mboost-dp1
unknown
Jeg ved ikke om det bare er mig eller lyder det lidt vandet? Det er da en maade at goer det lidt svaere for den tilfaeldige wardriver/hacker, men i sidste ende er det nok ikke en holdbar loesning, selvom det giver lidt mere sikerhed.
Jeg gad bare godt vide hvordan de har taenkt sig at goere? For hvis ens netkort er lidt defrekt eller ens signal bliver forstyret, vil ping tiden saa ikke blive nedsat og vil man da ikke opleve problemer med at komme paa netvaerket fordi det tror man er i en anden zone?
Hmm... men det kommer vi sikkert til at hoere en masse om i fremtiden :)
Jeg gad bare godt vide hvordan de har taenkt sig at goere? For hvis ens netkort er lidt defrekt eller ens signal bliver forstyret, vil ping tiden saa ikke blive nedsat og vil man da ikke opleve problemer med at komme paa netvaerket fordi det tror man er i en anden zone?
Hmm... men det kommer vi sikkert til at hoere en masse om i fremtiden :)
Endnu et firma der har idéer til at sikre trådløse netværk...
Lyder jo altsammen meget godt, som det plejer. Lad os nu se om de
a) får det udviklet
b) får det godkendt
c) får det til at fungere...
Indtil da må man vel klare sig med en omgang RADIUS og/eller VPN. Hvilket forresten også virker helt fint.
Lyder jo altsammen meget godt, som det plejer. Lad os nu se om de
a) får det udviklet
b) får det godkendt
c) får det til at fungere...
Indtil da må man vel klare sig med en omgang RADIUS og/eller VPN. Hvilket forresten også virker helt fint.
Kommentar til rubrikken:
Intel tager vel ikke skridt 'mod' trådløs sikkerhed... er formålet ikke at fremme sikkerheden her?
Intel tager vel ikke skridt 'mod' trådløs sikkerhed... er formålet ikke at fremme sikkerheden her?
Det lyder som en god idé. Og egentlig en ganske oplagt idé. Jeg har da også selv overvejet muligheden. Men det kan næppe laves i software, da der altså kræves en præcision på få nanosekunder. Men kan hardwaren måle roundtriptiden med et nanosekunds præcision, så er man fri for usikkerhedsmomentet omkring rækkeviden. Man kan simpelthen sige at rækkeviden skal være præcis 10m uden at skulle i gang med dårlige løsninger som f.eks. justering af signalstyrken.
Man skal lige overveje hvordan det her kan bruges fornuftigt. F.eks. skal man huske, at en person som blot vil aflytte kommunikationen, stadig kan gøre det på afstand. Så længe han forholder sig pasiv, er forsinkelsen fuldstændig ligegyldig.
Afstandsbestemmelsen kan altså kun bruges til autentificering ikke til hemmeligholdelse, sidstnævnte kræver stadig kryptering. Men det giver en glimrende metode til forbedring af sikkerhed ved key exchange. En passende protokol med et three-way-handshake giver mulighed for at både access point og computer kan måle afstanden og dermed foretage en sikker nøgleudveksling. (Det bliver lidt mere compliceret end en simpel Diffie-Hellman nøgleudveksling, men det kan bestemt lade sig gøre).
Når nøgleudvekslingen er foregået har man således mulighed for at benytte message authentication codes og kryptering i resten af sessionen. Det er altså kun ved initialisering afstanden måles.
Stabiliteten som nogle bekymrer sig om kan man nemt tage hånd om ved at gentage protokollen en håndfuld gange hvis ikke det lykkes i første forsøg. Når først forbindelsen til access pointet er etableret kan man sagtens flytte sig udenfor den fastsatte radius, så længe man bare holder sig indenfor den fysiske rækkevide.
Man skal lige overveje hvordan det her kan bruges fornuftigt. F.eks. skal man huske, at en person som blot vil aflytte kommunikationen, stadig kan gøre det på afstand. Så længe han forholder sig pasiv, er forsinkelsen fuldstændig ligegyldig.
Afstandsbestemmelsen kan altså kun bruges til autentificering ikke til hemmeligholdelse, sidstnævnte kræver stadig kryptering. Men det giver en glimrende metode til forbedring af sikkerhed ved key exchange. En passende protokol med et three-way-handshake giver mulighed for at både access point og computer kan måle afstanden og dermed foretage en sikker nøgleudveksling. (Det bliver lidt mere compliceret end en simpel Diffie-Hellman nøgleudveksling, men det kan bestemt lade sig gøre).
Når nøgleudvekslingen er foregået har man således mulighed for at benytte message authentication codes og kryptering i resten af sessionen. Det er altså kun ved initialisering afstanden måles.
Stabiliteten som nogle bekymrer sig om kan man nemt tage hånd om ved at gentage protokollen en håndfuld gange hvis ikke det lykkes i første forsøg. Når først forbindelsen til access pointet er etableret kan man sagtens flytte sig udenfor den fastsatte radius, så længe man bare holder sig indenfor den fysiske rækkevide.
Hvis man regner lidt mere på det, så kommer man frem til, at det skal være noget pænt hurtigt udstyr for at opnå en rimelig præcision på afstandsbestemmelsen.
En forskel på f.eks. 15m i afstanden giver en forskel i roundtrip tiden på 100nsec. Hvis man kan presse 100mbit/s over det trådløse netværk, så svarer det til at man kan overføre 10 bits på samme tidsinterval. Så små pakker kan man næppe klare sig med.
En protokol basseret på pakker kan dermed nemt være urealistisk fordi lysets hastighed giver en forsinkelse så lille, at den er langt under den tid det tager at overføre en pakke.
Man skal altså over i en anden tankegang, hvor der sendes svar på hver enkelt bit. Selv i det tilfælde vil hurtigere udstyr i princippet kunne bruges til at skabe forbindelse selvom man er 1m for langt fra access pointet. Men det er nok til at leve med.
Hvordan man så designer en kryptografisk protokol, hvor man besvarer enkelte bits har jeg ikke noget bud på. Men mon ikke det kan lade sig gøre. Man skal så bare huske på, at der heller ikke er tid til væsentlige beregninger for hver enkelt bit.
En forskel på f.eks. 15m i afstanden giver en forskel i roundtrip tiden på 100nsec. Hvis man kan presse 100mbit/s over det trådløse netværk, så svarer det til at man kan overføre 10 bits på samme tidsinterval. Så små pakker kan man næppe klare sig med.
En protokol basseret på pakker kan dermed nemt være urealistisk fordi lysets hastighed giver en forsinkelse så lille, at den er langt under den tid det tager at overføre en pakke.
Man skal altså over i en anden tankegang, hvor der sendes svar på hver enkelt bit. Selv i det tilfælde vil hurtigere udstyr i princippet kunne bruges til at skabe forbindelse selvom man er 1m for langt fra access pointet. Men det er nok til at leve med.
Hvordan man så designer en kryptografisk protokol, hvor man besvarer enkelte bits har jeg ikke noget bud på. Men mon ikke det kan lade sig gøre. Man skal så bare huske på, at der heller ikke er tid til væsentlige beregninger for hver enkelt bit.
#11 Ved nærmere check. Du har ret, my bad! Men hvorfor mener du bit-pr-bit baseret er den eneste mulighed? Selv om en bit's fysiske opløsning vil være 3 meter, kan en pakkebaseret løsning da sagtens virke, såfremt timestamps baseres på først modtagne bit (i en primitiv men lynhurtig FIFO struktur i hardware).
[url=#12]#12[/url] mrmorris
Det kunne man så forestille sig, at man kunne undgå ved at svar pakken afhænger af den pakke, man svarer på. Men blot at der er en afhængighed mellem pakkerne garanterer i sig selv intet. Det kunne være, at det kun var slutningen af svar pakken, der afhang af starten af den foregående pakke. I så fald kunne man alligevel tyvstarte. Man skal altså kende afhængighederne bit for bit.
Så kunne man sige at første bit af svar pakken skulle afhænge af sidste bit af pakken før. Men det er ikke godt nok, fordi hvis man prøver at gætte den sidste bit, så vil det gå godt i 50% af tilfældene. Der skal altså være mange afhængigheder. Men hvis man bare starter lidt for tidligt kan man måske stadig nå at opfylde de fleste og gætte resten. Derfor tror jeg protokollen skal arbejde bit for bit for at garantere sikkerheden.
[url=#13]#13[/url] Nize
Men hvorfor mener du bit-pr-bit baseret er den eneste mulighed?Det er afgørende for sikkerheden, at man ikke kan snyde og sende en pakke for tidligt. Hvis man kunne sende en pakke for tidligt ville det jo se ud som om man var tættere på.
Det kunne man så forestille sig, at man kunne undgå ved at svar pakken afhænger af den pakke, man svarer på. Men blot at der er en afhængighed mellem pakkerne garanterer i sig selv intet. Det kunne være, at det kun var slutningen af svar pakken, der afhang af starten af den foregående pakke. I så fald kunne man alligevel tyvstarte. Man skal altså kende afhængighederne bit for bit.
Så kunne man sige at første bit af svar pakken skulle afhænge af sidste bit af pakken før. Men det er ikke godt nok, fordi hvis man prøver at gætte den sidste bit, så vil det gå godt i 50% af tilfældene. Der skal altså være mange afhængigheder. Men hvis man bare starter lidt for tidligt kan man måske stadig nå at opfylde de fleste og gætte resten. Derfor tror jeg protokollen skal arbejde bit for bit for at garantere sikkerheden.
[url=#13]#13[/url] Nize
Jeg har nok sovet totaltJa.
#14 Men stadigvæk, hvis accesspointet sender en speciel "ping pakke" afsted, skal denne først behandles af MAC-laget i IP-stakken hos modtageren, hvorfor du alligevel aldrig vil nå ned i nærheden af 100ns pr. roundtrip. Ifølge Intel's IDF præsentation af teknologien:
"The technology times the amount of time it takes a packet to arrive at the client and go back. Using this information, the access point can predict the user’s location and can determine if the client device is inside or outside a given area."
"The technology times the amount of time it takes a packet to arrive at the client and go back. Using this information, the access point can predict the user’s location and can determine if the client device is inside or outside a given area."
[url=#15]#15[/url] mrmorris
Er der nogen som har et link til en beskrivelse af hvordan det rent faktisk virker? For indtil videre har jeg kun set nogle langt fra fyldestgørende beskrivelser.
Men stadigvæk, hvis accesspointet sender en speciel "ping pakke" afsted, skal denne først behandles af MAC-laget i IP-stakkenIngen grund til at blande IP ind i det. Disse målinger skal foregå på et langt lavere lag, hvis de skal være pålidelige. Faktisk burde det foregå helt nede under MAC laget.
hvorfor du alligevel aldrig vil nå ned i nærheden af 100ns pr. roundtrip.Det er man bare nødt til hvis man vil kunne bestemme afstanden præcist nok. Det duer heller ikke, at man gør for mange antagelser om hardwaren i den anden ende. Hvad hjælper det at access pointet kan estimer afstanden, hvis man så bare kan bruge noget hurtigere hardware på klientmaskinen og derved få access pointet til at tro man er 20m tættere på end man i virkeligheden er?
Er der nogen som har et link til en beskrivelse af hvordan det rent faktisk virker? For indtil videre har jeg kun set nogle langt fra fyldestgørende beskrivelser.
Ingen grund til at blande IP ind i det. Disse målinger skal foregå på et langt lavere lag, hvis de skal være pålidelige. Faktisk burde det foregå helt nede under MAC laget.
Nævnte nu også kun IP-stakken fordi den er de-facto over OSI-stakken. Men ok, så datalink-laget da!
Denne beskrivelse er det bedste jeg har kunne finde, og de snakker vel-og-mærket stadig om pakker: http://security.itworld.com/4942/050826securewifi/...
Man behøver vel ikke at kræve at den samme aktør for hver eneste bit man modtager fra ham, skal kunne bestå den roundtrip test, men bare nøjes med at gøre det en gang per session, (hvor en session kunne være et tidsinterval eller så længe en socket connection er oprettet, eller noget helt tredje).
Det vil naturligvis ikke give samme form for beviselige sikkerhed som kasperd lader til at fiske efter (den med "så vil det gå godt i 50% af tilfældene" lyder som et perfekt zero-knowledge bevis ;)) men det vil kunne gøre det tilpas besværligt for en tredjepart at udgive sig for værende tættere på end han er.
Det vil naturligvis ikke give samme form for beviselige sikkerhed som kasperd lader til at fiske efter (den med "så vil det gå godt i 50% af tilfældene" lyder som et perfekt zero-knowledge bevis ;)) men det vil kunne gøre det tilpas besværligt for en tredjepart at udgive sig for værende tættere på end han er.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund