强制WPA2重用Nonce密钥重载攻击

本文咱们将先容密钥重载入侵攻击，这种入侵攻击滥用了加密协定的计划和实现来重装一个已经在应用的key。重置和key相干的参数，比方传输的nonces和重传计数器。一些加密的Wi-Fi握手包也会遭到该入侵攻击影响。
一切受掩护的Wi-Fi网络应用四次握手来产生一个新的session key。今朝为止，握手协定已经应用了14年，一度被觉得很网安，可以或许免受入侵攻击。然则，本文证清晰明了在密钥重载入侵攻击眼前四次握手协定是软弱的。入侵攻击者经由进程操纵和应对握手信息来诱骗受害者从新装置一个已经在应用的key。当密钥重载时，相干的参数比方传输包的增加序列（nonce）和重传计数器被重置为初始值。密钥重载入侵攻击也能损坏PeerKey，组密钥和Fast BSS Transition（FT）握手协定。该影响取决于握手协定可否被入侵攻击和应用的数据加密协定。简略来讲，针对AES-CCMP的入侵攻击者可以或许应对和解密（不是捏造）握手包。这使得挟制TCP流并注入歹意数据变得有可以或许。而对付WPA-TKIP和GCMP容许应对、解密和捏造包影响是劫难性的。因为GCMP在传输的两边应用雷同的key，影响尤其重大。
末了，咱们在实践中验证了咱们的概念，并发明每个Wi-Fi装备都有可以或许遭到一些变种入侵攻击的影响。值得留意的是，Android 6.0 强迫客户端应用初始值全为零的加密key，使得咱们的入侵攻击对其影响是宏大的。
症结词：网安协定；网络网安；入侵攻击；密钥重载；WAP2；nonce重用；握手包；包序列；初始向量
0x01 先容
一切应用WPA/2协定的Wi-Fi网络被觉得是网安的。更有甚者，因为Hotspot2.0，现在大众的热门也能用这种加密认证[7]。一切这些技巧都依附于四次握手协定，该协定被界说在802.11中的802.11i改动案中。本文咱们将展现四次握手的计划流程和相干的握手包，因为咱们觉得这些握手包和WPA和WPA2认证的产物都邑受咱们入侵攻击的影响。
四次握手供应了相互认证和会话密钥协商协定，连同（AES）-CCMP，数据窃密和完备性协定，构成为了802.11i改动案的根基。作为802.11i的焦点部门，自从2003年第一次被命名为WPA被引入，它就免受了入侵攻击。实际上，802.11i今朝已知的缺点是在（WPA-）TKIP[57,66]。其数据窃密协定被计划作为破旧的WEP协定的一个短时间办理方案。换句话说，TKIP从来没有盘算作为一个历久的网安办理方案。别的，固然曩昔几年有几回针对Wi-Fi网络的入侵攻击被发明，但都不是应用802.11i协定。而是应用WPS[73]，有缺点的驱动法式[13,20]，有缺点的随机数字天生器[72]，可猜测的预同享密钥[45]，不网安的企业认证[21]等等。在CCMP和四次握手里没有发明重大的缺点。这实在不奇异，究竟，二者都被正式证明是网安的[39,42]。斟酌以上几点，人们可以或许正当地假定四次握手确实是网安的。
只管汗青证明它是网安的，但咱们可以或许证明四次握手面临密钥重载入侵攻击是软弱的。别的，咱们发清晰明了别的Wi-Fi握手协定中有类似的缺点。这象征着，咱们也能入侵攻击PeerKey握手，组密钥握手和Fast BSS Transition (FT) 握手。
咱们入侵攻击背后的道理在过后看来实在很简略。归纳综合以下：
当客户端参加一个网络时，它会履行四次握手来协商得到一个新的会话key。在接管到握手的Message 3后，它会装置该key。一旦key被装置，它将被用于数据窃密协定来加密失常的数据帧。然则因为新闻可以或许丧失，假如没有收到适合的相应作为应对，接入点（AP）将重发Message 3。以是，因而客户端可以或许收到屡次的Message 3。每次接管到该新闻，客户端就会从新装置雷同的会话密钥，从而重置赓续增加的传输包的序列号（nonce）和数据窃密协定应用的重传计数器。咱们证清晰明了入侵攻击者可以或许经由进程网络和重发Message 3来强迫重置nonce。经由进程临时重置nonce，可以或许入侵攻击数据窃密协定。比方，数据包可以或许被重放，解密，或捏造，如许的技巧也能够或许用来入侵攻击组密钥，PeerKey，fast BSS Transition。
当四次握手或fastBSS 握手被入侵攻击时，影响的巨细取决于应用的数据窃密协定。假如是应用CCMP，随意率性数据包都可以或许被解密，反之，这可以或许用来解密TCP SYN包来挟持TCP衔接。比方，入侵攻击者可以或许注入歹意内容到未加密的HTTP衔接中。假如是应用TKIP或GCMP，入侵攻击者可以或许解密并注入随意率性包。只管GCMP是一个绝对较新的Wi-Fi协定，估计在往后几年中会有很高的采纳率。末了，当组密钥握手被入侵攻击时，入侵攻击者可以或许重放组寻址帧，即播送和多播帧。
咱们的入侵攻击对付wpa_supplicant（Linux体系常用的Wi-Fi客户端）2.4版本和2.5版本影响宏大，该客户端将装置一个全零的加密key而不是重装一个实在的key。该漏洞破绽bug由802.11尺度中的一句话激发：假如会话密钥已经被装置，倡议从内存中消除部门的会话密钥[1, §12.7.6.6]。因为Android应用了改良的wpa_supplicant，以是Android 6.0和Android Wear 2.0也包含此漏洞破绽bug。是以，今朝31.2%的Android装备很轻易遭到这种入侵攻击变种的损坏。[ 33 ]
风趣的是，咱们的入侵攻击实在不违背四次握手和组密钥握手被证明的网安属性。分外值得一提的是，这些证明注解协商的会话密钥仍旧是私有的，并且客户端和接入点（AP）的身份是被确认的。咱们的入侵攻击不会泄漏会话密钥。（别的，固然应用TKIP或GCMP可以或许招致失常的数据帧被捏造，然则入侵攻击者不克不及捏造EAPOL新闻，是以不克不及在握手时代伪装成客户端或AP，以是不克不及模仿key的装置。分歧的是，当一个协商key应当被装置时，他们的模子不克不及论述。）实际中，这象征着雷同的key可以或许被装置屡次，从而重置nonces和数据窃密协定应用的重传计数器。
总之，本文的紧张论述以下：
（1）咱们先容了密钥重载入侵攻击，入侵攻击者强迫重载一个已经应用过的key，从而重置任何相干的nonces或重传计数器。
（2）咱们觉得四次握手，PeerKey握手，组密钥握手和fast BSS transition握手轻易遭到密钥重载入侵攻击。
（3）咱们在实践中履行了咱们的入侵攻击，这注解一切的实现都易受某些变种的入侵攻击。
（4）咱们评价了一切802.11的数据窃密协定重用nonce的影响。
本文的别的部门以下：

[1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

本文咱们将先容密钥重载入侵攻击，这种入侵攻击滥用了加密协定的计划和实现来重装一个已经在应用的key。重置和key相干的参数，比方传输的nonces和重传计数器。一些加密的Wi-Fi握手包也会遭到该入侵攻击影响。
一切受掩护的Wi-Fi网络应用四次握手来产生一个新的session key。今朝为止，握手协定已经应用了14年，一度被觉得很网安，可以或许免受入侵攻击。然则，本文证清晰明了在密钥重载入侵攻击眼前四次握手协定是软弱的。入侵攻击者经由进程操纵和应对握手信息来诱骗受害者从新装置一个已经在应用的key。当密钥重载时，相干的参数比方传输包的增加序列（nonce）和重传计数器被重置为初始值。密钥重载入侵攻击也能损坏PeerKey，组密钥和Fast BSS Transition（FT）握手协定。该影响取决于握手协定可否被入侵攻击和应用的数据加密协定。简略来讲，针对AES-CCMP的入侵攻击者可以或许应对和解密（不是捏造）握手包。这使得挟制TCP流并注入歹意数据变得有可以或许。而对付WPA-TKIP和GCMP容许应对、解密和捏造包影响是劫难性的。因为GCMP在传输的两边应用雷同的key，影响尤其重大。
末了，咱们在实践中验证了咱们的概念，并发明每个Wi-Fi装备都有可以或许遭到一些变种入侵攻击的影响。值得留意的是，Android 6.0 强迫客户端应用初始值全为零的加密key，使得咱们的入侵攻击对其影响是宏大的。 本文来自无奈人生安全网
症结词：网安协定；网络网安；入侵攻击；密钥重载；WAP2；nonce重用；握手包；包序列；初始向量
0x01 先容
一切应用WPA/2协定的Wi-Fi网络被觉得是网安的。更有甚者，因为Hotspot2.0，现在大众的热门也能用这种加密认证[7]。一切这些技巧都依附于四次握手协定，该协定被界说在802.11中的802.11i改动案中。本文咱们将展现四次握手的计划流程和相干的握手包，因为咱们觉得这些握手包和WPA和WPA2认证的产物都邑受咱们入侵攻击的影响。
四次握手供应了相互认证和会话密钥协商协定，连同（AES）-CCMP，数据窃密和完备性协定，构成为了802.11i改动案的根基。作为802.11i的焦点部门，自从2003年第一次被命名为WPA被引入，它就免受了入侵攻击。实际上，802.11i今朝已知的缺点是在（WPA-）TKIP[57,66]。其数据窃密协定被计划作为破旧的WEP协定的一个短时间办理方案。换句话说，TKIP从来没有盘算作为一个历久的网安办理方案。别的，固然曩昔几年有几回针对Wi-Fi网络的入侵攻击被发明，但都不是应用802.11i协定。而是应用WPS[73]，有缺点的驱动法式[13,20]，有缺点的随机数字天生器[72]，可猜测的预同享密钥[45]，不网安的企业认证[21]等等。在CCMP和四次握手里没有发明重大的缺点。这实在不奇异，究竟，二者都被正式证明是网安的[39,42]。斟酌以上几点，人们可以或许正当地假定四次握手确实是网安的。 内容来自无奈安全网
只管汗青证明它是网安的，但咱们可以或许证明四次握手面临密钥重载入侵攻击是软弱的。别的，咱们发清晰明了别的Wi-Fi握手协定中有类似的缺点。这象征着，咱们也能入侵攻击PeerKey握手，组密钥握手和Fast BSS Transition (FT) 握手。
咱们入侵攻击背后的道理在过后看来实在很简略。归纳综合以下：
当客户端参加一个网络时，它会履行四次握手来协商得到一个新的会话key。在接管到握手的Message 3后，它会装置该key。一旦key被装置，它将被用于数据窃密协定来加密失常的数据帧。然则因为新闻可以或许丧失，假如没有收到适合的相应作为应对，接入点（AP）将重发Message 3。以是，因而客户端可以或许收到屡次的Message 3。每次接管到该新闻，客户端就会从新装置雷同的会话密钥，从而重置赓续增加的传输包的序列号（nonce）和数据窃密协定应用的重传计数器。咱们证清晰明了入侵攻击者可以或许经由进程网络和重发Message 3来强迫重置nonce。经由进程临时重置nonce，可以或许入侵攻击数据窃密协定。比方，数据包可以或许被重放，解密，或捏造，如许的技巧也能够或许用来入侵攻击组密钥，PeerKey，fast BSS Transition。
当四次握手或fastBSS 握手被入侵攻击时，影响的巨细取决于应用的数据窃密协定。假如是应用CCMP，随意率性数据包都可以或许被解密，反之，这可以或许用来解密TCP SYN包来挟持TCP衔接。比方，入侵攻击者可以或许注入歹意内容到未加密的HTTP衔接中。假如是应用TKIP或GCMP，入侵攻击者可以或许解密并注入随意率性包。只管GCMP是一个绝对较新的Wi-Fi协定，估计在往后几年中会有很高的采纳率。末了，当组密钥握手被入侵攻击时，入侵攻击者可以或许重放组寻址帧，即播送和多播帧。 copyright 无奈人生
咱们的入侵攻击对付wpa_supplicant（Linux体系常用的Wi-Fi客户端）2.4版本和2.5版本影响宏大，该客户端将装置一个全零的加密key而不是重装一个实在的key。该漏洞破绽bug由802.11尺度中的一句话激发：假如会话密钥已经被装置，倡议从内存中消除部门的会话密钥[1, §12.7.6.6]。因为Android应用了改良的wpa_supplicant，以是Android 6.0和Android Wear 2.0也包含此漏洞破绽bug。是以，今朝31.2%的Android装备很轻易遭到这种入侵攻击变种的损坏。[ 33 ]
风趣的是，咱们的入侵攻击实在不违背四次握手和组密钥握手被证明的网安属性。分外值得一提的是，这些证明注解协商的会话密钥仍旧是私有的，并且客户端和接入点（AP）的身份是被确认的。咱们的入侵攻击不会泄漏会话密钥。（别的，固然应用TKIP或GCMP可以或许招致失常的数据帧被捏造，然则入侵攻击者不克不及捏造EAPOL新闻，是以不克不及在握手时代伪装成客户端或AP，以是不克不及模仿key的装置。分歧的是，当一个协商key应当被装置时，他们的模子不克不及论述。）实际中，这象征着雷同的key可以或许被装置屡次，从而重置nonces和数据窃密协定应用的重传计数器。
总之，本文的紧张论述以下：
（1）咱们先容了密钥重载入侵攻击，入侵攻击者强迫重载一个已经应用过的key，从而重置任何相干的nonces或重传计数器。 内容来自无奈安全网
（2）咱们觉得四次握手，PeerKey握手，组密钥握手和fast BSS transition握手轻易遭到密钥重载入侵攻击。
（3）咱们在实践中履行了咱们的入侵攻击，这注解一切的实现都易受某些变种的入侵攻击。
（4）咱们评价了一切802.11的数据窃密协定重用nonce的影响。
本文的别的部门以下：
copyright 无奈人生

[1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

。 (责任编辑：admin)