In che modo un reset di nonce consente la decrittografia?

35

Sono sicuro che ormai la maggior parte degli amanti di InfoSec ha sentito parlare di KRACK . Se non lo hai fatto, dai un'occhiata a questa grande spiegazione di un altro StackExchanger .

Si tratta di un nuovo attacco a WPA2 che consente la decrittazione e la creazione di pacchetti in determinati (e certamente molti) scenari abusando di un difetto nell'handshake a 4 vie.

Leggendo il documento di ricerca , continuo a non capire perché questo attacco sia possibile. Ho capito come possiamo abusare della ritrasmissione del messaggio 3 durante un handshake a 4 vie per forzare la reinstallazione della chiave.

Perché la reinstallazione della chiave (o più specificamente un reset del nonce del client) consente la decrittografia o la falsificazione?

    
posta FMaz 16.10.2017 - 15:53
fonte

1 risposta

20

Ciò è dovuto al fatto di essere in grado di capire il keytream per una data chiave e nonce quando è possibile ottenere entrambi per essere riutilizzati e lo stream contiene informazioni prevedibili.

In molti cifrari, una chiave viene utilizzata per produrre una serie di uni e zeri che sono xor'd con i dati per produrre un valore crittografato. Questa stringa di uno e zeri è conosciuta come il keystream. Se sei in grado di riutilizzare un nonce e il keystream non viene modificato in base al contenuto dei precedenti blocchi di testo in chiaro, puoi cercare i pacchetti noti che appaiono nel contenuto. Quando si verificano questi pacchetti noti, si verificherà un modello prevedibile e sarà in grado di determinare che si conosce quella parte del keystream.

Ripetendo il processo, alla fine puoi acquisire sempre più conoscenza del keytream e puoi quindi leggere o manipolare qualsiasi cosa trovata su una porzione nota del keystream. RC4 è ESTREMAMENTE vulnerabile al riutilizzo nonce in quanto è un puro xor'd keytream. Allo stesso modo le modalità CTR di AES saranno estremamente sensibili. AES CBC-MAC sarà un po 'meno influenzato, tuttavia il ripristino costante delle chiavi potrebbe potenzialmente aggirare il concatenamento dovuto all'utilizzo sempre dello stesso set di blocchi iniziali, quindi alcune perdite di informazioni potrebbero essere ancora possibili, in particolare per l'hacker che finge un nuovo client dove le gare non saranno un fattore.

    
risposta data 16.10.2017 - 16:15
fonte

Leggi altre domande sui tag