It's always possible to make protocols more secure at higher cost. Should 802.11i have required one-time pads to be couriered to all mobile stations involved? Probably not, since it would kind of negate some of the benefits of Wi-Fi. For group keys, should it have added another layer of security where, say, a public was transmitted by the AP to each station using pairwise security and the AP signed and all stations verified every multicast/broadcast frame? Possible, but public key cryptography is a pretty big burden if you are, for example, streaming video to multiple stations using multicast. Seems like it would need significant hardware support.<div>
<br></div><div>Anyway, if these people have found some clever way to use the fact that the group key is a shared secret key, that might be interesting. I don't see how it is "clever" or particularly interesting that they are able to read the standards document and understand one of the deliberate engineering compromises in 802.11i. (Actually, there 802 standards documents can be somewhat arcane... Maybe you do have to be clever to be able to understand them... :-)</div>
<div><br></div><div>If you don't like Wi-Fi security, then also use IPSec or something for all the data you send through it.</div><div><br></div><div>Thanks,</div><div>Donald</div><div><br><div class="gmail_quote">On Sun, Jul 25, 2010 at 6:08 PM, Perry E. Metzger <span dir="ltr"><<a href="mailto:perry@piermont.com">perry@piermont.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">On Sat, 24 Jul 2010 20:38:07 -0400 Steven Bellovin<br>
<<a href="mailto:smb@cs.columbia.edu">smb@cs.columbia.edu</a>> wrote:<br>
> There is a claim of a flaw in WPA2-Enterprise -- see<br>
> <a href="http://wifinetnews.com/archives/2010/07/researchers_hints_8021x_wpa2_flaw.html" target="_blank">http://wifinetnews.com/archives/2010/07/researchers_hints_8021x_wpa2_flaw.html</a><br>
<br>
</div>Not quite a MITM attack. It is quite clever, though as with most such<br>
things, it seems in retrospect to be obvious. If only we always had<br>
hindsight. Quoting from another article:<br>
<br>
   The Advanced Encryption Standard (AES) derivative on which WPA2 is<br>
   based has not been cracked and no brute force is required to<br>
   exploit the vulnerability, Ahmad says. Rather, a stipulation in<br>
   the standard that allows all clients to receive broadcast traffic<br>
   from an access point (AP) using a common shared key creates the<br>
   vulnerability when an authorized user uses the common key in<br>
   reverse and sends spoofed packets encrypted using the shared group<br>
   key.<br>
<br>
<a href="http://www.networkworld.com/newsletters/wireless/2010/072610wireless1.html?page=1" target="_blank">http://www.networkworld.com/newsletters/wireless/2010/072610wireless1.html?page=1</a><br>
<br>
All in all, this looks bad for anyone depending on WPA2 for high<br>
security.<br>
<font color="#888888"><br>
--<br>
Perry E. Metzger                <a href="mailto:perry@piermont.com">perry@piermont.com</a><br>
</font><div><div></div><div class="h5"><br>
---------------------------------------------------------------------<br>
The Cryptography Mailing List<br>
Unsubscribe by sending "unsubscribe cryptography" to <a href="mailto:majordomo@metzdowd.com">majordomo@metzdowd.com</a><br>
</div></div></blockquote></div><br></div>