1 00:00:04,100 --> 00:00:10,820 Bonjour et bienvenue dans cette vidéo intitulée « Explication détaillée de la dérivation de la clé RSN ». 2 00:00:10,820 --> 00:00:16,320 Au cas où vous l'auriez oublié, RSN signifie « Robust Security Network » (réseau de sécurité robuste). 3 00:00:16,320 --> 00:00:21,820 qui a été définie pour la première fois dans la norme 802.11i de l'IEEE, qui est un type 4 00:00:21,820 --> 00:00:26,600 de définir en détail comment la sécurité Wi-Fi est mise en œuvre. 5 00:00:26,600 --> 00:00:31,120 Et au sein de ce réseau de sécurité robuste, il existe une série de clés. 6 00:00:31,120 --> 00:00:33,260 Et voici un compte rendu de cela. 7 00:00:33,260 --> 00:00:39,700 Et la plupart des clés sont dérivées d'autres clés créées au préalable. 8 00:00:39,700 --> 00:00:43,320 Nous allons donc aborder chacun de ces points dans cette vidéo, en commençant par 9 00:00:43,320 --> 00:00:46,660 la clé de session principale, en descendant progressivement à travers le maître par paires 10 00:00:46,660 --> 00:00:48,520 clé, et ainsi de suite. 11 00:00:48,520 --> 00:00:51,400 Nous allons également examiner certaines de ces touches, ici à droite, utilisées 12 00:00:51,400 --> 00:00:53,880 pour la diffusion et la multidiffusion. 13 00:00:53,880 --> 00:01:00,620 Avant de parler de ce qu'est la clé de session principale et de comment elle est utilisée, 14 00:01:00,620 --> 00:01:05,340 Voyons rapidement d'où ça vient et comment on se le procure. 15 00:01:05,340 --> 00:01:11,820 La clé de session principale n'est donc applicable que dans le cadre d'une infrastructure WPA Enterprise. 16 00:01:11,820 --> 00:01:17,100 Nous parlons donc d'une implémentation complète de la norme 802.1x avec authentification. 17 00:01:17,100 --> 00:01:20,760 serveur, effectuant généralement le traitement RADIUS en arrière-plan. 18 00:01:20,760 --> 00:01:27,240 Si cela est vrai, alors le demandeur de connexion Wi-Fi, c'est-à-dire votre ordinateur portable, votre 19 00:01:27,240 --> 00:01:31,340 Le smartphone, quel qu'il soit, lancera généralement le processus via une EPU. 20 00:01:31,340 --> 00:01:33,200 Message de démarrage du tableau de bord terrestre. 21 00:01:33,200 --> 00:01:36,680 Message très simple disant simplement : « Salut, je veux accéder à… » 22 00:01:36,680 --> 00:01:41,780 le réseau. Ensuite, nous aurons plusieurs échanges d'EPU. 23 00:01:41,780 --> 00:01:43,740 Messages de paquets de type « land dash ». 24 00:01:43,740 --> 00:01:50,660 Ces éléments sont désormais tous transportés avec une valeur de type ether de couche deux de 0x888E. 25 00:01:50,660 --> 00:01:53,420 Donc, si vous vouliez les capturer dans Wire Shark ou quelque chose du genre, c'est ce qu'il vous faut. 26 00:01:53,420 --> 00:01:57,880 Vous voudriez filtrer sur, est-ce que cette valeur de type éther est 0x888E. 27 00:01:57,880 --> 00:02:00,380 Mais à l'intérieur, ils ont différents types d'EPU. 28 00:02:00,380 --> 00:02:06,380 Le nombre réel d'échanges de paquets Dash EPU sur les terres dépend donc de plusieurs facteurs. 29 00:02:06,380 --> 00:02:09,360 sur la méthode EPU que vous utilisez. 30 00:02:09,360 --> 00:02:14,340 Certaines méthodes EPU, comme EPU MD5, consistent simplement en un échange de nom d'utilisateur. 31 00:02:14,340 --> 00:02:18,420 et le mot de passe, on n'échange pas beaucoup de messages. 32 00:02:18,420 --> 00:02:21,980 D'autres méthodes EPU, beaucoup plus complexes, utilisent des technologies similaires au numérique. 33 00:02:21,980 --> 00:02:26,280 Les certificats et les technologies comme EPU TLS utiliseront beaucoup plus d'EPU sur les routes terrestres. 34 00:02:26,280 --> 00:02:27,540 Messages par paquet. 35 00:02:27,540 --> 00:02:31,740 Mais le point essentiel sur lequel nous devons nous concentrer ici, c'est : allez-vous vous authentifier ? 36 00:02:31,740 --> 00:02:35,280 Ou pas ? Si vous ne vous authentifiez pas, c’est terminé et vous ne recevrez rien. 37 00:02:35,280 --> 00:02:36,680 votre accès réseau. 38 00:02:36,680 --> 00:02:41,500 Si vous vous authentifiez, alors le tout dernier message de paquet EPU sur terre 39 00:02:41,500 --> 00:02:44,740 provenant de ce serveur d'authentification. 40 00:02:44,740 --> 00:02:49,040 Il dira donc : « Super, vous êtes authentifié, vous avez réussi mes tests, vous avez… » 41 00:02:49,040 --> 00:02:52,680 On m'a donné les identifiants nécessaires, donc le tout dernier paquet EPU terrestre 42 00:02:52,680 --> 00:02:56,820 qu'il enverra au point d'accès, qui sera ensuite traduit. 43 00:02:56,820 --> 00:03:01,560 dans un cadre filaire, puis dans un cadre sans fil, et enfin vous être envoyé sans fil, 44 00:03:01,560 --> 00:03:07,000 contiendra une clé spéciale créée par ce serveur RADIUS appelée la 45 00:03:07,000 --> 00:03:08,600 Clé de session principale. 46 00:03:08,600 --> 00:03:11,940 Là, je vous donne juste un exemple au hasard, ça va être beaucoup, beaucoup plus long. 47 00:03:11,940 --> 00:03:16,120 que cela, comme nous le verrons dans un instant, mais il y a en réalité deux principaux problèmes. 48 00:03:16,120 --> 00:03:18,840 Voici trois points principaux. Premièrement, il y en a trois. 49 00:03:18,840 --> 00:03:23,360 Premièrement, cette clé, cette clé de session principale, n'est créée qu'après une 50 00:03:23,360 --> 00:03:27,340 Authentification 802.1x réussie. 51 00:03:27,340 --> 00:03:29,560 On parle donc ici de WPA entreprise. 52 00:03:29,560 --> 00:03:34,980 Très bien, numéro deux, il est créé par le serveur RADIUS et envoyé vers le bas 53 00:03:34,980 --> 00:03:39,660 à vous dans le tout dernier message de paquet EPU terrestre et ensuite numéro trois, 54 00:03:39,660 --> 00:03:44,740 Votre demandeur et le point d'accès devront tous deux disposer de cela. 55 00:03:44,740 --> 00:03:48,580 Dans ce cas précis, la plupart de ces messages de paquets EPU sur terre qui ont 56 00:03:48,580 --> 00:03:52,880 L'authentificateur, qui est le point d'accès, a fait des allers-retours. 57 00:03:52,880 --> 00:03:55,040 Ils se les sont simplement transmis de manière transparente. 58 00:03:55,040 --> 00:04:00,000 Il les reçoit sous forme de trames sans fil, les convertit en Ethernet filaire 59 00:04:00,000 --> 00:04:03,640 cadres, puis les ont repliés sur le serveur d'authentification, en les plaçant 60 00:04:03,640 --> 00:04:05,440 à l'intérieur des paquets de rayon. 61 00:04:05,440 --> 00:04:08,340 Mais à part ça, ils n'ont pas vraiment accordé beaucoup d'attention à l'arrière. 62 00:04:08,340 --> 00:04:11,340 et échange bidirectionnel entre les deux points d'extrémité. 63 00:04:11,340 --> 00:04:16,160 Avec ce tout dernier message, le type de message réel sera : 64 00:04:16,160 --> 00:04:20,600 un code RADIUS, le RADIUS est le protocole côté filaire et il sera 65 00:04:20,600 --> 00:04:23,120 dire accès sauf. 66 00:04:23,120 --> 00:04:27,280 Il peut donc désormais accéder au réseau, sauf à l'accès. 67 00:04:27,280 --> 00:04:30,780 Lorsque l'authentificateur, qu'il s'agisse d'un interrupteur filaire ou, dans ce cas, d'un 68 00:04:30,780 --> 00:04:35,500 Le point d'accès, lorsqu'il détectera ce message, y prêtera attention. 69 00:04:35,500 --> 00:04:39,540 Premièrement, il dira : « D’accord, maintenant je sais que je peux ouvrir l’accès au réseau à… » 70 00:04:39,540 --> 00:04:44,940 Ce client. Il a rempli toutes les conditions, toutes les exigences. 71 00:04:44,940 --> 00:04:48,120 L'authentificateur dira également : « D'accord, laissez-moi examiner cet accès », sauf 72 00:04:48,120 --> 00:04:50,560 Envoyez-moi un message pour voir s'il y a des instructions pour moi. 73 00:04:50,560 --> 00:04:53,440 Parce que ce message d'exception d'accès me dira peut-être aussi de faire certaines choses. 74 00:04:53,440 --> 00:04:57,940 Par exemple, placer dynamiquement cette personne dans un VLAN et appliquer une QoS dynamique. 75 00:04:57,940 --> 00:05:01,620 politiques, il y a tout un tas de choses que ce serveur d'authentification 76 00:05:01,620 --> 00:05:05,520 pourrait indiquer à cet authentificateur ce qu'il doit faire. 77 00:05:05,520 --> 00:05:09,620 Mais si on réfléchit vraiment en termes simples, l'essentiel, c'est que 78 00:05:09,620 --> 00:05:13,440 que le point d'accès que l'authentificateur va rechercher est celui-ci 79 00:05:13,440 --> 00:05:14,760 Clé de session principale. 80 00:05:14,760 --> 00:05:17,340 Maintenant, il ne va pas le cacher, il va le garder pour lui, mais 81 00:05:17,340 --> 00:05:20,680 Il va également transmettre l'intégralité de son message au suppliant. 82 00:05:20,680 --> 00:05:24,620 Ainsi, le demandeur et l'authentificateur ont tous deux besoin de cette session principale. 83 00:05:24,620 --> 00:05:27,200 Clé. Mais pourquoi en ont-ils besoin ? 84 00:05:27,200 --> 00:05:32,320 Ceci nous amène à notre prochain message, à notre prochaine diapositive. 85 00:05:32,320 --> 00:05:37,280 Donc, le RC 5247, qui définit tous ces processus EAP, car souvenez-vous 86 00:05:37,280 --> 00:05:42,800 Le protocole EAP a été développé avant le Wi-Fi. 87 00:05:42,800 --> 00:05:46,920 Il n'a donc pas été conçu pour le Wi-Fi, mais plutôt pour le détourner en disant : 88 00:05:46,920 --> 00:05:49,200 Nous pouvons l'utiliser, mais c'est un élément indépendant. 89 00:05:49,200 --> 00:05:51,820 Il existe de nombreuses autres choses qui peuvent également utiliser EAP, et cela est défini. 90 00:05:51,820 --> 00:05:55,540 dans ce RFC en particulier, si jamais vous souhaitez le consulter. 91 00:05:55,540 --> 00:06:00,300 Donc, la RFC 5247 dit : « Écoutez, si vous utilisez l'ensemble du cadre 802.1x, 92 00:06:00,300 --> 00:06:03,700 avec ces appareils et tout le reste, le résultat final sera une réussite 93 00:06:03,700 --> 00:06:09,400 L'échange de paquets EAP consistera en la création d'une clé de session principale. 94 00:06:09,400 --> 00:06:12,240 Il est indiqué qu'il sera créé par le serveur RADIUS, également connu sous le nom de 95 00:06:12,240 --> 00:06:13,800 Serveur d'authentification EAP. 96 00:06:13,800 --> 00:06:17,740 Ça va être assez gros, 512 bits de long. 97 00:06:17,740 --> 00:06:21,560 Donc 64 octets, c'est la longueur, et cela va être important ici. 98 00:06:21,560 --> 00:06:26,680 Une seconde, lorsque nous examinons la clé suivante qui est créée, et qu'elle est envoyée à 99 00:06:26,680 --> 00:06:29,460 le sous-emplacement et le contrôleur de réseau local sans fil. 100 00:06:29,460 --> 00:06:33,060 Dans ce cas précis, j'ai mentionné le réseau local sans fil. 101 00:06:33,060 --> 00:06:34,120 Contrôleur ici. 102 00:06:34,120 --> 00:06:38,320 Sur l'image précédente, nous avions en quelque sorte une vue d'ensemble d'un accès autonome. 103 00:06:38,320 --> 00:06:40,700 Point final. Il n'y avait pas de manette sur cette image. 104 00:06:40,700 --> 00:06:45,300 Le point d'accès doit absolument posséder cette clé de session principale. 105 00:06:45,300 --> 00:06:48,020 Donc, même si ce n'est pas mentionné ici dans ce point, le 106 00:06:48,020 --> 00:06:52,860 L'utilisateur final, la tablette, le smartphone et le point d'accès doivent posséder ce maître. 107 00:06:52,860 --> 00:06:57,500 clé de session. Maintenant, si un contrôleur de réseau local sans fil est impliqué, si ceci 108 00:06:57,500 --> 00:07:01,640 Dans un environnement sans fil géré, le contrôleur de réseau local sans fil le fera également 109 00:07:01,640 --> 00:07:04,740 Obtenez une copie de cette clé de session principale. 110 00:07:04,740 --> 00:07:10,440 Il sera en fait le premier à recevoir ce message d'acceptation d'accès. 111 00:07:10,440 --> 00:07:14,940 le message EAP-PACKET, car il est même avant le point d'accès sur le 112 00:07:14,940 --> 00:07:19,020 côté câblé. Il recevra donc directement les données du serveur RADIUS et les copiera. 113 00:07:19,020 --> 00:07:22,540 Il extraira la clé de session principale et la transmettra au point d'accès. 114 00:07:22,540 --> 00:07:26,160 Le point d'accès copiera la clé de session principale, puis la convertira en 115 00:07:26,160 --> 00:07:30,400 une trame wifi, l'envoyer sans fil au sous-emplacement, et le sous-emplacement 116 00:07:30,400 --> 00:07:33,800 capturera la clé de session principale. 117 00:07:33,800 --> 00:07:39,480 D'accord, donc quand on utilise la norme 802.1x, c'est la toute première chose à retenir, n'est-ce pas ? 118 00:07:39,480 --> 00:07:41,920 C'est la toute première clé, et vous ne l'obtiendrez que si vous réussissez. 119 00:07:41,920 --> 00:07:50,360 s'authentifier. Maintenant, si vous utilisez WPA Personnel, comme WPA2 ou WPA3, il y a 120 00:07:50,360 --> 00:07:53,940 Il n'existe pas de clé de session principale, et j'en ai parlé dans une vidéo précédente. 121 00:07:53,940 --> 00:07:59,760 Si l'on revient à cette image, lorsque vous utilisez WPA Personal, 122 00:07:59,760 --> 00:08:04,300 Ces messages n'existent pas, il n'y a pas de démarrage EAP-over-LAN, il n'y a pas 123 00:08:04,300 --> 00:08:09,140 Nous contournons complètement les échanges de paquets EAP-over-LAN, nous les ignorons tout simplement. 124 00:08:09,140 --> 00:08:13,580 la clé de session principale complète, et nous passons directement à la création de la clé suivante 125 00:08:13,580 --> 00:08:18,080 dans la chaîne, qui est la clé maîtresse par paire. 126 00:08:18,080 --> 00:08:23,680 La clé de session principale ne sera présente que si les protocoles 802.1x et WPA sont activés. 127 00:08:23,680 --> 00:08:28,000 Entreprise, mais la clé maîtresse par paire sera toujours là, que 128 00:08:28,000 --> 00:08:32,580 Que vous soyez une entreprise ou un particulier, vous devez posséder une paire de clés maîtresses. 129 00:08:32,580 --> 00:08:37,500 Ceci a donc été défini dans la spécification 802.11i, donc le maître par paire 130 00:08:37,500 --> 00:08:43,020 La clé, la manière dont elle peut apparaître, la manière dont elle peut être dérivée, repose sur trois points particuliers. 131 00:08:43,020 --> 00:08:51,380 lieux. Donc, si vous utilisez WPA Enterprise, c'est en fait très simple. 132 00:08:51,380 --> 00:08:54,720 juste la première moitié de cette clé de session principale. 133 00:08:54,720 --> 00:08:59,700 Donc, nous prenons ces 64 octets de la clé de session principale, nous les coupons en deux, 134 00:08:59,700 --> 00:09:04,460 et les 32 premiers octets côté client, nous les réutilisons simplement comme 135 00:09:04,460 --> 00:09:05,860 Clé maîtresse par paire. 136 00:09:05,860 --> 00:09:08,200 Et si vous n'utilisez pas WPA Enterprise ? 137 00:09:08,200 --> 00:09:13,480 Eh bien, si vous utilisez WPA2 personnel ou WPA3-SAE, ce qui est une autre façon 138 00:09:13,480 --> 00:09:17,920 Si l'on parle de WPA3 personnel, comment obtient-on ces 32 octets ? 139 00:09:17,920 --> 00:09:24,140 Eh bien, dans ce cas, s'il s'agit de WPA2 personnel, WPA2, nous prenons ce pré-partagé 140 00:09:24,140 --> 00:09:29,020 Une clé comme INE est parfaite, ou Cisco 123, ou quelle que soit votre phrase de passe. 141 00:09:29,020 --> 00:09:32,740 Votre réseau local sans fil, nous le soumettons à une formule très simple, 142 00:09:32,740 --> 00:09:37,200 que je vous montrerai dans une prochaine vidéo, et voilà, nous finissons par créer 143 00:09:37,200 --> 00:09:41,120 la clé maîtresse par paire résultant de cette formule. 144 00:09:41,120 --> 00:09:46,040 Si vous parlez de WPA3, alors c'est un processus complètement différent. 145 00:09:46,040 --> 00:09:50,300 un processus totalement différent et beaucoup plus complexe, appelé SAE 146 00:09:50,300 --> 00:09:54,240 poignée de main. Nous en reparlerons dans une prochaine vidéo, mais le résultat final 147 00:09:54,240 --> 00:10:00,520 L'avantage principal de la poignée de main SAE est que nous disposons désormais de notre clé maîtresse par paire. 148 00:10:00,520 --> 00:10:04,300 Vous pouvez donc venir de trois endroits différents, comme vous pouvez le constater. 149 00:10:04,300 --> 00:10:09,220 Donc, de la même manière que la clé de session principale était utilisée si elle existait entre les 150 00:10:09,220 --> 00:10:12,380 Point d'accès et client, et comment est-il utilisé ? 151 00:10:12,380 --> 00:10:15,900 En fait, ça sert simplement à prendre la première moitié et à la transformer en 152 00:10:15,900 --> 00:10:17,200 la clé maîtresse par paire. 153 00:10:17,200 --> 00:10:18,820 C'est à peu près tout ce que nous avons fait avec. 154 00:10:18,820 --> 00:10:21,560 C'était le seul but de la clé de session principale. 155 00:10:21,560 --> 00:10:27,440 Mais une fois que la clé maîtresse par paire est utilisée, elle est créée, elle est également utilisée 156 00:10:27,440 --> 00:10:32,040 par les mêmes deux appareils, le client et le point d'accès, et devinez quoi ? 157 00:10:32,040 --> 00:10:36,840 Si un contrôleur de réseau local sans fil est impliqué, il créera également le 158 00:10:36,840 --> 00:10:38,500 même clé maîtresse par paire. 159 00:10:38,500 --> 00:10:42,560 Et la raison pour laquelle le contrôleur de réseau local sans fil doit posséder cela est pour 160 00:10:42,560 --> 00:10:43,880 à des fins d'itinérance. 161 00:10:43,880 --> 00:10:47,240 Ce cours ne traite pas du roaming. 162 00:10:47,240 --> 00:10:50,400 Si le roaming vous intéresse, je vous recommande de jeter un œil au parcours que j'ai créé précédemment. 163 00:10:50,400 --> 00:10:53,660 ceci, que l'on appelle y parvenir grâce à l'itinérance sans fil, et j'entre dans 164 00:10:53,660 --> 00:10:56,620 Tous les détails importants sur le fonctionnement de l'itinérance. 165 00:10:56,620 --> 00:11:01,120 Mais juste pour vous donner un petit aperçu, si vous vous déplacez d'un point d'accès à un autre 166 00:11:01,120 --> 00:11:05,900 D'un autre côté, vous souhaitez que cette itinérance soit aussi rapide et fluide que possible. 167 00:11:05,900 --> 00:11:12,280 Maintenant, si vous utilisez le protocole WPA 802.1x Enterprise, cela signifie normalement que lorsque 168 00:11:12,280 --> 00:11:15,800 Je passe d'un point d'accès à l'autre et je me déplace en itinérance, lorsque je vais au 169 00:11:15,800 --> 00:11:20,160 nouveau point d'accès, je dois refaire toute la configuration 802.1x, tous ces 170 00:11:20,160 --> 00:11:24,020 Les messages de paquets EAP Overland, qui peuvent être nombreux, selon 171 00:11:24,020 --> 00:11:27,220 Avec ma méthode EAP, je dois tout refaire avec le serveur backend, obtenir 172 00:11:27,220 --> 00:11:31,560 une toute nouvelle clé de session principale, puis dériver une clé principale par paire. 173 00:11:31,560 --> 00:11:36,440 Ne serait-il pas agréable si je pouvais prendre la première clé maîtresse de paire qui 174 00:11:36,440 --> 00:11:40,440 Je me base sur ma première clé de session principale et je la conserve en quelque sorte. 175 00:11:40,440 --> 00:11:43,920 Et cela avec moi lorsque je passerai au point d'accès suivant ? 176 00:11:43,920 --> 00:11:47,460 Eh bien, la seule façon pour que cela se produise est que tous les points d'accès que vous 177 00:11:47,460 --> 00:11:52,280 pourraient s'associer pour apprendre ou connaître d'une manière ou d'une autre cette clé maîtresse par paire 178 00:11:52,280 --> 00:11:55,860 Cela s'est produit lors de votre première connexion à ce réseau local sans fil. 179 00:11:55,860 --> 00:11:59,600 Et si le contrôleur du réseau local sans fil qui gère tous ces accès 180 00:11:59,600 --> 00:12:04,480 Il possède cette clé maîtresse par paire et peut la transmettre à d'autres personnes ayant accès. 181 00:12:04,480 --> 00:12:09,040 des points d'accès, ce qui rend le processus d'itinérance beaucoup plus rapide. 182 00:12:09,040 --> 00:12:11,200 C'est tout ce que je dirai à ce sujet. 183 00:12:11,200 --> 00:12:15,240 Bon, alors pour la clé maîtresse par paires, vous pourriez dire, oh super, maintenant que j'ai 184 00:12:15,240 --> 00:12:19,780 J'ai compris, cette clé de 32 octets, je peux commencer à chiffrer et déchiffrer des choses. 185 00:12:19,780 --> 00:12:22,280 N'est-ce pas ? Non, il ne sert pas à ça. 186 00:12:22,280 --> 00:12:26,040 Il s'agit simplement d'une autre clé qui nous mènera à une autre formule, nous sommes 187 00:12:26,040 --> 00:12:28,840 On va le faire passer par un autre algorithme et on va finir par créer 188 00:12:28,840 --> 00:12:30,460 quelques autres clés. 189 00:12:30,460 --> 00:12:34,000 Il s'agit donc d'une racine pour la création de la clé de session. 190 00:12:34,000 --> 00:12:37,840 Donc, la clé principale par paire et la clé de session principale, comme indiqué ici. 191 00:12:37,840 --> 00:12:42,780 sont très secrètes et sont donc cachées à toute commande d'affichage. 192 00:12:42,780 --> 00:12:45,400 Quand j'ai commencé à apprendre tout ça, une des premières questions 193 00:12:45,400 --> 00:12:49,900 La première question qui m'est venue à l'esprit est : y a-t-il un moyen de fouiller dans mon MacBook et 194 00:12:49,900 --> 00:12:55,620 voir en fait la clé principale de la paire ou, si j'utilisais 802.1x, la session principale 195 00:12:55,620 --> 00:12:59,620 La clé est stockée quelque part sur mon réseau local sans fil auquel je suis connecté. 196 00:12:59,620 --> 00:13:03,860 Pourrais-je accéder à l'interface d'administration de mon contrôleur LAN sans fil 9800 ? Ou bien pourrais-je accéder à l'interface d'administration de mon contrôleur LAN sans fil 9800 ? 197 00:13:03,860 --> 00:13:08,180 et voir d'une manière ou d'une autre la clé maître de paire qu'elle possède pour tous les réseaux LAN sans fil 198 00:13:08,180 --> 00:13:09,640 Les clients sont-ils associés ? 199 00:13:09,640 --> 00:13:14,020 Eh bien, ils sont là quelque part, mais vous ne pouvez pas les atteindre, vous ne pouvez pas. 200 00:13:14,020 --> 00:13:17,100 Vous pouvez les voir. Il n'y a pas de commandes d'affichage ou quoi que ce soit qui permette de le faire. 201 00:13:17,100 --> 00:13:21,340 Des trucs. Ils sont vraiment enfouis très profondément et ils sont très cachés parce que 202 00:13:21,340 --> 00:13:25,900 Donc, avant de poursuivre, voici un point essentiel à retenir : 203 00:13:25,900 --> 00:13:31,880 En effet, le réseau de sécurité robuste défini dans la norme 802.11i stipule que 204 00:13:31,880 --> 00:13:36,980 Il existe des clés qui permettent ensuite d'obtenir d'autres clés, qui à leur tour permettent d'obtenir d'autres clés. 205 00:13:36,980 --> 00:13:41,720 d'autres clés. Il s'agit donc d'un processus en plusieurs étapes pour obtenir des clés. 206 00:13:41,720 --> 00:13:45,160 Et j'ai expliqué dans une vidéo précédente que tout cela a pour but de 207 00:13:45,160 --> 00:13:48,800 Concevoir des clés aussi complexes que possible afin que les personnes malveillantes ne puissent pas les déchiffrer. 208 00:13:48,800 --> 00:13:52,200 Découvrez ce qu'ils sont, piratez-les et reproduisez-les. 209 00:13:52,200 --> 00:13:53,880 Voilà pourquoi nous traversons cela. 210 00:13:53,880 --> 00:13:56,300 On peut donc le voir de cette façon. 211 00:13:56,300 --> 00:14:01,660 Dans un environnement 802.1x, voici les étapes à suivre : 212 00:14:01,660 --> 00:14:05,120 Tout d'abord, obtenez votre clé de session principale. 213 00:14:05,120 --> 00:14:06,320 Voilà la première étape. 214 00:14:06,320 --> 00:14:10,480 Deuxièmement, coupez-le en deux, prenez la première moitié et renommez-la en quelque sorte 215 00:14:10,480 --> 00:14:12,760 qui sert de clé maîtresse par paire. 216 00:14:12,760 --> 00:14:14,380 Voilà la deuxième étape. 217 00:14:14,380 --> 00:14:18,800 Et la troisième étape consiste à prendre cette clé maîtresse par paire. 218 00:14:18,800 --> 00:14:23,260 et le diviser. Et ensuite, nous allons prendre le maître par paires. 219 00:14:23,260 --> 00:14:29,700 clé et la convertir en une autre clé appelée clé transitoire par paire. 220 00:14:29,700 --> 00:14:31,180 Nous allons examiner cela dans la diapositive suivante. 221 00:14:31,180 --> 00:14:36,680 Nous n'obtenons donc une clé de session principale que si nous utilisons 802.1x, avec une clé principale par paire. 222 00:14:36,680 --> 00:14:40,660 clé dans toutes les implémentations de WPA. 223 00:14:40,660 --> 00:14:45,620 La clé maîtresse par paire dérive ensuite la clé transitoire par paire. 224 00:14:45,620 --> 00:14:48,920 Et ensuite, lorsque nous avons obtenu la clé transitoire par paire, nous la prenons et 225 00:14:48,920 --> 00:14:50,500 Nous l'avons divisé en trois morceaux. 226 00:14:50,500 --> 00:14:56,260 Et voici les trois dernières clés que nous pouvons utiliser pour effectuer notre chiffrement, notre 227 00:14:56,260 --> 00:14:58,240 L'intégrité des données et tout ça. 228 00:14:58,240 --> 00:15:00,460 Il s'agit donc d'un processus en plusieurs étapes. 229 00:15:00,460 --> 00:15:04,100 Très bien, nous avons maintenant la clé maîtresse par paire. 230 00:15:04,100 --> 00:15:10,140 Et un autre point que j'aborderai à ce sujet, c'est que dans le WPA2, personnel, 231 00:15:10,140 --> 00:15:13,680 WPA2, personnel, où tout le monde se connecte au réseau local sans fil avec 232 00:15:13,680 --> 00:15:19,020 Le même mot de passe que « coffee is good » ou « INE123 », c'est bien ça ? 233 00:15:19,020 --> 00:15:21,000 Tout le monde utilise la même phrase de passe. 234 00:15:21,000 --> 00:15:26,180 En WPA2 personnel, tout le monde aura exactement la même paire de clés. 235 00:15:26,180 --> 00:15:30,060 clé passe-partout. Et c'est une des raisons pour lesquelles nous ne voulons pas l'utiliser. 236 00:15:30,060 --> 00:15:32,020 pour chiffrer et déchiffrer des données. 237 00:15:32,020 --> 00:15:35,140 Sinon, tous les utilisateurs du réseau local sans fil pourraient voir les données de tous les autres. 238 00:15:35,140 --> 00:15:36,820 Et nous ne voulons pas de ça. 239 00:15:36,820 --> 00:15:41,440 N'oubliez donc pas que l'objectif principal d'un réseau de sécurité robuste est que chaque 240 00:15:41,440 --> 00:15:45,280 La personne connectée au point d'accès doit avoir son propre ensemble unique 241 00:15:45,280 --> 00:15:49,240 des clés par paires qui leur sont exclusivement réservées. 242 00:15:49,240 --> 00:15:56,620 Donc, en WPA2, nous devons absolument passer à l'étape suivante, qui consiste à convertir ceci. 243 00:15:56,620 --> 00:16:02,180 dans une autre clé unique, propre à cette personne et à son point d'accès. 244 00:16:02,180 --> 00:16:06,680 Maintenant, concernant le WPA3, lorsque j'entrerai dans les détails, nous verrons concrètement… 245 00:16:06,680 --> 00:16:10,940 que la clé maîtresse par paire est elle-même unique. 246 00:16:10,940 --> 00:16:16,740 Donc même sur un réseau local sans fil WPA3, oui, vous, Bob et Sally qui êtes assis... 247 00:16:16,740 --> 00:16:19,700 À côté de vous, vous pourriez tous vous connecter à ce réseau local sans fil avec le même 248 00:16:19,700 --> 00:16:25,420 Même phrase de passe que coffee123, mais la formule, l'algorithme qui convertit 249 00:16:25,420 --> 00:16:32,960 qui, dans votre clé maîtresse Pairwise, possède une méthode unique pour garantir que 250 00:16:32,960 --> 00:16:37,200 La clé maîtresse par paire qui est dérivée pour vous est unique. 251 00:16:37,200 --> 00:16:39,000 pour Bob et pour Sally. 252 00:16:39,000 --> 00:16:44,300 C'est l'un des aspects qui rendent le WPA3 beaucoup plus robuste et sécurisé que 253 00:16:44,300 --> 00:16:50,140 WPA2. D'accord, mais maintenant nous avons notre clé maîtresse par paire, elle a été dérivée. 254 00:16:50,140 --> 00:16:53,880 L'étape suivante consiste donc à dériver le transitoire par paires. 255 00:16:53,880 --> 00:17:01,140 clé. D'accord, donc une fois que le point d'accès dans le client LAN sans fil a obtenu 256 00:17:01,140 --> 00:17:04,440 leur clé maîtresse par paire, puis ils vont passer par les quatre voies 257 00:17:04,440 --> 00:17:07,820 Échange de clés EAP sur LAN. 258 00:17:07,820 --> 00:17:13,640 Si vous vous souvenez de l'image que j'ai montrée précédemment, la sécurité était robuste. 259 00:17:13,640 --> 00:17:18,340 Le réseau impose que, quelle que soit la forme de réseau local sans fil que vous utilisez, 260 00:17:18,340 --> 00:17:22,960 Que ce soit pour une entreprise ou à titre personnel, il faut toujours procéder à une concertation à quatre. 261 00:17:22,960 --> 00:17:26,260 la poignée de main à la toute fin de votre authentification, appelée 262 00:17:26,260 --> 00:17:27,560 Échange de clés EAP sur LAN en quatre étapes. 263 00:17:27,560 --> 00:17:32,640 Le type de trame EAP over LAN est appelé messages clés EAP over LAN. 264 00:17:32,640 --> 00:17:40,120 Ainsi, lors de cette poignée de main, au fur et à mesure que ces quatre messages sont échangés, les paires 265 00:17:40,120 --> 00:17:43,200 Une clé transitoire sera générée. 266 00:17:43,200 --> 00:17:47,220 Des informations vont donc être échangées entre vous et le point d'accès. 267 00:17:47,220 --> 00:17:52,160 C'est unique pour cette session, cela va aider une paire unique. 268 00:17:52,160 --> 00:17:57,560 clé transitoire à obtenir à la suite de cette poignée de main. 269 00:17:57,560 --> 00:18:00,200 Techniquement parlant, même si je ne pense pas que vous seriez jamais testé 270 00:18:00,200 --> 00:18:05,460 Dans ce cas, la clé transitoire par paire est appelée vecteur de clé dérivée. 271 00:18:05,460 --> 00:18:06,480 Pourquoi appelle-t-on cela ? 272 00:18:06,480 --> 00:18:11,200 Eh bien, la première raison est liée au fait que nous avons dû échanger du matériel. 273 00:18:11,200 --> 00:18:14,960 certains éléments clés de cette négociation EAP sur LAN afin d'en déduire 274 00:18:14,960 --> 00:18:17,280 cette clé transitoire par paire. 275 00:18:17,280 --> 00:18:21,720 Ainsi, la clé transitoire par paire, en partie, a été dérivée de la paire 276 00:18:21,720 --> 00:18:25,920 Clé maîtresse. C'est pourquoi nous avions besoin de la clé maîtresse dès le départ, mais il y a 277 00:18:25,920 --> 00:18:31,280 d'autres éléments ont été intégrés à la formule en plus de 278 00:18:31,280 --> 00:18:36,600 le PMK, qui a donné lieu à un PTK unique utilisé pour cette application particulière 279 00:18:36,600 --> 00:18:39,080 session. Donc c'est dérivé. 280 00:18:39,080 --> 00:18:42,820 Et nous l'appelons vecteur de clés car la clé transitoire par paire, une fois qu'elle est 281 00:18:42,820 --> 00:18:47,440 Pour le développement, nous l'avons simplement divisé en trois parties, ce qui donne 282 00:18:47,440 --> 00:18:51,040 nous trois sous-clés différentes. 283 00:18:51,040 --> 00:18:55,140 Par analogie, c'est comme avec la norme 802.1x lorsque vous avez le maître 284 00:18:55,140 --> 00:18:59,860 clé de session et nous l'avons divisée en deux, la première moitié étant considérée 285 00:18:59,860 --> 00:19:01,420 la clé maîtresse par paire. 286 00:19:01,420 --> 00:19:03,260 Le même genre de choses se produit ici. 287 00:19:03,260 --> 00:19:06,600 Une fois la clé transitoire par paire développée, nous allons la diviser en 288 00:19:06,600 --> 00:19:10,880 tiers et comme le montre cette image, chacun d'eux 289 00:19:10,880 --> 00:19:12,720 Le tiers va servir à quelque chose. 290 00:19:12,720 --> 00:19:17,620 Donc, une fois de plus, tout comme la clé maîtresse de paire n'a pas été utilisée pour réellement 291 00:19:17,620 --> 00:19:23,180 De même, pour chiffrer ou déchiffrer des données, la clé transitoire par paire l'est également. 292 00:19:23,180 --> 00:19:26,640 ne sert pas à chiffrer ou à déchiffrer des données. 293 00:19:26,640 --> 00:19:30,860 Il ne reste plus qu'une dernière clé à dériver, ce qui nous permet enfin de déduire 294 00:19:30,860 --> 00:19:35,740 Nos dernières clés. Et c'est de cela que nous allons parler ici même. 295 00:19:35,740 --> 00:19:40,620 Une fois votre PTK dérivée, c'est très simple, toutes vos formules complexes le sont. 296 00:19:40,620 --> 00:19:44,460 Voilà, tous vos algorithmes complexes sont terminés, il ne vous reste plus qu'à les diviser. 297 00:19:44,460 --> 00:19:46,220 il a été divisé en trois morceaux. 298 00:19:46,220 --> 00:19:50,740 Le premier élément s'appellera donc la clé de confirmation, la K. 299 00:19:50,740 --> 00:19:55,360 -C-K. Donc, ceci ne sert pas à chiffrer quoi que ce soit, cela sert à fournir 300 00:19:55,360 --> 00:19:57,260 L'intégrité de votre message. 301 00:19:57,260 --> 00:20:03,440 Par exemple, si je suis sur une tablette et que je télécharge des données sur mon point d'accès, 302 00:20:03,440 --> 00:20:08,340 une trame sans fil qui contient des données très importantes, comme peut-être certaines 303 00:20:08,340 --> 00:20:12,500 compte bancaire sur lequel je fais un dépôt ou quelque chose comme ça, je veux m'assurer qu'il y a 304 00:20:12,500 --> 00:20:16,360 Il est impossible que quelqu'un puisse intercepter cette trame avant qu'elle ne soit reçue. 305 00:20:16,360 --> 00:20:20,280 au point d'accès, modifiez certains bits, puis transmettez-le vers 306 00:20:20,280 --> 00:20:25,280 le point d'accès comme un intrus invisible au milieu. 307 00:20:25,280 --> 00:20:28,900 Je veux empêcher que ces éléments soient modifiés ou altérés pendant le transport. 308 00:20:28,900 --> 00:20:30,100 Comment puis-je faire cela ? 309 00:20:30,100 --> 00:20:35,100 Eh bien, je prends ces éléments et je les fais passer par la clé de confirmation. 310 00:20:35,100 --> 00:20:38,740 Et la touche de confirmation ajoute à mon châssis sans fil quelque chose appelé 311 00:20:38,740 --> 00:20:42,800 un code d'intégrité de message, un code d'intégrité de message MIC. 312 00:20:42,800 --> 00:20:46,080 Si vous connaissez Ethernet, vous savez que l'extrémité de l'Ethernet 313 00:20:46,080 --> 00:20:47,020 cadre, qu'avons-nous ? 314 00:20:47,020 --> 00:20:48,320 Nous avons bien le FCS, n'est-ce pas ? 315 00:20:48,320 --> 00:20:51,380 La somme de contrôle de trame, parfois appelée séquence de contrôle de trame. 316 00:20:51,380 --> 00:20:55,620 Le but du FCS est d'assurer la détection des erreurs, n'est-ce pas ? 317 00:20:55,620 --> 00:21:00,000 Le FCS peut vous aider à détecter si l'un des bits de la trame Ethernet était 318 00:21:00,000 --> 00:21:01,700 modifié pendant le transport. 319 00:21:01,700 --> 00:21:04,940 Maintenant, cela ne peut pas vous aider à comprendre ce qui a changé, vous ne pouvez pas réparer le 320 00:21:04,940 --> 00:21:09,120 le cadre, mais vous pouvez détecter si le cadre a été altéré d'une manière ou d'une autre. 321 00:21:09,120 --> 00:21:10,760 C'est le même objectif qu'un MIC. 322 00:21:10,760 --> 00:21:12,880 Un MIC remplit exactement la même fonction. 323 00:21:12,880 --> 00:21:17,480 Dans ce cas précis, la clé de confirmation est utilisée conjointement 324 00:21:17,480 --> 00:21:22,600 avec une formule et vos données pour créer ce MIC. 325 00:21:22,600 --> 00:21:25,940 Voilà donc l'un des éléments du PTK. 326 00:21:25,940 --> 00:21:31,320 Ensuite, nous avons la clé de chiffrement principale, qui encapsule les clés au niveau du point d'accès. 327 00:21:31,320 --> 00:21:36,700 Envoyer. Nous allons donc voir dans un instant que le point d'accès 328 00:21:36,700 --> 00:21:41,240 elle-même va créer une clé spéciale qu'elle génère et envoie. 329 00:21:41,240 --> 00:21:42,860 à tous les clients. 330 00:21:42,860 --> 00:21:44,780 Et nous allons parler de ce que c'est. 331 00:21:44,780 --> 00:21:48,560 Mais lorsque le point d'accès vous envoie cette clé, à vous, à Sally, à Bob et… 332 00:21:48,560 --> 00:21:51,940 Toutes ces autres tablettes et smartphones sont connectés, nous voulons les protéger 333 00:21:51,940 --> 00:21:56,000 Cette clé. Nous voulons chiffrer la clé qu'elle envoie. 334 00:21:56,000 --> 00:22:00,200 La clé de chiffrement principale est donc utilisée à cet effet. 335 00:22:00,200 --> 00:22:04,940 Et enfin, celui qui nous intéresse probablement le plus, c'est le TK. 336 00:22:04,940 --> 00:22:06,220 la clé temporelle. 337 00:22:06,220 --> 00:22:11,500 C'est en fait celui qui chiffre et déchiffre les trames de données unicast. 338 00:22:11,500 --> 00:22:17,720 Pour résumer, vous remarquerez que nous avons trois stations, n'est-ce pas ? 339 00:22:17,720 --> 00:22:20,200 Trois stations clientes sans fil, une, deux et trois. 340 00:22:20,200 --> 00:22:23,900 Et chacun d'eux, dans ce cas précis, possède une clé temporelle unique. 341 00:22:23,900 --> 00:22:31,260 Nous avons donc obtenu les clés temporelles XX, YY et ZZ pour les trois stations respectives. 342 00:22:31,260 --> 00:22:35,560 Et n'oubliez pas que chacune de ces clés temporelles utilise un tiers des paires 343 00:22:35,560 --> 00:22:39,200 clé transitoire que ces stations ont développée. 344 00:22:39,200 --> 00:22:42,620 Et ceux dont le point d'accès possède une base de données ici, où elle se trouve 345 00:22:42,620 --> 00:22:46,780 Il s'agit de suivre la connexion de toutes les stations ainsi que les besoins individuels. 346 00:22:46,780 --> 00:22:51,040 Des clés temporelles sont disponibles pour chacune de ces stations. 347 00:22:51,040 --> 00:22:55,880 Donc, chaque fois que ces stations envoient quelque chose au point d'accès, donc ceci 348 00:22:55,880 --> 00:23:00,840 Les données transitant désormais en amont, de la station au point d'accès, seront toutes cryptées. 349 00:23:00,840 --> 00:23:03,520 par la clé temporelle. 350 00:23:03,520 --> 00:23:07,380 Ensuite, le point d'accès le déchiffrera à l'aide de la clé temporaire précédente. 351 00:23:07,380 --> 00:23:11,200 il le transmet soit au contrôleur LAN sans fil, soit il le transmet 352 00:23:11,200 --> 00:23:13,780 directement sur le réseau de distribution. 353 00:23:13,780 --> 00:23:21,660 Très bien, et chaque fois que le point d'accès envoyait des données unicast en aval 354 00:23:21,660 --> 00:23:27,680 aux clients, qui seront également chiffrés via la clé temporaire. 355 00:23:27,680 --> 00:23:31,720 Notez que je mets en évidence ici les données unicast. 356 00:23:31,720 --> 00:23:37,060 Pourquoi cela ? Eh bien, parce qu'il y a certains moments où le point d'accès 357 00:23:37,060 --> 00:23:42,660 Il faudra peut-être saturer le réseau local sans fil avec des messages de diffusion et de multidiffusion. 358 00:23:42,660 --> 00:23:48,680 informations. Par exemple, que se passe-t-il si le point d'accès a besoin d'une requête ARP pour quelqu'un ? 359 00:23:48,680 --> 00:23:50,260 sur le réseau local sans fil ? 360 00:23:50,260 --> 00:23:55,000 Ou peut-être y a-t-il un interrupteur, un interrupteur filaire, derrière le point d'accès. 361 00:23:55,000 --> 00:23:57,380 a besoin d'une requête ARP pour l'un des clients du réseau local sans fil ? 362 00:23:57,380 --> 00:23:59,220 Eh bien, ça va être diffusé. 363 00:23:59,220 --> 00:24:03,900 Nous proposons également d'autres fonctionnalités comme le DNS multicast, l'audio et la vidéo multicast. 364 00:24:03,900 --> 00:24:07,560 qui doivent être diffusés en masse à tous les clients du réseau local sans fil. 365 00:24:07,560 --> 00:24:10,960 Eh bien, nous voulons aussi que ce soit crypté. 366 00:24:10,960 --> 00:24:13,200 Nous voulons protéger ce trafic. 367 00:24:13,200 --> 00:24:16,880 Vous ne pouvez pas utiliser la clé temporelle pour faire cela car la clé temporelle est 368 00:24:16,880 --> 00:24:20,580 Une clé d'association. Elle n'est valable que pour un seul client. 369 00:24:20,580 --> 00:24:26,460 Donc, si vous prenez une image et que vous la diffusez, comment… 370 00:24:26,460 --> 00:24:28,220 Vous allez chiffrer ça ? 371 00:24:28,220 --> 00:24:31,900 Eh bien, vous allez chiffrer cela en utilisant une clé différente de celle utilisée pour l'accès. 372 00:24:31,900 --> 00:24:34,380 Le point lui-même crée. 373 00:24:34,380 --> 00:24:39,240 Donc, lors de son tout premier démarrage, le point d'accès va créer quelque chose 374 00:24:39,240 --> 00:24:44,400 appelée clé maîtresse de groupe, dérivée uniquement par le point d'accès. 375 00:24:44,400 --> 00:24:47,140 Et sa longueur est de 256 bits. 376 00:24:47,140 --> 00:24:50,800 Il est généralement créé une seule fois, lors du démarrage du point d'accès. 377 00:24:50,800 --> 00:24:56,580 Mais certains points d'accès ont une certaine capacité à modifier cela au fil du temps. 378 00:24:56,580 --> 00:24:58,480 Mais généralement, il n'est calculé qu'une seule fois. 379 00:24:58,480 --> 00:25:04,820 La clé principale du groupe sera alors utilisée à l'intérieur d'une fonction pseudo-aléatoire. 380 00:25:04,820 --> 00:25:05,980 Vous allez voir ça souvent. 381 00:25:05,980 --> 00:25:07,640 Fonction pseudo-aléatoire PRF. 382 00:25:07,640 --> 00:25:12,520 En gros, cela signifie que je reçois des données d'entrée, des données numériques. 383 00:25:12,520 --> 00:25:16,740 et ma fonction pseudo-aléatoire générera une sortie aléatoire. 384 00:25:16,740 --> 00:25:20,900 Donc, si je reprends ce même nombre à l'avenir et que je rencontre le même problème… 385 00:25:20,900 --> 00:25:24,820 Avec une fonction pseudo-aléatoire, j'obtiendrai un résultat aléatoire différent. 386 00:25:24,820 --> 00:25:26,840 C'est le rôle des fonctions pseudo-aléatoires. 387 00:25:26,840 --> 00:25:31,080 Donc, il va falloir cette clé principale de groupe, entrée, je l'ai mise dans le pseudo 388 00:25:31,080 --> 00:25:38,060 fonction aléatoire, et elle en déduira une clé temporelle de groupe, une GTK. 389 00:25:38,060 --> 00:25:43,060 Et c'est GTK qui est utilisé, comme vous pouvez le voir ici, pour chiffrer ces éléments en aval. 390 00:25:43,060 --> 00:25:47,520 flux multicast et broadcast que le point d'accès doit envoyer 391 00:25:47,520 --> 00:25:50,460 aux clients du réseau local sans fil. 392 00:25:50,460 --> 00:25:55,400 Maintenant que cette clé temporelle de groupe est dérivée, nous ne voulons pas simplement l'envoyer 393 00:25:55,400 --> 00:25:59,620 il est transmis aux clients du réseau local sans fil sans chiffrement, car alors quelqu'un 394 00:25:59,620 --> 00:26:03,140 Quiconque se contente d'écouter passivement le réseau local sans fil pourrait le voir. 395 00:26:03,140 --> 00:26:07,060 Et ils pourront alors décoder toutes les diffusions et multidiffusions à 396 00:26:07,060 --> 00:26:08,740 le point d'accès ascendant. 397 00:26:08,740 --> 00:26:13,040 Nous devons donc transmettre ces informations de manière sécurisée aux clients. 398 00:26:13,040 --> 00:26:14,460 Comment allons-nous procéder ? 399 00:26:14,460 --> 00:26:20,340 Eh bien, cela se fera à l'aide de la clé de chiffrement que chaque client possède. 400 00:26:20,340 --> 00:26:24,640 avait. Donc, si je reviens rapidement ici, revenons simplement à la situation précédente. 401 00:26:24,640 --> 00:26:27,300 Glissez juste ici. 402 00:26:27,300 --> 00:26:31,240 Rappelez-vous, la clé de chiffrement principale, c'est celle du milieu, c'est-à-dire 403 00:26:31,240 --> 00:26:34,660 un tiers de la clé transitoire par paire. 404 00:26:34,660 --> 00:26:40,680 Le fonctionnement sera le suivant : une fois le point d'accès démarré, il crée 405 00:26:40,680 --> 00:26:43,440 Une clé maîtresse de groupe très, très rapidement. 406 00:26:43,440 --> 00:26:48,340 Et puis, en quelques secondes, il crée une clé temporelle de groupe. 407 00:26:48,340 --> 00:26:50,800 Était-ce appelé groupe temporel ou groupe ? 408 00:26:50,800 --> 00:26:53,040 Oui, groupe temporel, le GTK. 409 00:26:53,040 --> 00:26:55,140 Maintenant, il est équipé de GTK. 410 00:26:55,140 --> 00:26:59,600 Quelques minutes ou quelques heures plus tard, vous vous connectez à ce point d'accès. 411 00:26:59,600 --> 00:27:01,840 C'est bien ça ? Vous vous connectez au réseau local sans fil. 412 00:27:01,840 --> 00:27:04,560 L'échange à quatre voies EAP sur LAN a lieu. 413 00:27:04,560 --> 00:27:08,560 Lors de cet échange à quatre voies EAP sur LAN, vous et le point d'accès vous connectez. 414 00:27:08,560 --> 00:27:12,020 avec une clé transitoire partagée par paire que nous voyons juste ici. 415 00:27:12,020 --> 00:27:13,260 Vous l'avez tous les deux. 416 00:27:13,260 --> 00:27:15,380 Vous divisez tous les deux cela en trois morceaux. 417 00:27:15,380 --> 00:27:18,180 Et ceci est rien que pour vous, rien que pour votre séance. 418 00:27:18,180 --> 00:27:21,060 L'un de ces éléments étant la clé de chiffrement principale. 419 00:27:21,060 --> 00:27:25,060 L'établissement d'une liaison EAP à quatre voies sur réseau local n'est pas encore terminé. 420 00:27:25,060 --> 00:27:29,240 Dans le message numéro trois, qui est le message provenant du point d'accès à 421 00:27:29,240 --> 00:27:33,420 Vous. Très bien, donc dans le troisième message de la négociation EAP sur LAN, 422 00:27:33,420 --> 00:27:37,100 Le point d'accès utilisera cette clé temporaire de groupe et la chiffrera. 423 00:27:37,100 --> 00:27:41,720 Nous l'enverrons avec la clé de chiffrement. 424 00:27:41,720 --> 00:27:46,520 Et maintenant, vous disposez de cette clé spécifique, vous pouvez donc déchiffrer n'importe quelle diffusion. 425 00:27:46,520 --> 00:27:51,660 ou les trames multicast que le point d'accès vous envoie ultérieurement. 426 00:27:51,660 --> 00:27:55,760 Donc, chaque personne qui se connecte au point d'accès, voilà pourquoi elle a besoin de ceci : 427 00:27:55,760 --> 00:27:59,640 pour dériver une clé de chiffrement, qui est un tiers de cette paire transitoire 428 00:27:59,640 --> 00:28:04,620 car s'ils n'avaient pas cela, ils ne pourraient pas recevoir le 429 00:28:04,620 --> 00:28:10,120 clé temporelle de groupe que le point d'accès doit leur fournir. 430 00:28:10,120 --> 00:28:16,100 Nous pouvons donc voir ici une trace de renifleur, et je mets en évidence le renifleur. 431 00:28:16,100 --> 00:28:18,120 Message de suivi numéro trois. 432 00:28:18,120 --> 00:28:20,280 Il y a la négociation EAP à quatre voies sur LAN. 433 00:28:20,280 --> 00:28:23,060 Il s'agit donc du message M3, ou message numéro trois. 434 00:28:23,060 --> 00:28:27,440 Et vous pouvez voir en bas, il est indiqué que le type est 802.1x. 435 00:28:27,440 --> 00:28:33,940 Donc 0x888E, cela correspond à toutes les trames E ou à cette valeur de type Ether. 436 00:28:33,940 --> 00:28:37,860 Et tout en bas, on trouve les données de la clé WPA. 437 00:28:37,860 --> 00:28:42,420 Pour l'instant, on ne peut pas vraiment dire de quoi il s'agit car c'est crypté. 438 00:28:42,420 --> 00:28:45,720 Ceci est chiffré à l'aide de la clé de chiffrement, mais je peux vous dire en 439 00:28:45,720 --> 00:28:49,100 il y a la clé temporelle du groupe. 440 00:28:49,100 --> 00:28:52,020 Il est inclus dans ce résultat. 441 00:28:52,020 --> 00:28:56,160 Très bien, cela conclut cette vidéo. 442 00:28:56,160 --> 00:28:59,580 Merci beaucoup d'avoir regardé et j'espère vraiment que cela vous a été utile.