WPA-TKIPに対するMITM攻撃の肝とか

下書き虫干し

たしか、理解が変だなー、ということで書くのを止めたはずなので、読まないで下さい(汗
これもお焚き上げ。
http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf
Man In the Middleで何が嬉しいか

repeaterとして動作

Fig.5が鍵か
指向性の高いアンテナを使うことによって
攻撃者のパケットが、元々の送信者に
届かないところが味噌
アクセスポイントからPCへの通信方向だけ
改竄をする。

TSCのカウンタが進む前に、解読された
古い鍵を使うのがscheme

リピーターモード
 通常の通信はそのまま通す

・MIC鍵検索モード通常これは12-15分かかる

・メッセージの改竄モード
 これにはARPパケットでも4分ぐらいかかる
 
このままだとブラックアウトが4分ぐらいある。

なんで時間が短縮されるか?
■ARPパケットのうち、access pointのIP
アドレスが既知ならば、わからないのは
残る1バイトだけ>chop chopアタックが
2ラウンドから1ラウンドに減る。

■MICエラーのwait時間を減らす工夫
もともとの攻撃方法だと4バイトの
チェックサムすべてを解読しようと
していたが、それだとMICエラーで
3分ぐらいかかる。
1バイトだけ解読しようとすれば、MICエラー
によるwaitが無くなる
 (これ、裏取らないとな)
まぐれ当たりを期待するのだ。
 最後の1バイトだけ解読できているとして、
候補となるMICキーを1分間で得られるデータで
絞り込めない可能性というのは以外と少ない。
逆に言えば37%の確率で成功する。

効率は悪いが1分で全部のアタックが完了する。