把”早期”无线区网说成”侏罗纪”无线区网,着实是夸张了点,毕竟无线区网从开始”快速”发展至今,也不过5、6年的时间(事实上,早在IEEE 802.11问世之前,无线区网技术即已经发展数年了)。既然是要讨论早期无线区网的安全机制,那何谓”早期”呢?如果非要定出一个分隔点的话,那么Wi-Fi防护存取(WPA)这个过渡性标准推出之前的无线区线就算是”早期”无线区网。早期的无线区网,IEEE 802.11算是唯一正式的标准,虽然内容也规范了一些安全性作法,但事后证明,这些安全性作法由于设计上的瑕疵,很容易遭到瓦解,再加上当时业界也没有明确的安全性标准,因此无线区网普遍给人一种安全性不足或安全性乏善可陈的印象。
我们曾经讨论过,由于无线”开放”的特性,在中控型网路类型(须使用AP的网路类型),使用者的无线装置,必须经过一连串的扫瞄(scanning)、验证(authentication)、连线(association)之后,才能够开始使用无线区网。其中验证,当然是为防止未经授权的使用。除了验证之外,由于无线区网,使用者的资料是于”空气”中传送的,只要有”适当的”无线网卡再加上软体工具,就可以从空气中”捕捉”到这些讯框(frame),判读讯框内容,更有甚者,窜改或破坏资料内容,而导致资料的不正确或不可用。为防范这些威胁,有必要为这些于”空气”中传送的讯框进行加密(encryption)动作,来增加安全性。因此802.11使用有线等级隐私(Wired Equivalent Privacy, WEP)作为MAC(Media Access Control)的安全加密(encryption)协定。WEP采用的是RC4演算法,一种对称金钥演算法symmetric key algorithm(RC4由于被选为WEP的加密引擎后,其所引发的相关研究发现,RC4本身亦隐含一些极大的瑕疵),既然名为对称金钥演算法,言下之意就是指加密者和解密者须使用同一把金钥。没错,这一把金钥就是由管理者或使用者手动设定于AP以及无线网卡的WEP金钥。RC4当然不是直接以这把金钥来加密,而是以这把金钥为种子,透过乱数产生器(Pseudo Random Number Generator, PRNG)产生金钥串流(keystream),再以金钥串流与资料结合进行加密。
让我们再回过头来看看802.11的验证,802.11的验证有两种方式,分别为:
开放系统验证(open-system authentication)
为什么称为开放系统,说实话,我也不知道,只能确定这里的开放系统绝对不是指像Windows或UNIX这类open system。这种验证方式,与其说是验证,倒不如说是一种宣告,也就是无线装置向AP宣告「我是一台拥有唯一且合法MAC address的装置,请让我加入这个无线区网吧!!」大部份的情况AP都会允许这种宣告(因为不同装置几乎不会出现相同的MAC address,除非是伪装)并且回应无线装置「请加入吧!!」
共享金钥验证(shared-key authentication)
所谓共享金钥就是共享那一把由管理者或使用者所设定的WEP金钥。无线装置首先发送一个验证请求给AP,AP会回应一个盘查口令(challenge text)给无线装置,无线装置收到盘查口令,以WEP金钥经PRNG所产生的金钥串流加密后回应给AP,AP收到回应后进行解密,如果盘查口令内容和刚才发送出去的盘查口令内容吻合的话,AP会回应一个成功的讯息的无线装置。
如上所述,使用共享金钥验证再加上WEP加密,看起来是天衣无缝,何以802.11的安全性遭到如此质疑!?无奈啊….首先看看共享金钥验证,这种验证方式中的盘查口令、金钥串流以及盘查回应的演算法是一种可逆向运算(reversible)的演算法,只要知道其中两项,就可逆向推算出第三项。其中盘查回应虽然是已加过密的讯息,不幸的是盘查口令却是明文(clear text)讯息,攻击者只要能从”空气”中”捕捉”到这些讯息(盘查口令以及盘查回应),就可以推算出金钥串流,再以此金钥串流回应来自AP新的盘查口令,攻击者即可通过AP的验证。但是即使通过AP的验证,攻击者在尚未还原WEP金钥前,还是无法使用无线区网来传送资料或对收集来的讯框进行解密判读,对吧!?没错,但是不要因此而松口气,因为接下来的事实更残酷!!前面在讨论WEP时提过,WEP金钥是拿来作为产生金钥串流的种子,再以金钥串流来为资料加密,但由于相同的金钥种子会产生相同的金钥串连,重复使用相同金钥串流可能让攻击者很容易的识出蛛丝马迹。因此WEP采用24 bits的初使向量(Initialization Vector, IV),也就是将WEP金钥分为两个部分:IV以及密钥(secret key)。24 bits IV的值会随机产生,”IV值+密钥”会被拿来产生金钥串流,因此可以产生1千六百多万组金钥串流来为1千六百多万个讯框加密。遗憾的是1千六百多万个讯框对于资料传送量大或无线装置数量多、网路使用率高的网路而言并不算多,再加上IV值最后会附加在802.11讯框标头(header)之后(注意!!加密机制仅会对资料的部分作加密,并不会对讯框标头的部分作加密),攻击者只要收集足够数量的讯框,即可从讯框标头识别出重复的IV值,重复的IV值代表讯框是以相同的金钥串流来加密,再从这些重复使用相同金钥串流来加密的讯框中寻找蛛丝马迹,以还原WEP金钥(更不幸的是现在已经有软体工具可以来执行这些事情)。
一旦攻击者通过验证,并取得或还原WEP金钥,无线区网的安全性即告瓦解。也因此,早期无线区网的安全性(包括无线区网的共享金钥验证及WEP加密协定)被视为是不可靠的安全机制。