Narzędzia użytkownika
sk2:wlan:sec
Różnice
Różnice między wybraną wersją a wersją aktualną.
| Both sides previous revision Poprzednia wersja | |||
|
sk2:wlan:sec [2023/12/12 15:02] jkonczak |
sk2:wlan:sec [2023/12/13 23:59] (aktualna) jkonczak |
||
|---|---|---|---|
| Linia 17: | Linia 17: | ||
| </small> | </small> | ||
| - | Na podstawie szkicu standardu IEEE 802.11i organizacja Wi-Fi Alliance przyjęła nowe | + | Na podstawie szkicu standardu IEEE 802.11i organizacja Wi-Fi Alliance przyjęła |
| - | rozwiązania w 2003 roku zapewniające bezpieczeństwo pod nazwą **WPA** (Wi-Fi | + | w 2003 roku nowe rozwiązania zapewniające bezpieczeństwo pod nazwą **WPA** |
| - | Protected Access). | + | (Wi-Fi Protected Access). |
| Po przyjęciu ostatecznej wersji standardu [[https://en.wikipedia.org/wiki/IEEE_802.11i-2004|IEEE 802.11i]] | Po przyjęciu ostatecznej wersji standardu [[https://en.wikipedia.org/wiki/IEEE_802.11i-2004|IEEE 802.11i]] | ||
| Linia 39: | Linia 39: | ||
| [[https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-wi-fi-certified-wpa3-security|[1]]] | [[https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-wi-fi-certified-wpa3-security|[1]]] | ||
| [[https://www.wi-fi.org/discover-wi-fi/security|[2]]] | [[https://www.wi-fi.org/discover-wi-fi/security|[2]]] | ||
| - | [[https://www.wi-fi.org/file/wpa3-security-considerations|[3]]] | + | [[https://www.wi-fi.org/file/wi-fi-protected-access-security-considerations|[3]]] |
| </small> | </small> | ||
| Linia 66: | Linia 66: | ||
| protokole [[https://pl.wikipedia.org/wiki/Protok%C3%B3%C5%82_Diffiego-Hellmana|Diffiego-Hellmana]]. | protokole [[https://pl.wikipedia.org/wiki/Protok%C3%B3%C5%82_Diffiego-Hellmana|Diffiego-Hellmana]]. | ||
| \\ | \\ | ||
| - | <small>Protokół DH pozwala bez wspólnych tajnych informacji znanych osobom generującym klucz wygenerować tajny klucz.</small> | + | <small>Protokół DH pozwala wygenerować tajny klucz bez żadnego wspólnego sekretu |
| + | znanego osobom generującym klucz.</small> | ||
| <small>Sieci wykorzystujące [[https://en.wikipedia.org/wiki/Opportunistic_Wireless_Encryption|OWE]] | <small>Sieci wykorzystujące [[https://en.wikipedia.org/wiki/Opportunistic_Wireless_Encryption|OWE]] | ||
| Linia 76: | Linia 77: | ||
| używane przez WPA i WPA2, wymaga znajomości przez klienta i AP | używane przez WPA i WPA2, wymaga znajomości przez klienta i AP | ||
| **wspólnego sekretu** – ciągu 256 bitów. Zwykle taki ciąg jest skrótem | **wspólnego sekretu** – ciągu 256 bitów. Zwykle taki ciąg jest skrótem | ||
| - | kryptograficznym z "hasła" o długości od 8 do 63 znaków. | + | kryptograficznym z **"hasła"** o długości od 8 do 63 znaków. |
| Wady uwierzytelniania WPA-PSK/WPA2-PSK: | Wady uwierzytelniania WPA-PSK/WPA2-PSK: | ||
| Linia 82: | Linia 83: | ||
| * siła zabezpieczenia zależy od siły hasła, | * siła zabezpieczenia zależy od siły hasła, | ||
| * znane (i częściowo niezałatane) podatności, np. [[https://en.wikipedia.org/wiki/KRACK|KRACK]], | * znane (i częściowo niezałatane) podatności, np. [[https://en.wikipedia.org/wiki/KRACK|KRACK]], | ||
| - | * nie wymaga((Choć dopuszcza takie zabezpieczenia; zwykle jednak nie jest to implementowane.)) zabezpieczeń ramek zarządzających, <small> co pozwala m. inn. na zrywanie połączeń przez osoby spoza sieci ([[https://en.wikipedia.org/wiki/Wi-Fi_deauthentication_attack|deauth attack]])</small>, | ||
| * <small>znając PSK i słuchając pełnej komunikacji (od nawiązania połączenia) można deszyfrować transmisję.</small> | * <small>znając PSK i słuchając pełnej komunikacji (od nawiązania połączenia) można deszyfrować transmisję.</small> | ||
| **SAE** ([[https://en.wikipedia.org/wiki/Simultaneous_Authentication_of_Equals|Simultaneous Authentication of Equals]]), | **SAE** ([[https://en.wikipedia.org/wiki/Simultaneous_Authentication_of_Equals|Simultaneous Authentication of Equals]]), | ||
| używane w WPA3, jest rozwinięciem protokołu Diffiego-Hellmana w którym strony | używane w WPA3, jest rozwinięciem protokołu Diffiego-Hellmana w którym strony | ||
| - | muszą dodatkowo znać wspólny sekret. W SAE podsłuchanie komunikacji nie pozwala | + | muszą dodatkowo znać wspólny sekret (tworzony z **hasła**). W SAE podsłuchanie |
| - | poznać tego sekretu, nie pozwala na ataki słownikowe na przechwyconej komunikacji | + | komunikacji nie pozwala poznać tego sekretu, nie pozwala na ataki słownikowe na |
| - | i nie pozwala znając sekret wygenerować klucza z podsłuchanej komunikacji. | + | przechwyconej komunikacji i nie pozwala znając sekret wygenerować klucza z |
| + | podsłuchanej komunikacji. | ||
| \\ | \\ | ||
| Przez brak możliwości dopasowania hasła do przechwyconej komunikacji SAE | Przez brak możliwości dopasowania hasła do przechwyconej komunikacji SAE | ||
| Linia 97: | Linia 98: | ||
| <small>Matematyczne podstawy działania SAE: https://asecuritysite.com/encryption/dragonfly</small> | <small>Matematyczne podstawy działania SAE: https://asecuritysite.com/encryption/dragonfly</small> | ||
| - | Na skutek zignorowania w trakcie tworzenia WPA-3 znanych, zgłaszanych i | + | Na skutek zignorowania w trakcie tworzenia WPA-3 znanych wcześniej, |
| - | załatanych w innych zastosowaniach podatności wymiany dragonfly([[https://datatracker.ietf.org/doc/html/rfc7664#section-3.3|RFC 7664]]) | + | zgłaszanych i załatanych w innych zastosowaniach podatności wymiany |
| - | na ataki czasowe w niektórych implementacjach WPA3-SAE możliwe jest | + | dragonfly([[https://datatracker.ietf.org/doc/html/rfc7664#section-3.3|RFC 7664]]) |
| + | na ataki czasowe, w niektórych implementacjach WPA3-SAE możliwe jest | ||
| przeprowadzenie ataków pozwalających odkryć hasło ([[https://wpa3.mathyvanhoef.com/|dragonblood]]). | przeprowadzenie ataków pozwalających odkryć hasło ([[https://wpa3.mathyvanhoef.com/|dragonblood]]). | ||
| Linia 162: | Linia 164: | ||
| ==== Szyfrowanie w WPA/2/3 ==== | ==== Szyfrowanie w WPA/2/3 ==== | ||
| + | |||
| + | **Działanie szyfrowania nie zależy od zastosowanego w sieci uwierzytelniania.** | ||
| Do szyfrowania ramek wysłanych między AP a jednym odbiorcą wykorzystuje się | Do szyfrowania ramek wysłanych między AP a jednym odbiorcą wykorzystuje się | ||
| Linia 174: | Linia 178: | ||
| <small>Wszystkie klucze używane do szyfrowania są symetryczne.</small> | <small>Wszystkie klucze używane do szyfrowania są symetryczne.</small> | ||
| - | System operacyjny musi na żądanie AP zmieniać klucze szyfrujące na karcie | + | Podłączone stacje muszą na żądanie AP zmieniać klucze szyfrujące na karcie |
| sieciowej. | sieciowej. | ||
| - | |||
| - | **Działanie szyfrowania nie zależy od zastosowanego w sieci uwierzytelniania.** | ||
| Do generowania kluczy i szyfrowania można używać algorytmów: | Do generowania kluczy i szyfrowania można używać algorytmów: | ||
| Linia 193: | Linia 195: | ||
| implementowany standard [[https://en.wikipedia.org/wiki/IEEE_802.11w-2009|802.11w]] | implementowany standard [[https://en.wikipedia.org/wiki/IEEE_802.11w-2009|802.11w]] | ||
| wymaga zabezpieczania ramek zarządzających, co zapobiega podrabianiu ramek | wymaga zabezpieczania ramek zarządzających, co zapobiega podrabianiu ramek | ||
| - | m. inn. rozłączających klienta od AP. | + | m. inn. rozłączających klienta od AP([[https://en.wikipedia.org/wiki/Wi-Fi_deauthentication_attack|deauth attack]]). |
| <small>Zabezpieczenie polega na szyfrowaniu (ramki do jednego odbiorcy) lub kryptograficznym podpisywaniu (ramki do wielu odbiorców) ramek przez ich nadawcę</small> | <small>Zabezpieczenie polega na szyfrowaniu (ramki do jednego odbiorcy) lub kryptograficznym podpisywaniu (ramki do wielu odbiorców) ramek przez ich nadawcę</small> | ||
| - | ==== Linki ==== | + | ==== (Stare) linki ==== |
| | | ||
| <small> | <small> | ||
sk2/wlan/sec.txt · ostatnio zmienione: 2023/12/13 23:59 przez jkonczak
Narzędzia strony
Wszystkie treści w tym wiki, którym nie przyporządkowano licencji, podlegają licencji: Creative Commons Attribution-ShareAlike 4.0 International License
