On Friday 30 September 2011, Hilmar Preusse wrote:
> WPA ist eine Verschlüsselungsmethode, EAP eine
> Authentifizierungmethode
> (http://de.wikipedia.org/wiki/Wireless_Local_Area_Network). Inwiefern
> sind die vergleichbar?

WPA ist ein komplettes Protokoll. Da gehören Verschlüsselung, 
Authentifikation, Key-Negotiation und noch ein paar weitere Teile dazu.

Die Key-Negotiation ist in diesem Fall Teil der Authentifikation. Du hast 
die Wahl zwischen mehreren verschiedenen Authentifikationsalgorithment.

Wenn Du auf einem WLAN unerlaubt kommunizieren willst hast Du mehrere 
Angriffspunkte:

1) Der Cryptoalgorithmus unter all der Kommunikation - praktisch 
aussichtslos - AES ist zu gut.

2) Das Protokoll während der verschlüsselten Kommunikation - bisher hat sich 
WPA2 gut geschlagen - es scheint keine ausnutzbaren Lücken zu haben.

3) Authentifikation - wenn ein Angreifer so tun kann als wäre er ein legaler 
Nutzer, dann nützt die ganze Verschlüsselung nix.

4) Key-Negotiation - wenn man den Key erraten (oder erschleichen) kann, ist 
man auch drin.

5) Key-Lifetime - je länger ein Key gilt, umso seltener muss man ihn 
knacken.

Punkte 3-5 sind auf Passwort vs. *EAP anwendbar. Passwort schneidet bei 
allen dreien wesentlich schlechter ab:

3) Passwort erraten oder jemanden mit Schokolade bestechen. Ich kenne die 
*EAP Algorithmen nicht im Detail, aber so weit ich mich entsinne kann man 
bei ein paar Varianten die Schokolade auch selber essen, bei anderen muss 
man sie investieren und hoffen dass der Bestochene sein Passwort nicht 
ändert.

4) Bei Passwort ergibt sich der Key direkt durch Hashen aus dem Passwort - 
es steht und fällt mit Angriff 3. Andere Algorithmen haben mehr oder weniger 
komplexe Methoden um jedes Mal einen anderen Key zu verwenden. Je nach 
Algorithmus hat man bessere oder schlechtere Chancen durch lauschen den Key 
zu erfahren.

5) Passwort impliziert über Monate/Jahre den selben Key. Ein paar *EAP 
Varianten ermöglichen einen Wechsel im Stundentakt. Wenn 3 erfolglos war 
nervt man den Angreifer damit dass 4 dann häufiger durchgeführt werden muss.



        Konrad

Attachment: signature.asc
Description: This is a digitally signed message part.

_______________________________________________
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Antwort per Email an