WEP是粗制滥造的临近Deadline的不合格品,而WPA则是设计精美的艺术品。以致目前没有真正可行的攻击方法。现行的WPS Pin法(针对路由器设置)和字典法(暴力,下面会讲到),都不算好的针对WPA攻击方法。
总感觉不自己试试就不知道WPA是否真的这么牛掰,所以我用python模拟了WPA的认证过程。这里说的WPA都是PSK(预共享密钥),不是Enterprise。主要区别是Enterprise是同时需要用户名和密码,然后要到RADIUS认证服务器上认证,是大学常里用的WiFi认证方法。而PSK是所有用户一个密码,就是家里用的那种。PSK的一个缺点就是Key固定,一旦被破解,整个家庭网络就跪了。
WPA 认证原理
首先是PSK产生方式。PSK不是我们输入的密码,而是以一个公式产生。我没认真看PBKDF2是怎么样的算法。反正是产生Key的标准。可以以一个命令产生: wpa_passphrase SSID PassPhrase 。当然也有python算法。
1 | PSK = PBKDF2(PassPhrase, ssid, 4096, 256) |
然后还有个叫PMK的Key,在Personal模式下PSK就是PMK,就不详细说明了。这个PMK还不是实际中使用的,实际使用的是PTK(Pairwise Transient Key)。PTK计算方法也很奇特。 PTK = PRF (PMK + ANonce + SNonce + AA + SPA) 。参数从EAPOL四次握手过程中的前两次得到。而且PTK是有结构的,前16Bytes用来计算MIC,是我用到的。下面示意图和代码说明一切。抓包数据也在github上,有兴趣的可以自己实验。密码包含在代码里。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | def PRF512(pmk,A,B): ptk1 = hmac.new(pmk, binascii.a2b_qp(A)+ B + chr(0), hashlib.sha1).digest() ptk2 = hmac.new(pmk, binascii.a2b_qp(A)+ B + chr(1), hashlib.sha1).digest() ptk3 = hmac.new(pmk, binascii.a2b_qp(A)+ B + chr(2), hashlib.sha1).digest() ptk4 = hmac.new(pmk, binascii.a2b_qp(A)+ B + chr(3), hashlib.sha1).digest() return ptk1+ptk2+ptk3+ptk4[0:4] passPhrase = "LINUXZSJ" ssid = "TP-LINK_4F6C90" A = "Pairwise key expansion\0" APmac = a2b_hex("20dce64f6c90") Clientmac = a2b_hex("e0b9a51fe794") ANonce = a2b_hex("3320ced2535ed697d52c272aeea799d4d188a4603142f37a240f8064d7cdf58f") SNonce = a2b_hex("93b0f1cd466efd5f6eb146ffbad9c9c86a74a961539dd3ef3b47f50da5298266") B = min(APmac,Clientmac)+max(APmac,Clientmac)+min(ANonce,SNonce)+max(ANonce,SNonce) #### wpa_passphrase TP-LINK_4F6C90 LINUXZSJ psk = pbkdf2_hex(passPhrase,ssid,4096,256)[:64] pmk = a2b_hex(psk) ptk = PRF512(pmk,A,B) print b2a_hex(ptk) |
真实数据
我在自己的WiFi抓了流量,就是WireShark数据。因为WPA还有两种,一个是WPA一个是WPA2。主要区别是WPA用的是TKIP加密算法,WPA2是CCMP加密算法。下图是TKIP的认证过程。
获取其中的数据,使用Python检验,能得到一致结果。检验的是用我产生的PTK对原始数据签名,看看获得的MIC是否与抓包得到的MIC一致。一致就说明我的模拟没有问题。
1 2 3 4 | data = a2b_hex("01030077fe01090020000000000000000193b0f1cd466efd5f6eb146ffbad9c9c86a74a961539dd3ef3b47f50da52982660000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000018dd160050f20101000050f20201000050f20201000050f202") mic = hmac.new(ptk[0:16],data) #取前16Bytes计算MIC print "EAPOL 2 MIC: cde68e2e62ef20e6ed323b56b04e8b95" print "Calc MIC:",mic.hexdigest() |
然后也有类似的WPA2的CCMP认证过程。认证过程主要区别是EAPOL的第三个帧是加密的,而且使用的是SHA1的hash签名,而TKIP是MD5的hash签名。为什么CCMP更安全,不止是认证过程,还有数据传输过程,我还没有搞清楚。先不管,只管认证过程。WireShark数据截图:具体代码和数据包见github.
1 2 3 4 | data = a2b_hex("0103007502010a00000000000000000001b4455d0bc446645c5957434f653ad0bfa59f6be1a265fbf33b7d547b1b484534000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001630140100000fac040100000fac040100000fac020000") mic = hmac.new(ptk[0:16],data,hashlib.sha1) print "EAPOL 2 MIC: 887342b8161df230c84880cbe9074ff8" print "Calc MIC:",mic.hexdigest()[0:32] |
所以从上述步骤看,从始至终都没有交换密钥。要破解通信的话,必须捕获EAPOL中的ANouce和SNouce,这样就可以用字典暴力破解。可行性不大。因为一次测试要4096次HMAC,计算量还是可以的,还有PSK还加了盐,彩虹表也用处不大。貌似Linux的密码也是这样的方式。从认证过程来说,WPA还是很安全的。真实过程除了要生成PTK,还要生成GTK(Group Temporal Key)。过程类似,不赘述。
为了完整性,还有Enterprise的没搞。必需等我搞懂SSL/TLS再说。
有用链接:
One thought to “WPA/WPA2-PSK认证过程”