On Friday 30 September 2011, Hilmar Preusse wrote: > WPA ist eine Verschlüsselungsmethode, EAP eine > Authentifizierungmethode > (http://de.wikipedia.org/wiki/Wireless_Local_Area_Network). Inwiefern > sind die vergleichbar?
WPA ist ein komplettes Protokoll. Da gehören Verschlüsselung,
Authentifikation, Key-Negotiation und noch ein paar weitere Teile dazu.
Die Key-Negotiation ist in diesem Fall Teil der Authentifikation. Du hast
die Wahl zwischen mehreren verschiedenen Authentifikationsalgorithment.
Wenn Du auf einem WLAN unerlaubt kommunizieren willst hast Du mehrere
Angriffspunkte:
1) Der Cryptoalgorithmus unter all der Kommunikation - praktisch
aussichtslos - AES ist zu gut.
2) Das Protokoll während der verschlüsselten Kommunikation - bisher hat sich
WPA2 gut geschlagen - es scheint keine ausnutzbaren Lücken zu haben.
3) Authentifikation - wenn ein Angreifer so tun kann als wäre er ein legaler
Nutzer, dann nützt die ganze Verschlüsselung nix.
4) Key-Negotiation - wenn man den Key erraten (oder erschleichen) kann, ist
man auch drin.
5) Key-Lifetime - je länger ein Key gilt, umso seltener muss man ihn
knacken.
Punkte 3-5 sind auf Passwort vs. *EAP anwendbar. Passwort schneidet bei
allen dreien wesentlich schlechter ab:
3) Passwort erraten oder jemanden mit Schokolade bestechen. Ich kenne die
*EAP Algorithmen nicht im Detail, aber so weit ich mich entsinne kann man
bei ein paar Varianten die Schokolade auch selber essen, bei anderen muss
man sie investieren und hoffen dass der Bestochene sein Passwort nicht
ändert.
4) Bei Passwort ergibt sich der Key direkt durch Hashen aus dem Passwort -
es steht und fällt mit Angriff 3. Andere Algorithmen haben mehr oder weniger
komplexe Methoden um jedes Mal einen anderen Key zu verwenden. Je nach
Algorithmus hat man bessere oder schlechtere Chancen durch lauschen den Key
zu erfahren.
5) Passwort impliziert über Monate/Jahre den selben Key. Ein paar *EAP
Varianten ermöglichen einen Wechsel im Stundentakt. Wenn 3 erfolglos war
nervt man den Angreifer damit dass 4 dann häufiger durchgeführt werden muss.
Konrad
signature.asc
Description: This is a digitally signed message part.
_______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
