可攻陷所有WiFi網路！KRACK漏洞發現者回答紀實

如果你能連線到的 Wi-Fi 一夜之間不安全了，通過自家路由器的 Wi-Fi 上網衝浪卻陷入勒索軟體和其他惡意軟體的包圍中，一浪衝到沙灘上……

這並非是誇張，就在今天，比利時安全研究人員 Mathy Vanhoef 表示，WPA2安全加密協議已經被破解，並在演示視訊中對一部 Android 智慧手機執行了一次 KRACK。在演示中，攻擊者可以對使用者傳輸的全部資料進行解密。這一攻擊方式（金鑰重灌攻擊）對於 Linux 以及 Android 6.0 或者更高版本系統擁有強大的破壞性。

面對足以攻陷所有 Wi-Fi 網路 的 KRACK 漏洞，其發現者 Mathy Vanhoef 有何看法與建議？雷鋒網摘取了發現者的部分回答。

問：我們現在是否需要 WPA3?

Mathy Vanhoef：不需要，我們可以通過向下相容的方式進行修復。這意味著安裝補丁的客戶端仍將與未經修復的接入點通訊，反之亦然。換句話說，安裝過補丁的客戶端或者接入點將傳送與以往完全相同的握手訊息，且時間點完全一致。當然，安裝更新將確保一條金鑰僅被安裝一次，從而避免受到攻擊影響。所以一旦安裝更新發布，應馬上為裝置安裝。

問：我是否應該修改 Wi-Fi 密碼？

Mathy Vanhoef：更改 Wi-Fi 密碼並不能避免此類攻擊。所以你不必更新 Wi-Fi 網路的密碼，而應該更新所有客戶端裝置以及路由器的韌體。在路由器更新完畢後，你可以選擇性地變更 Wi-Fi 密碼以作為額外預防手段。

問：我正在使用純 AES WPA2 模式。這是否仍然面臨安全風險？

Mathy Vanhoef：是的，這一網路配置同樣存在安全隱患。我們的攻擊手段同時針對 WPA1 與 WPA2，會影響到個人和企業網路，及所使用的任何加密套件（包括 WPA-TKIP、AES-CCMP 以及 GCMP）。所以每個人都應該更新相關裝置，以防止攻擊！

問：我的裝置是否會受到影響？

Mathy Vanhoef：有可能，任何使用 Wi-Fi 的裝置都有可能面臨這一安全風險。

問：如果我的路由器沒有提供安全更新，該怎麼辦？

Mathy Vanhoef：我們的主要攻擊手段面向四次握手，且不會利用接入點，而是主要指向客戶端。因此你的路由器可能不需要進行安裝更新。

總體來講，你可以通過禁用客戶端功能（例如用於中繼器模式等）並禁用 802.11r（快速漫遊）以減輕針對路由器與接入點的攻擊風險。對於普通家庭使用者，應該優先更新各類客戶端，例如膝上型電腦及智慧手機。

問：四次握手在數學層面上被證明是安全的，你的攻擊為何能夠實現？

Mathy Vanhoef：簡單來講，四次握手的正式實現方式並不能確保金鑰僅被安裝一次。相反，其僅能確保協商金鑰始終處於保密狀態，且握手訊息不可被偽造。

要更具體地解答這個問題，則需要引用研究論文中的相關表述：我們的攻擊並不會破壞四次握手在正式分析當中得到證明的安全屬性。具體而言，這些證據表明協商加密金鑰始終處於私有狀態，且客戶端與接入點身份亦可得到確認。我們的攻擊並不會洩露加密金鑰。

另外，雖然使用 TKIP 或者 GCMP 能夠偽造正常資料幀，但攻擊者仍無法偽造握手資訊，因此無法在握手期間冒充客戶端或者接入點。不過問題在於，證明本身並不會對金鑰安裝機制進行建模。換句話來講，正式模型並沒有定義應該於何時安裝協商金鑰。在實際使用當中，這意味著相同的金鑰可進行多次安裝，從而重置加密協議（例如 WPA-TKIP 或者 AES-CCMP）當中使用的隨機數與重播計數器。

問：文中的一些攻擊手段似乎很困難？

Mathy Vanhoef：我們已經採取後續完善工作，希望讓我們的攻擊手段（特別是針對 MacOS 以及 OpenBSD 的攻擊）更加普遍且易於執行。當然，我們也認同文章中提到的某些攻擊方法有些不切實際，但金鑰重灌攻擊在實踐當中確實有可能遭到利用。

問：如果攻擊者可以進行中間人攻擊，為什麼他不能解密所有的資料？

Mathy Vanhoef：如上文所述，攻擊者首先在被攻擊者和真正的 Wi-Fi 網路之間首先獲得了一箇中間人（MitM）。但是，MitM 的位置並不能使攻擊者解密資料包！這個位置只允許攻擊者延遲，阻止或重放加密的資料包。所以在攻擊的這一點上，其還不能解密資料包。相反，延遲和阻止資料包的能力用於執行金鑰重灌攻擊。執行金鑰重灌攻擊後，資料包可以解密。

問：是否已經有人開始對這一漏洞加以實際利用？

Mathy Vanhoef：我們無法確定這一漏洞是否已經被他人（或者正在被他人）所利用。實際上，重灌攻擊能夠自發發生，且其中並不涉及真正的攻擊者。可能的場景為：背景干擾因素使得握手過程中的最後一條資訊發生丟失，從而導致前一條資訊重發。當處理這條重發資訊時，金鑰被重新安裝，並致使隨機數如真實攻擊般被重複使用。

問：我是否應該暫時使用 WEP，直到我的裝置完成補丁安裝？

Mathy Vanhoef：不，還是繼續使用 WPA2。

問：Wi-Fi 標準是否會進行更新來解決這個問題？

Mathy Vanhoef：似乎有協議規定，Wi-Fi 標準應該更新，以避免受到我們的攻擊。這些更新可能將以向下相容方式釋出，從而覆蓋其他早期 WPA2 實現方案。不過最終 Wi-Fi 標準是否及如何更新，仍需時間來確定。

問：Wi-Fi 聯盟是否也在解決這些安全漏洞？

Mathy Vanhoef：對於不熟悉 Wi-Fi 的使用者，Wi-Fi 聯盟是一個負責證明 Wi-Fi 裝置符合某些互操作性標準的組織。除此之外，其還負責確保來自不同供應商的 Wi-Fi 產品能夠順利地協同工作。

目前，Wi-Fi 聯盟已有計劃幫助解決已發現的各類 WPA2 安全漏洞。總結來講，該組織將：

1. 要求在全球認證實驗室網路當中測試此項安全漏洞。 

2. 提供一款安全漏洞檢測工具以供各 WiFI 聯盟成員使用（這款工具以我們的檢測工具為基礎，用於檢測目標裝置是否易受到一些已知的金鑰重灌攻擊手段的影響）。

3. 向各裝置供應商廣泛釋出與此項安全漏洞相關的細節資訊，包括補救措施。此外，鼓勵各供應商與其解決方案供應商合作，從而快速整合任何必要的修復補丁。

4. 向使用者強調重要性，確保使用者已經安裝由裝置製造商提供的安全更新。

問：你為何在演示視訊中使用 match.com 作為示例？

Mathy Vanhoef：使用者會在 match.com 這類網站上共享大量個人資訊。因此本示例突出強調了攻擊者能夠獲取的各類敏感資訊，同時希望通過這個例子，人們能夠更清晰地意識到這一攻擊手段給使用者帶來影響。我們也希望通過這一例子幫助人們瞭解約會網站可能收集的使用者資訊型別。

問：如何避免此類 bug 的出現？

Mathy Vanhoef：我們需要更嚴格的對協議實現方案進行審查以及來自學術界的幫助和支援。在其他研究人員的協助下，我們希望組織起更多研討活動以改進並驗證各類安全協議實現方案的正確性。

問：與其他針對 WPA2 的攻擊相比，這種攻擊方式有何特點？

Mathy Vanhoef：這是有史以來第一種不需要依靠密碼猜測的 WPA2 協議攻擊手段。事實上，其他針對 WPA2 網路的攻擊方法主要針對的是與之相關的其他技術，例如 Wi-Fi 受保護設定（簡稱 WPS），或者 WPA-TKIP 等較為陳舊的標準。換句話來說，目前還沒有哪種攻擊方法專門針對四次握手或者 WPA2 協議當中的密碼套件。相比之下，我們的金鑰重新安裝攻擊專門針對四次握手（以及其他握手），這更加強調了 WPA2 協議本身所存在的安全隱患。

問：其他協議是否也會受到金鑰重灌攻擊的影響？

Mathy Vanhoef：我們預計其他協議的某些實現方案也可能受到類似攻擊的影響。因此，最好是能夠將這類攻擊納入安全協議實現方案的審計工作當中。不過我們認為其他協議標準應該不會受到同一攻擊手法的影響（或者我們至少希望不會）。然而，對其他協議開展針對性審計仍然很有必要！

本文作者：又田

本文轉自雷鋒網禁止二次轉載，原文連結