什么是弱静脉？我们是否可以通过避免使用WEP来阻止或减缓WEP的开裂？

Question

我们中大多数处理无线安全问题的人肯定已经破解了WEP密钥，在这样做的时候，一定会遇到这样的文本：

弱IVs，显示更多关于WEP密钥的秘密部分的信息--在1600万个可能的IVs中，大约有9000个弱IVs。

这些脆弱的静脉输液是什么？如果有人告诉我他们是如何泄露秘密WEP密钥的，那就太好了？我们是否可以通过避免使用弱IVs来阻止或减缓WEP的开裂？

Answer 1

您正在讨论的弱键被FMS攻击利用，其他用户正确地指出了这一点。

如果有人告诉我他们是如何泄露秘密WEP密钥的，那就太好了？

这并不容易。请记住，这是一种(相对复杂的)密码攻击，它不是简单的字典攻击或类似的攻击。

WEP是(我们应该说是吗？)基于一种名为RC4的密码算法。RC4的工作方式如下：

1)从密钥--在我们的例子中，一个与IV连接的共享密钥--通过密钥调度算法(KSA)计算一个“内部状态”S我，它是一个包含256个8位值的伪随机数组；

2)内部状态是生成一个伪随机字节k我的块(PRGA -伪随机生成算法)的输入；

3)内部状态改变，再输入PRGA，产生另一个伪随机字节k我+1，伪随机字节序列称为密钥流；

4)消息(明文)是XOR'd与密钥流。由于XOR操作符的属性，这就像XORing --每个密钥流的伪随机字节都带有一个字节的消息。事实上，事情就是这样发生的。

关于异或，你必须知道一件事: A⊕B⊕B=A是真的。

FMS攻击的工作原理如下。

因为WEP是在Wi中使用的(出于与安全无关的技术原因)，所以WEP所保护的任何消息的第一个字节都是已知的，并且是0xAA (十六进制AA)。应用XOR属性，考虑到密文的每一个字节都是单独导出的，我们可以得到密钥流的第一个字节。设m1 = 0xAA为明文的第一个字节，c1为密文的第一个字节，密钥流的第一个字节为m1⊕c1。

请记住，(固定的)共享密钥与IV连接在一起，IV在每个数据包上都会更改，但攻击者总是知道(因为它是透明传输的)。由于共享密钥是常数，所以如果IV是弱的，则密钥是弱的。

现在让我们集中讨论密钥流K0、K1、K2的前三个字节。

由于密钥流以IV开头，所以K0,1,2是IV的(唯一)三个字节，因此我们知道它。攻击者从这些字节开始，并将它们加载到KSA中。如果IV是弱的，攻击者可以得到密钥的第四个字节的可能值。通过在几个数据包上重复这个过程，攻击者可以很好地了解第4、5、字节等的值。

这些脆弱的静脉输液是什么？

正如我们所看到的，弱IVs是IVs，它允许每次获得关于键的提示，一个字节。随着攻击者收集越来越多的数据包，这些提示变得越来越具体。

更具体地说，如果IV是特定类型的，例如A+3::ff:X，其中A是要查找的键的字节，ff是255小数，X是任意的8位值，则IV是弱的(在FMS攻击的意义上)。

我们是否可以通过避免使用弱IVs来阻止或减缓WEP的开裂？

我们可以通过避免使用弱IVs来阻止这种攻击，但我们根本无法防止WEP开裂。WEP在很多方面都被破坏了，即使底层的加密算法没有被破坏(例如，通过FMS攻击，RC4也是如此)，其中大多数都是有效的。

不要使用WEP，期间。没有理由再这么做了。

Answer 2

也许这解释了你在寻找什么：“RC4的密钥调度算法中的弱点”，Scott，Itsik Mantin和Adi Shamir。

我在这里找到了一个副本：http://www.crypto.com/papers/others/rc4_ksaproc.pdf