WPA2 සමඟ රැහැන් රහිත ජාල වෙත KRACK ප්රහාරයේ කතුවරයා වන Mathy Vanhoef සහ TLS හි සමහර ප්රහාරවල සම කර්තෘ වන Eyal Ronen, තාක්ෂණයේ ඇති අවදානම් හයක් (CVE-2019-9494 - CVE-2019-9499) පිළිබඳ තොරතුරු අනාවරණය කළේය. WPA3 රැහැන් රහිත ජාල ආරක්ෂා කිරීම, ඔබට සම්බන්ධතා මුරපදය ප්රතිනිර්මාණය කිරීමට සහ මුරපදය නොදැන රැහැන් රහිත ජාලයට ප්රවේශය ලබා ගැනීමට ඉඩ සලසයි. දුර්වලතා සාමූහිකව ඩ්රැගන්බ්ලඩ් යන සංකේත නාමයෙන් හඳුන්වනු ලබන අතර නොබැඳි මුරපද අනුමාන කිරීමට එරෙහිව ආරක්ෂාව සපයන ඩ්රැගන්ෆ්ලයි සම්බන්ධතා සාකච්ඡා ක්රමයට සම්මුතියක් ඇති කර ගැනීමට ඉඩ සලසයි. WPA3 ට අමතරව, Android, RADIUS සේවාදායකයන් සහ hostapd/wpa_supplicant හි භාවිතා වන EAP-pwd ප්රොටෝකෝලය තුළ ශබ්ද කෝෂ අනුමාන කිරීමෙන් ආරක්ෂා වීමට Dragonfly ක්රමය ද භාවිතා වේ.
අධ්යයනයෙන් WPA3 හි ප්රධාන වාස්තු විද්යාත්මක ගැටළු වර්ග දෙකක් හඳුනාගෙන ඇත. ප්රවේශ මුරපදය ප්රතිනිර්මාණය කිරීම සඳහා ගැටළු දෙකම අවසානයේ භාවිතා කළ හැක. පළමු වර්ගය ඔබට විශ්වාස කළ නොහැකි ගුප්ත ලේඛන ක්රම වෙත ආපසු යාමට ඉඩ සලසයි (පහළට යාමේ ප්රහාරය): WPA2 (සංක්රමණ ප්රකාරය, WPA2 සහ WPA3 භාවිතයට ඉඩ සලසමින්) සමඟ ගැළපීම සහතික කිරීම සඳහා වන මෙවලම්, ප්රහාරකයාට සිව්-පියවර සම්බන්ධතා සාකච්ඡා කිරීමට සේවාදායකයාට බල කිරීමට ඉඩ සලසයි. WPA2 විසින් භාවිතා කරනු ලබන අතර, එය WPA2 සඳහා අදාළ වන සම්භාව්ය තිරිසන් ප්රහාරක මුරපද තවදුරටත් භාවිතා කිරීමට ඉඩ සලසයි. මීට අමතරව, ඩ්රැගන්ෆ්ලයි සම්බන්ධතා ගැලපුම් ක්රමයට සෘජුවම පහත හෙලීමේ ප්රහාරයක් සිදු කිරීමේ හැකියාව හඳුනාගෙන ඇති අතර, කෙනෙකුට අඩු ආරක්ෂිත ඉලිප්සීය වක්ර වර්ග වෙත ආපසු යාමට ඉඩ සලසයි.
දෙවන වර්ගයේ ගැටළු තෙවන පාර්ශවීය නාලිකා හරහා මුරපද ලක්ෂණ පිළිබඳ තොරතුරු කාන්දු වීමට හේතු වන අතර Dragonfly හි මුරපද කේතීකරණ ක්රමයේ දෝෂ මත පදනම් වේ, මෙහෙයුම් අතරතුර ප්රමාදයන් වෙනස් කිරීම වැනි වක්ර දත්ත මුල් මුරපදය ප්රතිනිර්මාණය කිරීමට ඉඩ සලසයි. . Dragonfly හි hash-to-curve algorithm හැඹිලි ප්රහාරවලට ගොදුරු වන අතර එහි hash-to-group ඇල්ගොරිතම ක්රියාත්මක කිරීමේ කාල ප්රහාර වලට ගොදුරු වේ. මෙහෙයුම් (කාල ප්රහාරය).
හැඹිලි පතල් ප්රහාර සිදු කිරීම සඳහා, ප්රහාරකයාට රැහැන් රහිත ජාලයට සම්බන්ධ වන පරිශීලකයාගේ පද්ධතිය මත වරප්රසාද රහිත කේතය ක්රියාත්මක කිරීමට හැකි විය යුතුය. මුරපද තේරීමේ ක්රියාවලියේදී මුරපදයේ කොටස් නිවැරදිව තෝරා ගැනීම පැහැදිලි කිරීම සඳහා අවශ්ය තොරතුරු ලබා ගැනීමට ක්රම දෙකම හැකි වේ. ප්රහාරයේ සඵලතාවය තරමක් ඉහළ වන අතර ඔබට කුඩා අකුරු ඇතුළත් අක්ෂර 8කින් යුත් මුරපදයක් අනුමාන කිරීමට ඉඩ සලසයි, අතට අත දීමේ සැසි 40ක් පමණක් බාධා කර Amazon EC2 ධාරිතාව ඩොලර් 125කට කුලියට ගැනීමට සමාන සම්පත් වියදම් කරයි.
හඳුනාගත් දුර්වලතා මත පදනම්ව, ප්රහාර අවස්ථා කිහිපයක් යෝජනා කර ඇත:
- ශබ්ද කෝෂ තේරීම සිදු කිරීමේ හැකියාව සමඟ WPA2 මත ආපසු හැරවීමේ ප්රහාරය. සේවාලාභියා සහ ප්රවේශ ලක්ෂ්යය WPA3 සහ WPA2 යන දෙකටම සහය දක්වන පරිසරයක, ප්රහාරකයෙකුට WPA2 සඳහා පමණක් සහාය දක්වන එකම ජාල නාමයෙන් තමන්ගේම හොර ප්රවේශ ලක්ෂ්යයක් යෙදවිය හැකිය. එවැනි තත්වයක් තුළ, සේවාදායකයා WPA2 හි ලක්ෂණය වන සම්බන්ධතා සාකච්ඡා ක්රමය භාවිතා කරනු ඇත, එම කාලය තුළ එවැනි ආපසු හැරීමක් පිළිගත නොහැකි බව තීරණය කරනු ඇත, නමුත් මෙය සිදු කරනු ලබන්නේ නාලිකා සාකච්ඡා පණිවිඩ යවා ඇති අවස්ථාව සහ අවශ්ය සියලු තොරතුරු ය. ශබ්දකෝෂ ප්රහාරයක් දැනටමත් කාන්දු වී ඇති බැවිනි. SAE හි ඉලිප්සාකාර වක්රවල ගැටළු සහගත අනුවාද පෙරළීමට සමාන ක්රමයක් භාවිතා කළ හැක.
මීට අමතරව, wpa_supplicant සඳහා විකල්පයක් ලෙස Intel විසින් වැඩි දියුණු කරන ලද iwd daemon සහ Samsung Galaxy S10 රැහැන් රහිත තොගය WPA3 පමණක් භාවිතා කරන ජාල වල පවා ප්රහාර පහත හෙළීමට ඉඩ ඇති බව සොයා ගන්නා ලදී - මෙම උපාංග කලින් WPA3 ජාලයකට සම්බන්ධ කර ඇත්නම්. , ඔවුන් එකම නම සහිත ව්යාජ WPA2 ජාලයකට සම්බන්ධ වීමට උත්සාහ කරනු ඇත.
- ප්රොසෙසර හැඹිලියෙන් තොරතුරු උපුටා ගන්නා පැති චැනල් ප්රහාරය. ඩ්රැගන්ෆ්ලයි හි මුරපද කේතීකරණ ඇල්ගොරිතමයේ කොන්දේසි සහිත අතු බෙදීම් සහ ප්රහාරකයෙකු අඩංගු වන අතර, රැහැන් රහිත පරිශීලක පද්ධතියේ කේතය ක්රියාත්මක කිරීමට අවස්ථාව ඇති අතර, හැඹිලි හැසිරීම් විශ්ලේෂණය මත පදනම්ව, තෝරා ගන්නේ නම්, වෙනත් ප්රකාශන කුට්ටි මොනවාද යන්න තීරණය කළ හැකිය. . ලබාගත් තොරතුරු WPA2 මුරපද මත නොබැඳි ශබ්ද කෝෂ ප්රහාරවලට සමාන ක්රම භාවිතා කරමින් ප්රගතිශීලී මුරපද අනුමාන කිරීමට භාවිතා කළ හැක. ආරක්ෂාව සඳහා, සකසන ලද දත්තවල ස්වභාවයෙන් ස්වාධීනව, නියත ක්රියාත්මක කිරීමේ කාලය සමඟ මෙහෙයුම් භාවිතා කිරීමට මාරු වීමට යෝජනා කෙරේ;
- මෙහෙයුම් ක්රියාත්මක කිරීමේ කාලය ඇස්තමේන්තු කිරීම සමඟ පැති නාලිකා ප්රහාරය. Dragonfly ගේ කේතය මුරපද සහ විචල්ය පුනරාවර්තන සංඛ්යාව සංකේතනය කිරීමට බහු ගුණන කණ්ඩායම් (MODP) භාවිතා කරයි, එම සංඛ්යාව භාවිතා කරන මුරපදය සහ ප්රවේශ ලක්ෂ්යයේ හෝ සේවාදායකයාගේ MAC ලිපිනය මත රඳා පවතී. දුරස්ථ ප්රහාරකයෙකුට මුරපද කේතනය කිරීමේදී පුනරාවර්තන කීයක් සිදු කර ඇත්ද යන්න තීරණය කළ හැකි අතර ඒවා ප්රගතිශීලී මුරපද අනුමාන කිරීම සඳහා ඇඟවීමක් ලෙස භාවිතා කරයි.
- සේවා ඇමතුම ප්රතික්ෂේප කිරීම. ප්රහාරකයෙකුට සන්නිවේදන නාලිකා සාකච්ඡා ඉල්ලීම් විශාල ප්රමාණයක් යැවීමෙන් පවතින සම්පත් අවසන් වීම හේතුවෙන් ප්රවේශ ලක්ෂ්යයේ ඇතැම් කාර්යයන් ක්රියාත්මක වීම අවහිර කළ හැක. WPA3 විසින් සපයන ලද ගංවතුර ආරක්ෂාව මඟ හැරීම සඳහා, කල්පිත, පුනරාවර්තනය නොවන MAC ලිපින වලින් ඉල්ලීම් යැවීම ප්රමාණවත්ය.
- WPA3 සම්බන්ධතා සාකච්ඡා ක්රියාවලියේදී භාවිතා කරන අඩු ආරක්ෂිත ගුප්ත ලේඛන කණ්ඩායම් වෙත ආපසු යාම. උදාහරණයක් ලෙස, සේවාදායකයකු ඉලිප්සීය වක්ර P-521 සහ P-256 සඳහා සහය දක්වන්නේ නම් සහ P-521 ප්රමුඛතා විකල්පය ලෙස භාවිතා කරන්නේ නම්, සහාය නොතකා ප්රහාරකයා
ප්රවේශ ලක්ෂ්ය පැත්තේ P-521 P-256 භාවිතා කිරීමට සේවාදායකයාට බල කළ හැක. ප්රහාරය සිදු කරනු ලබන්නේ සම්බන්ධතා සාකච්ඡා ක්රියාවලියේදී සමහර පණිවිඩ පෙරීම සහ ඇතැම් ඉලිප්සීය වක්ර සඳහා සහය නොමැතිකම පිළිබඳ තොරතුරු සහිත ව්යාජ පණිවිඩ යැවීමෙනි.
දුර්වලතා සඳහා උපාංග පරීක්ෂා කිරීම සඳහා, ප්රහාර සඳහා උදාහරණ සමඟ ස්ක්රිප්ට් කිහිපයක් සකස් කර ඇත:
- Dragonslayer - EAP-pwd මත ප්රහාර ක්රියාත්මක කිරීම;
- Dragondrain යනු සේවා ප්රතික්ෂේප කිරීමක් ආරම්භ කිරීමට භාවිතා කළ හැකි SAE (Simultaneous Authentication of Equals) සම්බන්ධතා සාකච්ඡා ක්රමය ක්රියාත්මක කිරීමේදී ඇති අවදානම් සඳහා ප්රවේශ ලක්ෂ්යවල අවදානම පරීක්ෂා කිරීම සඳහා උපයෝගීතාවයකි;
- ඩ්රැගන්ටයිම් - MODP කණ්ඩායම් 22, 23 සහ 24 භාවිතා කරන විට මෙහෙයුම් කාලය සැකසීමේ වෙනස සැලකිල්ලට ගනිමින් SAE ට එරෙහිව පැති නාලිකා ප්රහාරයක් පැවැත්වීම සඳහා වූ ස්ක්රිප්ට් එකක්;
- Dragonforce යනු මෙහෙයුම්වල විවිධ සැකසුම් වේලාවන් පිළිබඳ තොරතුරු මත පදනම්ව තොරතුරු (මුරපද අනුමාන කිරීම) ප්රතිසාධනය සඳහා උපයෝගීතාවයකි.
රැහැන් රහිත ජාල සඳහා ප්රමිතීන් වර්ධනය කරන Wi-Fi සන්ධානය නිවේදනය කළේ WPA3-Personal හි මුල් ක්රියාත්මක කිරීම් සීමිත සංඛ්යාවකට මෙම ගැටළුව බලපාන බවත් ස්ථිරාංග සහ මෘදුකාංග යාවත්කාලීනයක් හරහා එය නිවැරදි කළ හැකි බවත්ය. ද්වේෂසහගත ක්රියාවන් සිදු කිරීම සඳහා භාවිතා කරන ලද දුර්වලතා පිළිබඳ ලේඛනගත සිද්ධීන් නොමැත. ආරක්ෂාව ශක්තිමත් කිරීම සඳහා, Wi-Fi Alliance විසින් ක්රියාත්මක කිරීමේ නිරවද්යතාවය තහවුරු කිරීම සඳහා රැහැන් රහිත උපාංග සහතික කිරීමේ වැඩසටහනට අමතර පරීක්ෂණ එකතු කර ඇති අතර, හඳුනාගත් ගැටළු සඳහා ඒකාබද්ධව සම්බන්ධීකරණය කිරීමට උපාංග නිෂ්පාදකයින් වෙත ළඟා වී ඇත. hostap/wpa_supplicant සඳහා දැනටමත් පැච් නිකුත් කර ඇත. Ubuntu සඳහා පැකේජ යාවත්කාලීන තිබේ. Debian, RHEL, SUSE/openSUSE, Arch, Fedora සහ FreeBSD තවමත් විසඳා නැති ගැටළු ඇත.
මූලාශ්රය: opennet.ru