L'autenticazione WPA2-PSK ha esito positivo solo se entrambe le parti conoscono la chiave pre-condivisa?

7

Normalmente le persone pensano all'autenticazione WiFi come il client che prova all'AP che conosce la chiave pre-condivisa. Ma l'AP dimostra anche al client che conosce la chiave pre-condivisa?

È fondamentalmente impossibile negoziare una connessione in WPA2-PSK se una delle parti non conosce la chiave precondivisa, o spetta a ciascuna delle parti decidere se collegarsi indipendentemente?

(Mi sto solo interrogando sulla possibilità di Smart Unlock basato su Wi-Fi in Android, che è sostenuto da molte persone che non sono sicure perché è possibile effettuare lo spoofing, ma avevo l'impressione che fosse impossibile falsificare una connessione autenticata a meno che tu non abbia la PSK)

    
posta RomanSt 10.06.2015 - 03:13
fonte

2 risposte

4

In modalità PSK, la chiave master Pairwise (PMK) è derivata dalla passphrase.

Sia il supplicante che l'autenticatore dimostrano di avere conoscenza del chiave condivisa tra loro:

[Supplication to authenticator Message B] contains a MIC value and thus proves that the supplicant knows the PMK

[Authenticator to supplicant Message C] verifies to the supplicant that the authenticator knows the PMK and is thus a trusted party.

Pertanto, Android Smart Unlock potrebbe utilizzare il fatto che il telefono è stato autenticato su una particolare rete WPA2 come indicatore che si trova in una posizione sicura. Ovviamente ciò non verifica che l'AP non sia stato rubato, clonato o comunque compromesso.

    
risposta data 10.06.2015 - 14:46
fonte
0

Sì, è impossibile connettersi al punto di accesso (attendibile) a meno che sia il client che il punto di accesso abbiano la stessa chiave pre-condivisa (password).

Per quanto riguarda la funzione Android Smart Unlock, dipende da come è stata implementata. Se sbloccato quando vede l'ESSID (il nome AP come "MyHomeWifi") o il BSSID (l'indirizzo MAC), allora entrambi possono essere falsificati. In entrambi i casi potresti voler leggere di più su come funziona l'attacco karma . Se Android fosse vulnerabile a questo tipo di attacco, suppongo che la funzione di sblocco possa essere attivata.

    
risposta data 10.06.2015 - 04:59
fonte

Leggi altre domande sui tag