WPA/WPA 2握手--为什么不加密？

Question

在WPA/WPA 2握手期间，客户端和AP在交换用于计算最终密钥的非key之前计算256位预共享主密钥(PMK)。考虑到主机已经拥有共享密钥(PMK)，为什么不使用它来加密非key呢？攻击者利用这些非were进行字典攻击--如果加密的话，攻击似乎要困难得多。

Answer 1

不幸的是，这并没有取得多大的成就。为了了解原因，让我们首先回顾一下WPA/WPA2-PSK上常见字典攻击的步骤。

在WPA/WPA2-PSK中，密钥层次如下：

• 密码--这是整个协议中的基本秘密，所有其他密钥最终都是由此衍生出来的。因此，协议的安全性基本上可以归结为这一价值的保密性。
• PMK = PSK =PBKDF2(密码，SSID，SSID-长度，4096,256)。
• PTK = PRF(PMK，“成对密钥扩展”，MAC1而论)。这里使用的确切PRF并不重要，但它基于HMAC-SHA1。

注意，作为攻击者，如果您知道密码，那么您就拥有了首先派生PMK所需的所有信息(因为PBKDF2函数中的其他内容都是公共的)，然后是PTK (因为MACs和nonces是公共的)。然后，这导致了众所周知的字典攻击:对密码进行猜测，从这个猜测派生出PMK和PTK，然后在一些捕获的数据上使用PTK来验证您的猜测(例如，通过重新计算4 4WHS的一个消息认证代码)。如果验证没有签出，请尝试另一次猜测密码。

现在，有了你的建议，这些不合格的人就不会立即被清晰地观察到。但是，这只会稍微改变上述攻击:攻击者再次猜测密码，并像以前一样派生PMK。然而，现在它不能立即继续导出PTK，因为它没有无now。但是这不是一个问题，因为非has的加密只依赖于PMK，它现在已经猜到了这一点。因此，使用这个猜测的PMK，它简单地解密加密的非PMK，并像以前一样继续攻击，派生PTK并验证对捕获数据的猜测。如果对密码的猜测是正确的，那么攻击者将获得所有正确的数据，最终验证将被签出。如果猜测是错误的，那么最终的核查肯定会失败。

因此，攻击或多或少是一样的，只需增加一个步骤，就需要解密非less。此外，这里所做的唯一的计算密集型计算是PBKDF2函数的计算。与此相比，额外的解密所需的时间是矮小的。