wpa_supplicantがWPA-TKIPまたはGCMP暗号化プロトコルを使用するのを防ぐ

wpa_supplicantがWPA-TKIPまたはGCMP暗号化プロトコルを使用するのを防ぐ

~について読むクラック攻撃反対するWPA2、私はこれを見る:

被害者がAES-CCMPの代わりにWPA-TKIPまたはGCMP暗号化プロトコルを使用する場合、その影響は特に致命的です。このような暗号化プロトコルの場合、乱数の再利用により、攻撃者は暗号化を解除するだけでなく、パケットを偽造して挿入する可能性があります。

見るだけでもwpa_supplicantマニュアルページでは、次の項目を追加しなければCCMPを強制できないと思いましたwpa_supplicant.conf

network = {
    ssid="[REDACTED]"
    pairwise=CCMP
    group=CCMP
}

ただし、ネットワークを再起動すると、次のログメッセージに/var/log/messagesTKIPがまだ使用中であることが示されているようです。

Oct 20 17:27:51 localhost wpa_supplicant[1055]: wlp0s18f2u3: WPA: Key negotiation completed with fc:51:a4:4a:43:d3 [PTK=CCMP GTK=TKIP]

ちょっとps -eaf | grep wpa見てみるとwpa_supplicant、私が編集したconfファイルが使用されていることがわかり、wpa_supplicantログメッセージにはそのファイルがconfファイルと同じSSIDにリンクされていることが示されます。

それでは、私が何か間違っているのでしょうか、それとも私が望むことが不可能なのでしょうか?

編集する:私はNetworkManagerでFedora 26を使用しています。

答え1

CCMPはWPA2(強力な暗号化アルゴリズムAESに基づく暗号化メカニズム)の必須データ整合性プロトコルであり、アクセスポイントはWPA2(AES)-PSKモードで保護する必要があります。これを確認するには:

wpa_cli
scan
scan_result

[WPA2-PSK-CCMP]アクセスポイントの下に表示されます。

SafeSearcherは、主要な再インストール攻撃(別名クラック攻撃)に対してアクセスポイントをテストするスクリプトをリリースしました。krackattacks-test-ap-ft

このパッチはwpa_supplicant と Hostapd定期的なアップデートで利用可能で適用されます。

Hostapd / wpa_supplicant v2.7以降にアップデートしてください(利用可能な場合)。

関連情報