Мати Ванхоф ва Эйял Ронен) усули нави ҳамла (CVE-2019-13377) дар шабакаҳои бесим бо истифода аз технологияи амнияти WPA3, ки имкон медиҳад маълумот дар бораи хусусиятҳои парол, ки барои тахмин кардани он офлайн истифода мешаванд. Мушкилот дар версияи ҷорӣ пайдо мешавад .
Хотиррасон менамоем, ки дар мохи апрель хамин муаллифон буданд шаш осебпазирӣ дар WPA3, ки барои муқобила бо он Альянси Wi-Fi, ки стандартҳои шабакаҳои бесимро таҳия мекунад, ба тавсияҳо оид ба таъмини татбиқи бехатари WPA3, ки истифодаи хатҳои эллиптикии бехатарро талаб мекард, тағирот ворид кард. , ба чои хатхои пештараи эллиптикии П-521 ва П-256.
Аммо, таҳлил нишон дод, ки истифодаи Brainpool ба синфи нави ихроҷи каналҳои канорӣ дар алгоритми гуфтушуниди пайвастшавӣ, ки дар WPA3 истифода мешавад, оварда мерасонад. , муҳофизат аз пешгӯии парол дар ҳолати офлайн. Мушкилоти муайяншуда нишон медиҳад, ки эҷоди татбиқи Dragonfly ва WPA3 аз ихроҷи маълумот аз тарафи сеюм ниҳоят душвор аст ва инчунин нокомии модели таҳияи стандартҳо дар паси дарҳои баста бидуни муҳокимаи оммавии усулҳои пешниҳодшуда ва аудит аз ҷониби ҷомеа нишон медиҳад.
Ҳангоми истифодаи каҷи эллиптикии Brainpool, Dragonfly паролро тавассути иҷрои якчанд такрори пешакии парол барои зуд ҳисоб кардани хэши кӯтоҳ пеш аз татбиқи каҷи эллиптикӣ рамзгузорӣ мекунад. То пайдо шудани хэши кӯтоҳ, амалиётҳои иҷрошуда мустақиман аз пароли муштарӣ ва суроғаи MAC вобастаанд. Вақти иҷро (муқовимат бо шумораи такрорҳо) ва таъхирҳо байни амалиётҳо дар давоми такрори пешакӣ метавонанд чен карда шаванд ва барои муайян кардани хусусиятҳои парол, ки метавонанд дар офлайн барои беҳтар кардани интихоби қисмҳои парол дар раванди тахмини парол истифода шаванд. Барои анҷом додани ҳамла, корбаре, ки ба шабакаи бесим пайваст мешавад, бояд ба система дастрасӣ дошта бошад.
Илова бар ин, муҳаққиқон осебпазирии дуюмро (CVE-2019-13456) муайян карданд, ки бо ихроҷи иттилоот дар татбиқи протокол алоқаманд аст. , бо истифода аз алгоритми Dragonfly. Мушкилот ба сервери FreeRADIUS RADIUS хос аст ва бар асоси ихроҷи иттилоот тавассути каналҳои тарафи сеюм, мисли осебпазирии аввал, он метавонад тахмин кардани паролро ба таври назаррас содда кунад.
Дар якҷоягӣ бо усули мукаммали филтр кардани садо дар раванди андозагирии таъхир, 75 андозагирӣ барои як суроғаи MAC барои муайян кардани шумораи такрорҳо кифоя аст. Ҳангоми истифодаи GPU, арзиши захира барои тахмин кардани як пароли луғат $1 ҳисоб карда мешавад. Усулҳои беҳтар кардани амнияти протокол барои бастани мушкилоти муайяншуда аллакай дар версияҳои стандартҳои ояндаи Wi-Fi дохил карда шудаанд () ва . Мутаассифона, бидуни вайрон кардани мутобиқати ақиб дар версияҳои кунунии протокол бартараф кардани ихроҷҳо тавассути каналҳои тарафи сеюм ғайриимкон хоҳад буд.
Манбаъ: opennet.ru