Jak funguje šifrování WiFi?

[Petrik]

"I když je ochrana sítě pomocí WPA-PSK silnějši jako WEP není pro zkušeného pentestera problém ochranu prolomit. Na webu Church of WiFi jsou k dispozici WPA-PSK hash tables (rainbow table) o velikosti zhruba 172 000 hesel které náleží k 1000 SSID"

to je hodne vtipne, jasne ze neni tezke prolomit WPA, kdyz pouziju jednoduche heslo 172tis hesel je dost male cislo, kdyz pouziju 63 znakove nahodne heslo, tak jsou v haji

Navic neverim tomu, ze kdokoli bez znalosti potrebneho sifrovaciho klice donuti meho klienta, aby se odpojil od APcka, kdyz VESKERA komunikace mezi nim a AP je sifrovana, tedy by musel byt i pripadny pozadavek na novou autentifikaci. Tomu webu vubec neverim, vypada hodne neduveryhodne.

[beavel]

"I když je ochrana sítě pomocí WPA-PSK silnějši jako WEP není pro zkušeného pentestera problém ochranu prolomit. Na webu Church of WiFi jsou k dispozici WPA-PSK hash tables (rainbow table) o velikosti zhruba 172 000 hesel které náleží k 1000 SSID"
Tomu webu vubec neverim, vypada hodne neduveryhodne.

provedeni iteto "galerie" velice presne vypovida o technickych dovednostech komunity http://www.churchofwifi.org/slidesho...GID=48&PID=100
nemyslel jsem church ale airdump.net

to je hodne vtipne, jasne ze neni tezke prolomit WPA, kdyz pouziju jednoduche heslo 172tis hesel je dost male cislo, kdyz pouziju 63 znakove nahodne heslo, tak jsou v haji

tak, tak.

[admix]

WPA se afaik prolomit da, pokud se nemeni klic a na siti je dostatecne velky provoz - je potreba daleko vic zachycenejch packetu nez u wepu

[beavel]

WPA se afaik prolomit da, pokud se nemeni klic a na siti je dostatecne velky provoz - je potreba daleko vic zachycenejch packetu nez u wepu

to by bylo hrozny kvantum.

[Petrik]

Zlehka jsem WPA/WPA2 PSK nastudoval a v pripade pouziti TKIP je miziva sance, ze to prolomit pujde, v pripade AES to je vpodstate vyloucene, to je alespon nazor odborniku v oboru kryptografie. Pokud tomu dobre rozumim, v pripade TKIP se prenasena data sifruji 128-bit stream sifrou RC4 s 48-bit inicializacnim vektorem (IV), pro kazdy packet je sifrovaci klic jiny. Prave IV o prilis male velikosti 24bitu se stal kamenem urazu sifrovani WEP, dvojnasobna velikost silne omezuje podobny utok, ale neni to na 100%. V pripade AES u WPA1/2 je cely sifrovanci algoritmus postaven na bazi AES a je povazovan za zcela bezpecny. Pokud tam neni nejaka zasadni chyba v navrhu ci implementaci, melo by to byt dostatecne bezpecne.

Zajimave je, ze AES je u WPA nepovinne, zato u WPA2 povinne. Ve windows XP vsak WPA2 nefunguje vubec, nebo hodne spate, WPA1 s AES pritom funguje vpohode. AES by pritom mel byt hlavni rozdil mezi WPA1 a 2.

EDIT: hodne zajimavy odkaz: http://www.informationweek.com/news/...leID=177105338

WPA s AES zajistuje 100% integritu dat - dalsi duvod, proc to pouzivat

[beavel]

WPA s AES zajistuje 100% integritu dat, dalsi duvod proc, to pouzivat

bych rek ze tkip pomoci MICHAELu taky

[Millisx]

2Petrik. Díky, dostatečně jsi mi i odpověděl, proč se mi zatím WPA2 nepodařilo korektně rozchodit

[Petrik]

SP3 by pry mela WPA2 resit, prakticky vyzkousene to ale nemam. Jinak kombinace mikrotik + AirCA8-Pro nebo nanostation 5GHz funguje s WPA2+AES vpohode ale to vsechno bezi na linuxu...

bych rek ze tkip pomoci MICHAELu taky

Jasne, s AES to ma byt snad jeste o neco lepsi, ale TKIP to umi take

[monsoon]

Zajimave je, ze AES je u WPA nepovinne, zato u WPA povinne. Ve windows XP vsak WPA2 nefunguje vubec, nebo hodne spate, WPA1 s AES pritom funguje vpohode. AES by pritom mel byt hlavni rozdil mezi WPA1 a 2.

Dovolim si nesouhlasit, sice wifi neprovozuji nejak zavratne dlouho, asi od listopadu 2006, ale uz v te dobe nebyl zadny problem s WPA2, at uz enterprise pres radius, tak WPA2-PSK pod WindowsXP a ani do dnes jsem zadny neobjevil. Mozna pokud nebyly aktualizace, tak se neni cemu divit, kdyz WPA2 je novejsi dokonce i nez XP SP2.

[Petrik]

WPA2 se mi v XPckach budto vubec nepripoji, nebo vypada v intervalu cca 1 minuta. Je mozne, ze to byla i chyba APcka, ale zrvona vcera jsem se trapil s jednim noutasem, ktery jsem proste nepremluvil aby se pripojil k TP-LINKu s atheros chipsetem, ktery jinak WPA2 bez problemu zvlada. Sitovka v noutasu je intel 2200BG, posledni ovladace a XPcka s SP3 a tim patchem na WPA2.

UPDATE: zase jsem se trapil s WPA2 vs. Win XP SP3 a znovu bez uspechu. Ty dva stare patche do SP3 aplikovat nejdou, zrejme tam uz jsou, ale proste se to na WPA2 APcko linksys skrz tu wokenni utilitu nepripoji. Pomohlo az nainstalovani ridici utilitky intel pro 2200BG, ta se pripojila. Na druhem stroji s broadcom WLAN to vsak dat nejde, takze jsem musel rezignovat a hodit tam bezproblemovy mod WPA1+AES.