Perché il WiFi non è aperto crittografato?
È lo stesso motivo per cui WPA-PSK non utilizza lo scambio di chiavi Diffie-Hellman / RSA .
Il primo punto di Adnan è la risposta più accurata.
As for why open WiFi networks don't have encryption. Well, they just don't.
Non c'è una ragione tecnica. è probabilmente una ragione finanziaria e / o burocratica. E cambiare l'infrastruttura esistente non è facile.
Come sappiamo che "JFK Airport AP" è davvero il punto di accesso dell'aeroporto JFK?
Si noti che esiste una differenza tra autenticazione e crittografia. Il problema descritto è un problema di autenticazione che esiste indipendentemente dal fatto che stiamo crittografando o meno una connessione Wi-Fi. In altre parole: il fatto che RSA non fornisca l'autenticazione non è in alcun modo correlato alla domanda sul perché RSA non viene implementato su reti Wi-Fi aperte. Inoltre, il problema di autenticazione può essere risolto utilizzando un metodo estremamente semplice descritto nel seguente esempio:
Il nostro futuro router Wi-Fi con crittografia utilizza Diffie-Hellman / RSA. Il router ha un piccolo display a LED che mostra la sua chiave pubblica, o forse un semplice hash della chiave pubblica. Il punto di accesso è chiamato "MyHouse".
Vorrei collegare il mio telefono a "MyHouse", ma c'è un altro AP con lo stesso nome, tutto quello che devo fare è guardare il monitor del mio router e confrontare la stringa con la stringa visualizzata sul mio telefono, che modo, l'autenticazione facile è realizzata. Gli aeroporti e i luoghi pubblici possono impiegare tecniche simili visualizzando la chiave pubblica / hash su schermi di grandi dimensioni o su alcuni adesivi a basso costo.
Nota a margine: il LED è solo un esempio, sono disponibili molti altri metodi.
Alcuni router possono essere configurati per consentire l'accesso pubblico senza password, tuttavia > crittografare le connessioni degli utenti per prevenire gli attacchi in stile Firesheep?
Sì, è possibile configurarlo, ma non sul livello del router. E quello che collega dovrebbe fare alcuni passi extra.
Soluzione 1. Proxy Web HTTPS
Una tecnica estremamente semplice che è possibile utilizzare immediatamente è la navigazione sul Web utilizzando un proxy Web crittografato HTTPS, come HideMyAss . In questo modo si utilizza la crittografia a chiave pubblica, ma viene eseguita sopra il livello TCP.
Soluzione 2. un server LAN VPN o server del tunnel SSH
Un approccio simile può essere utilizzato sulla rete locale senza dipendere da siti esterni: utilizzare un server VPN locale / server di tunnel SSH. I dati verrebbero così:
Network device(Say, my phone) > AP > Network device (VPN/SSH Tunnel server) > AP > Internet.(# flow1)
Il tunnel VPN / SSH funge da estensione per l'AP, se incapsuliamo mentalmente quelli, otterremmo:
Network device (My phone) > Encrypted AP > Destination. (# flow2)
Soluzione 2. Note importanti!
-
DEVI utilizzare una connessione cablata tra il tunnel VPN / SSH e l'AP
se si utilizza la soluzione LAN, vedere la fine della mia risposta.
-
Se vuoi implementarlo praticamente, puoi usare un valore basso
potenza minuscola sempre su computer come a
RaspberryPi come server di tunnel SSH, I
l'ho provato e non vedo alcuna latenza visibile.
Soluzione 3. Server tunnel VPN / SSH normale
Si potrebbe usare una VPN che non è sulla LAN, quindi si otterrebbe:
Network device (My Phone) > AP > VPN > Destination. (# flow3)
In tutti e 3 i casi, i dati sono completamente crittografati utilizzando TLS / SSL / Qualunque sia il tuo VPN / SSH con cui viene crittografato.
Se si utilizza la soluzione LAN VPN / SSH, il server deve essere cablato , altrimenti il traffico che viene inoltrato dal server VPN / SSH dal client alla destinazione verrà inviato non crittografato all'AP.
Ulteriori informazioni sulla soluzione LAN
Se si utilizza una connessione wireless su un WiFi aperto con una soluzione di tunnel server LAN VPN / SSH, ecco come il traffico scorre. Questa è un'espansione di "flusso1", in cui il fatto che i dati siano crittografati o meno viene aggiunto al flusso:
Network Device > encrypted data > AP > encrypted data > VPN/SSH server > un-encrypted data > AP > Internet
Per questo motivo, dobbiamo utilizzare un cavo cablato tra il server VPN / SSH e l'AP, in questo modo, i dati non crittografati non vengono mai inviati attraverso l'aria.