|
| WEP Fra : Michael Rasmussen |
Dato : 06-03-06 02:17 |
|
Hej alle,
Et opklarende spørgsmål:
Alle er enige om, at WEP er hullet som en si.
Det jeg gerne vil have opklaret i den forbindelse er, om det er
krypteringsalgoritmen eller implementationen, der er hullet som en si?
Efter hvad jeg har kunnet finde frem til, skulle RC4 i sig selv være
sikker nok, men den konkrete implementation i WEP har en svaghed i
nøglegenereringen, hvoraf følger, at man relativt simpelt kan lave
brute-force (Fluhrer, Mantin, Shamir: Weakness in the Key Scheduling
Algorithm of RC4-> http://www.drizzle.com/~aboba/IEEE/rc4_ksaproc.pdf)
Praktisk bevis: http://ftp.die.net/mirror/papers/802.11/wep_attack.html
RSA: svar til ovenstående:
http://www.rsasecurity.com/rsalabs/node.asp?id=2009
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
| |
Michael Rasmussen (06-03-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 06-03-06 02:22 |
|
On Mon, 06 Mar 2006 02:17:16 +0100, Michael Rasmussen wrote:
> Alle er enige om, at WEP er hullet som en si. Det jeg gerne vil have
> opklaret i den forbindelse er, om det er krypteringsalgoritmen eller
> implementationen, der er hullet som en si?
>
Glemte lige at tilføje: Jeg håber det ikke er OT, at diskutere
algoritmers sikkerhed på denne liste?
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
| |
Povl H. Pedersen (06-03-2006)
| Kommentar Fra : Povl H. Pedersen |
Dato : 06-03-06 06:58 |
|
In article <pan.2006.03.06.01.17.16.515456@miras.org>, Michael Rasmussen wrote:
> Hej alle,
>
> Et opklarende spørgsmål:
>
> Alle er enige om, at WEP er hullet som en si.
> Det jeg gerne vil have opklaret i den forbindelse er, om det er
> krypteringsalgoritmen eller implementationen, der er hullet som en si?
Det er implementeringen. Mener det er IV valget der er det store problem.
--
Povl H. Pedersen - nospam @ my.terminal.dk (Ja - adressen virker)
| |
Ukendt (06-03-2006)
| Kommentar Fra : Ukendt |
Dato : 06-03-06 08:39 |
|
Michael Rasmussen wrote:
>
> Det jeg gerne vil have opklaret i den forbindelse er, om det er
> krypteringsalgoritmen eller implementationen, der er hullet som en si?
Det store problem med WEP er ikke RC4, men derimod den måde RC4
bliver brugt på. RC4 kryptering foretages med en engangs nøgle,
og det er afgørende for sikkerheden, at nøglen kun bruges en
gang.
Så vidt jeg er orienteret genererer WEP denne nøgle ved at
konkatenere en fast nøgle med et 24 bits IV. De 24 bits er bare
ikke nær nok til at garantere, at de aldrig bliver det samme.
>
> Efter hvad jeg har kunnet finde frem til, skulle RC4 i sig selv være
> sikker nok,
Der er nu fundet en mindre svaghed i RC4, den blev præsenteret
ved Eurocrypt 2005.
> men den konkrete implementation i WEP har en svaghed i
> nøglegenereringen,
Ja. Og det er den svaghed man udnytter, når man angriber WEP.
Svagheden i RC4 er ikke så nem at udnytte.
--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);
| |
Michael Rasmussen (06-03-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 06-03-06 09:07 |
|
On Mon, 06 Mar 2006 08:39:00 +0100, Kasper Dupont wrote:
>
> Det store problem med WEP er ikke RC4, men derimod den måde RC4 bliver
> brugt på. RC4 kryptering foretages med en engangs nøgle, og det er
> afgørende for sikkerheden, at nøglen kun bruges en gang.
>
> Så vidt jeg er orienteret genererer WEP denne nøgle ved at konkatenere
> en fast nøgle med et 24 bits IV. De 24 bits er bare ikke nær nok til at
> garantere, at de aldrig bliver det samme.
>
>
Ifølge Stallings - Cryptography and Network Security, er problemet, at
der benyttes en basisnøgle for alle efterfølgende nøgler. Dette skulle
være grunden til svagheden, da man med et tilstrækkeligt antal
permutationer skulle være i stand til at genskabe basisnøglen. Har man
først basisnøglen, skulle dekrypteringen kunne foretages i realtid.
--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917
| |
Ukendt (06-03-2006)
| Kommentar Fra : Ukendt |
Dato : 06-03-06 10:53 |
|
Michael Rasmussen wrote:
>
> Ifølge Stallings - Cryptography and Network Security, er problemet, at
> der benyttes en basisnøgle for alle efterfølgende nøgler. Dette skulle
> være grunden til svagheden, da man med et tilstrækkeligt antal
> permutationer skulle være i stand til at genskabe basisnøglen. Har man
> først basisnøglen, skulle dekrypteringen kunne foretages i realtid.
Jeg har ikke hørt om, at man skulle kunne finde nøglen anvendt
i WEP. Problemet er, at nøglen anvendes til at generere en
pseudotilfældig bitstreng som XORes med en pakke. Da der kun er
2^24 mulige IV er der også kun 2^24 sådanne bitstrenge. Og ved
et known plaintext attack kan strengen udregnes og bruges til
dekryptering af alle pakker krypteret med samme IV.
Hvis det er den måde man angriber på skal der 24GB plads til at
gemme alle strengene. Det er realistisk, men nok en anelse
upraktisk. Hvis man faktisk kan regne sig tilbage til noget,
der har med den oprindelige nøgle at gøre, så man ikke skal
gemme forskellige strenge for hvert IV, så bliver angrebet
mere anvendeligt i praksis.
--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);
| |
Povl H. Pedersen (06-03-2006)
| Kommentar Fra : Povl H. Pedersen |
Dato : 06-03-06 13:18 |
|
In article <440C067D.8079B1B6@expires.17.apr.2006.kasperd.net.invalid>, Kasper Dupont wrote:
> Michael Rasmussen wrote:
>>
>> Ifølge Stallings - Cryptography and Network Security, er problemet, at
>> der benyttes en basisnøgle for alle efterfølgende nøgler. Dette skulle
>> være grunden til svagheden, da man med et tilstrækkeligt antal
>> permutationer skulle være i stand til at genskabe basisnøglen. Har man
>> først basisnøglen, skulle dekrypteringen kunne foretages i realtid.
>
> Jeg har ikke hørt om, at man skulle kunne finde nøglen anvendt
> i WEP. Problemet er, at nøglen anvendes til at generere en
> pseudotilfældig bitstreng som XORes med en pakke. Da der kun er
> 2^24 mulige IV er der også kun 2^24 sådanne bitstrenge. Og ved
> et known plaintext attack kan strengen udregnes og bruges til
> dekryptering af alle pakker krypteret med samme IV.
>
> Hvis det er den måde man angriber på skal der 24GB plads til at
> gemme alle strengene. Det er realistisk, men nok en anelse
> upraktisk. Hvis man faktisk kan regne sig tilbage til noget,
> der har med den oprindelige nøgle at gøre, så man ikke skal
> gemme forskellige strenge for hvert IV, så bliver angrebet
> mere anvendeligt i praksis.
Statistisk angreb på 128 bit WEP tager i praksis omkring 4 timer på
et almindeligt trådløst netværk. Har testet flere gange på arbejde.
Med denne trafikmængde er det første gæt (mener det var et eller
andre sted mellem 25 og 100MB pcap fil).
| |
Asbjorn Hojmark (06-03-2006)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 06-03-06 21:54 |
| | |
|
|