在2018年1月8日美國(guó)拉斯維加斯的國(guó)際消費(fèi)電子展(CES)上,Wi-Fi聯(lián)盟發(fā)布了最新的WPA3加密協(xié)議,作為WPA2技術(shù)的的后續(xù)版本,并在2018年6月26日,WiFi聯(lián)盟宣布WPA3協(xié)議已最終完成。與WPA3相關(guān)的最核心的文檔為RFC7664,其中描述的是WPA3中最大的改進(jìn),就是將原來(lái)的四次握手協(xié)議換成了新的“蜻蜓秘鑰交換協(xié)議”(Dragonfly Key Exchange),該協(xié)議將認(rèn)證和秘鑰交換兩個(gè)功能合成于一個(gè)協(xié)議。號(hào)稱可以解決WPA2中未解決的幾個(gè)安全問(wèn)題:
1.離線密碼破解——獲得WPA2的四次握手包即可進(jìn)行離線字典攻擊,破解無(wú)線密碼。
2.轉(zhuǎn)發(fā)安全(Forward Secracy)——已知4次握手和無(wú)線密碼的情況下,可以解密目標(biāo)的所有通信流量。
3.KRACK等其他已知攻擊方法。
由于WPA3還尚未普及,想來(lái)目前無(wú)論公眾還是相關(guān)研究人員對(duì)WPA3的協(xié)議的實(shí)施細(xì)節(jié)所知應(yīng)該并不多,所以筆者在仔細(xì)閱讀RFC7664文檔后,在此文中將做詳細(xì)的分析討論,以及指出可能的攻擊方法,供其他相關(guān)研究人員參考。
WPA3簡(jiǎn)介
本節(jié)中我們簡(jiǎn)單介紹一下WPA3相關(guān)的基本知識(shí),在WPA2的基礎(chǔ)上討論在WPA3協(xié)議中做了哪些關(guān)鍵改進(jìn)以及改進(jìn)后在安全方面會(huì)有哪些提升。
根據(jù)Wi-Fi聯(lián)盟官方發(fā)布的文檔,WPA3仍然分為WPA3個(gè)人級(jí)和WPA3企業(yè)級(jí)兩種標(biāo)準(zhǔn),其中,WPA3企業(yè)級(jí)認(rèn)證與WPA2相比差別不大,僅僅將密鑰長(zhǎng)度增加到了192位(WPA2使用的是128位的加密密鑰)仍然采用EAP-SSL,EAP-SIM/EAP-AKA之類(lèi)的基于認(rèn)證服務(wù)器的認(rèn)證方法。
那么此次協(xié)議改進(jìn)最大的地方在哪里呢?沒(méi)錯(cuò),改動(dòng)最大的地方就是WPA3個(gè)人級(jí)相對(duì)于WPA2個(gè)人級(jí)的改進(jìn),根據(jù)官方的說(shuō)法,WPA3個(gè)人級(jí)有如下幾個(gè)提升:
1.更強(qiáng)的基于密碼的認(rèn)證安全(官方聲稱即使用戶使用弱密碼,仍然可以得到良好的保護(hù)。)
2.使用等量同步認(rèn)證——一種更安全的設(shè)備間密鑰交換協(xié)議,即蜻蜓協(xié)議,可以防止通通信流量被竊聽(tīng),即使被攻擊者獲取了握手過(guò)程,也無(wú)法解密流量。
3.密鑰長(zhǎng)度擴(kuò)展到192位。
其中官方宣稱的第1點(diǎn)建立的基礎(chǔ)就是因?yàn)橐肓蓑唑衙罔交換協(xié)議,該協(xié)議作者在該協(xié)議的說(shuō)明中聲稱可以避免離線字典攻擊,這一點(diǎn)應(yīng)該就是以上第1所述的可保護(hù)弱密碼的原理。至于3,其實(shí)128位的對(duì)稱密鑰已經(jīng)足夠,此處提升僅僅有理論上的安全提升。看來(lái)WPA3上最明顯的改進(jìn)就是替換了密鑰交換算法,在接下來(lái)的章節(jié)中我們就著重分析一下這個(gè)蜻蜓算法。
WPA2-PSK回顧
在開(kāi)始分析蜻蜓算法之前,為了更有效的對(duì)比WPA2和WPA3密鑰交換算法的差異,這里先簡(jiǎn)單介紹一下WPA2協(xié)議中設(shè)備入網(wǎng)認(rèn)證的過(guò)程,見(jiàn)下圖。
事實(shí)上一次完整的WPA2入網(wǎng)過(guò)程中,在上圖所述的密鑰交換過(guò)程之前還需要3次交互,分別是客戶端發(fā)送Probe Request,服務(wù)器回應(yīng)Probe Response,客戶端發(fā)送Authentication Request服務(wù)器回應(yīng)Authentication Response,接著客戶端發(fā)送Association Request,服務(wù)器回應(yīng)Association Response,接著開(kāi)始上圖所示密鑰交換過(guò)程。密鑰交換過(guò)程分為如下幾步:
1.AP發(fā)送一個(gè)隨機(jī)數(shù)AP Nonce給STA,STA通過(guò)AP的ESSID,以及自己的MAC地址,AP的MAC地址,PSK,AP發(fā)送的隨機(jī)數(shù)以及自己生成的STA Nonce,這6個(gè)參數(shù)生成PMK和PTK。
2.STA發(fā)送第1步生成的隨機(jī)數(shù)STA Nonce給AP,并使用上一步生成的PTK生成該數(shù)據(jù)包的消息校驗(yàn)值MIC附在數(shù)據(jù)包后面發(fā)送給AP,AP通過(guò)包括STA Nonce在內(nèi)的同樣6個(gè)參數(shù)生成自己的PMK和PTK,并用PTK校驗(yàn)STA發(fā)送的數(shù)據(jù)包的MIC值是否匹配,如果匹配則說(shuō)明PSK正確認(rèn)證通過(guò)。
3.AP將組密鑰(即GTK用于加密廣播以及組播包的密鑰)用PMK加密并附上MIC發(fā)送給STA。
4.STA校驗(yàn)MIC后裝入GTK并回復(fù)ACK,密鑰交換結(jié)束開(kāi)始加密通信。
如果你覺(jué)得以上寫(xiě)的太糾結(jié),為了照顧大家特此附上代碼:
#!/usr/bin/env python
import hmac
from hashlib import pbkdf2_hmac,sha1,md5
def PRF(key,A,B):
nByte = 48
i = 0
R = ''
while ( i 8 + 159)/160)):
hmacsha1 = hmac.new(key,A+"\x00" + B + chr(i),sha1)
R += hmacsha1.digest()
i += 1
return R[0:nByte]
def MakeAB(aNonce,sNonce,apMac,cliMac):
A = "Pairwise key expansion"
B = min(apMac,cliMac) + max(apMac,cliMac) + min(aNonce, sNonce) + max(aNonce, sNonce)
return (A,B)
def MakeMIC(pwd,ssid,A,B,data,wpa = False):
pmk = pbkdf2_hmac('sha1',pwd,ssid,4096,32)
ptk = PRF(pmk,A,B)
hmacFunc = md5 if wpa else sha1
mics = [hmac.new(ptk[0:16],i,hmacFunc).digest() for i in data]
return (mics,ptk,pmk)
def calcKey(essid,psk,apMac,cliMac,data0,data1,data2,data3):
ssid = essid
#print ssid
aNonce = data0[17:17+32]
#print aNonce.encode('hex')
sNonce = data1[17:17+32]
#print sNonce.encode('hex')
apMac = apMac.replace(':','').decode("hex")
cliMac = cliMac.replace(':','').decode("hex") mic1 = data1[81:81+16]
data1 = data1.replace(mic1,'\x00'*16)
mic2 = data2[81:81+16]
data2 = data2.replace(mic2,'\x00'*16)
mic3 = data3[81:81+16]
data3 = data3.replace(mic3,'\x00'*16)
A,B = MakeAB(aNonce,sNonce,apMac,cliMac)
mics,ptk,pmk = MakeMIC(psk,ssid,A,B,[data1,data2,data3])
print "pmk:",pmk.encode('hex')
print "ptk:",ptk.encode('hex'),"len:",len(ptk)*8
print "desired mic1:",mic1.encode('hex')
print "acture mic1:",mics[0].encode('hex')[:-8]
if (mic1==mics[0][:-4]):
print "MIC1 MATCHED"
print "desired mic2:",mic2.encode('hex')
print "acture mic2:",mics[1].encode('hex')[:-8]
if (mic2==mics[1][:-4]):
print "MIC2 MATCHED"
print "desired mic3:",mic3.encode('hex')
print "acture mic3:",mics[2].encode('hex')[:-8]
if (mic3==mics[2][:-4]):
print "MIC3 MATCHED"
return ptk
從上面的過(guò)程可以看出,其中最重要的參數(shù)就是PTK,每個(gè)STA和AP之間通信的PTK是不同的,這也意味著一旦PTK被獲知,就可以解密該STA和AP之間通信的所有流量。那么縱觀整個(gè)交換過(guò)程,最重要的參數(shù)就是PSK,PSK參與了密鑰的計(jì)算,且AP和STA對(duì)于PTK密鑰的計(jì)算算法是對(duì)稱的,這或許就是WPA2不提供轉(zhuǎn)發(fā)安全的最重要原因,那就是,只要握手過(guò)程被獲取,任何知道PSK的人都可以計(jì)算出PTK,從而解密所有通信流量。并且,由于算法是對(duì)稱的,只要抓取握手包,就可以通過(guò)離線校驗(yàn)MIC的方式來(lái)驗(yàn)證PSK的正確性,這就是aircrack-ng抓取握手包跑包破解WIFI密碼的原理。
好了,至此我們可以看出,對(duì)稱的密鑰生成算法或許是WPA2安全性的最大缺陷!因?yàn)檫@一點(diǎn),導(dǎo)致WPA2可以被離線字典攻擊,同時(shí),在PSK公開(kāi)的網(wǎng)絡(luò)中,例如星巴克,酒店之類(lèi)的場(chǎng)景,PSK被很多人都知道,且一旦密鑰被攻擊者獲取,就無(wú)法保證用戶的數(shù)據(jù)安全!
WPA3 Dragonfly(蜻蜓)密鑰交換算法
在大致了解了WPA3的改進(jìn)以及WPA2優(yōu)劣后,我們可以進(jìn)入正題,分析WPA3中最核心的算法——蜻蜓秘鑰交換算法,分析的過(guò)程中會(huì)牽扯到一些非對(duì)稱加密的知識(shí),后面我會(huì)一一說(shuō)明。
蜻蜓算法從本質(zhì)上說(shuō)也是一個(gè)基于離散對(duì)數(shù)這個(gè)難解問(wèn)題的算法,也就是說(shuō)蜻蜓算法可以使用普通的整數(shù)有限域或者橢圓曲線來(lái)實(shí)現(xiàn),由此可見(jiàn),蜻蜓算法和Diffie-Hellman算法十分相似。我們可以很容易的先對(duì)比D-H算法中的離散對(duì)數(shù),為了簡(jiǎn)單起見(jiàn),下面的討論我們以有限域上的情況來(lái)做例子,橢圓曲線的實(shí)現(xiàn)同理可以類(lèi)比。首先我們?nèi)∫粋(gè)大質(zhì)數(shù)p,通常1024位以上,我們通常記Z_p^表示模p的剩余類(lèi)乘法群,Q是一個(gè)Z_p^上的q階(q也是素?cái)?shù))子群。那么蜻蜓算法的密鑰交換和認(rèn)證過(guò)程如下:
前3次交互,即Probe+Authentication+Association過(guò)程同WPA2。密鑰交換第一步,對(duì)于一次正常的認(rèn)證過(guò)程,AP和STA共享了同樣的一個(gè)PSK,我們首先要將這個(gè)PSK映射為Q上的一個(gè)元素P,映射算法有很多種,可以保證PSK到P的唯一映射,具體方法這里不做詳細(xì)討論,即我們只要知道映射完成之后,我們可以通過(guò)PSK得到一個(gè)唯一的整數(shù)P即可。
第二步,AP生成隨機(jī)的兩個(gè)參數(shù)r_A和m_A,(1
第三步,STA同樣生成r_B和m_B,(1
第四步,AP計(jì)算ss=〖(P^(s_B ) E_B)〗^(r_A )=P^(r_A r_B ) mod p。kck|mk=KDF-n(ss,”Dragonfly Key Derivation”), KDF-n是一個(gè)密鑰導(dǎo)出算法。
第五步,STA計(jì)算ss=〖(P^(s_A ) E_A)〗^(r_B )=P^(r_A r_B ) mod p,kck|mk=KDF-n(ss,”Dragonfly Key Derivation”) 。
第六步,AP計(jì)算參數(shù)A=H(kck|sA|sB|EA|EB|idA)發(fā)送給STA,其中H是一個(gè)hash算法。其中idA是AP的發(fā)送方標(biāo)識(shí),可以通過(guò)密碼以及雙方參數(shù)通過(guò)固定算法計(jì)算所得。
第七步,STA計(jì)算參數(shù)B=H(kck|sB|sA|EB|EA|idB)發(fā)送給AP,idB同理
第八步,AP和STA分別使用自己的參數(shù)計(jì)算對(duì)方的hash的值,并與對(duì)方發(fā)送過(guò)來(lái)的值想比較,如果相等,則通過(guò)認(rèn)證,否則斷開(kāi)連接。
第九步,若第八步的驗(yàn)證通過(guò),則雙方交換的相同密鑰為第5,6步中mk。
更直觀的過(guò)程大家看下圖:
上面就是WPA3中蜻蜓密鑰交換算法的主要內(nèi)容了,由于WPA3尚未大規(guī)模商用,因此有很多實(shí)現(xiàn)細(xì)節(jié)還尚不清楚,要真正的實(shí)際使用還有很多工程方面的工作需要考慮,這些不是本文所關(guān)心的。因此后面我們僅做一個(gè)理論性的討論,上面的過(guò)程是對(duì)RFC7664里面所述協(xié)議的簡(jiǎn)化模型,源文檔寫(xiě)的非常冗長(zhǎng),但核心就在上面的過(guò)程里,如果對(duì)協(xié)議細(xì)節(jié)有興趣可以參考原文檔。
蜻蜓算法安全性分析
從上面的密鑰交換過(guò)程可見(jiàn),這個(gè)算法確實(shí)如之前介紹所說(shuō),將認(rèn)證和密鑰交換兩個(gè)功能合二為一,首先進(jìn)行PSK認(rèn)證,認(rèn)證通過(guò)了密鑰才會(huì)生成,而對(duì)于WPA2,前兩次握手已經(jīng)計(jì)算出密鑰了,后第3第4次握手是在對(duì)密鑰是否一致進(jìn)行校驗(yàn),由此可見(jiàn)WPA3的新協(xié)議確實(shí)對(duì)于提高安全性有一定幫助。
關(guān)于轉(zhuǎn)發(fā)安全的分析
而對(duì)于轉(zhuǎn)發(fā)安全的保證在于,即使知道PSK,攻擊者可以推知P,但由于攻擊者并不知道r_A或者r_B,因此攻擊者無(wú)法通過(guò)E_A或者E_B計(jì)算ss,因?yàn)橐纑_A或r_B必須先知道m(xù)_A或m_B,而通過(guò)E_A求m_A是一個(gè)離散對(duì)數(shù)問(wèn)題,這是個(gè)難解問(wèn)題,知道m(xù)_A求E_A很容易,但是反過(guò)來(lái)很難,用這個(gè)非對(duì)稱性質(zhì)來(lái)保證即使攻擊者知道PSK也無(wú)法根據(jù)握手過(guò)程計(jì)算出K,從而保證轉(zhuǎn)發(fā)安全。
關(guān)于中間人攻擊
從以上密鑰交換算法的細(xì)節(jié)可以看出,對(duì)于同樣知道PSK的攻擊者來(lái)說(shuō),這種算法也存在D-H密鑰交換算法的毛病,就是無(wú)法防止中間人攻擊!不過(guò)考慮到無(wú)線信道想要完成中間人劫持并不容易,所以這樣考慮也尚且合情合理,不過(guò)話說(shuō)回來(lái),WiFi網(wǎng)絡(luò)里中間人攻擊并不是完全不可能的,只是實(shí)施有一定條件而已,因此在這一點(diǎn)上,我認(rèn)為仍然重蹈了WPA2中“只能保證PSK不泄露情況下安全”的覆轍。
關(guān)于離線字典攻擊
接下來(lái)我們來(lái)看看字典攻擊的情況,事實(shí)上蜻蜓算法的作者并沒(méi)有給出蜻蜓算法可以杜絕離線字典攻擊的嚴(yán)格證明,僅僅給出了一個(gè)主觀性的分析:
首先,作為攻擊者只能被動(dòng)監(jiān)聽(tīng)流量的情況,則如上面所說(shuō)的,攻擊者無(wú)法得知r_A和r_B,要得到r_A和r_B需要計(jì)算離散對(duì)數(shù),這是一個(gè)難解的問(wèn)題,缺少這兩個(gè)參數(shù)使得攻擊者無(wú)法做僅僅代入密碼驗(yàn)證的方式,因此,僅僅抓取握手包,字典攻擊無(wú)法進(jìn)行。
然后,討論主動(dòng)的攻擊者,攻擊者此時(shí)能夠主動(dòng)和AP或者STA進(jìn)行虛假的交互,此時(shí)作者假設(shè)攻擊者會(huì)選擇一個(gè)隨機(jī)的m_B值,計(jì)算P=G^(m_B )發(fā)送給AP,其中G是Q的一個(gè)群生成元,這時(shí)候密碼可以表示成G的某個(gè)冪次,這時(shí)候AP計(jì)算的ss值則是密碼P的某個(gè)冪次,這時(shí)候假設(shè)攻擊者期望代入P進(jìn)行校驗(yàn),即使成功求出正確的ss,要計(jì)算密碼也需要計(jì)算離散對(duì)數(shù),這是個(gè)難解問(wèn)題,因此作者認(rèn)為此時(shí)離線字典攻擊也沒(méi)有意義。
最后,我們?cè)倏纯丛贒-H算法中的小子群攻擊對(duì)蜻蜓算法是否有效,小子群攻擊也需要攻擊者主動(dòng)發(fā)起一次交互,類(lèi)比D-H算法中的小子群攻擊的思想,我們知道,如果用S表示Q的一個(gè)小子群Q’中的元素,那么S的任意次方也是Q’中的元素,因?yàn)镼是質(zhì)數(shù)階群,所以子群一定存在,只要我們能找到一個(gè)元素個(gè)數(shù)足夠小的子群,取元素S,并且隨機(jī)選擇s_B,將E_B=S發(fā)送給AP,這時(shí)候AP會(huì)計(jì)算ss=〖(P^(s_B ) E_B)〗^(r_A )=P^(s_B r_A ) S^(R_A )=〖(P^(r_A ))〗^(s_B ) R的哈希值,并發(fā)送給STA,上式中,由于S是子群元素,所以S的r_A次方我們記作R,仍然是小子群中元素,而r_A雖然不知道,但是P^(r_A )=P^(s_A-m_A )=P^(s_A ) E_A,即可以使用s_A和E_A來(lái)計(jì)算,這時(shí)候我們未知的參數(shù)只有P和R,我們可以通過(guò)PSK生成離線字典P,然后計(jì)算ss的值,并且作hash比較,直至找出P,只要S的規(guī)模足夠小,這種離線攻擊方式還是有實(shí)施的可能性的,只不過(guò)要完成這種攻擊,攻擊者需要主動(dòng)和STA或者AP完成至少一次交互,提高了攻擊成本。但實(shí)際上對(duì)于弱密碼來(lái)說(shuō),仍然是不安全的!
結(jié)論
本文詳細(xì)分析了WPA3中的蜻蜓密鑰交換算法,雖然對(duì)于工程化的實(shí)施細(xì)節(jié)尚不明確,本文從理論角度對(duì)于其安全性得出的結(jié)論總結(jié)如下:
1.WPA3使用蜻蜓算法,可以防止被動(dòng)的攻擊者竊取數(shù)據(jù),即可以提供轉(zhuǎn)發(fā)安全。
2.因?yàn)閃PA3個(gè)人級(jí)并不建立在公鑰信任的基礎(chǔ)上,因此對(duì)于同樣知道PSK的攻擊者來(lái)說(shuō),無(wú)法防止中間人攻擊。
3.無(wú)法完全防止離線字典攻擊,一定條件下字典攻擊是可以實(shí)施的,不過(guò)相比WPA2,提高了攻擊成本,但如果期待WPA3協(xié)議能很好的保護(hù)12345678這種弱密碼,那還是想多了。
4.至于對(duì)KRACK之類(lèi)的密鑰重裝攻擊的防御,由于對(duì)握手過(guò)程的丟包處理機(jī)制細(xì)節(jié)還不明確,因此不確定能否防止此類(lèi)攻擊,但從中間人攻擊的角度,此類(lèi)攻擊在WPA3中仍然存在可能性。
|
