五千年(敝帚自珍)

主题:【原创】出差归来,接着侃歪屁 wapi 3 -- ragtime

共:💬13 🌺12
分页树展主题 · 全看首页 上页
/ 1
下页 末页
  • 家园 【原创】出差归来,接着侃歪屁 wapi 3

    wep的安全问题人所共知。802.11作为一个底层通讯技术,在制订过程中更多的关注了通讯方面的因素,对于安全方面的问题只是搞了个廖胜于无的wep。事实上,在参与wep标准起草的人员,802.11的小组成员,和IEEE的指导委员会中,很少有安全保密方面的专家。IEEE多由电子工程方面的技术人员组成,而安全保密传统上更多是计算机科学和数学的研究范围,所以出现这种情况也不足为奇。而且这是96年97年左右,无线局网还在很初级的发展阶段,没有人往那里多想。

    后来随着Wi-fi的推广,问题来了。大概在早于2000年之前,就开始有研究人员指出了wep的一些问题。通讯保密方面的专家们对802.11这么热的一个东西居然没有请自己参加很不爽,于是打wep这个落水狗在网络安全界风行一时。再经过互联网这么个专门千里传坏事的放大器,搞的一时间普通老百姓们几乎把使用无线局网和开门揖盗画上等号。

    其实对于一般用户,wep安不安全根本没有多大关系。跟无知网记们硬要往上套的国家信息安全更是扯不到一起。大多数重要网站都使用ssl,有额外加密来保护信用卡号之类重要信息。从统计上讲,和病毒木马之类造成的危害相比,因为无线局网被破而造成的损害可以忽略不计。2001/2002年以后卖的无线局网设备都有各种改进的安全手段,可是绝大多数的用户根本不会用也没法用。举个例子,我曾经开着车带着扫描设备在一个居民区转,发现70%-80%左右的用户根本用的都是厂家原设置,都在第六频道,连无线网名都没有改过,都叫linksys或者netgear。这样的用户你还指望他去设定非对称保密和安全证书吗?至于企业和政府用户,本来他们就应该把无线局网放在内部网之外,必须用vpn双重加密来进入内网。所以在我看来,2003年说因为安全问题打倒无线局网和70年代炒政治对手的婚外恋一样是别有用心。

    又说远了。现在回到wapi上。作为一个2003年才制定的标准,说1999年的wep有缺陷wapi要好多了简直就和说我比我三岁的儿子力气大一样是废话。802.11也有相应的改进,叫做802.11i,是针对1999年802.11标准里的有关安全部分的修正案。802.11i基本上是国际上通讯安全方面的专家争吵了3年多的成果,基本代表了成熟技术中的最高水平[注意再次强调,是成熟技术不是最前沿技术],the state of the art。

    这么先进的东西好是好,不过也有一个问题,用不了。这就不得不说到无线局网的硬件设备了。每一块无线局网卡的核心是一个无线局网芯片组,再加上放大,天线之类的辅助设备。每一个无线局网芯片组实际都是一个微缩了的计算机,里面内存cpu(叫微控制器)等等都有,只不过是专门为802.11有关计算而设计的。所以市面上的802.11芯片都是为了做wep运算设计的,做不了802.11i要求的加密算法。怎么办?Wi-Fi联盟这时又故伎重演,说咱把802.11i里只要改驱动就可以用现有芯片做的那部分先拿出来做,给起个名儿叫wpa,大伙先用着。

    现在wapi的那帮人也在说wpa有重大缺陷,我没听过他们具体说所以不好评价,估计和山东大学最近发现的md5问题有关。不过把wapi和wpa比让我觉得就像说我比我11岁的儿子力气大。虽然一不留神这臭小子也赢过我几盘棋,这句话基本还是废话。wpa是802.11i的手段不是目的。

    Wapi算法是根据非对称加密里一个比较新的分支椭圆曲线加密的。这一大类算法比以前的分解因数类的非对称加密要新一些,也有在同等保密强度条件下所需计算量小的好处,有很大潜力。不过通讯安全方面的事情常常是这样的,一个有着非常好的数学性质的算法在实际中常常会出现各种问题,可能是具体实现上的问题,也可能是算法本身有当初没被发现的问题。所以保密界有一个传统,一个理论上好的算法最多是一篇好文章,只有经过时间和大量hacker考验通过的算法才是真正的好算法。原因很简单,这东西太难了,很难有人一下子全想清楚。在网上飞鸽传书广邀天下黑客(我说的是那种真正的黑客。那种只会下载工具去塞满人家网路或者邮箱的人我一律叫他们sb,北京话)来破并加以悬赏是该行业一个广泛使用的测试算法保密性好不好的方法。在这样一个背景之下,我不想评论wapi在数学上有没有优越性,单是它没有经过时间考验,除了几个中国专家评委在不知如何被打点之后盖的印没有其他同行评论测试,我就不放心用它。

    退很多步讲,如果我装个新驱动就可以让我现有的无线局网卡跑wapi,其实我也不会有太大意见,反正被该疵一个又一个补丁折腾惯了,大不了不用呗。对了听说没gates是世界上被扔午餐肉最多的人?一天有400万个spam电邮?该!可惜该丫有钱,雇了一屯子人帮他看信过滤。又说远了。现在回到刚才说的wapi软件驱动,其实也就是整个wapi之战的最最核心关键技术问题,那就是:没门!wapi非得改硬件!

    说这里有的朋友可能不太明白,为什么不能用纯软件,可以不让802.11做任何加密,再在驱动里随便想怎么加密就怎么加密不可以吗?这个在理论上或者实验室里是可以的,可实际上行不通。本来一个802.11b的卡最多可以有11兆位的速度,不过那是最底层速度不算数。如果下载文件,用户实际可以达到的最多也就是6兆多。如果用纯软件加解密,这马上下降到2兆多,也就是说软件加解密最多只能做到这么快。如果用802.11g,实际用户速度可以达到20多兆,软件加密根本跟不上,而且在这样做的同时计算资源被大量占用,搞的手提经常死机。所以每个802.11芯片组里有自己专用的加密引擎,至于wpa的软件解决,用的也还是一样的wep数据加密,可以用为wep加密设计的无线局网芯片组,不过在密钥上玩花样罢了。

    所以当看到有人也报道说做出wapi纯软件解决办法可以让用户来用,俄就说那是放屁,这样做出来的东西最多只算个模拟,根本不能在实际中用。


    本帖一共被 1 帖 引用 (帖内工具实现)
    • 家园 请教

      我把我的NETGEAR设了MAC ADDRESS ACCESS LIST. 也就是说除了列出来的网卡, 其它的都不能联接. 当然, 看是能看到的. 这样容易被HACK吗?

      • 请教
        家园 这个不难

        很多网卡是可以改MAC地址的。只要支好监视器,看看哪些MAC可以被你的AP接受,然后把自己的MAC改成其中一个就行了。

        不过当然啦,对方得有一定条件还要费一点功夫才可以成功。也就是说,对于屏蔽一般用户是可以的,不过碰上成心跟你过不去的人就不够了。

      • 请教
        家园 should be good enough!
    • 家园 为什么1,2不在我这里发表?怕我看不懂吗?

      我现在在公司使用的wireless是大概这样三层的加密措施:

      1)Block SID broadcasting

      2) 128 bit security key

      3) Only allows certain NIC to access (manully input each Network Card ID)

      家里的比较简单,只用了128 bit security key。

      如果有人还是攻进入了我的网络,那我就只好依靠Windows Network的安全保护了。没有账户,他也就是能蹭我的带宽,别的也没什么大不了。

      如果对手太牛,进了我的无线网,又进一步打入了我的domain,那我认了。不过敌人若是这么NB,attach我的网络似乎不太值得。我这里有没有什么“有价值”的东西。

    • 家园 出差归来,接着侃歪屁 wapi 4 (完)

      前文说到wapi一定要用硬件来做,可是硬件wapi的话,问题就大了。首先国内没人能做,第二国外厂抱怨难道还专为中国开线?尤其是intel这样的多走了一步的冤大头,早把无线局网芯片和主CPU绑到一块芯片版上了,差不多等于再开一条cpu线,比一般wifi芯片厂更麻烦。那你说它能干吗?所以intel走在了反wapi的最前线,非常好理解。

      还有一个问题了,那咱在国外买的centrino手提能回国用吗?如果不能,那是砸intel和所有wi-fi厂的牌子;如果能,就是说国内网管得支持两套保密设置?呃。。。悄悄问一声,你真的很想搞死他们?假如你神志清醒,大概不会建议全世界人都把自己的无线局

      网设备扔了然后在wapi之下世界大同吧?

      公告里还有一条让所有wifi厂跳的东西,那就是必须和那11家中国厂合作。其实在整个wapi事件里,我只为这一条叫好。为什么?因为这样中国厂就可以学技术了呀。可惜敌人都比贼还精,咱老人家想到的他

      们也想到了,所以不肯上钩。有人说intel这次还有一个原因被逼急了,就是捷通一上来就狮子大开口一定要centrino的排版图,结果过早让敌人识破了我们的奸计。

      换个角度想问题。如果wapi执行了,谁是最大受害者?我的结论是:中国消费者。国外厂商没多少亏好吃,中国造的芯片,原来该付的技术费一分也不会少,因为除了wapi,其余部分中国标准全抄802.11。中国对每块wapi芯片收取的技术费用是两美元,可是国外厂商自然会把这费用转嫁到中国消费者头上。如果中方还有别的招,这个,----最多他们不来了嘛。而另一方面执行wapi的必然结果是推迟无线局网在中国的普及推广,因为的重起炉灶造硬件。同时和wapi配套的软件和系统(比如用户认证的客户端,服务器端,配套的支持wapi的协议,数据库等等)情况如何更是不得而知了。同时中国消费者与国际上已有的低价无线局网产品无缘,必须购买wapi产品。

      这件背着民族大义国家主权神圣大旗的事往下三路来想,就成了捷通和信产合伙从中国网民手里抢钱了。算我是小人之心吧。当然也有积极的一面,就是用中国市场为筹码从外国厂商抢些技术,可惜没人上钩。

      对了,读到这里大概你会毫不奇怪:那两块钱wapi技术费捷通信产各拿一半。


      本帖一共被 1 帖 引用 (帖内工具实现)
      • 家园 question: about 技术费:

        "换个角度想问题。如果wapi执行了,谁是最大受害者?我的结论是:中国消费者。国外厂商没多少亏好吃,中国造的芯片,原来该付的技术费一分也不会少,因为除了wapi,其余部分中国标准全抄802.11。中国对每块wapi芯片收取的技术费用是两美元,可是国外厂商自然会把这费用转嫁到中国消费者头上。"

        I got no idea about "Wapi" and "wi-fi",so, got one question:

        If "wapi" is used in China, will Chinese consumers pay the "tech fees" for both "wapi" and "wi-fi"? Or just pay for "wapi"?

        For which of them, Chinese consumers will pay more?

        Thanks.

        • 家园 royalty fee is a complicated issue, but one thing for sure

          chinese consumers will pay more.

          each standard often consists of multiple patentable technologies. for those already patented by someone, usually there are two different solutions:

          1. the owners of the patents may get together and neigotiate for how the patent royalties can be collected and distributed among them. for example, dvd and cdma technologies. in many other cases, the patent owners will donate their patents so they are free for the standard users to use. many internet standards out of IETF are this type. sometimes the term "open standard" may be used to describe this situation. i think 802.11 is too but cannot track all the new things put into the standard. also wi-fi organization collects a small amount of fees if the product needs to be wifi certified. usually only if a standard comes out of one company, or a small industry consortium, the former applies. if a standard originated from an international or non-profit organization, chances are the included patentes are free.

          never the less, if wapi is accepted, those two entities want to collect a per-chipset fee. of course we do not know how exactly it will be collected and distributed. but traditionally, this kind of fees are in addition to whatever fees that already applies, unless there are new neigotiations and new agreements. so obviously, wapi chips carry more fees.

          the fees will typically be collected from manufactures who make wapi chips, who will obviously in turn increase their prices to reflect the fees. so wapi chips will be more expensive than wifi chips, even if we ignore all the additional production costs particular to wapi, such as low volume, r&d, etc. then the next question is who buys those wapi chips? only consumers in china.

      • 家园 再送红花一朵,黄马褂一件!

        点看全图

        外链图片需谨慎,可能会被源头改

分页树展主题 · 全看首页 上页
/ 1
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河