En 2004, les utilisateurs du sans fil ont poussé un grand ouf ! avec, au mois de septembre, la ratification du protocole de sécurité 802. 11i attendu depuis plusieurs années. Cette norme, également appelée WPA2 (Wireless Protected Access) par la Wi-Fi Alliance, succède au WPA qui, lui-même, corrigeait les insuffisances du WEP (Wired Equivalent Privacy). WPA et 802. 11i sont identiques dans leur mode de fonctionnement, si ce n'est pour ce qui touche à l'algorithme de chiffrement mis en oeuvre : TKIP (Temporal Key Integrity Protocol) basé sur RC4 dans le premier cas et, dans le second, AES-CCMP (Counter Mode with CBC-MAC) nettement plus sûr, car basé sur AES (Advanced Encryption Standard) et offrant une rétrocompatibilité avec TKIP.

Le Counter Mode ajoute un compteur arbitraire à la clé temporelle AES. La valeur de départ de ce compteur et son incrémentation changent pour chaque bloc de données de 128 bits chiffrées. De leur côté, WEP et WPA utilisent le protocole RC4, qui se contente de chiffrer les données à la volée. Pour s'assurer que le message qui transite entre le point d'accès et le client n'est pas altéré, l'AES-CCMP utilise la méthode CBC-MAC, qui calcule une valeur appelée MIC (Message Integrity Check). L'intégrité des données est vérifiée si le client et le point d'accès ont la même MIC.

Sur le plan de l'authentification, le protocole 802. 11i prévoit deux modes. Un mode dit « personnel » (sans serveur d'authentification) et un mode « entreprise » . Ce dernier, à la manière de WPA, implémente le protocole 802. 1x entre le client, le point d'accès et le serveur d'authentification. Le protocole 802. 11i ne spécifie pas le type de serveur utilisé.

Dans notre exemple (voir infographie), nous avons choisi un serveur Radius. Le 802. 1x utilise la méthode EAP (Extensible Authentification Protocol) pour transporter les messages d'authentification vers le serveur Radius (voir infographie). EAP pouvant être implémenté suivant différentes variantes (EAP-TLS, EAP-LEAP, EAP-TTLS, etc.), le client et le serveur Radius doivent convenir d'une méthode commune. Le point d'accès n'intervient pas pendant cette phase : il attend simplement la réponse du serveur Radius pour savoir s'il autorise le client à entrer sur le réseau.

Durant les dernières étapes de cet échange, le client et le serveur Radius se mettent d'accord sur une clé PMK (Pairwise Master Key), puis le serveur la transmet au point d'accès en lui indiquant également qu'il peut accepter la station. Ces clés PMK permettent de générer des clés temporaires utilisées pour les opérations de chiffrement et d'intégrité et regroupées sous l'appellation de PTK (Pairwise Transient Key). Elle ser vent durant toute la durée de l'échange et sont recalculées tous les 10 000 paquets.