安基网 首页 资讯 安全报 查看内容

2018年新出的WiFi标准昨晚被发现新漏洞,你家也中招了吗?

2019-8-4 23:32| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 1. 科普:什么是WPA3WPA3全名为Wi-Fi Protected Access 3,是Wi-Fi联盟组织于2018年1月8日在美国拉斯维加斯的国际消费电子展(CES)上发布的Wi-Fi新加密协议,是Wi-Fi身份验证标准WPA2技术的的后续版本 。2018年6月26 ...

1. 科普:什么是WPA3

WPA3全名为Wi-Fi Protected Access 3,是Wi-Fi联盟组织于2018年1月8日在美国拉斯维加斯的国际消费电子展(CES)上发布的Wi-Fi新加密协议,是Wi-Fi身份验证标准WPA2技术的的后续版本 。

2018年6月26日,WiFi联盟宣布WPA3协议已最终完成。

发明简史

  • 2017年10月,802.11协议中沿用13年的WPA2加密被完全破解。
  • 2018年1月,Wi-Fi联盟营销副总裁凯文·罗宾逊表示,预计WPA3标准将在2018年推出。
  • 2018年6月26日,WiFi联盟宣布WPA3协议已最终完成,这是WiFi连接的新标准。

WPA3标准将加密公共Wi-Fi网络上的所有数据,如果用户多次输入错误的密码还会屏蔽Wi-Fi身份验证过程来防止暴力破解,提升了加密算法增加了字典暴力破解密码的难度,进一步保护那些不安全的无线网络。通过WPA3能够建立更安全的连接,尽管如此黑客们仍然可以通过各种手段来进行破解,但是WPA3至少能阻止一些强力攻击。

WPA3-Logo

2. WiFi WPA3标准发现新的龙血(Dragonblood)漏洞

两个新的龙血(Dragonblood)漏洞允许攻击者从WPA3 WiFi网络中恢复密码

今年4月早些时候,两位安全研究人员披露了WiFi联盟最近发布的WPA3 WiFi安全和认证标准中五个漏洞的细节(统称为Dragonblood)。

昨天,同样的安全研究人员披露了影响同一标准的另外两个新bug。

两位研究人员——Mathy Vanhoef和Eyal Ronen——在WiFi联盟为设备供应商创建的安全建议中发现了这两个新漏洞,这些建议是为了减轻最初的Dragonblood攻击。

就像4月份的最初的Dragonblood漏洞一样,这两个新的漏洞允许攻击者从WPA3加密操作中泄露信息,并强行使用WiFi网络的密码。

这两个bug解释:

第一个bug是CVE-2019-13377,当使用Brainpool曲线时,它会影响WPA3的蜻蜓式握手。

蜻蜓(Dragonfly )是用户在WPA3路由器或接入点上进行身份验证的密钥交换机制。今年4月,Vanhoef和Ronen发现,依赖于P-521椭圆曲线的蜻蜓(Dragonfly )密钥交换可以降级为使用较弱的P-256。因此,WiFi联盟建议供应商使用更强的脑池曲线作为蜻蜓(Dragonfly)算法的一部分。

“然而,我们发现使用Brainpool曲线会在WPA3的蜻蜓式握手中引入第二类侧通道泄漏,”两位研究人员解释道。“我们在实践中针对最新的Hostapd版本证实了新的Brainpool泄漏,并且能够使用泄漏的信息强行输入密码。”

第二个bug是CVE-2019-13456,这影响了FreeRADIUS框架中的EAP-pwd实现——许多供应商使用该框架来支持WiFi连接。

可扩展身份验证协议(Extensible Authentication Protocol, EAP-pwd)是以前的WPA和WPA2 WiFi身份验证标准中支持的身份验证系统,WPA3中也支持该系统。

就像之前的bug一样,在一些受freeradias支持的设备上的EAP-pwd身份验证过程中存在信息泄漏,这允许攻击者恢复密码。

dragonblood-logo

3. WiFi联盟的封闭开发标准遭到批评

WiFi联盟

研究人员表示,他们向WiFi联盟报告了这两个新漏洞。

Vanhoef说:“Wi-Fi标准现在正在进行适当的升级,这可能会导致推出WPA3.1。”

研究人员说:“尽管这次更新与目前部署的WPA3并不向后兼容,但它确实阻止了我们的大部分攻击。”

但除了披露这两个新Dragonblood漏洞,两位研究者还借机会再次批评无线联盟的标准开发过程不允许因开源社区作出贡献,防止大的漏洞成为标准放在第一位。

研究人员说:“这表明在没有侧通道泄漏的情况下实现Dragonfly和WPA3是非常困难的。”“这也再次表明,私下制定安全建议和标准,往好里说是不负责任的,往坏里说是无能的。”

有关两个新的Dragonblood漏洞的详细信息可在Dragonblood白皮书的更新版本中找到。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6721265087169954318/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部