On Friday 30 September 2011, Hilmar Preusse wrote:
WPA ist eine Verschlüsselungsmethode, EAP eine Authentifizierungmethode (http://de.wikipedia.org/wiki/Wireless_Local_Area_Network). Inwiefern sind die vergleichbar?
WPA ist ein komplettes Protokoll. Da gehören Verschlüsselung, Authentifikation, Key-Negotiation und noch ein paar weitere Teile dazu.
Die Key-Negotiation ist in diesem Fall Teil der Authentifikation. Du hast die Wahl zwischen mehreren verschiedenen Authentifikationsalgorithment.
Wenn Du auf einem WLAN unerlaubt kommunizieren willst hast Du mehrere Angriffspunkte:
1) Der Cryptoalgorithmus unter all der Kommunikation - praktisch aussichtslos - AES ist zu gut.
2) Das Protokoll während der verschlüsselten Kommunikation - bisher hat sich WPA2 gut geschlagen - es scheint keine ausnutzbaren Lücken zu haben.
3) Authentifikation - wenn ein Angreifer so tun kann als wäre er ein legaler Nutzer, dann nützt die ganze Verschlüsselung nix.
4) Key-Negotiation - wenn man den Key erraten (oder erschleichen) kann, ist man auch drin.
5) Key-Lifetime - je länger ein Key gilt, umso seltener muss man ihn knacken.
Punkte 3-5 sind auf Passwort vs. *EAP anwendbar. Passwort schneidet bei allen dreien wesentlich schlechter ab:
3) Passwort erraten oder jemanden mit Schokolade bestechen. Ich kenne die *EAP Algorithmen nicht im Detail, aber so weit ich mich entsinne kann man bei ein paar Varianten die Schokolade auch selber essen, bei anderen muss man sie investieren und hoffen dass der Bestochene sein Passwort nicht ändert.
4) Bei Passwort ergibt sich der Key direkt durch Hashen aus dem Passwort - es steht und fällt mit Angriff 3. Andere Algorithmen haben mehr oder weniger komplexe Methoden um jedes Mal einen anderen Key zu verwenden. Je nach Algorithmus hat man bessere oder schlechtere Chancen durch lauschen den Key zu erfahren.
5) Passwort impliziert über Monate/Jahre den selben Key. Ein paar *EAP Varianten ermöglichen einen Wechsel im Stundentakt. Wenn 3 erfolglos war nervt man den Angreifer damit dass 4 dann häufiger durchgeführt werden muss.
Konrad