Wi-Fi安全协议简史,从无到WPA3
这里的字母汤很厚很热:AES是高级加密标准(the Advanced Encryption Standard),CCMP是计数器模式密码块链接消息认证码协议(the Counter Mode Cipher Block Chaining Message Authentication Code Protocol.)。 AES-CCMP可以避免Beck-Tews及变种的中间人攻击。WPA2虽然支持AES-CCMP,但没有强制启用,为了兼容旧的非WPA2设备,很多用户仍然使用TKIP。 KRACK攻击——WI-FI安全性思考 经管WPA2和AES-CCMP可以避免中间人工降,但是也并不是没有永久性地解决安全问题。2017年出现了的KRACK攻击像一般利箭刺穿了AES/CCMP的壁垒。 802.11i预期到偶尔会丢失网络连接,并且为了加速重新连接,它允许断开连接的设备重新使用旧密钥重新连接。因此,精心伪装的侦听器可以捕获数据包并使用重放攻击来强制网络重复发送具有新随机数的相同已知块。这样攻击者可以,通过这些信息重建整个密钥串,从而实现完全网络访问。 KRACK攻击由于利用了802.11i的漏洞,所以WPA2无法修复。虽然可以通过在密钥安装期间禁用EAPOL-Key帧重新传输等设置可以在很大程度上缓解攻击,但是这会导致下线设备回复重连的时间加长。不过,这是唯一可以防止KRACK攻击,提高安全性的方法。 WPA3——NFC,PFS,SAE以及其他 在KRACK攻击公布后不久,Wi-Fi联盟于2018年1月推出了WPA3。WPA3通过将密钥预共享(PSK)替换为同等身份验证(SAE)来避免重放攻击。SAE是一种旨在强大而安全地识别对等设备的协议,它首次提出了适用于Wi-Fi网状网络的802.11s标准。除了解决KRACK攻击之外,Wi-Fi联盟声称,IEEE 802.11-2016中提到的SAE的实施将解决用户由于大意或者设置而导致的安全问题。SAE还解决了针对短密码设置的网络的(非暴力或字典)攻击。 WPA3认证还引入了利用NFC进行身份验证的能力。NFC或近场通信是一种极短距离无线通讯技术,用于通过将设备靠近验证设备而进行认证。如果WPA3路由器或接入点启用了NFC网络加入,你只需拿着支持NFC的手机或者互联网设备靠经路由器/接入点,就能通过认证,加入网络。虽然从某种意义上来说这是一种低安全性,任何可以利用手机轻轻靠就能上网。但是由于NFC会话无法被远程捕获,并且方便好用,无需记忆密码,而且可以基于入网设备进行审计和事后行为追踪,所以这是相对比较方便靠谱的方法,完美的权衡了安全性和易用性的要求。 WPA3还通过添加Perfect Forward Secrecy修补了Wi-Fi实施加密的另一个明显漏洞。对于WEP,WPA或WPA2,不知道Wi-Fi密码的攻击者可以记录他们所在范围内的所有内容,然后获得密钥后再解密。通过Perfect Forward Secrecy杜绝了预先录网络包的可能。即使你以后破解了网络,你先前捕获的包仍然不可解码。使用WPA3,即使较弱的HTTPS连接和未加密的网络包,如DNS解析等都将受到保护。 无线WI-FI安全保障 WPA3上距离上市还有距离,目前市面上还找不到支持它的路由器。但也不要因此而恐慌。大多数现代路由器,也都支持KRACK攻击缓解设置。 如果可能的话,你绝对不应该再使用任何非802.11ac设备; 你应该绝对确定你已经更新了所有路由器上的固件以及最新的可用版本。 如果你的设备的最新可用固件版本早于2017年11月,则毫无疑问会容易受到KRACK攻击。这时候你要做就是换一个更新的路由器。 Windows,Linux或BSD以及Apple个人计算机通常没有什么问题,只要操作系统本身经过修补和更新即可。通用计算机上的WPA2身份验证通常独立于操作系统,通过硬件驱动程序就可以解决。 如果设备本身是最新的,那么Apple IOS设备以及Google Pixel和Nexus设备将会很好。Android设备通常会有很多问题,因为许多Android OEM和运营商都无法及时提供最新的安全补丁。物联网设备同样是安全问题的多发点。如果你有一个非谷歌的Android设备或物联网设备一般,你需要关注安全动态,确保你的设备没有问题。 最后,Wi-Fi安全协议的变化历史告诉我们,没有任何一种设备或者协议是永保安全的,安全是动态的,解决了一个,马上会涌出新的漏洞,只有不断迭代,不断更新才是保证安全的唯一法则。 【编辑推荐】
点赞 0 (编辑:好传媒网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |