Mathy Vanhoef နှင့် Eyal Ronen) WPA2019 လုံခြုံရေးနည်းပညာကို အသုံးပြု၍ ကြိုးမဲ့ကွန်ရက်များပေါ်ရှိ တိုက်ခိုက်ရေးနည်းလမ်းအသစ် (CVE-13377-3)၊ ၎င်းသည် အော့ဖ်လိုင်းမှန်းဆရန် အသုံးပြုနိုင်သည့် စကားဝှက်ဝိသေသလက္ခဏာများအကြောင်း အချက်အလက်များကို ရယူခွင့်ပြုသည်။ လက်ရှိဗားရှင်းတွင် ပြဿနာပေါ်လာသည်။ .
ဧပြီလတုန်းကလည်း အလားတူစာရေးဆရာတွေရှိခဲ့တာ မှတ်မိကြဦးစို့ ကြိုးမဲ့ကွန်ရက်များအတွက် စံချိန်စံညွှန်းများ ဖော်ဆောင်ပေးသည့် Wi-Fi Alliance မှ တန်ပြန်ရန်အတွက် WPA3 တွင် အားနည်းချက်ခြောက်ခု၊ လုံခြုံသော elliptic မျဉ်းကွေးများကို အသုံးပြုရန်လိုအပ်သည့် WPA3 ၏ လုံခြုံသောအကောင်အထည်ဖော်မှုများကို သေချာစေရန် အကြံပြုချက်များကို အပြောင်းအလဲပြုလုပ်ခဲ့သည်။ ယခင်က တရားဝင်သော elliptic မျဉ်းကွေးများအစား P-521 နှင့် P-256။
သို့သော်လည်း Brainpool ကိုအသုံးပြုခြင်းသည် WPA3 တွင်အသုံးပြုသည့် ချိတ်ဆက်ညှိနှိုင်းမှုဆိုင်ရာ အယ်လဂိုရီသမ်တွင် ဘေးထွက်ချန်နယ်ပေါက်ကြားမှု အတန်းသစ်တစ်ခုသို့ ဦးတည်သွားကြောင်း ခွဲခြမ်းစိတ်ဖြာချက်က ပြသခဲ့သည်။ , အော့ဖ်လိုင်းမုဒ်တွင် စကားဝှက်မှန်းဆခြင်းမှ ကာကွယ်ခြင်း။ ပြင်ပကုမ္ပဏီ ဒေတာပေါက်ကြားမှု ကင်းစင်သော Dragonfly နှင့် WPA3 တို့ကို အကောင်အထည်ဖော်ဖန်တီးခြင်းသည် အလွန်ခက်ခဲကြောင်း ဖော်ထုတ်တွေ့ရှိထားသည့် ပြဿနာက သက်သေပြနေပြီး အသိုင်းအဝိုင်းမှ အဆိုပြုထားသော နည်းလမ်းများနှင့် စာရင်းစစ်များကို အများသူငှာ ဆွေးနွေးခြင်းမပြုဘဲ တံခါးပိတ် စံနှုန်းများ နောက်ကွယ်တွင် ရေးဆွဲခြင်းပုံစံ၏ ပျက်ကွက်မှုကိုလည်း ပြသသည်။
Brainpool ၏ elliptic မျဉ်းကွေးကို အသုံးပြုသည့်အခါ၊ Dragonfly သည် elliptic မျဉ်းကွေးကို အသုံးမပြုမီ တိုတောင်းသော hash ကို လျင်မြန်စွာတွက်ချက်ရန်အတွက် စကားဝှက်၏ ပဏာမထပ်ဖန်များစွာပြုလုပ်ခြင်းဖြင့် စကားဝှက်ကို ကုဒ်နံပါတ်ပေးပါသည်။ တိုတောင်းသော hash ကို ရှာမတွေ့မချင်း၊ လုပ်ဆောင်ခဲ့သော လုပ်ဆောင်ချက်များသည် သုံးစွဲသူ၏ စကားဝှက်နှင့် MAC လိပ်စာပေါ်တွင် တိုက်ရိုက်မူတည်ပါသည်။ အကောင်အထည်ဖော်ချိန် (အကြိမ်အရေအတွက်နှင့် ဆက်စပ်နေသည်) နှင့် ပဏာမ ထပ်ကာထပ်ကာ လုပ်ဆောင်မှုများကြားတွင် နှောင့်နှေးမှုများကို တိုင်းတာနိုင်ပြီး စကားဝှက်ကို မှန်းဆခြင်းလုပ်ငန်းစဉ်တွင် စကားဝှက်အပိုင်းများရွေးချယ်မှု ပိုမိုကောင်းမွန်စေရန် အော့ဖ်လိုင်းသုံးနိုင်သည့် စကားဝှက်ဝိသေသလက္ခဏာများကို ဆုံးဖြတ်ရန် အသုံးပြုနိုင်သည်။ တိုက်ခိုက်မှုတစ်ခုလုပ်ဆောင်ရန်၊ ကြိုးမဲ့ကွန်ရက်သို့ချိတ်ဆက်အသုံးပြုသူသည် စနစ်သို့ဝင်ရောက်ခွင့်ရှိရမည်ဖြစ်သည်။
ထို့အပြင်၊ သုတေသီများသည် ပရိုတိုကောကို အကောင်အထည်ဖော်ရာတွင် သတင်းအချက်အလက် ယိုစိမ့်မှုနှင့်ဆက်စပ်သော ဒုတိယအားနည်းချက် (CVE-2019-13456) ကို ဖော်ထုတ်ခဲ့သည်။ Dragonfly algorithm ကို အသုံးပြု၍ ပြဿနာသည် FreeRADIUS RADIUS ဆာဗာအတွက် သီးသန့်ဖြစ်ပြီး၊ ပထမအားနည်းချက်ကဲ့သို့ပင် ပြင်ပအဖွဲ့အစည်းချန်နယ်များမှတစ်ဆင့် အချက်အလက်များ ပေါက်ကြားမှုအပေါ် အခြေခံ၍ ၎င်းသည် စကားဝှက်ကို မှန်းဆခြင်းကို သိသိသာသာ ရိုးရှင်းစေသည်။
latency တိုင်းတာခြင်းလုပ်ငန်းစဉ်တွင် ဆူညံသံများကို စစ်ထုတ်ရန်အတွက် ပိုမိုကောင်းမွန်သောနည်းလမ်းဖြင့် ပေါင်းစပ်လိုက်သော အတိုင်းအတာတစ်ခုလျှင် MAC လိပ်စာတစ်ခုလျှင် တိုင်းတာမှု 75 ခုသည် ထပ်တလဲလဲပြုလုပ်မှုအရေအတွက်ကို ဆုံးဖြတ်ရန် လုံလောက်ပါသည်။ GPU ကိုအသုံးပြုသောအခါ၊ အဘိဓာန်စကားဝှက်တစ်ခုကို ခန့်မှန်းရန်အတွက် အရင်းအမြစ်ကုန်ကျစရိတ်မှာ ခန့်မှန်းခြေ $1 ဖြစ်သည်။ ဖော်ထုတ်ထားသော ပြဿနာများကို ပိတ်ဆို့ရန် ပရိုတိုကော လုံခြုံရေးကို မြှင့်တင်ရန် နည်းလမ်းများကို အနာဂတ် Wi-Fi စံနှုန်းများ၏ မူကြမ်းဗားရှင်းများတွင် ထည့်သွင်းပြီးဖြစ်သည် () နှင့် . ကံမကောင်းစွာဖြင့်၊ လက်ရှိပရိုတိုကောဗားရှင်းများတွင် နောက်ပြန်လိုက်ဖက်မှုကို မချိုးဖျက်ဘဲ ပြင်ပအဖွဲ့အစည်းချန်နယ်များမှတစ်ဆင့် ပေါက်ကြားမှုများကို ဖယ်ရှားပစ်ရန် မဖြစ်နိုင်ပါ။
source: opennet.ru