1 00:00:04,300 --> 00:00:11,060 Bonjour et bienvenue dans cette vidéo intitulée « Génération d'éléments de mot de passe WPA3 ». 2 00:00:11,060 --> 00:00:18,460 Donc WPA3SAE, nous ne parlons donc pas de la version entreprise de WPA, 3 00:00:18,460 --> 00:00:23,280 La version personnelle de WPA utilise une authentification simultanée d'égal à égal. 4 00:00:23,280 --> 00:00:26,640 Et nous avons vu dans certaines vidéos précédentes que cela implique l'échange 5 00:00:26,640 --> 00:00:34,200 quatre images, deux images d'engagement SAE et deux images de confirmation SAE. 6 00:00:34,200 --> 00:00:38,920 L'objectif principal est de parvenir à une valeur secrète partagée entre les 7 00:00:38,920 --> 00:00:41,540 point d'accès et client LAN sans fil. 8 00:00:41,540 --> 00:00:44,900 Et ensuite, cette valeur secrète partagée peut subir des traitements mathématiques un peu plus poussés. 9 00:00:44,900 --> 00:00:50,600 calculs pour finalement dériver la clé maîtresse partagée par paire entre 10 00:00:50,600 --> 00:00:52,800 le client et le point d'accès. 11 00:00:52,800 --> 00:00:59,640 L'élément du mot de passe est désormais un composant essentiel de l'ensemble du processus. 12 00:00:59,640 --> 00:01:06,040 Et elle est utilisée comme l'une des entrées parmi plusieurs fonctions mathématiques qui sont 13 00:01:06,040 --> 00:01:08,380 utilisé pour créer ce secret partagé. 14 00:01:08,380 --> 00:01:13,640 Nous pouvons donc voir ici la formule utilisée pour créer ce secret partagé. 15 00:01:13,640 --> 00:01:18,000 Et nous pouvons constater que l'élément mot de passe est utilisé à quatre endroits différents. 16 00:01:18,000 --> 00:01:21,540 Il sert à calculer les valeurs des éléments finis du champ ; sinon, on l'appelle 17 00:01:21,540 --> 00:01:23,340 Valeurs des éléments ici. 18 00:01:23,340 --> 00:01:27,220 Il sert également à déduire la valeur secrète partagée à la toute fin. 19 00:01:27,220 --> 00:01:32,040 PWE désigne donc l'élément de mot de passe, et nous pouvons constater qu'il est utilisé ici. 20 00:01:32,040 --> 00:01:36,300 Cette vidéo va donc aborder brièvement la manière dont nous trouvons des idées. 21 00:01:36,300 --> 00:01:38,620 ce nombre, l'élément du mot de passe. 22 00:01:38,620 --> 00:01:43,900 Vous vous demandez peut-être : « D'accord, mais pourquoi allons-nous aborder la question de savoir pourquoi nous en avons besoin ? » 23 00:01:43,900 --> 00:01:45,080 comment parvenir à cette valeur ? 24 00:01:45,080 --> 00:01:46,580 Ça marche tout simplement, non ? 25 00:01:46,580 --> 00:01:50,760 Je veux dire, ce n'est pas vraiment quelque chose que je peux changer, influencer ou modifier. 26 00:01:50,760 --> 00:01:54,080 De toute façon, n'est-ce pas ? Eh bien, ça dépend. 27 00:01:54,080 --> 00:01:59,360 Dans la plupart des cas, il n'existe pas de points d'accès autonomes, comme ceux dont vous disposez si vous avez une maison. 28 00:01:59,360 --> 00:02:02,960 Un point d'accès domestique doté de sa propre petite interface web et tout le reste, 29 00:02:02,960 --> 00:02:07,800 Il ne vous donne probablement aucun contrôle sur la façon dont l'élément de mot de passe est géré. 30 00:02:07,800 --> 00:02:11,140 Elle est créée. Elle fonctionnera simplement en arrière-plan. 31 00:02:11,140 --> 00:02:15,660 Mais nous verrons ici que c'est le cas pour les équipements sans fil d'entreprise, par exemple, 32 00:02:15,660 --> 00:02:19,720 Les points d'accès sans fil sont contrôlés par un contrôleur sans fil Cisco 9800. 33 00:02:19,720 --> 00:02:24,200 Il vous proposera en fait une petite boîte déroulante qui vous permettra de contrôler 34 00:02:24,200 --> 00:02:28,800 le processus par lequel l'élément de mot de passe est créé. 35 00:02:28,800 --> 00:02:35,340 Et si vous sélectionnez une méthode d'élément de mot de passe que les points d'accès ou 36 00:02:35,340 --> 00:02:38,880 Si les clients ne sont pas d'accord, vous allez vous retrouver avec une inadéquation. 37 00:02:38,880 --> 00:02:44,400 entre la valeur de l'élément de mot de passe fournie par le point d'accès 38 00:02:44,400 --> 00:02:48,140 par rapport à la valeur de l'élément mot de passe fournie par le client. 39 00:02:48,140 --> 00:02:51,620 Et le client ne pourra évidemment pas se connecter à ce réseau sans fil. 40 00:02:51,620 --> 00:02:56,620 LAN. Il est donc important de comprendre les deux méthodes à notre disposition pour 41 00:02:56,620 --> 00:03:00,660 Créez cet élément de mot de passe afin que si vous utilisez un équipement qui vous permet de le faire 42 00:03:00,660 --> 00:03:04,140 Avec cette option, vous savez plus ou moins ce qui se passe en arrière-plan et vous êtes 43 00:03:04,140 --> 00:03:07,620 un peu mieux informés, ce qui pourrait vous permettre de choisir celui qui vous convient le mieux. 44 00:03:07,620 --> 00:03:11,360 Très bien, entrons un peu plus dans les détails. 45 00:03:11,360 --> 00:03:17,040 La création initiale de l'élément mot de passe consiste donc à… 46 00:03:17,040 --> 00:03:22,360 diverses entrées, telles que le SSID, l'adresse MAC du client et l'accès 47 00:03:22,360 --> 00:03:26,320 indique l'adresse MAC dans sa dérivation. 48 00:03:26,320 --> 00:03:31,700 Chaque connexion entre un client et un point d'accès générera un identifiant unique. 49 00:03:31,700 --> 00:03:34,460 valeur de l'élément mot de passe. 50 00:03:34,460 --> 00:03:39,360 Bob se connecte donc au même point d'accès que Sally, la connexion de Bob 51 00:03:39,360 --> 00:03:43,500 aura une valeur de mot de passe différente de la valeur de l'élément mot de passe 52 00:03:43,500 --> 00:03:46,260 La connexion de Sally au point d'accès. 53 00:03:46,260 --> 00:03:50,880 L'élément mot de passe est donc une carte de valeurs correspondant à un point sur une courbe elliptique. 54 00:03:50,880 --> 00:04:03,920 Maintenant, si vous connaissez bien les données que vous consultez, vous pouvez voir 55 00:04:03,920 --> 00:04:06,120 que les points d'accès comporteront un élément différent. 56 00:04:06,120 --> 00:04:08,120 Je vais donc ajouter quelques précisions à ce sujet. 57 00:04:08,120 --> 00:04:13,240 Très bien, les clients du réseau local sans fil choisiront donc un groupe à courbe elliptique. 58 00:04:13,240 --> 00:04:15,080 ils souhaitent utiliser. 59 00:04:15,080 --> 00:04:20,380 Ce que nous voyons ici est donc une représentation visuelle d'une ellipse. 60 00:04:20,380 --> 00:04:24,600 courbe. Or, si vous connaissez l'échange de points Diffie-Hellman, vous savez que lorsque 61 00:04:24,600 --> 00:04:27,440 Vous utilisez Diffie-Hellman, l'une des premières choses que les deux appareils 62 00:04:27,440 --> 00:04:32,080 Le point sur lequel ils doivent se mettre d'accord, c'est le groupe Diffie-Hellman qu'ils vont utiliser. 63 00:04:32,080 --> 00:04:35,640 Par exemple, le groupe 5 de Diffie-Hellman, le groupe 14 de Diffie-Hellman, etc. 64 00:04:35,640 --> 00:04:36,820 et ainsi de suite. 65 00:04:36,820 --> 00:04:42,420 Parce que chaque groupe possède deux valeurs qui lui sont propres, 66 00:04:42,420 --> 00:04:44,020 deux valeurs publiquement connues. 67 00:04:44,020 --> 00:04:46,900 Il existe une valeur de base ou de générateur. 68 00:04:46,900 --> 00:04:49,920 D'accord, donc c'est la même chose, la base, le générateur, juste des termes différents pour 69 00:04:49,920 --> 00:04:54,020 les mêmes éléments qui sont associés à ce groupe Diffie-Hellman particulier. 70 00:04:54,020 --> 00:04:58,240 Et il existe une valeur modulo, qui correspond à ce groupe particulier. 71 00:04:58,240 --> 00:05:03,000 Mais ici, lorsqu'on parle de l'algorithme de Diffie-Hellman pour les courbes elliptiques, et 72 00:05:03,000 --> 00:05:06,780 C'est ce que nous examinons réellement ici : le test de Diffie-Hellman sur courbes elliptiques. 73 00:05:06,780 --> 00:05:11,700 il comporte également des valeurs de groupe différentes, comme le groupe 19 et le groupe 20. 74 00:05:11,700 --> 00:05:16,080 Mais ils s'appuient sur ce concept de courbe elliptique. 75 00:05:16,080 --> 00:05:18,780 Et ce qui est vraiment, et c'est une bonne chose, c'est que nous ne voulons pas obtenir 76 00:05:18,780 --> 00:05:23,280 On s'égare ici dans les détails, car les calculs deviennent incroyablement complexes. 77 00:05:23,280 --> 00:05:27,800 Mais l'idée derrière une courbe elliptique utilisée à des fins de Diffie-Hellman est la suivante : 78 00:05:27,800 --> 00:05:33,220 Chaque point de cette courbe correspond à une formule mathématique. 79 00:05:33,220 --> 00:05:35,380 Par exemple, laissez-moi refaire cette animation. 80 00:05:35,380 --> 00:05:39,180 Regardez cette courbe, et vous verrez des points placés de manière aléatoire. 81 00:05:39,180 --> 00:05:45,900 Chaque point possède une valeur pour ses coordonnées x et y. 82 00:05:45,900 --> 00:05:50,600 Son axe x et son axe y peuvent être associés à deux points différents, un x 83 00:05:50,600 --> 00:05:56,060 et un y. Eh bien, ce qui est unique avec cette courbe en particulier, c'est… 84 00:05:56,060 --> 00:06:01,420 que tout point que vous trouvez dessus, si vous mettez ces valeurs x et y dans 85 00:06:01,420 --> 00:06:04,000 Cette formule fonctionnera toujours. 86 00:06:04,000 --> 00:06:11,900 Donc y au carré sera égal à x à la puissance 3 plus ax plus b. 87 00:06:11,900 --> 00:06:14,580 Nous n'allons pas entrer dans le détail de ce que représentent ax et b. 88 00:06:14,580 --> 00:06:17,560 N'hésitez pas à faire des recherches à ce sujet si vous le souhaitez. 89 00:06:17,560 --> 00:06:22,000 Mais le fait est qu'il existe une relation certaine entre x et y. 90 00:06:22,000 --> 00:06:28,200 est reproductible en tous points différents que l'on peut trouver sur cette courbe. 91 00:06:28,200 --> 00:06:36,680 En ce qui concerne WPA3SAE, l'objectif est de cartographier le réseau préconfiguré. 92 00:06:36,680 --> 00:06:48,480 - une clé partagée comme celle-ci en entrée, le SSID est une entrée, et quelques autres éléments, 93 00:06:48,480 --> 00:06:52,720 et puis, en coulisses, il y a des calculs mathématiques très complexes qui finissent par… 94 00:06:52,720 --> 00:06:58,660 Nous avons associé ces valeurs à un point quelconque de cette courbe. 95 00:06:58,660 --> 00:07:09,800 Donc si le point d'axe et le client prennent exactement les mêmes ensembles de 96 00:07:09,800 --> 00:07:15,400 les entrées, la clé pré-partagée WPA3, le SSID et quelques autres éléments, 97 00:07:15,400 --> 00:07:20,080 et en utilisant exactement le même groupe de Diffie-Hellman à courbe elliptique, ils devraient 98 00:07:20,080 --> 00:07:25,400 obtenir exactement la même valeur d'élément, qui est liée à l'une des 99 00:07:25,400 --> 00:07:28,020 les points situés sur cette courbe ici. 100 00:07:28,020 --> 00:07:32,000 Vous pouvez donc voir ici que lorsque le client envoie son message de groupe, il indique : 101 00:07:32,000 --> 00:07:38,780 Écoutez, l'élément de mot de passe que je crée est basé sur l'échange de points Diffie sur courbe elliptique. 102 00:07:38,780 --> 00:07:40,540 -Groupe Hellman 19. 103 00:07:40,540 --> 00:07:43,520 Vous voyez bien qu'il est écrit « groupe ECP 19 » juste ici ? 104 00:07:43,520 --> 00:07:49,220 Cela indique donc au point d'axe : « Hé, je dois utiliser ce même groupe ECDH. » 105 00:07:49,220 --> 00:07:54,380 je vais donc créer mon élément de mot de passe exactement de la même manière que le 106 00:07:54,380 --> 00:07:59,080 Le client l'a fait. Maintenant, comme je l'ai dit, pourquoi cela nous importe-t-il ? 107 00:07:59,080 --> 00:08:04,320 Eh bien, nous nous soucions de cela parce que les mécanismes concrets de la façon dont ces valeurs 108 00:08:04,320 --> 00:08:09,800 Le mot de passe et le SSID, comme dans le cas d'un mot de passe, sont finalement associés à un point sur cette courbe. 109 00:08:09,800 --> 00:08:12,860 sont éventuellement configurables. 110 00:08:12,860 --> 00:08:15,840 Et il y a deux façons de les configurer. 111 00:08:15,840 --> 00:08:21,080 Il y en a une appelée hachage vers élément et une autre appelée chasse et picorage. 112 00:08:21,080 --> 00:08:24,820 Comme je l'ai dit, beaucoup de points d'accès fonctionnent comme des points d'accès domestiques autonomes. 113 00:08:24,820 --> 00:08:27,600 Les points ne vous laisseront pas le choix entre ces deux options. 114 00:08:27,600 --> 00:08:30,640 En arrière-plan, la valeur par défaut sera simplement 1. 115 00:08:30,640 --> 00:08:35,120 Mais pour les équipements d'entreprise haut de gamme, vous pourriez avoir le choix. 116 00:08:35,120 --> 00:08:39,800 Et le point essentiel ici est que le client et le point d'accès doivent utiliser le 117 00:08:39,800 --> 00:08:44,980 Même méthode. Voici une capture d'écran d'un réseau local sans fil Cisco 9800 Catalyst. 118 00:08:44,980 --> 00:08:49,840 contrôleur. Et vous pouvez le voir ici dans le cadre de la configuration de votre réseau sans fil WPA3. 119 00:08:49,840 --> 00:08:52,840 LAN, WPA3 est sélectionné ici. 120 00:08:52,840 --> 00:09:03,160 Et notez que l'année suivante, et ici en bas, sous l'élément de mot de passe SAE, 121 00:09:03,160 --> 00:09:04,800 Il y a un menu déroulant. 122 00:09:04,800 --> 00:09:08,960 Vous avez plusieurs options : vous pouvez sélectionner « hacher uniquement l’élément », 123 00:09:08,960 --> 00:09:13,360 On pourrait se contenter de picorer à la volée, ou bien dire : essayons les deux. 124 00:09:13,360 --> 00:09:15,740 et voyez lequel fonctionne. 125 00:09:15,740 --> 00:09:20,680 Dans la prochaine vidéo, nous allons donc parler un peu plus de ce qui suit : 126 00:09:20,680 --> 00:09:25,500 La différence réside entre la méthode de chasse et de picorage et le hachage. 127 00:09:25,500 --> 00:09:27,060 méthode d'élément. 128 00:09:27,060 --> 00:09:30,360 Nous n'allons pas entrer dans les détails de leur fonctionnement mécanique. 129 00:09:30,360 --> 00:09:36,300 Mais je vais vous montrer quelques dysfonctionnements qui pourraient survenir, notamment 130 00:09:36,300 --> 00:09:41,380 si vous utilisez des points d'accès qui ne prennent pas nécessairement en charge les deux 131 00:09:41,380 --> 00:09:46,420 de ces éléments. Donc, pour l'instant, il faut retenir que l'élément de mot de passe 132 00:09:46,420 --> 00:09:49,860 est un point sur une courbe elliptique. 133 00:09:49,860 --> 00:09:58,300 Comment avons-nous obtenu ce résultat avec la méthode elliptique ou la méthode de hachage vers élément ? 134 00:09:58,300 --> 00:10:03,640 Et il prend comme entrées les valeurs communes du client LAN sans fil 135 00:10:03,640 --> 00:10:09,320 et le point d'accès en a connaissance, à savoir la clé de pré-partage et le SSID. 136 00:10:09,320 --> 00:10:11,980 Et c'est tout pour cette vidéo. 137 00:10:11,980 --> 00:10:13,640 Merci beaucoup d'avoir regardé. 138 00:10:13,640 --> 00:10:15,000 Et j'espère que cela vous a été utile.