草稿:对等实体同时验证
在密码学中,对等实体同时验证(英语:Simultaneous Authentication of Equals,SAE)是一种基于密码的认证和密钥协商方法。[1]
认证
[编辑]SAE 是蜻蜓密钥交换(英语:Dragonfly Key Exchange,定义于RFC 7664)的一种变体,[2]它基于使用有限循环群的迪菲-赫尔曼密钥交换,该循环群可以是素数循环群或椭圆曲线。[1]使用迪菲-赫尔曼密钥交换的问题在于它没有身份验证机制。因此,生成的密钥会受到预共享密钥和两个对等节点的MAC地址的影响,以解决身份验证问题。
应用
[编辑]IEEE 802.11s
[编辑]SAE 最初是为了在对等节点之间使用而实现的,用于IEEE 802.11s。[1] 当对等节点发现彼此(并且启用了安全性)时,它们会参与 SAE 交换。如果 SAE 成功完成,则每个对等节点都知道对方拥有网状网络密码,并且作为 SAE 交换的副产品,两个对等节点建立了一个加密强度高的密钥。该密钥与“经过身份验证的网状网络对等交换”(AMPE)一起使用,以建立安全的对等关系并派生会话密钥,以保护网状网络流量,包括路由流量。
WPA3
[编辑]2018 年 1 月,Wi-Fi联盟宣布推出WPA3以替代WPA2。[3][4] 新标准在WPA3-Personal模式下使用128位加密(WPA3-Enterprise模式下为192位)[5]和前向保密。[6] WPA3标准还使用IEEE 802.11-2016中定义的对等实体同步认证来取代预共享密钥(PSK)交换,从而在个人模式下实现更安全的初始密钥交换。[7][8]Wi-Fi联盟还声称,WPA3将减轻弱密码带来的安全问题,并简化没有显示界面的设备的设置过程。[9]
安全性
[编辑]2019年,Eyal Ronen和Mathy Vanhoef(KRACK攻击的共同作者)发布了对WPA3蜻蜓握手的分析,发现“攻击者在受害者范围内仍然可以恢复密码”,并且发现的错误“允许攻击者模拟任何用户,从而在不知道用户密码的情况下访问 Wi-Fi 网络”。[10][11]
参见
[编辑]- 扩展认证协议 (EAP)
- 密钥协商协议
- KRACK
- IEEE 802.1X
参考文献
[编辑]- ^ 1.0 1.1 1.2 Harkins, Dan. Simultaneous Authentication of Equals: A Secure, Password-Based Key Exchange for Mesh Networks. 2008 Second International Conference on Sensor Technologies and Applications (Sensorcomm 2008). Aug 20, 2008: 839–844. ISBN 978-0-7695-3330-8. S2CID 18401678. doi:10.1109/SENSORCOMM.2008.131 –通过IEEE Xplore.
- ^ Wi-Fi security gets a major update, but experts warn it's not big enough. www.cso.com.au.
- ^ Dawn Kawamoto. Wi-Fi Alliance Launches WPA2 Enhancements and Debuts WPA3. DARKReading. 8 January 2018.
- ^ WPA3 protocol will make public Wi-Fi hotspots a lot more secure. TechSpot.
- ^ Wi-Fi Alliance® introduces Wi-Fi CERTIFIED WPA3™ security | Wi-Fi Alliance. www.wi-fi.org. [2018-06-26] (英语).
- ^ The Next Generation of Wi-Fi Security Will Save You From Yourself. WIRED. [2018-06-26] (美国英语).
- ^ Wi-Fi CERTIFIED WPA3™ Program. [2018-06-27].
- ^ Wi-Fi Gets More Secure: Everything You Need to Know About WPA3. IEEE Spectrum: Technology, Engineering, and Science News. Sep 6, 2018.
- ^ Wi-Fi Alliance® introduces security enhancements | Wi-Fi Alliance. www.wi-fi.org. [2018-01-09] (英语).
- ^ Dragonblood: Analysing WPA3's Dragonfly Handshake. 2019-04-10.
- ^ Vanhoef, Mathy; Ronen, Eyal. Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd. IEEE Symposium on Security & Privacy (IEEE). 2019-04-10.
扩展阅读
[编辑]- Harkins, Dan. Simultaneous Authentication of Equals: A Secure, Password-Based Key Exchange for Mesh Networks. 2008 Second International Conference on Sensor Technologies and Applications (Sensorcomm 2008). Aug 20, 2008: 839–844. ISBN 978-0-7695-3330-8. S2CID 18401678. doi:10.1109/SENSORCOMM.2008.131 –通过IEEE Xplore.
- Vanhoef, Mathy; Ronen, Eyal. Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd. IEEE Symposium on Security & Privacy (IEEE). 2019-04-10.
|