西西河

主题:刚才找了本人04年揭WAPI老底的一片小文,内容有点旧了,做点修正 -- aaazzz1978

共:💬27 🌺9 🌵1
全看分页树展 · 主题 跟帖
家园 好像除了捷通自己,一般专家并不认为WAPI更安全

我前面贴的投票结果就很说明问题,WAPI在国际上明显是孤家寡人。如果技术上真的有明显优势,当不至于次。

首先,802.11中包含了三个安全方法,分别针对三个阶段。一个是最早原版的WEP,一个是过度的WPA,还有最终的WPA2。WEP有问题这个谁都知道,于是才有802.11i的改进,但是改进中为了照顾已有设备,才提出了WPA和WPA2两步。WPA只需要现有设备软件升级,而WPA2则需要新的硬件改动才能支持(这个其实从另一方面说明WAPI可以软件实现的说法很值得推敲。加密需要很大计算能力,如果用软件实现,对机器性能影响太大,机器会变得极慢或者死机。所以必须在无线网卡上加专用的硬件加密引擎)。

WAPI指责802.11i不安全,只是针对WEP和WPA。但其实这是在把苹果和橘子做比较。11i是因为向后兼容才提出WPA的,如果没有这方面的考虑,就应该直接上WPA2。WAPI根本不考虑向后兼容问题,却指责11i为了不同目的而作的设计,有些和篮球明星比下象棋的意思。

WAPI含两个功能,WAI和WPI。前者是认证功能,后者是加密功能。WAI使用证书需要椭圆曲线公钥算法,与国际通用的公钥算法不同。从提供的服务方面来讲,WAI并不比现有的认证法多或者强。11i指责WAPI的一个理由就是既然国际上已有标准化了的认证手段,而且这个认证手段被公认很安全,你又没有加新的服务,为什么要改变(仍然涉及已有设备问题)。另外到底国际上该标准化什么认证手段,这个不在SC6的权力范围之内。椭圆曲线法和现有的群论法哪个更安全呢?前者更新,理论界一般认为其算法的确更安全,但是在实际中应用还很少。很多人认为这类算法太新,还没有经过足够考验,还是更相信后者。另外WAI里还有一些具体问题,因为太专业这里就不说了。

认证过后,就在接入点和网卡间生成一个临时密钥来具体加密数据,这个加密数据是WPI的任务。WPI里用了一个一直不被公开的算法,这也是WAPI不被业界看好的一个原因。为什么不公开?一个原因是因为这个保密算法归商密办管,不归信产部,所以信产部无权公开。最后这个算法直到今年一月才不得不公开,而三月就投票,根本没有时间让人评估其安全性(对比一下,发现WEP的问题从它诞生到第一次被发现弱点大概用了5年时间,又过了一两年才发现了其致命弱点)。所以一般的专家对WPI安全性持观望态度。

也就是说,WAPI的安全性有可能比11i好,但是其实谁都不知道,现在我们只知道它和现有的最成熟最安全方案不同。

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河