. Der AP tut es.
Warum kann der Client den Broadcast-Frame nicht einfach mit seinem PTK verschlüsseln und der AP entschlüsselt, ...
Genau. Das ist, was passiert.
... der AP es entschlüsselt und dann mit dem PTK der anderen Clients verschlüsselt, bevor er es an sie sendet?
Hier passiert die Magie. Standardmäßig wird ein Broadcast-Frame einmalig vom AP an alle zugeordneten Clients gesendet . Wenn der AP die PTK von einem Client verwenden würde, könnte keiner der anderen Clients den Frame verarbeiten. Stattdessen wird die GTK vom AP für Broadcasts verwendet, und jeder Client hat die GTK erhalten, um solche Frames zu entschlüsseln.
Wenn nun eine Art Broadcast-zu-Unicast-Konvertierung in der drahtlosen Infrastruktur stattfindet, wird die PTK vom AP für jeden entsprechenden Client anstelle der GTK verwendet.
Ein WAP konvertiert einen Broadcast-Frame nicht in Unicast-Frames für jeden einzelnen Wi-Fi-Client. Es sendet gleichzeitig einen einzelnen Broadcast-Frame an alle Wi-Fi-Clients. Das Senden eines Frames an jeden Client macht den Zweck der Übertragung wirklich zunichte. Aus diesem Grund sendet der WAP so langsam wie möglich. Alle Geräte müssen in der Lage sein, den einzelnen Broadcast-Frame zu empfangen, einschließlich solcher, die langsame Raten erfordern.