No entiendo bien cómo KRACK se considera una debilidad de protocolo en lugar de un error de implementación.
Al leer sobre KRACK, encontré los siguientes hechos:
Si existe una implementación que no es vulnerable a KRACK, pero es compatible con el protocolo WPA2 actual, ¿no debería KRACK considerarse un error de implementación?
Se considera un error de protocolo en lugar de un error de implementación porque el protocolo requiere específicamente el comportamiento que causa el problema.
¿Cómo se recupera cuando se pierde el tercer paso del apretón de manos de cuatro vías? La norma especifica que debe hacerse mediante la retransmisión del paquete en cuestión. Un sistema que se recupera reiniciando desde el principio interoperaría * con un sistema que espera recuperación por retransmisión, pero no sería compatible con la norma
* Un sistema que espera una nueva transmisión de un paquete faltante retendrá los recursos para negociar la conexión. Si el otro sistema se recupera al reiniciar, entonces en un entorno ruidoso habrá muchas conexiones parcialmente construidas dando vueltas, con el consiguiente potencial de falta de recursos.