使用硬件加速器加速WiFi黑客攻击

Elcomsoft 声称WPA协议已经失效,仅仅因为他们可以使用硬件加速器将强力破解速度提高100倍。这到底为什么是新闻?是的,弱密码就是弱密码——我们已经知道,。强WPA密码仍然是强的。这似乎是又一次公然试图用不成熟的密码分析结果来吸引媒体的注意。

张贴于10月14日,2008年6月25日上午•37评论188滚球网站

188滚球网站评论

查理10月14日,2008年七14点

公平地说,实际的软件非常棒(即使新闻稿不是)。我发现使用Geforce 8800GTX, NTLM哈希表的速度增加了大约10倍,这在(相对)便宜的商品硬件上非常好用。

纳米10月14日,2008年7点半

我不知道WPA是如何工作的;但是这种暴力攻击不需要无会话协议吗?当你有/etc/shadow和蛮力强迫telnet服务器时,这不是很像破解密码吗?有一个半径后端的WPA怎么样?在什么情况下实现认证延迟是微不足道的?

真实的说话10月14日,2008年52点

整体安全不是目标吗?

如果一个协议屈服于简单的黑客攻击——这是协议的一个缺陷,而不仅仅是“弱密码”。

保罗10月14日,2008年七59点

我一直在想:我的WPA(2)加密网络中的人能加密我的笔记本电脑和wifi路由器之间的连接吗?

换句话说:

Alice和Bob正在互相交谈WPA2受保护。查理也在同一个网络上。他能解密/读懂他们的谈话吗?

HumHo10月14日,2008年8:13我

我读到一篇文章,说欧洲的一些科学家提出了一种实用的量子加密方案。

是否可能使用这种机制(创建量子加密密钥)来破解密码/散列?

年代10月14日,2008年城南

事实是,这对密码强度的要求就像依赖于算法中的混淆一样。使用一个枯燥无味的系统,然后告诉用户除非他们使用强密码并经常更改密码,否则它不会工作得很好,这就像使用秘密算法一样,只是没人想这么说。这是所有这些系统设计中固有的弱点,每个人都只是不停地在空中挥舞着双手,试图将注意力集中在底层算法的美丽上。

谁会为他们的门买一把锁,如果制造商说要让它工作得最好你必须每12个小时从一种合金上切下一把新钥匙,如果你不这样做,锁就很容易被绕过?我是说,世界上谁会买这样一把锁?这就是这里的情况。

然后其他人可以在杂志上写专栏解释为什么人们是薄弱环节,每个人都是如此愚蠢和懒惰,没有得到新的钥匙每12小时切断,这就是为什么他们的房子被闯入。然后制造商可以举办研讨会,吹嘘他们的锁有多结实,只要你不太在意每12个小时就得从一种特殊合金上剪下一把新钥匙的要求。

布莱恩10月14日,2008年39点

@PAul

如果您使用的是WPA2“Personal”(预共享密钥),是的,Charlie可以解密Alice和Bob的通信(如果他捕获了会话开始时的握手)。为了WLAN上其他人的安全,您需要使用某种EAP身份验证(WPA/WPA2的“企业”风格)来设置单个密钥。

玩乐是美味的10月14日,2008年41点

@HumHo

量子密码学本身并不是密码学的一种;这取决于物理学领域的主张。因为物理学是一个发展中的领域,我们真的不知道以这种方式发送的信息是否可以在不被发现的情况下被拦截。QC永远不会是安全的,除非物理学回答所有相关的问题并解决所有相关的物理问题(并且没有办法知道什么时候达到这一点)。

我希望像Phil Zimmerman这样的人能够致力于网络安全的开源协议,来代替水渍险。

Sid10月14日,2008年52点

一些事实:

首先,它是关于打破PSK认证,显然和半径/EAP没有关系。因此,公告和文章在这方面没有划清界线。我想是故意的。

第二,我们早就知道WPA(2) PSK可以被字典攻击,它总是只需要几个包,即。一种4路握手身份验证。WEP确实需要一堆数据包被破坏,不是WPA-PSK。

与MD5或NTLM散列相比,第三次破发的WPA-PSK非常慢,因为它涉及8192轮SHA1(参见PBKDF2函数)。Xeon的Aircrack以650psk/s的速度运行。GTX280,我们可以很容易地达到12000psk/s[1]。Elcomsoft没有给出任何数据,他们只是说"x100与CPU相比"这很模糊。

第四,即使我们把他们的表现四舍五入到100k psk/s,仅仅覆盖全部8个字符的唯一密钥空间至少需要几年的时间:)所以当他们说到蛮力时,试着计算他们需要的时间……


[1]http://sid.rstack.org/pres/0810_BACon_WPA2_en.pdf

kyprizel10月14日,2008年14

Elcomsoft刚刚重新发明了车轮:
hxxp: / /code.google.com/p/pyrit/

年代10月14日,2008年27是

密码空间几乎总是由字节限制为键盘字符,这些字符表示的ASCII码不到全部ASCII码的一半。
当用户不能选择“o╗·•o▼”作为密码或用户名就
~ 92 L ^,不是256 ^ L。很大的差别。
顺便说一下,如果我们不是在谈论人类,那它们就不是密码了。他们是别的东西。

卡洛Graziani10月14日,2008年35点

有人知道802.11的人是否在研究WPA的继任者吗?第三次据说是魅力…

大卫10月14日,2008年9:44我

“S”是对的:我们不能依靠不断更改强密码来保证安全性。在我的房子,无线路由器的存在是为了服务两款iphone,Wii,一台运行Linux的笔记本电脑,还有我的客人带来的一切。iPhone和Wii是很棒的设备,但这两款软件都不是为频繁输入强密码而设计的。

因此,如果我有一个既安全又值得拥有的路由器,它需要有某种方式来阻止暴力攻击。也许是限制了单位时间内密码验证的次数。也许是一个活跃的过程,一个新设备会请求访问,我同意(我们不经常添加新设备)。

目前,我的政策是,如果带宽占用者不干扰我,我不会太在意,我不时地运行Wireshark,看看发生了什么。有人有更好的主意吗?

卡洛Graziani10月14日,2008年我

是的,为什么他们在这个协议中使用密码,呢?让客户端向访问点发送公钥会不会太昂贵,缓存它并返回一个会话密钥,哪个每N分钟刷新一次?它本身不能处理身份验证,但至少它能保证频道的安全。

认证似乎是WEP做得比WPA好,至少在PSK模式下。至少用户没有机会减少熵。

雷克斯10月14日,2008年24点

有802.11个人在研究继任者,
802.11s“网状网络”组有一个
基于psk的协议
字典攻击。它是特定于一个网格的
对另一个网格点进行身份验证。

目前还不清楚这是否会成为现实
客户机进行身份验证的另一种方法
AP。那太好了!

米奇10月14日,2008是我

@:

实际上,如果你看看典型消费者级锁的强度,它们确实需要不断地重新键入以保持安全。攻击者可以相对轻松地“蛮力攻击”大多数pin tumbler锁,而一旦他发现您的锁的密钥,唯一能阻止他的方法就是重新密钥。为了扩展你开始的类比,锁的强度与针数和可能的针高有关。大多数锁,什么,5到7个引脚?我不知道有多少种可能的引脚高度但即使有10种可能的引脚高度也有70种可能的锁键配置。攻击者尝试70个密钥需要多长时间?(如果攻击者只是使用锁选择器进入,则花费的时间会更少。)

另一个凯文10月14日,2008年的11点

@Mikey:10针高度和7针给10⁷(10000000),不是70,可能的组合。(当你可以用凹凸键打开锁,或者在几秒钟内就能取下它时,这就没有意义了。)

托马斯。10月14日,2008上午11:05

在家里建立一个相当安全的无线局域网并不难……

1.:为网络选择“Linksys”以外的其他名称或标准名称,因为它是用来做钥匙的。可能类似
“mywirelessblabla@temporaryforwarding.com”——这样一来,如果频道有重叠或类似的情况,你就可以很容易地联系到你(而不用担心收到垃圾邮件)。

2.:选择一个有足够随机字符(>20)的合理密码。我把它存储在一个旧的usb驱动器,所以“分布”是相当简单的;-)

UNiHacker10月14日,2008上午11:26里

你也可以使用MAC过滤,只允许有特定MAC地址的卡连接。这样可以让事情更安全一些。让我吃惊的是WEP几乎是一个不用动脑筋的人,现在WPA蛮力最终可能是相同的取决于密码强度。

真实的说话10月14日,2008上午11:29

@
比特就是比特…
你不需要8位都是随机的。您总是可以添加另外两个密钥(chars),从而使密码具有更多的随机性。

卡尔·米切尔“赛”10月14日,2008年29点

所以,生成一个安全的,64字符的关键字与keepass或类似的rng,和使用。不要在固件中使用“密码”之类的东西,使用实际的键。与企业不同的是,公司内部往往不存在很大的威胁。
没有很好的理由使用任何低于路由器允许的最大长度的东西。把钥匙放在u盘上,所以你可以把它插入并复制到你需要网络访问的新电脑上。
对于更大的网络,使用半径/ EAP。

@UNiHacker
MAC过滤是无用的。几乎所有的网卡驱动程序都允许您在设置中更改mac。由于您可以观察身份验证握手,您将知道一个工作的MAC,可以用它。(强制合法计算机脱机,或者等待它离线。

年代10月14日,2008年37点

@sooth sayer -不确定你是不是想在这里用盐。salting所做的全部工作就是防止攻击者仅仅搜索密码列表。它不会扩展键空间。它迫使攻击者在每次尝试时执行计算,这大大扩展了猜测密码所需的工作量。

仅仅将随机性附加到密码上没有什么区别。它只是在压舱物上打转。如果密码字符被限制为“A”和“B”,如果你给每个字符都加了很多随机字符,会有什么不同呢?仍然有两个可能的字符,用更大的字符表示每个字符的事实是无用的。

如果随机添加是自动生成的,我想你是在提议,系统怎么知道乔治的A
(内部为“Asay89rawiovijnijahu”)和珍妮特的“A”(内部为“at740qyutoinckjnxh&”)??

肯定的是,可能的字符串数量扩大,但选择的可能性也相应减少。

一个nonny兔子10月14日,2008年一下午

@

我想sooth sayer可能是在暗示只要你选择足够多的角色,您可以增加“键空间”。毕竟256 ^ 8坦白说,我更愿意记住两个额外的正常字符,而不是一些我甚至不知道名字的奇怪字符。

延长密码比增加不同字符的范围有效得多。
如果人们需要写下密码来记住它,这不是安全的。

约翰10月14日,2008年1分54秒点

要求复杂的密码并不等同于拥有一个秘密算法。我们在这里讨论加密。当OpenSSH在Debian中生成65000个键中的一个时,我们有一个16位的加密密钥。如果你的密码是500个字典单词中的一个,您的密码很弱。

你的算法是有缺陷的,如果我可以恢复密码,而不用每次都从头猜测——例如,如果我猜是“门卫”,密码是“d00rman”,我知道我已经“接近”了,但还是有缺陷的。如果我能准确地推导出我是对是错,然后算法就可以工作了。

密码就是钥匙。我们依靠保守这个秘密。忍受它。

Sid10月14日,2008年下午3点

@Carlos:“认证似乎是WEP比WPA做得更好的事情,至少在PSK模式下。

你在开玩笑吧?!
WEP身份验证方案功能严重受损。它不是相互的,由于客户端无法对AP进行身份验证,易受已知明文攻击,如果你面对的是流氓AP,甚至可以选择明文。

这意味着首先您的身份验证是无用的,并且会产生相反的效果,对于大多数访问点不使用它的情况,即使WEP被激活(WEP网络,开放身份验证)。


参见“您的802.11无线网络没有衣服”,2001年3月* *,http://www.cs.umd.edu/~waa/wireless.pdf

克莱夫·罗宾逊10月14日,2008年下午4:25

@ HumHo,玩乐是美味的,

“量子密码学本身并不是密码学的一种;这取决于物理学领域的主张。因为物理学是一个发展中的领域,我们真的不知道以这种方式发送的信息是否可以在不被发现的情况下被拦截。QC永远不会是安全的,除非物理学回答所有相关的问题,解决所有相关的物理问题(并且没有办法知道这一点是什么时候达到的)。

量子密码学实际上是一个寻找“实际问题”来解决并最终失败的“理论解决方案”。

理论上,双方(Alice和Bob)需要建立一个“一次性Pad”,然后可以在另一个不安全的通道上使用。

它通过(假设)在Alice和Bob之间的光缆上发送单个光子来实现这一点。如果夏娃或其他作恶的人窃听了电缆,那么鲍勃应该能发现这一事实。

然而,在实践中,不是单光子,而是少数光子被用来克服电缆损耗。这意味着,像“发夹弯曲”这样靠近爱丽丝的“部分叩击”有可能奏效。

此外,理论系统不考虑极化器位置的侧沟道泄漏。

例如,如果你为QC生成的光子是为了讨论可见光谱,你的偏振光器仍然适用于由电路的其他部分产生的近似推断。Eve只需要打开近红外,观察它的偏振变化,就能确定偏振器的状态。

同样地,用于偏振器的机电学很可能有一个电流或噪声信号,它是状态或状态改变时的一个精确指示器。这可能以任何方式泄漏(暴风雨/茶壶/等等)。

接下来是“量子纠缠”的问题。产生单个光子是不容易的,当产生多个光子时,就很难停止纠缠。如果夏娃能探测到游离的纠缠光子,那么理论上的安全性就玩完了。

QC也不是很实用,它只适用于相互信任的两个实体之间的定点通信,这实际上限制了它适用的应用程序的数量。

还有一大堆其他的“实际问题”需要考虑,例如Alice用来控制偏振器的随机数发生器的类型。如果你回头看看以前的博客页面,你会发现我和其他人都把它们贴在哪里了。

不要指望很快就能在你身边看到QC系统……

科林10月14日,2008年七14点

那么在WPA中“滚动”键呢?我的路由器提供了每xx分钟更换一次密钥的选项。

W10月15日2008年2:59我

afaik QC需要第二个通道来交换偏光器设置和MITM攻击的琐碎中断,所以它只保护被动的听众。

大卫10月15日2008年38点

我喜欢USB驱动器上长键的想法,除了我不知道它将如何帮助我的iphone和Wii。

有没有人建议如何使用强大的密码与那些没有巨大的麻烦,还是继续放弃真正的安全感?

克莱夫·罗宾逊10月15日2008年9:06我

@仙女,

很高兴再次和你通话你的戒指怎么样了?

与问候,

该小组展示了一种强大的,准备商业化的一套量子密码装置。

是的,我知道有一些商业单位,我实际上有机会玩了一个和一些测试工具,嗯…

我的观点是,“点对点”的性质是在一个“单一的未中断”的光纤,使它最多50公里左右的范围,你需要在二级通道(Alice和Bob讨论他们的极化设置的通道)上进行100%的身份验证,这使得整个系统非常专业化,而且只针对非常非常有限的市场。

这对99。9999%的人来说不是一个实际的考虑所以它在地面上会很薄,实际上是看不见的;)

如果不是因为范围的限制,我对一个普通的商业市场最好的猜测是它将是对超高速带宽点对点链接的关键不信任。当数据量很大时,必须频繁地更改symetric数据加密密钥。运输keymat的数量所涉及的物流有点让人望而却步。

同样,非商业市场似乎也有一定的局限性。

正如我说的,它实际上是一个“理论解决方案”,寻找一个它可以解决的“实际问题”,至少和现有的“实际解决方案”一样好,如果不是更好的话……

罗伯特海绵10月15日2008年和点

这个世界上没有安全可言。有人告诉我甚至量子加密方案也被破解了?这是真的吗?

杰森10月15日2008年一21点

我把WPA PSK的明文和十六进制都写在笔记本上,每次我需要给家里的无线网络添加设备时,我都会手动输入。
我从来没有把它放在文本文档中,从来没有存储在USB驱动器上,从来没有发过邮件。
这24个字符的密码是由我的大脑“随机”生成的,然后手动输入到一个转换器中,得到64位十六进制的等效密码。
如果系统允许,我使用十六进制,否则,我使用纯文本。
我也使用TKIP。我曾考虑过安装RADIUS服务器,但我认为这对两个人和两个无线系统来说是大材小用了。

克莱夫·罗宾逊10月16日2008年18点

@罗伯特海绵

“…量子加密方案被破解?这是真的吗?”

这取决于你所说的“阴谋”和“破解”是什么意思?

针对“全通密码术”的攻击已经有好几次了,这些攻击针对的是一个非“理想系统”(即一个实际的实现)。

然而,其基本思想介于“未经证实的安全”或“尚未被破坏”之间,这取决于你的观点。

问题1,单个光子安全吗?

这是量子力学的基本观点。这是在原有的QC“理想系统”模型中所依赖的。

然而,有人想出了一个主意来攻击它的数学,所以他们继续使用一对纠缠光子…

问题2,二级通道使用安全吗?

Alice和Bob使用一个次级Shanon通道来告诉对方他们的极化信息的状态。

QC的“理想系统”模型假设在辅助通道Alice和Bob可以,

一个,100%互相认证,和

B,没有对evesdropper有用的信息被传达。

这两种情况实际上都只是假设,因为它们非常依赖于实现,坦率地说,我们不知道该说什么(哦,看,这是一只“黑天鹅”在试图飞翔)……

问题3,极化状态选择方法安全吗?

QC“理想系统”模型假设这是100%非决定性的。

在一个实际的系统中,这给速度和可靠性带来了一些实际的问题。

现在,如果我们假设由于某些问题(如Eve的干预或错误),该方法不仅具有决定论,而且对于evesdropper来说是可预测的,这是否为主动攻击提供了机会?

这个问题的答案很紧张,我们不知道,但我们希望不会(我看到的是一只“黑天鹅”在我面前飞翔吗?)

问题4,Alice和Bob能够可靠地检测到主通道中的攻击吗?

同样,在QC“理想系统”模型中,假设基于Alice和Bobs的统计能力……

然而在实践中有一个问题(房间里有一头大象吗?)

简单地说,即使没有对主信道的干扰,物理学定律也规定,并非Alice发送的所有光子都能到达Bob。

因此,在某种程度上,eveadropper将能够隐藏在统计数据将被平均出来的噪声中

这样一个看不见的攻击者能获得有用的信息吗?这是一个非常具体的实现,所以再次非常紧张的“我们希望不会”…

问题5,你能百分之百地说Alice只会发射一个光子吗?

在QC“理想系统”模型中,然而在实践中它是决定论的,这意味着每次交换爱丽丝都有三种状态,

一个,光子没有发送。
B,一个光子。
C,两个或两个以上的光子。

在实际的实现状态中,C可能有很多原因……

问题6,主通道的接收系统是否安全?

在QC的“理想系统”模型中是可以的。

然而,一个真正的系统需要使用光电倍增器,这些是有问题的使用在最好的时候由于他们的基本工作方式…

因此,一些真实的系统由于围绕光电倍增器的设计/实现问题而损坏。

就像用带外脉冲使光电倍增管致盲一样,或者其他EM字段…

稍微思考一下,您就会发现2/3/4/5/6问题在QC“理想系统”模型中不存在时,给了攻击者很大的发挥空间。还有其他的问题…

这就是为什么有人攻击真正的QC系统,但是他们通常有相当简单的解决方案。

最后,第一个问题是整个想法的安全性100%依赖的最大问题。

量子物理是关于概率和理论的数学建模,而不是关于现实(不管那是什么)。亲爱的老艾伯特和其他人对此很不高兴,并为上帝的娱乐习惯说话。

这也是为什么你偶尔会听到实验物理学家对他们的理论量子同行发表诸如“闭嘴,计算俱乐部的持卡人”之类的评论。188滚球网站

问题是没有人能诚实地说它是安全的仅仅因为我们的量子模型告诉我们它是不可能知道的,我们只是相信它是基于信念和大量的实验数据;)

然而,历史表明,我们的世界观随着我们理解的提高而改变。在物理教学中有这样一个笑话,你“被一个接一个地教撒谎,每一个都离真相越来越近”。

量子物理学还不到100年的历史,谁知道什么时候会有人“在公园里散步”,提出另一个震撼物理学世界的原理,就像海森堡在一个寒冷的冬夜所做的那样。理论上它可能在任何时候发生,但这是可能的吗?

留下你的评论188滚球网站

允许HTML:

Bruce Schneier的188滚球网站照片由Per Ervland提供。

188滚球网站Schneier on Security是一个个人网站。表达的意见不一定是……的意见IBM有弹性