Testfall

Question 1

EAPOL-Austausche werden auch verwendet, um die temporären Schlüssel zu erneuern. Die neuen Schlüssel werden auf dem Supplicant installiert, nachdem dieser 4/4 gesendet hat, und auf dem Authenticator, wenn dieser 4/4 empfängt[1]. Wenn Wireshark die Neuverschlüsselung korrekt handhaben soll, darf es die Schlüssel erst nach dem Lesen des 4/4-Pakets im Frame verwenden, da während der Neuverschlüsselung möglicherweise noch Pakete fließen (selbst wenn dies aufgrund der Pufferung nicht der Fall sein sollte).

Beim ersten 4WHS ist es möglich, nicht auf 4/4 zu warten, aber es ist vollkommen verständlich, dass sie einfach zu faul waren, es umzusetzen. 3/4 ist immer noch notwendig, da es Gruppenschlüssel (auch wenn Sie nicht daran interessiert sind, aber wissen, dass Sie keine ARP-Anfragen vom AP oder einem Client sehen werden, dessen 4WHS Sie nicht haben) und Verwaltungsschlüssel enthält. Sie können 3/4 auch überspringen, aber dann haben Sie keine Bestätigung, dass der Austausch erfolgreich war, da 3/4 verwendet wird, um zu überprüfen, ob der Authenticator den PMK kennt.

[1] Beachten Sie, dass beim aktuellen Schema, wenn die 4/4-Nachricht verloren geht, der Supplicant den neuen Schlüssel verwendet und der Authenticator immer noch den alten Schlüssel verwendet. Das erneute Senden von 3/4 verschlüsselt mit dem alten Schlüssel wird nicht helfen. Dieses Problem, neben vielen anderen mit WPA2, wird im neuesten 802.11 2012-Standard dadurch gelöst, dass zwei Schlüssel parallel aufbewahrt werden.

Answer

EAPOL-Austausche werden auch verwendet, um die temporären Schlüssel zu erneuern. Die neuen Schlüssel werden auf dem Supplicant installiert, nachdem dieser 4/4 gesendet hat, und auf dem Authenticator, wenn dieser 4/4 empfängt[1]. Wenn Wireshark die Neuverschlüsselung korrekt handhaben soll, darf es die Schlüssel erst nach dem Lesen des 4/4-Pakets im Frame verwenden, da während der Neuverschlüsselung möglicherweise noch Pakete fließen (selbst wenn dies aufgrund der Pufferung nicht der Fall sein sollte).

Beim ersten 4WHS ist es möglich, nicht auf 4/4 zu warten, aber es ist vollkommen verständlich, dass sie einfach zu faul waren, es umzusetzen. 3/4 ist immer noch notwendig, da es Gruppenschlüssel (auch wenn Sie nicht daran interessiert sind, aber wissen, dass Sie keine ARP-Anfragen vom AP oder einem Client sehen werden, dessen 4WHS Sie nicht haben) und Verwaltungsschlüssel enthält. Sie können 3/4 auch überspringen, aber dann haben Sie keine Bestätigung, dass der Austausch erfolgreich war, da 3/4 verwendet wird, um zu überprüfen, ob der Authenticator den PMK kennt.

[1] Beachten Sie, dass beim aktuellen Schema, wenn die 4/4-Nachricht verloren geht, der Supplicant den neuen Schlüssel verwendet und der Authenticator immer noch den alten Schlüssel verwendet. Das erneute Senden von 3/4 verschlüsselt mit dem alten Schlüssel wird nicht helfen. Dieses Problem, neben vielen anderen mit WPA2, wird im neuesten 802.11 2012-Standard dadurch gelöst, dass zwei Schlüssel parallel aufbewahrt werden.

Question 2

In den Schritten 1 und 2 werden alle zum Erstellen des PTK erforderlichen Informationen ausgetauscht. Dies sollte ausreichen, um Unicast-Verkehr zu entschlüsseln.

Ohne Schritt 3 verfügen Sie nicht über GTK und das Entschlüsseln von Multicast/Broadcast ist daher nicht möglich.

Schritt 4 ist nicht wirklich notwendig, um den erfassten Datenverkehr zu entschlüsseln, aber wenn es keinen Schritt 4 gibt, wird der Client/AP nicht mit der Verschlüsselung beginnen. Wireshark kann dies ebenfalls berücksichtigen, bevor es versucht, Daten zu entschlüsseln.

Answer

In den Schritten 1 und 2 werden alle zum Erstellen des PTK erforderlichen Informationen ausgetauscht. Dies sollte ausreichen, um Unicast-Verkehr zu entschlüsseln.

Ohne Schritt 3 verfügen Sie nicht über GTK und das Entschlüsseln von Multicast/Broadcast ist daher nicht möglich.

Schritt 4 ist nicht wirklich notwendig, um den erfassten Datenverkehr zu entschlüsseln, aber wenn es keinen Schritt 4 gibt, wird der Client/AP nicht mit der Verschlüsselung beginnen. Wireshark kann dies ebenfalls berücksichtigen, bevor es versucht, Daten zu entschlüsseln.

Question 3

Nun, offensichtlich ist die WireShark-Dokumentation falsch. :-)

Ausgehend von der DokumentationHier:

Nach EAPOL 1 und 2 kennen beide Seiten den zeitlichen Schlüssel, der zur Entschlüsselung des Datenverkehrs verwendet wird.
Die dritte Nachricht ist der Beweis, dass beide Seiten den zeitlichen Schlüssel kennen und weist darauf hin, dass dieAuthentifikator(die Basisstation) ist bereit, den zeitlichen Schlüssel zu verwenden.
Die vierte Nachricht löst den Wechsel vom vor dem EAPOL eingerichteten PMK zum im EAPOL abgeleiteten zeitlichen Schlüssel aus.

Insofern ergibt es Sinn. WireShark braucht Nachricht 3 für nichts. Es kennt die Schlüssel nach den Nachrichten 1 und 2, wartet aber mit der Verwendung dieser Schlüssel zum Entschlüsseln des Datenverkehrs, bis es Nachricht 4 empfangen hat.

Es gibt für nichts im Leben eine Garantie, insbesondere nicht für das Verhalten von freier Software. Man kann jedoch davon ausgehen, dass das Vorhandensein von Nachricht 3 nicht erforderlich ist, damit WireShark die Sitzung entschlüsseln kann.

Answer

Nun, offensichtlich ist die WireShark-Dokumentation falsch. :-)

Ausgehend von der DokumentationHier:

Nach EAPOL 1 und 2 kennen beide Seiten den zeitlichen Schlüssel, der zur Entschlüsselung des Datenverkehrs verwendet wird.
Die dritte Nachricht ist der Beweis, dass beide Seiten den zeitlichen Schlüssel kennen und weist darauf hin, dass dieAuthentifikator(die Basisstation) ist bereit, den zeitlichen Schlüssel zu verwenden.
Die vierte Nachricht löst den Wechsel vom vor dem EAPOL eingerichteten PMK zum im EAPOL abgeleiteten zeitlichen Schlüssel aus.

Insofern ergibt es Sinn. WireShark braucht Nachricht 3 für nichts. Es kennt die Schlüssel nach den Nachrichten 1 und 2, wartet aber mit der Verwendung dieser Schlüssel zum Entschlüsseln des Datenverkehrs, bis es Nachricht 4 empfangen hat.

Es gibt für nichts im Leben eine Garantie, insbesondere nicht für das Verhalten von freier Software. Man kann jedoch davon ausgehen, dass das Vorhandensein von Nachricht 3 nicht erforderlich ist, damit WireShark die Sitzung entschlüsseln kann.

Question 4

Dies erklärt nicht, warum, aber ein Zitat aus dem airdecap-ngDokumentationwie auch immer,

WPA/WPA2 Requirements

The capture file must contain a valid four-way handshake. For this purpose having (packets 2 and 3) or (packets 3 and 4) will work correctly. In fact, you don't truly need all four handshake packets.

Answer

Dies erklärt nicht, warum, aber ein Zitat aus dem airdecap-ngDokumentationwie auch immer,

WPA/WPA2 Requirements

The capture file must contain a valid four-way handshake. For this purpose having (packets 2 and 3) or (packets 3 and 4) will work correctly. In fact, you don't truly need all four handshake packets.

Testfall

Testfall

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen