Por supuesto, normalmente usaría HTTPS, pero esa no es una opción en un escenario potencial en el que no quiero entrar ...
Esta pregunta es similar a ¿Es ¿Es posible asegurar una aplicación web sin HTTPS? , excepto que no hay internet involucrado: solo dos dispositivos y un buen punto de acceso actualizado (enrutador).
¿Qué tan segura es la información intercambiada en el siguiente escenario:
- El servidor no tiene internet, solo un puerto LAN a un enrutador wifi que tampoco tiene internet.
- En la configuración del enrutador, se aplica una nueva clave WPA2 PSK (AES), 15 letras + números largos, generada por un CSPRNG.
- Otra computadora, "Cliente", se conecta a la wifi del enrutador mediante la nueva clave y carga un archivo secreto de 50kb al Servidor a través de HTTP (sin S).
- En la configuración del enrutador, se aplica inmediatamente un nuevo PSK como el anterior
- En todo este tiempo, Eve se ha estado escondiendo afuera con algo como airdump / wireshark, grabando perfectamente todo el tráfico de Wifi.
He examinado herramientas como enlace , pero parece que requieren mucho tráfico para recuperar las claves PSK2. No soy un experto en esta área, pero me parece que si una gran cantidad de tráfico puede revelar la clave, una pequeña cantidad de tráfico podría revelar la clave. Si solo hubo un tráfico de aproximadamente 50 KB ( no de-auth, inyección, etc. ), y la clave solo estuvo activo durante esos 30 segundos, y nunca se usó de nuevo, ¿hay suficiente información capturada para que Eva pueda recuperar el documento de 50 KB?
Supongo que recuperar la clave es lo mismo que poder recuperar el documento cargado, pero si no, mi preocupación no es la clave temporal, es el contenido del documento.
Si hay alguna posibilidad de intercepción, ¿hay alguna forma de cuantificar / estimar la probabilidad matemáticamente, según las cifras anteriores?