Naturalmente, normalmente userei HTTPS, ma non è un'opzione in uno scenario potenziale in cui non voglio entrare ...
Questa domanda è simile a È esso è possibile proteggere un'app Web senza HTTPS? , tranne che non è coinvolto Internet: solo due dispositivi e un buon punto di accesso aggiornato (ovvero router).
Quanto sono sicure le informazioni scambiate nel seguente scenario:
- Il server non ha internet, solo una porta LAN per un router wifi che non ha Internet.
- Nella configurazione del router, viene applicata una nuova chiave WPA2 PSK (AES), lunga 15 lettere + numeri, generata da un CSPRNG.
- Un altro computer, "Client", si connette al wifi del router utilizzando la nuova chiave e carica un file 50kb segreto su Server su HTTP (senza S).
- Nella configurazione del router, viene immediatamente applicata una PSK nuova di zecca
- Per tutto questo tempo, Eve si è nascosta all'esterno con qualcosa come airdump / wireshark, registrando perfettamente tutto il traffico Wifi.
Ho esaminato strumenti come link , ma sembrano richiedere molto traffico per recuperare le chiavi PSK2. Non sono un esperto in questo settore, ma mi sembra che se un sacco di traffico può rivelare la chiave, una piccola quantità di traffico potrebbe rivelare la chiave. Se c'era solo il valore del traffico di circa 50KB ( no de-auth, injection, ecc. ), e la chiave era attivo solo per quei 30 secondi, e non è mai stato usato di nuovo, ci sono abbastanza informazioni acquisite per Eve per recuperare il documento da 50KB?
Presumo che recuperare la chiave equivale a poter recuperare il documento caricato, ma in caso contrario, la mia preoccupazione non è la chiave temporanea, è il contenuto del documento.
Se ci sono alcune possibilità di intercettazione, c'è un modo per quantificare / stimare matematicamente la possibilità, sulla base delle figure sopra?