V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tony1016
V2EX  ›  分享发现

现在 wifi 安全问题这么严重,为什么不引入公私钥体系呢?

  •  
  •   tony1016 · 2015-10-29 15:11:59 +08:00 via Android · 3297 次点击
    这是一个创建于 3319 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有能力部署证书的都部署上,把 SSID 都改为域名显示,这样就和证书拥有者结合起来。比如, cmcc 都改为 chinamobile.com ,都部署公私钥,用户 WiFi 列表时有带有锁标识的,才是认证过的
    31 条回复    2015-11-04 15:17:04 +08:00
    tony1016
        1
    tony1016  
    OP
       2015-10-29 15:14:15 +08:00 via Android
    哈哈,如果可行,我把这种机制起名为 WiFi certification 1.0 协议
    cxe2v
        2
    cxe2v  
       2015-10-29 15:17:11 +08:00
    额,敢问这个有用?你家里搭个 wifi 也要申请一个证书?
    shoaly
        3
    shoaly  
       2015-10-29 15:18:57 +08:00
    确实有道理, 虽然不像 @cxe2v 说的 家家都需要一个证书, 但是在机场火车站咖啡厅, 看到一个在信任列表里面的 wifi 还是有意义的
    tony1016
        4
    tony1016  
    OP
       2015-10-29 15:25:08 +08:00 via Android
    @cxe2v 私人部署什么,我说的是公共场所
    Pastsong
        5
    Pastsong  
       2015-10-29 15:25:21 +08:00
    商业用户使用带证书的 wlans:// 协议,使用证书加密连接,普通用户用的 wlan:// 协议,哎呀呀,草案可以写起来了
    tony1016
        6
    tony1016  
    OP
       2015-10-29 15:30:18 +08:00 via Android
    再升级一下, SSID 分为显示名和隐藏名,显示名还可以是 cmcc ,但隐藏明是域名,用于验证
    aveline
        7
    aveline  
       2015-10-29 15:35:25 +08:00
    WPA Enterprise
    est
        8
    est  
       2015-10-29 15:41:37 +08:00
    这不就是 802.1x 上网认证?
    tony1016
        9
    tony1016  
    OP
       2015-10-29 15:42:19 +08:00 via Android
    @est
    @aveline 好吧,看来我少见多怪了
    tony1016
        10
    tony1016  
    OP
       2015-10-29 15:46:23 +08:00 via Android
    @est
    @aveline
    @est 不过我觉得手机确实可以对认证过的,做一个醒目的标识
    tony1016
        11
    tony1016  
    OP
       2015-10-29 15:47:26 +08:00 via Android
    @aveline
    @est 现在只有在登录阶段才认证
    powergx
        12
    powergx  
       2015-10-29 15:52:36 +08:00 via iPhone
    wpa2 enterprise 就可以了
    mfaner
        13
    mfaner  
       2015-10-29 15:53:56 +08:00
    CMCC 可以 EAP-SIM 认证,我 WP 在火车站连过
    lshero
        14
    lshero  
       2015-10-29 15:54:22 +08:00
    这就是嗤之以鼻的 WAPI
    xfspace
        15
    xfspace  
       2015-10-29 15:58:01 +08:00 via Android
    tony1016
        16
    tony1016  
    OP
       2015-10-29 16:00:51 +08:00 via Android
    @mfaner
    @est
    @aveline 想一下还是有不同, enterprise 是在登录阶段做,而我的想法是在 SSID 广播阶段就做
    honeycomb
        17
    honeycomb  
       2015-10-29 16:26:52 +08:00
    @tony1016
    广播带随机数+私钥签名的 SSID?

    我记得 WAPI 有个梗是说,它的 AP/能验证路由器 /Radius 云云
    Khlieb
        18
    Khlieb  
       2015-10-29 22:35:45 +08:00 via Android
    路由器上能设置吧
    tony1016
        19
    tony1016  
    OP
       2015-10-30 09:19:18 +08:00
    @honeycomb 是的,广播带有随机数+私钥签名的 SSID
    tony1016
        20
    tony1016  
    OP
       2015-10-30 09:19:49 +08:00
    @Khlieb 如果是新的协议,必然要各方支持
    honeycomb
        21
    honeycomb  
       2015-10-30 09:28:13 +08:00
    @tony1016
    问题来了,谁在 AP/路由器部署证书?
    证书的花费,如何保证 AP/路由器的证书不泄露?
    如果不在 AP/路由器级别做,而在 Radius 服务器做,那么 Radius 和 AP/路由器之间如何互相验证,如何可靠传输(AP/路由器要发 SSID 给 Radius 以请求签名),这样又有下一个问题,攻击者直接把这个随机数+签名的 SSID 抄过去不就完事了?
    这种时候还是要握手一遍才能验证 AP/路由器端的身份

    明文+签名可以验真,但没法保密

    相比之下 802.1x 支持的扩展协议可以解决这个问题
    当连上一个热点后,需要验证 Radius 和客户端互相验证身份才能建立链接
    tony1016
        22
    tony1016  
    OP
       2015-10-30 09:32:12 +08:00
    @honeycomb 好吧,很专业,把这个随机数+签名的 SSID 抄过去我倒是没有想到。我的想法,还是希望在 SSID 广播阶段就能鉴别真伪,这样子对用户是最友好的
    xrjr2015
        23
    xrjr2015  
       2015-10-30 15:33:07 +08:00
    wifi 安全的很,保险箱放大街上一样不安全,看你怎么用,谁再用,菜刀能切菜也能杀猪
    媒体吹嘘 wifi 不安全是打击匿名发帖,因为会导致组织查水表有困难!
    tony1016
        24
    tony1016  
    OP
       2015-10-30 16:03:44 +08:00
    @xrjr2015 这个是真不安全。自己搭一个路由器,再加上最近爆发的百度 wormhole 漏洞,窃取 android 信息,制造钓鱼,安装恶意程序,都是分分钟的事情。另外,昨天去参加一个 中国信息安全用户大会 ,期间有中国公共 WIFI 安全分析报告(首发)(雨袭团),民间自己的调查,通过公共 WIFI 窃取,伪造已经变成一条产业链。报告中有说,目前公共 WIFI 中,很大一部分都是假的。
    xrjr2015
        25
    xrjr2015  
       2015-11-01 16:12:11 +08:00
    @tony1016 都说看谁在用,你安卓 app 动不动就请求那么多的权限你自己管理好了吗?有米、淘米客直接木马手段盗窃用户隐私,还怕 wifi 不安全?
    安装恶意程序那就更扯了,那么多的国内应用市场明目张胆违法怪用户瞎安装?
    不就上个咖啡厅,公交车之类的 wifi ,还哪里有啥公共 wifi ,隔壁房子的 wifi 有几个闲空折腾你的啥个人信息?
    媒体放大吹嘘,就是组织部门放口风,打击匿名发帖以及可能的境外信息在境内的流通,现在很多人都是光屁股在网络上跑!
    julyclyde
        26
    julyclyde  
       2015-11-01 19:11:35 +08:00
    关键问题是:你不能“阻止”一个和你的 ssid 重名的 AP 存在
    tony1016
        27
    tony1016  
    OP
       2015-11-02 09:14:37 +08:00
    @julyclyde 但我可以标示哪个是正品,哪个是假的
    tony1016
        28
    tony1016  
    OP
       2015-11-02 09:18:16 +08:00
    @xrjr2015 你以为你就管好了?你以为你管好就不会有信息泄漏了?
    我在这里讨论公共 WIFI 问题,你非得说隔壁老王没有私钥,你让我怎么跟你沟通
    julyclyde
        29
    julyclyde  
       2015-11-02 17:31:58 +08:00
    @tony1016 客户端选择网络的时候是按 SSID 选择的而不是按 AP MAC 地址来选择的
    tony1016
        30
    tony1016  
    OP
       2015-11-03 13:15:28 +08:00
    @julyclyde 只要有认证的 SSID ,都可以自动连接啊
    julyclyde
        31
    julyclyde  
       2015-11-04 15:17:04 +08:00
    @tony1016 遇到重名但加密方式不同的多个 AP ,移动站的行为会混乱
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2910 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 02:52 · PVG 10:52 · LAX 18:52 · JFK 21:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.