草稿:對等實體同時驗證
在密碼學中,對等實體同時驗證(英語:Simultaneous Authentication of Equals,SAE)是一種基於密碼的認證和密鑰協商方法。[1]
認證
[編輯]SAE 是蜻蜓密鑰交換(英語:Dragonfly Key Exchange,定義於RFC 7664)的一種變體,[2]它基於使用有限循環群的迪菲-赫爾曼密鑰交換,該循環群可以是素數循環群或橢圓曲線。[1]使用迪菲-赫爾曼密鑰交換的問題在於它沒有身份驗證機制。因此,生成的密鑰會受到預共享密鑰和兩個對等節點的MAC地址的影響,以解決身份驗證問題。
應用
[編輯]IEEE 802.11s
[編輯]SAE 最初是為了在對等節點之間使用而實現的,用於IEEE 802.11s。[1] 當對等節點發現彼此(並且啟用了安全性)時,它們會參與 SAE 交換。如果 SAE 成功完成,則每個對等節點都知道對方擁有網狀網絡密碼,並且作為 SAE 交換的副產品,兩個對等節點建立了一個加密強度高的密鑰。該密鑰與「經過身份驗證的網狀網絡對等交換」(AMPE)一起使用,以建立安全的對等關係並派生會話密鑰,以保護網狀網絡流量,包括路由流量。
WPA3
[編輯]2018 年 1 月,Wi-Fi聯盟宣佈推出WPA3以替代WPA2。[3][4] 新標準在WPA3-Personal模式下使用128位加密(WPA3-Enterprise模式下為192位)[5]和前向保密。[6] WPA3標準還使用IEEE 802.11-2016中定義的對等實體同步認證來取代預共享密鑰(PSK)交換,從而在個人模式下實現更安全的初始密鑰交換。[7][8]Wi-Fi聯盟還聲稱,WPA3將減輕弱密碼帶來的安全問題,並簡化沒有顯示界面的設備的設置過程。[9]
安全性
[編輯]2019年,Eyal Ronen和Mathy Vanhoef(KRACK攻擊的共同作者)發佈了對WPA3蜻蜓握手的分析,發現「攻擊者在受害者範圍內仍然可以恢復密碼」,並且發現的錯誤「允許攻擊者模擬任何用戶,從而在不知道用戶密碼的情況下訪問 Wi-Fi 網絡」。[10][11]
參見
[編輯]- 擴展認證協議 (EAP)
- 密鑰協商協議
- KRACK
- IEEE 802.1X
參考文獻
[編輯]- ^ 1.0 1.1 1.2 Harkins, Dan. Simultaneous Authentication of Equals: A Secure, Password-Based Key Exchange for Mesh Networks. 2008 Second International Conference on Sensor Technologies and Applications (Sensorcomm 2008). Aug 20, 2008: 839–844. ISBN 978-0-7695-3330-8. S2CID 18401678. doi:10.1109/SENSORCOMM.2008.131 –透過IEEE Xplore.
- ^ Wi-Fi security gets a major update, but experts warn it's not big enough. www.cso.com.au.
- ^ Dawn Kawamoto. Wi-Fi Alliance Launches WPA2 Enhancements and Debuts WPA3. DARKReading. 8 January 2018.
- ^ WPA3 protocol will make public Wi-Fi hotspots a lot more secure. TechSpot.
- ^ Wi-Fi Alliance® introduces Wi-Fi CERTIFIED WPA3™ security | Wi-Fi Alliance. www.wi-fi.org. [2018-06-26] (英語).
- ^ The Next Generation of Wi-Fi Security Will Save You From Yourself. WIRED. [2018-06-26] (美國英語).
- ^ Wi-Fi CERTIFIED WPA3™ Program. [2018-06-27].
- ^ Wi-Fi Gets More Secure: Everything You Need to Know About WPA3. IEEE Spectrum: Technology, Engineering, and Science News. Sep 6, 2018.
- ^ Wi-Fi Alliance® introduces security enhancements | Wi-Fi Alliance. www.wi-fi.org. [2018-01-09] (英語).
- ^ Dragonblood: Analysing WPA3's Dragonfly Handshake. 2019-04-10.
- ^ Vanhoef, Mathy; Ronen, Eyal. Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd. IEEE Symposium on Security & Privacy (IEEE). 2019-04-10.
擴展閱讀
[編輯]- Harkins, Dan. Simultaneous Authentication of Equals: A Secure, Password-Based Key Exchange for Mesh Networks. 2008 Second International Conference on Sensor Technologies and Applications (Sensorcomm 2008). Aug 20, 2008: 839–844. ISBN 978-0-7695-3330-8. S2CID 18401678. doi:10.1109/SENSORCOMM.2008.131 –透過IEEE Xplore.
- Vanhoef, Mathy; Ronen, Eyal. Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd. IEEE Symposium on Security & Privacy (IEEE). 2019-04-10.
| ||||||||||||||||