dudas técnicas WPA3 (2)

3

Este es el segundo post relacionado con las dudas técnicas de wpa3 que surgieron cuando intentaba entender los principios detrás de este nuevo protocolo de seguridad wifi. Soy nuevo en ciberseguridad y soy autodidacta, ¡por lo que cada ayuda es muy apreciada!

Wifi Alliance ha anunciado que WPA3 incluirá el protocolo SAE, que se basa en el saludo de la libélula, dejando atrás el protocolo de cuatro vías utilizado en WPA2 que era vulnerable a KRACK.

De lo que pude reunir, antes de SAE, el dispositivo y el enrutador acuerdan algunos parámetros de curva elíptica y aplican una transformación conocida (por ejemplo, PBKDF2) a la contraseña de la red y cada STA genera el elemento de contraseña (PWE), un valor secreto (llamado rand) y un valor temporal (llamado máscara). Estos valores no se utilizarán en ejecuciones de protocolo sucesivas.

Entonces, una vez que todo esto está derivado, el protocolo SAE utiliza dos intercambios de mensajes para establecer la conexión, un mensaje de confirmación y un mensaje de verificación. STA-A generó el mensaje de confirmación utilizando el PWE y los secretos generados.

Cuando se envía esto si el STA-B comprueba que el mensaje de confirmación no está validado (espera un valor en el mensaje que puede calcularse utilizando los secretos generados en STA-B), la autenticación falla y el proceso de conexión finaliza . De lo contrario, si tiene éxito, se genera una Clave (K), luego se revisa y de ella se derivan un KCK y un PMK.

Se envía un mensaje de verificación a STA-A. Cuando STA-A recibe el mensaje de verificación, verifica que los valores dados coincidan con lo que STA-A esperaba, y por lo tanto, si todo está bien, entonces STA-A genera el PMK.

Ahora, con el cifrado de datos PMK utilizando AES puede tener lugar. ¿Es correcto lo que entendí?

También, he leído que SAE proporciona secreto hacia adelante, entonces, ¿cómo se logra eso? ¿Se genera un nuevo PMK (es decir, renovaciones de claves) cada vez que se envía un mensaje (también se ejecuta SAE cada vez que se envía un mensaje)?

    
pregunta almb 29.09.2018 - 19:44
fuente

1 respuesta

1
  

Ahora, con el cifrado de datos PMK utilizando AES puede tener lugar. ¿Es correcto lo que entendí?

Creo que tienes razón, aunque no me fijé en el protocolo.

  

También, he leído que SAE proporciona secreto hacia adelante, entonces, ¿cómo se logra eso? ¿Se genera un nuevo PMK (es decir, renovaciones de claves) cada vez que se envía un mensaje (también se ejecuta SAE cada vez que se envía un mensaje)?

No es el propio SAE el que proporciona secreto hacia adelante, sino que SAE permite que WPA3 lo respalde. En los protocolos de cifrado anteriores, la contraseña utilizada para la autenticación también se usaba para el cifrado. De una forma u otra, la clave utilizada para cifrar el tráfico sin procesar se derivó de la contraseña del punto de acceso. Esto significaba que alguien que había registrado el tráfico y solo más tarde descubrió la clave podría descifrar el contenido de forma retroactiva desde hace muchos meses o años.

WPA3 es un poco diferente. Debido a que SAE disocia la contraseña de la clave de cifrado, el dispositivo puede utilizar la criptografía de clave pública para intercambiar una clave simétrica completamente aleatoria. Esta clave es diferente para cada dispositivo conectado y cambia cada vez que se conecta. Es posible que también se reproduzca de forma periódica, pero eso no es estrictamente necesario para el secreto a futuro. El resultado final es que un atacante que de alguna manera encuentre la clave (por ejemplo, conectando un depurador a la placa base del enrutador y la memoria de lectura) solo podrá descifrar la sesión actual, no las sesiones pasadas.

    
respondido por el forest 12.12.2018 - 11:02
fuente

Lea otras preguntas en las etiquetas