248
Wi-Fi曝安全漏洞 麵臨KRACK攻擊風險
近日,WPA2被曝存在嚴重安全漏洞。WPA2在2004年發布,自2006年3月起已經成為一種強製性的標準,是目前使用範圍最廣的Wi-Fi網絡保護協議。
何為KRACK攻擊?
在回答這個問題之前,讓我們快速普及一些Crypto 101課程的內容。高級加密標準(AES)已經采用了十幾年。它是一種對稱密鑰密碼,即使用相同的密鑰來加密和解密。雖然傳統上標準的AES加密位寬是128位的純文本分組密碼塊,但它也可以用作流加密– 也就是它在WPA2中的應用。現在,采用流加密算法的問題在於重新使用一個對稱密鑰中的隨機數,可以完成握手中的全部解密過程。然而隨機數永遠不允許在同一個密鑰采用兩次。在WPA2標準中,一個隨機數基本上是一個數據包計數器,主要包括:
生成(0,密鑰)→第一部分密鑰流
生成(1,密鑰)→第二部分密鑰流
生成(2,密鑰)→第三部分密鑰流
…
生成(2 ^ 48,密鑰)→最後一部分密鑰流
一旦達到計數器的最大允許值(2 ^ 48),就會產生一個新的密鑰,並將計數器複位為0。由於每當計數器重置為0(提示,提示)時,密碼都被重設,因此,相同的對稱密鑰密碼永遠不會被重用。那麼問題在哪裏呢?
導致“密鑰重裝攻擊”,即KRACK(Key Reinstallation Attacks)。
KRACK漏洞允許一個攻擊點接入到Wi-Fi接入點和客戶端之間的通信過程中,強製客戶端重裝一個之前使用過的密鑰,計數器將被置為0,而且導致密鑰對重用。一旦密鑰流被重用,那麼攻擊者可以(很輕鬆的)解密整個通信過程,竊取信用卡信息、用戶密碼或者更多資料。
誰會受到KRACK攻擊的影響?
這個漏洞來自於WPA2標準本身,而不是任何錯誤的本地實現。因此,你擁有的所有支持Wi-Fi的產品,都可能會受到KRACK漏洞的影響。通過HTTPS訪問網站時,會增加另一層安全性,你應該注意以下幾點:
- 並非所有網站都支持HTTPS
- 啟用HTTPS的網站可能會因為使用SSLstrip等工具降級為HTTP
- 很多物聯網設備都以純文本格式進行通訊,這是業內眾所周知的詬病
最後一點尤為重要。例如你正在使用智能電視,那麼你更需要謹慎,網上購物平台賬號、其它應用程序或者含有隱私信息的賬號最好不要一直保持登陸狀態。
我還能使用WPA2嗎?
就現在而言,答案是肯定的。WPA2提供的保護超過KRACK漏洞帶來的風險。最好的操作方法是當安全補丁升級時立刻更新你的設備。例如,Microsoft已經在安全更新中修補了KRACK,而蘋果推出了iOS和MacOS測試版的補丁。大多數供應商仍在修複過程中,在接下來的幾周內有望陸續推出。留意這些安全更新,請及時安裝它們!
原文發布時間為: 2017年10月26日
本文作者:Synopsys高級安全顧問Mantej Singh Rajpal
本文來自雲棲社區合作夥伴至頂網,了解相關信息可以關注至頂網。
最後更新:2017-11-15 16:05:40