无线领域中的安全性
文章来源：IBM中国 作者：Carole Fennelly 2001年5月

　　解密只是与加密相反。接收方重新生成密钥流，并将它与密文进行 XOR 来恢复初始明文。接着，该消息（P'）被分成两个部分：M' 和 c'。然后，计算 c(M')，并将它与接收到的校验和 c' 进行比较。如果不匹配，那么消息主体在传输期间已经以某一方式更改过。解密通过使用带信息包传输的 IV 和共享密钥来生成用于加密的等同密钥流。最后，将结果与密文进行 XOR 运算，以显示消息。
　　WEPbuster 出现了
　　从上面可以看出，安全性在数学上取决于密钥及其对发现的抵御能力。但是，Nikita Borisov、Ian Goldberg 和 David Wagner 于今年一月在 Mac-Crypto 会议上提交的一篇论文详细描述了 802.11 的体系结构性安全弱点。我很大程度上根据这篇论文来说明发生了什么。
　　作者指出：如果用相同的 IV 和秘钥加密两条消息，那么流密码（如 RC4）容易受到攻击。如果一起对密文进行 XOR 运算，那么密钥流将互相抵消并且两个明文的 XOR 将保留。在典型消息中，有明文的重复，它可以解决两个明文的 XOR。有人可能查找某一已知明文（例如，“Password:”），当将该明文与其自身进行 XOR 运算时，可以计算出两个明文的 XOR 中的文本。所以，如果在消息之间重用密钥流，那么只知道明文的一部分，攻击者就有另一次危及加密的机会。
　　作者认识到，虽然 WEP 标准建议在每个信息包之后更改 IV（及与秘钥组合的那个 IV 的 RC4），但它不要求发生这种情况。实际上，他们发现，在他们测试的某些 PCMCIA 802.11 卡中（例如，Lucent 的），在初始化时 IV 复位成零，然后每传输一个信息包，计数器就增加 1。因为每次将卡插入便携式电脑时都会发生初始化，所以这意味着，IV 为低值的密钥流将经常发生，并且对于秘钥的生存期来说都是一样的。这样，攻击者在其进行破坏时将有多个低 IV 密钥流的实例化。重用是众所周知的一种密钥流弱点，或许应该已经在 802.11 标准中得到解决，以便卡制造商无法使用这种方案并且仍设法符合该标准。
　　802.11 中有其它结构问题。最隐蔽的一个问题就是 IV 数据空间只有 24 位宽。当某人考虑 5Mbps 网络接入点将在不到半天的时间内通过 24 位宽的信息包时，这个问题才会变得明显。这意味着，即使低值 IV 没有出现在数据流中，IV 也将习惯性地（并且多少可以预知地）重复。从安全性立场来讲，它不会使人感到安慰。
　　重用的利用
　　如果攻击者知道两个用相同 IV 加密的信息包之一的明文，就可以对这两个信息包进行解密。因为大多数 IP 流量都是以众所周知的方式构成的，所以攻击者可以对消息做某些假设，并注意它们是否符合手边的信息包。如果攻击者已经获得完整的明文（比方说，如果攻击者给您发电子邮件，然后等待您在 802.11 链路上读取它），那么这个攻击会变得微不足道。
　　攻击者需要一个已知的明文来利用密钥重用。要这样做，他可以构建密钥流对 IV 的“字典”。因为密钥空间是 2 的 24 次方，即整个字典将占用 1500 个字节（平均 802.11 密钥流长度）乘以 2 的 24 次方，或者大约 24GB。那将在许多具有剩余空间的现有硬驱动器上放得下。它仅仅是要花点时间和精力。这类攻击不受秘钥长度影响，仅受 IV 的 24 位长度影响。
　　密钥管理问题
　　802.11 标准在秘钥管理方面是无声的。所以，即使在密钥数组中指定索引的可选密钥标识字段出现在消息中，大多数网络还是将单个密钥用于 802.11。该字段似乎不在当前实践中使用，可是一旦体系结构性弱点更广泛地散布，这可能会更改。

<<< 上一页 下一页 >>>