Qualcuno può spiegare in modo semplice come avviene l'autenticazione e la crittografia WPA2-Enterprise?

4

Quando provo a fare questa domanda su altri siti web ottengo enormi downvotes e mi viene risposto "Non stiamo facendo i tuoi compiti. Usa google". Inoltre a volte mi viene bannato.

Ad ogni modo, ho cercato decine di pagine di google e ancora non riesco a coglierlo.

C'è la parte di autenticazione, dove vengono inviati i messaggi di richiesta di accesso Raggio, accettare, rifiutare e sfidare. E poi DOPO che l'AP wireless e il supplicant negoziano la chiave di crittografia ottenendo innanzitutto la chiave Pairwise-Master (PMK) utilizzando la chiave pre-condivisa (PSK), quindi generando la chiave transitoria Pairwise (PTK)?

Questi sono i passi totali? Un'immagine sarebbe davvero d'aiuto.

Seconda domanda: se entrambe le parti utilizzano i certificati (EAP-TLS), in che modo viene generato esattamente il PMK? Non esiste PSK con certificati.

Domanda finale: ho letto su un sito Web di sicurezza che: "La debolezza del sistema WPA2-PSK è che la password crittografata è condivisa in quella che è nota come l'handshake a 4 vie". Ma in altri siti Web leggo che né il PMK né il PTK vengono mai inviati durante l'handshake. Quindi qual è?

    
posta Newlo Newly 13.09.2017 - 13:10
fonte

3 risposte

3

Di seguito sono riportate le informazioni sullo scambio di frame che si verificano tra Supplicant e NAS (Server)

Lasuitedicrittografiaèl'algoritmoolatecnicadihashaccettatasiadaSTAchedaASperlagenerazionediMSK.

    
risposta data 24.04.2018 - 08:36
fonte
1

Second question: In case both sides are using certificates (EAP-TLS) then how exactly is the PMK generated? There is no PSK with certificates.

Viene generato come numero casuale e ogni volta è diverso.

Final question: I read on a security website that: "The weakness in the WPA2-PSK system is that the encrypted password is shared in what is known as the 4-way handshake". But in other websites I read that neither the PMK nor the PTK are ever sent during the handshake. So which is it?

La chiave PMK è condivisa in formato hash. Quindi è possibile craccarlo con la forza bruta. È salato con nome AP.

    
risposta data 13.09.2017 - 21:47
fonte
1

Are those the total steps? An image would really help.

Il processo di dettaglio non è abbastanza preciso. Per uno, WPA2-Enterprise non fa uso di una PSK. Le chiavi pre-condivise sono utilizzate da WPA2-Personal.

WPA2-Enterprise utilizza 802.1X per autenticare un dispositivo sulla rete. Il protocollo utilizzato da 802.1X è EAP (protocollo di autenticazione estensibile) definito in RFC 3748 .

EAP consente una varietà di metodi diversi per l'autenticazione; fai riferimento a EAP-TLS come un esempio definito da RFC 5216 . Ogni metodo EAP è responsabile della descrizione nelle loro specifiche di come viene creato l'MSK. Quindi il processo effettivo può variare in base al metodo utilizzato. Dovresti fare riferimento alle specifiche per ogni metodo che ti interessa per determinare esattamente cosa sta succedendo.

Indipendentemente dal processo utilizzato per creare l'MSK, questo viene fornito sia al supplicant che al NAS durante la transazione EAP e costituisce la base per il PMK utilizzato da 802.11.

In case both sides are using certificates (EAP-TLS) then how exactly is the PMK generated? There is no PSK with certificates.

So di averlo già detto, ma non è coinvolto il PSK. Il PMK viene generato da EAP MSK e di nuovo il metodo esatto di generazione dell'MSK sarebbe determinato dal metodo EAP. In particolare, il PMK è il primo 32 byte dell'MSK.

I read on a security website that: "The weakness in the WPA2-PSK system is that the encrypted password is shared in what is known as the 4-way handshake". But in other websites I read that neither the PMK nor the PTK are ever sent during the handshake. So which is it?

Né PMK, PTK o PSK vengono inviati durante l'handshake. Tuttavia, quando si utilizza un PSK, il PSK viene utilizzato per generare il PTK in modo che qualsiasi dispositivo che conosce il PSK e acquisisca l'handshake possa generare anche il PTK utilizzato e decrittografare tutto il traffico.

Con WPA2-Enterprise, l'MSK per ogni transazione EAP dovrebbe essere "univoco" per tale scambio, pertanto il PMK sarà diverso ogni volta che un dispositivo si connette e autentica sulla rete. Nessun altro dispositivo ha accesso a MSK / PMK e come tale anche quando l'handshake viene catturato, non sarà in grado di generare realisticamente il PTK utilizzato o decodificare il traffico.

    
risposta data 14.10.2017 - 04:34
fonte

Leggi altre domande sui tag