17、WPA2 安全与 MS - CHAPv2 破解相关解析

WPA2 安全与 MS - CHAPv2 破解相关解析

近期，关于 DEF CON 上 MS - CHAPv2 认证协议被破解的消息引发了广泛关注，不少报道含糊提及这一漏洞会影响运行 WPA2 安全协议的 Wi - Fi 网络，甚至有文章呼吁停止使用如 PEAP 这类依赖 MS - CHAPv2 的 WPA2 认证协议。但事实真的如此吗？下面我们来详细分析。

1. MS - CHAPv2 认证是否被破解

基于现有信息，我们可以假设 MS - CHAPv2 认证已完全被破解。不过对于 Wi - Fi 网络而言，它是否被破解其实影响不大。

2. 对 Wi - Fi 网络安全的影响

在采用 802.1X 认证且使用 MS - CHAPv2（如 EAP - PEAPv0 和 EAP - TTLS）的 Wi - Fi 网络中，这一破解的影响基本为零。微软发布的安全公告（公告 2743314）建议使用 PEAP 封装来缓解针对未封装的 MS - CHAPv2 认证的攻击。

3. EAP 隧道认证协议

MS - CHAPv2 仅用于“隧道认证协议”，包括 EAP - PEAPv0 和 EAP - TTLS。这些 EAP 协议规范认识到许多不安全的旧认证方法需要保护，不能单独使用。它们通过将不安全的协议封装在更安全的 TLS 隧道中来解决这个问题，因此被称为“隧道认证协议”。
具体过程如下：
- RADIUS 服务器安装 X.509 证书，利用非对称加密技术，将证书发送给客户端设备以启动连接设置。
- 客户端验证证书的有效性后，与服务器建立 TLS 隧道，并开始使用对称密钥加密进行数据加密。