~について読むクラック攻撃反対するWPA2、私はこれを見る:
被害者がAES-CCMPの代わりにWPA-TKIPまたはGCMP暗号化プロトコルを使用する場合、その影響は特に致命的です。このような暗号化プロトコルの場合、乱数の再利用により、攻撃者は暗号化を解除するだけでなく、パケットを偽造して挿入する可能性があります。
見るだけでもwpa_supplicant
マニュアルページでは、次の項目を追加しなければCCMPを強制できないと思いましたwpa_supplicant.conf
。
network = {
ssid="[REDACTED]"
pairwise=CCMP
group=CCMP
}
ただし、ネットワークを再起動すると、次のログメッセージに/var/log/messages
TKIPがまだ使用中であることが示されているようです。
Oct 20 17:27:51 localhost wpa_supplicant[1055]: wlp0s18f2u3: WPA: Key negotiation completed with fc:51:a4:4a:43:d3 [PTK=CCMP GTK=TKIP]
ちょっとps -eaf | grep wpa
見てみるとwpa_supplicant
、私が編集したconfファイルが使用されていることがわかり、wpa_supplicant
ログメッセージにはそのファイルがconfファイルと同じSSIDにリンクされていることが示されます。
それでは、私が何か間違っているのでしょうか、それとも私が望むことが不可能なのでしょうか?
編集する:私はNetworkManagerでFedora 26を使用しています。
答え1
CCMPはWPA2(強力な暗号化アルゴリズムAESに基づく暗号化メカニズム)の必須データ整合性プロトコルであり、アクセスポイントはWPA2(AES)-PSKモードで保護する必要があります。これを確認するには:
wpa_cli
scan
scan_result
[WPA2-PSK-CCMP]
アクセスポイントの下に表示されます。
SafeSearcherは、主要な再インストール攻撃(別名クラック攻撃)に対してアクセスポイントをテストするスクリプトをリリースしました。krackattacks-test-ap-ft。
このパッチはwpa_supplicant と Hostapd定期的なアップデートで利用可能で適用されます。
Hostapd / wpa_supplicant v2.7以降にアップデートしてください(利用可能な場合)。