1 00:00:04,540 --> 00:00:10,640 Bonjour et bienvenue dans cette vidéo intitulée HNP et H2E. 2 00:00:10,640 --> 00:00:14,860 Alors, allons droit au but, et si vous êtes toujours… 3 00:00:14,860 --> 00:00:18,920 Si cela vous intéresse, vous pouvez me suivre pour découvrir plus de détails sanglants. 4 00:00:18,920 --> 00:00:24,880 Voici donc la sortie d'un contrôleur de réseau local sans fil Cisco Calist 9800 5 00:00:24,880 --> 00:00:29,000 plus précisément, la section où vous créez ou modifiez un élément existant 6 00:00:29,000 --> 00:00:34,320 Vous utilisez un réseau local sans fil WPA3. 7 00:00:34,320 --> 00:00:39,620 SAE. Il ne s'agit donc pas d'une connexion d'entreprise, mais d'une connexion WPA3 personnelle, et vous le remarquerez. 8 00:00:39,620 --> 00:00:43,060 En bas à droite, vous trouverez une liste déroulante appelée SAE. 9 00:00:43,060 --> 00:00:48,640 L'élément de mot de passe vous offre les trois options que vous voyez ici, à la fois H2E et 10 00:00:48,640 --> 00:00:52,600 Hachage HNP uniquement pour les éléments et uniquement par chasse et picorage. 11 00:00:52,600 --> 00:00:55,980 Alors avant de vous entrer dans les détails sanglants, laissez-moi vous expliquer les choses clairement. 12 00:00:55,980 --> 00:01:02,480 rapidement. Idéalement, vous devriez donc sélectionner le hachage de l'élément uniquement, c'est-à-dire le plus récent. 13 00:01:02,480 --> 00:01:08,440 méthode la plus sûre pour générer un élément de mot de passe requis par SAE. 14 00:01:08,440 --> 00:01:13,560 Cependant, de nombreux points d'accès et clients plus anciens ne prennent pas en charge le hachage. 15 00:01:13,560 --> 00:01:18,440 Cet élément peut entraîner des comportements anormaux si vous le prenez en charge. 16 00:01:18,440 --> 00:01:24,760 Même si vous sélectionnez à la fois H2E et HNP, vous pourriez rencontrer certains dysfonctionnements. 17 00:01:24,760 --> 00:01:28,820 et certains clients qui ne peuvent pas se connecter si vous utilisez une ancienne version d'accès 18 00:01:28,820 --> 00:01:30,640 points ou clients plus âgés. 19 00:01:30,640 --> 00:01:35,820 Il est donc probablement plus sûr d'opter pour l'ancienne méthode de chasse et de picorage. 20 00:01:35,820 --> 00:01:39,380 Vous seul pourrez garantir la connexion de vos clients au réseau sans fil. 21 00:01:39,380 --> 00:01:41,560 Réseau local (LAN) si vous sélectionnez cette option. 22 00:01:41,560 --> 00:01:45,620 Bon, maintenant que j'ai mentionné cela, passons aux détails de ce que c'est. 23 00:01:45,620 --> 00:01:50,800 Chasse et picorage : qu'est-ce que H2E, comment ça fonctionne et, globalement, pourquoi ? 24 00:01:50,800 --> 00:01:53,780 H2E est mieux que le pistage à la volée. 25 00:01:53,780 --> 00:01:57,660 Pour entamer cette discussion, il nous faut d'abord parler de choses vraiment très importantes. 26 00:01:57,660 --> 00:02:00,400 niveau concernant ce qu'on appelle les courbes elliptiques. 27 00:02:00,400 --> 00:02:05,040 Les courbes elliptiques font maintenant appel à des mathématiques très complexes et détaillées. 28 00:02:05,040 --> 00:02:08,000 Je ne suis pas mathématicien, donc je ne vais même pas m'approcher de ce sujet. 29 00:02:08,000 --> 00:02:12,200 Je vais juste survoler ça à un niveau de vue général, genre 15 000 mètres d'altitude. 30 00:02:12,200 --> 00:02:16,180 Donc, pour commencer, si vous pensez simplement à une courbe générale dans le premier 31 00:02:16,180 --> 00:02:20,600 un endroit comme celui où vous le représenteriez sur du papier millimétré ou quelque chose que nous connaissons 32 00:02:20,600 --> 00:02:25,500 que les courbes sont composées d'une quantité infinie de points et que chaque point 33 00:02:25,500 --> 00:02:30,500 Sur une courbe, est représenté par deux valeurs et une valeur x qui représente où 34 00:02:30,500 --> 00:02:35,360 ce point se trouve sur la ligne horizontale et sa valeur y représente une valeur 35 00:02:35,360 --> 00:02:39,440 où cela se situe sur l'axe vertical, d'accord ? 36 00:02:39,440 --> 00:02:42,580 Ainsi, toutes les courbes possèdent une infinité de points qui peuvent être représentés. 37 00:02:42,580 --> 00:02:45,180 chaque point de cette manière. 38 00:02:45,180 --> 00:02:49,460 En ce qui concerne les courbes elliptiques, si vous regardez attentivement, vous constaterez que… 39 00:02:49,460 --> 00:02:53,100 Ils les recensent souvent dans des documents et des articles sur Google. 40 00:02:53,100 --> 00:02:55,540 Montrez des formes comme celle-ci juste ici. 41 00:02:55,540 --> 00:02:59,780 En réalité, une courbe elliptique n'est pas vraiment un objet bidimensionnel, c'est 42 00:02:59,780 --> 00:03:05,540 une formule mathématique et c'est une formule mathématique dans laquelle le x 43 00:03:05,540 --> 00:03:11,240 et les coordonnées y, les valeurs de x et y doivent suivre des règles très spécifiques 44 00:03:11,240 --> 00:03:16,720 équations, ils doivent s'y conformer et si une coordonnée x ou y 45 00:03:16,720 --> 00:03:22,740 Si une formule particulière ne lui convient pas, alors elle n'appartient pas à un elliptique. 46 00:03:22,740 --> 00:03:26,980 Bon, entrons un peu plus dans les détails concernant certains aspects de la courbe. 47 00:03:26,980 --> 00:03:28,880 mathématiques des courbes elliptiques. 48 00:03:28,880 --> 00:03:40,880 Donc, avec WPA3SAE, nous devons envoyer des messages ; c'est tout l'intérêt. 49 00:03:40,880 --> 00:03:45,960 Les messages de validation SAE doivent… enfin, ils doivent échanger. 50 00:03:45,960 --> 00:03:47,640 Ils doivent créer un secret partagé. 51 00:03:47,640 --> 00:03:53,140 Dans SAE, nous commençons donc par échanger des informations dans le commit. 52 00:03:53,140 --> 00:03:57,720 des messages qui finissent par aboutir à un secret partagé, puis nous en échangeons quelques-uns. 53 00:03:57,720 --> 00:04:02,360 Confirmer les messages pour confirmer que le client et le point d'accès sont bien en place. 54 00:04:02,360 --> 00:04:07,540 Nous avons bien le même secret partagé. Une fois cela confirmé, nous pourrons utiliser un 55 00:04:07,540 --> 00:04:12,800 il faut aussi un peu plus de mathématiques pour convertir ce secret partagé en une paire. 56 00:04:12,800 --> 00:04:16,400 clé principale, puis le processus se poursuit à partir de là pendant le parcours EAP terrestre 57 00:04:16,400 --> 00:04:20,260 échange à quatre pour obtenir la clé transitoire, le chiffrement de la clé 58 00:04:20,260 --> 00:04:22,440 clés et autres choses. 59 00:04:22,440 --> 00:04:27,560 Tout commence donc par le secret partagé qu'il nous faut d'abord découvrir. 60 00:04:27,560 --> 00:04:32,020 Il y a donc de nombreuses données et formules mathématiques utilisées pour parvenir à 61 00:04:32,020 --> 00:04:35,880 Ce secret partagé, l'une des entrées, est ce qu'on appelle le mot de passe. 62 00:04:35,880 --> 00:04:42,220 L'élément de mot de passe est donc dérivé en SAE à l'aide de l'elliptique 63 00:04:42,220 --> 00:04:46,800 La formule de la courbe de diffhelmin est donc la base pour trouver le mot de passe 64 00:04:46,800 --> 00:04:52,640 élément et il existe différentes formules pour la diffhelminthiase à courbe elliptique 65 00:04:52,640 --> 00:04:55,460 tout comme si vous preniez régulièrement du diffhelmin 66 00:04:55,460 --> 00:04:59,320 diffihelmin, un produit similaire par exemple pour un VPN IPsec ou quelque chose du genre. 67 00:04:59,320 --> 00:05:03,140 comme ça, pour trouver une clé secrète partagée dès le début, quand 68 00:05:03,140 --> 00:05:06,780 Vous faites une sorte d'authentification iC ou quelque chose du genre dans le système diffhelmin classique. 69 00:05:06,780 --> 00:05:10,820 La première chose sur laquelle vous et votre collègue devez vous entendre, c'est le diffhelmin 70 00:05:10,820 --> 00:05:14,280 groupe que vous allez utiliser et ces groupes sont numérotés comme diffihelmin 71 00:05:14,280 --> 00:05:19,860 groupe 5, groupe 14 et chaque groupe de diffhelminthes lorsque vous êtes d'accord 72 00:05:19,860 --> 00:05:25,740 Au sein du groupe, vous convenez d'un ensemble de paramètres partagés, comme un seul groupe. 73 00:05:25,740 --> 00:05:31,120 et son équation pourrait utiliser un certain nombre premier qui est vraiment très grand. 74 00:05:31,120 --> 00:05:35,000 Le groupe pourrait utiliser un nombre premier différent, encore plus grand, et donc il y a 75 00:05:35,000 --> 00:05:40,060 certaines valeurs partagées auxquelles chaque groupe adhère, de sorte que la même chose est vraie 76 00:05:40,060 --> 00:05:44,260 Lorsqu'on travaille avec la diffhelminthiase à courbe elliptique, il faut se mettre d'accord sur l'ellipse. 77 00:05:44,260 --> 00:05:48,620 courbe du groupe de difféhelminthes que nous allons utiliser et quel que soit le groupe que nous utiliserons 78 00:05:48,620 --> 00:05:54,840 dicter la formule à laquelle les points de la courbe doivent se conformer, donc pour 79 00:05:54,840 --> 00:06:01,200 Voici un exemple du groupe 19, également connu sous le nom de NIST P256. 80 00:06:01,200 --> 00:06:06,460 C'est effectivement utilisé par WPA3 SAE ; voici la formule, et je vais vous expliquer. 81 00:06:06,460 --> 00:06:09,720 Voici quelques détails supplémentaires sur cette formule, mais à un niveau plus élevé 82 00:06:09,720 --> 00:06:15,400 En résumé, si je donne un nombre pour représenter la coordonnée x, alors… 83 00:06:15,400 --> 00:06:21,960 Bon, si je suis cette formule, d'accord, et ensuite à la fin, si… 84 00:06:21,960 --> 00:06:27,460 Le résultat de cette chose à droite est la même chose qu'un certain nombre 85 00:06:27,460 --> 00:06:35,260 au carré, donc si le résultat à droite x à la puissance 3 plus ax plus b mod p 86 00:06:35,260 --> 00:06:40,320 si le tout finit par avoir une valeur qui est le carré de quelque chose 87 00:06:40,320 --> 00:06:51,940 Sinon, j'ai ma coordonnée y, ce qui signifie que les coordonnées x et y sont identiques. 88 00:06:51,940 --> 00:06:55,940 formule pour que deux valeurs représentant x et y soient considérées comme valides 89 00:06:55,940 --> 00:07:01,020 point de courbe elliptique, ils doivent maintenant se conformer à la formule juste pour casser 90 00:07:01,020 --> 00:07:03,380 descendez un peu plus bas au cas où cela vous intéresserait un peu plus. 91 00:07:03,380 --> 00:07:08,300 Concernant les calculs, je me demandais… eh bien, que se passe-t-il si je fournis une valeur ? 92 00:07:08,300 --> 00:07:14,080 C'est super pour x, mais je dois aussi savoir ce que sont a, b et p dans l'ordre. 93 00:07:14,080 --> 00:07:19,420 pour appliquer cette formule ici à droite, vous pouvez donc voir ici euh dans 94 00:07:19,420 --> 00:07:22,160 Cette image vous en dit un peu plus. Allez-y et 95 00:07:22,160 --> 00:07:25,100 N'hésitez pas à mettre cette vidéo en pause si cela vous intéresse, mais vous pouvez 96 00:07:25,100 --> 00:07:30,900 voyez, p, a et b sont ces nombres fixes, ces valeurs fixes qui sont fournies avec 97 00:07:30,900 --> 00:07:35,540 groupe 19 et ensuite vous appliqueriez ces valeurs à n'importe quelle valeur de x que vous 98 00:07:35,540 --> 00:07:39,660 Trouver des solutions et, au final, si tout se passe bien, c'est que tout est en ordre. 99 00:07:39,660 --> 00:07:44,680 Voici la valeur que vous pouvez obtenir, c'est-à-dire le carré de quelque chose. 100 00:07:44,680 --> 00:07:53,840 Vous avez maintenant votre coordonnée y, donc pour résumer, wpa3sae doit d'abord la dériver. 101 00:07:53,840 --> 00:07:58,280 un élément de mot de passe avant d'effectuer l'échange SAE, cela doit se produire 102 00:07:58,280 --> 00:08:03,480 avant même que le tout premier message de commit ne soit envoyé et que l'élément de mot de passe 103 00:08:03,480 --> 00:08:08,560 Cela constituera une valeur et un point valable sur l'accord conclu 104 00:08:08,560 --> 00:08:12,520 L'élément du mot de passe sera donc en fait un nombre qui, d'une manière ou d'une autre, 105 00:08:12,520 --> 00:08:18,460 Cela intègre à la fois x et y, mais c'est beaucoup trop détaillé mathématiquement pour 106 00:08:18,460 --> 00:08:23,520 Je vais vous expliquer comment deux nombres, l'un représentant une coordonnée x, peuvent être utilisés. 107 00:08:23,520 --> 00:08:27,960 et l'un représentant une coordonnée y, comment convertir ces deux nombres 108 00:08:27,960 --> 00:08:33,800 en un seul élément que nous pouvons utiliser comme mot de passe, mais il ne l'est pas. 109 00:08:33,800 --> 00:08:38,340 C'est une courbe elliptique si complexe que Helman parvient à le comprendre, alors sachez-le. 110 00:08:38,340 --> 00:08:42,740 c'est ce que représente l'élément mot de passe 111 00:08:42,740 --> 00:08:48,080 Ces deux points sur la droite correspondent à la formule de la courbe elliptique, alors… 112 00:08:48,080 --> 00:08:51,120 Donnez-moi un exemple très simple de la façon dont cela fonctionne. 113 00:08:51,120 --> 00:08:57,240 Ce n'est pas ainsi que fonctionne l'ECD-H ou le SAE-E, c'est juste une sorte de véritable 114 00:08:57,240 --> 00:09:01,440 une sorte de vue d'ensemble des mécanismes de cela, donc imaginez si nous utilisons 115 00:09:01,440 --> 00:09:06,100 une formule très simple pour notre courbe elliptique, le groupe de Helman différentiel, soit 116 00:09:06,100 --> 00:09:12,140 Supposons que y² = x - 1 et donc je dois trouver 117 00:09:12,140 --> 00:09:18,380 une valeur de x telle que si je prends cette valeur de x moins un, cela sera égal à quelque chose 118 00:09:18,380 --> 00:09:24,080 c'est au carré et j'aurai alors mes deux points, d'accord ? Donc on sait que 119 00:09:24,080 --> 00:09:30,500 Dans WP Three SAE, il y a des entrées qui entrent dans cette formule pour obtenir le résultat. 120 00:09:30,500 --> 00:09:36,720 la valeur de x ces entrées étant au minimum le sid et la phrase de passe 121 00:09:36,720 --> 00:09:39,500 ainsi que quelques autres choses, mais nous essayons de le maintenir. 122 00:09:39,500 --> 00:09:44,860 C'est très simple ici, donc j'utilise un identifiant unique (s) et une phrase de passe. 123 00:09:44,860 --> 00:09:50,220 de b 55 pour une raison très simple : je veux convertir chacun d'eux 124 00:09:50,220 --> 00:09:55,640 transformez les caractères en une valeur aske car, au final, n'oubliez pas, sae 125 00:09:55,640 --> 00:10:00,900 C'est prendre votre dose de café, un, deux, trois, et votre mot de passe de sécurité 126 00:10:00,900 --> 00:10:06,300 café tous les jours et convertir d'une manière ou d'une autre cela en un nombre numérique à brancher 127 00:10:06,300 --> 00:10:10,220 Dans cette formule, j'ai donc simplement choisi un SID dans une phrase de passe qui est réelle. 128 00:10:10,220 --> 00:10:19,560 facile à convertir en nombres, donc a vaut 65 et c vaut 67 et e vaut 69, donc si 129 00:10:19,560 --> 00:10:23,340 J'ai pris, disons, ma formule et j'ai additionné ces trois nombres. 130 00:10:23,340 --> 00:10:30,040 J'obtiens 201, puis je fais la même chose pour ma phrase de passe ; b est 66 cinq 131 00:10:30,040 --> 00:10:35,480 53 est cinq à nouveau est 53 ce sont les valeurs demandées pour ces caractères 132 00:10:35,480 --> 00:10:40,920 En additionnant ces valeurs, j'obtiens 172. Si la formule le permet, c'est bon. 133 00:10:40,920 --> 00:10:44,460 Tu as fait ça, additionne-les pour obtenir un seul nombre, tu vois ? Donc ce que je suis en train de faire… 134 00:10:44,460 --> 00:10:48,780 Ce qui est bien fait ici, c'est de fournir un exemple très simple d'une façon de procéder. 135 00:10:48,780 --> 00:10:53,380 théorie selon laquelle nous pourrions prendre ces choses que vous avez tapées dans votre s sid dans 136 00:10:53,380 --> 00:10:58,520 votre phrase de passe et convertissez-la en une seule chaîne de chiffres 137 00:10:58,520 --> 00:11:03,000 Ce n'est pas ainsi que SAE procède, je vous donne juste une idée. 138 00:11:03,000 --> 00:11:08,520 Voilà comment cela pourrait se produire. Maintenant que nous avons cela, il nous faut trouver… 139 00:11:08,520 --> 00:11:13,280 si on pouvait intégrer cela dans une formule et si cela pouvait 140 00:11:13,280 --> 00:11:19,500 373 peut-il représenter un point valide d'une courbe elliptique ? 141 00:11:19,500 --> 00:11:28,080 x dans notre formule, prenons-le, et s'il ne l'est pas, que faisons-nous ? 142 00:11:28,080 --> 00:11:33,800 Et si on faisait ça ? Comment convertir 373 en une valeur appropriée ? 143 00:11:33,800 --> 00:11:39,340 Pour trouver x qui satisfait l'équation, essayons de le hacher. Voici un exemple. 144 00:11:39,340 --> 00:11:45,580 Essayons ceci : que se passe-t-il si nous prenons le hachage de 373 et disons le premier 145 00:11:45,580 --> 00:11:53,080 Si on le fait, on obtient la valeur 501. D'accord, est-ce que ça marchera ? 501 moins 1 146 00:11:53,080 --> 00:11:59,720 Si 500 est égal à une valeur quelconque, est-ce que son carré serait égal à 500 ? 147 00:11:59,720 --> 00:12:05,740 500 non, je ne pense pas, donc il est impossible que ce soit une courbe elliptique valide 148 00:12:05,740 --> 00:12:09,800 Bon, passons à la deuxième tentative : et si la formule disait… 149 00:12:09,800 --> 00:12:14,440 Prenez le résultat de 501 et hachez-le, puis éventuellement le résultat de ce hachage. 150 00:12:14,440 --> 00:12:23,800 207 est-il correct ? Vérifiez encore : 207 moins 1, soit 206. 206 y au carré. 151 00:12:23,800 --> 00:12:30,820 Pourrions-nous trouver y si y² = 206 ? Non, ce ne serait pas possible. 152 00:12:30,820 --> 00:12:34,920 Donnez-nous un numéro y valide. Et la troisième tentative ? Oh, regardez ça ! 153 00:12:34,920 --> 00:12:40,980 Donc, si nous reprenons notre valeur précédente de 207 et que nous la hachons à nouveau, nous… 154 00:12:40,980 --> 00:12:51,180 Trouvez 145. Oh, regardez ça ! 145 moins 1 font 144. Devinez quoi ? 12 au carré. 155 00:12:51,180 --> 00:13:01,740 égale à 144, donc maintenant nous pouvons dire que si x vaut 145, alors y pourrait valoir 12 et maintenant 156 00:13:01,740 --> 00:13:06,780 nous avons deux points qui correspondent à notre formule de courbe elliptique et maintenant si nous 157 00:13:06,780 --> 00:13:11,160 nous pourrions en quelque sorte combiner ces deux éléments en une seule valeur. 158 00:13:11,160 --> 00:13:16,360 notre élément de mot de passe, vous pouvez donc le voir dans ce genre de théorie de haut niveau 159 00:13:16,360 --> 00:13:22,180 Par exemple, nous utilisons le hachage et nous effectuons plusieurs tentatives pour arriver 160 00:13:22,180 --> 00:13:27,560 trouver une valeur qui satisfera cette valeur de x dans cette formule et 161 00:13:27,560 --> 00:13:31,680 Nous avons commencé avec des valeurs que vous avez saisies : s s i d 162 00:13:31,680 --> 00:13:39,760 Dans la phrase de passe pour faire tout cela, d'accord ? Alors, comment fonctionne WPA3 SAE ? 163 00:13:39,760 --> 00:13:47,120 En fait, nous le faisons afin de savoir que nous devons effectuer une opération de mot de passe. 164 00:13:47,120 --> 00:13:50,000 Sachez que nous allons utiliser la méthode de Diffie-Hellman sur les courbes elliptiques. 165 00:13:50,000 --> 00:13:55,200 et il y a deux façons de procéder, et cela nous ramène à cela. 166 00:13:55,200 --> 00:13:58,660 image du contrôleur 9800 que nous avons vue au début de cette vidéo 167 00:13:58,660 --> 00:14:04,400 Une méthode est appelée hachage d'élément, l'autre méthode est appelée recherche. 168 00:14:04,400 --> 00:14:09,160 Et voici maintenant l'ingrédient essentiel, quel que soit celui que vous choisissiez. 169 00:14:09,160 --> 00:14:13,560 Cela doit être fait à la fois par le client et le point d'accès. 170 00:14:13,560 --> 00:14:17,460 utiliser la même méthode, autrement dit, si le client propose son idée 171 00:14:17,460 --> 00:14:21,320 L'élément de mot de passe utilise un hachage pour être converti en élément, et pourtant le point d'accès est utilisé. 172 00:14:21,320 --> 00:14:26,540 les mêmes entrées que la phrase de passe et l'identifiant SS, mais il utilise la chasse et 173 00:14:26,540 --> 00:14:31,200 Le picorage ne fonctionnera pas et le client ne pourra pas s'associer à 174 00:14:31,200 --> 00:14:35,840 ce point d'accès et c'est ce que nous obtenons ici, donc c'est ici que nous 175 00:14:35,840 --> 00:14:39,180 Vous devez faire un choix maintenant. Si vous ne cochez pas cette case, vous ne sélectionnez rien. 176 00:14:39,180 --> 00:14:46,880 Il utilisera par défaut h2e et hnp, et je vous le préciserai si vous êtes 177 00:14:46,880 --> 00:14:50,720 en utilisant un point d'accès qui est, ah, qui a été fabriqué à l'intérieur probablement 178 00:14:50,720 --> 00:14:55,040 Ces deux dernières années, tout devrait bien se passer, mais voici où vous pourriez rencontrer des difficultés : 179 00:14:55,040 --> 00:14:59,600 Le problème, c'est si vous utilisez un point d'accès plus ancien, donc trois, quatre, cinq 180 00:14:59,600 --> 00:15:05,060 Si vous avez plusieurs années de plus, laisser les paramètres par défaut ici va entraîner des conséquences. 181 00:15:05,060 --> 00:15:08,340 Tu as un comportement étrange et je vais te montrer quelques exemples. 182 00:15:08,340 --> 00:15:12,340 Dans la vidéo suivante, nous aborderons d'autres sujets. Commençons donc par la chasse. 183 00:15:12,340 --> 00:15:17,500 et historiquement, c'est celui qui est sorti en premier, donc quand le WPA 184 00:15:17,500 --> 00:15:23,180 Le Wi-Fi a été inventé par la Wi-Fi Alliance, et ils ont dit 185 00:15:23,180 --> 00:15:27,840 Oh, WPA 3 doit passer par cet échange SA, mais avant cela… 186 00:15:27,840 --> 00:15:32,060 Il nous faut créer un élément de mot de passe et ils ont dit hmm, comment allons-nous 187 00:15:32,060 --> 00:15:35,760 Comment allons-nous procéder pour obtenir une phrase de passe et un numéro de sécurité sociale ? 188 00:15:35,760 --> 00:15:39,220 Peut-être une adresse MAC et quelques autres informations pour obtenir un nombre. 189 00:15:39,220 --> 00:15:43,920 que nous pouvons utiliser comme coordonnée x possible à intégrer dans notre formule pour 190 00:15:43,920 --> 00:15:48,400 voir si ça marche, et c'est comme ça qu'ils ont commencé à y penser pour la chasse. 191 00:15:48,400 --> 00:15:52,960 et picorer, alors comment ça marche ? En fait, ça marche un peu comme ce que j'ai fait. 192 00:15:52,960 --> 00:15:57,840 Dans mon précédent exemple de haut niveau, il utilise un mécanisme de hachage pour convertir 193 00:15:57,840 --> 00:16:03,120 la phrase de passe, le numéro de sécurité sociale et quelques autres éléments jusqu'à un point précis de la courbe. 194 00:16:03,120 --> 00:16:07,920 Un peu comme ce que j'ai fait précédemment dans mon exemple, c'est maintenant une très bonne opportunité. 195 00:16:07,920 --> 00:16:11,760 La première fois, il le hache, en calcule la valeur et se branche. 196 00:16:11,760 --> 00:16:16,640 cette valeur dans la formule que nous avons vue avec ces grandes valeurs de a, p et b 197 00:16:16,640 --> 00:16:20,620 et x au trois et tout ça ne marchera probablement pas, ça ne marchera probablement pas 198 00:16:20,620 --> 00:16:24,560 Trouvez une valeur qui satisfait y du côté gauche afin que nous ayons 199 00:16:24,560 --> 00:16:28,600 pour recommencer maintenant, à la manière du jeu de chasse et de picage, cela dit d'accord 200 00:16:28,600 --> 00:16:32,140 Premièrement, ce que je vais faire, c'est prendre en compte les informations que j'ai recueillies. 201 00:16:32,140 --> 00:16:37,040 entrées statiques : phrase de passe, identifiant, adresse MAC, et peut-être une ou deux autres. 202 00:16:37,040 --> 00:16:41,120 et je vais ajouter à cela quelque chose appelé compteur, peut-être commencer 203 00:16:41,120 --> 00:16:44,760 Je vais initialiser le compteur à un, hacher tout ça, puis… 204 00:16:44,760 --> 00:16:48,820 Vérifiez si le résultat correspond à une coordonnée x valide ; si ce n'est pas le cas, vérifiez si c'est le cas. 205 00:16:48,820 --> 00:16:52,540 Je vais conserver tous mes paramètres habituels, je ne vais certainement pas… 206 00:16:52,540 --> 00:16:55,820 Utilisez une phrase de passe différente ou un identifiant de sécurité différent, tout cela va 207 00:16:55,820 --> 00:16:59,820 Cela reste inchangé, je vais simplement incrémenter le compteur et maintenant parce que 208 00:16:59,820 --> 00:17:03,620 Ce petit changement est survenu, je vais le reprendre et voilà. 209 00:17:03,620 --> 00:17:09,500 J'ai obtenu un résultat de hachage différent que je peux maintenant tester, comme vous pouvez le voir ici. 210 00:17:09,500 --> 00:17:16,820 Il sera haché des milliers, voire des millions de fois, jusqu'à obtenir un résultat final. 211 00:17:16,820 --> 00:17:23,480 valeur qui fonctionne réellement dans ce groupe 19 courbe égaliptique difficile helman 212 00:17:23,480 --> 00:17:29,240 la formule et nous obtenons ensuite notre nombre x qui se traduit par un nombre y 213 00:17:29,240 --> 00:17:34,600 Il pourrait donc y avoir de nombreuses itérations et une sécurité moindre. Pourquoi disent-ils « moins performante » ? 214 00:17:34,600 --> 00:17:40,220 La sécurité ici repose sur un compromis, nous savons qu'en général 215 00:17:40,220 --> 00:17:44,880 En matière de sécurité, chaque fois que vous utilisez un mot de passe ou une phrase secrète, vous devez être vigilant. 216 00:17:44,880 --> 00:17:49,020 Je connais la recommandation générale : faites-le vraiment long et quelque chose comme ça. 217 00:17:49,020 --> 00:17:52,700 que les gens ne peuvent pas deviner correctement, la même chose est vraie ici quand vous êtes 218 00:17:52,700 --> 00:17:56,640 Pour configurer votre réseau local sans fil WPA3 SAE, vous devrez accéder aux paramètres suivants : 219 00:17:56,640 --> 00:18:00,400 Saisissez le mot de passe sur le contrôleur ou le point d'accès. 220 00:18:00,400 --> 00:18:04,860 Tu vas donner à tout le monde, eh bien voici le problème si tu 221 00:18:04,860 --> 00:18:09,660 Choisissez un mot de passe court, facile à mémoriser et à retenir, comme « le café est génial ». 222 00:18:09,660 --> 00:18:15,620 ou quelque chose de court comme ça, enfin, du côté positif 223 00:18:15,620 --> 00:18:19,600 C'est facile à voir pour tous les clients de votre magasin, quel qu'il soit, sur le mur. 224 00:18:19,600 --> 00:18:24,340 et tapez sur leurs téléphones ou leurs tablettes, et ensuite si vous utilisez 225 00:18:24,340 --> 00:18:29,300 et la méthode de la chasse et du picorage : plus le mot de passe est court, moins il y a d’itérations de hachage. 226 00:18:29,300 --> 00:18:33,300 Il faudra faire avec ça en attendant qu'il fournisse enfin une coordonnée x valide. 227 00:18:33,300 --> 00:18:39,160 Peut-être qu'il suffit de répéter « le café est génial » environ 5 000 fois avant de trouver… 228 00:18:39,160 --> 00:18:45,000 une coordonnée x, mais ce n'est pas idéal. Et si on parlait de… 229 00:18:45,000 --> 00:18:48,820 une entreprise juste là où vous n'affichez pas votre mot de passe sur le mur 230 00:18:48,820 --> 00:18:52,120 vous ne voulez pas que des personnes extérieures à votre entreprise aient accès à 231 00:18:52,120 --> 00:18:56,980 votre Wi-Fi afin que vous puissiez envoyer un e-mail à tous vos nouveaux employés ou que vous donniez 232 00:18:56,980 --> 00:19:00,100 Vos nouveaux employés, vous savez, une carte ou quelque chose qui contient la phrase de passe. 233 00:19:00,100 --> 00:19:03,960 Vous pouvez aussi le faire vous-même sur leur ordinateur portable avant de leur remettre. 234 00:19:03,960 --> 00:19:08,360 Il s'agit de leur présenter cela comme un actif appartenant à l'entreprise, dans tous les cas, le point du sondage est que nous 235 00:19:08,360 --> 00:19:12,280 Nous ne voulons pas que des personnes extérieures connaissent ce mot de passe, car nous ne le savons pas. 236 00:19:12,280 --> 00:19:17,860 Ils veulent les connecter à notre Wi-Fi, mais ils n'ont rien à y faire, alors on se dit… eh bien, nous… 237 00:19:17,860 --> 00:19:22,480 Vous devriez probablement choisir une phrase de passe très longue, enfin, plus elle est longue, mieux c'est. 238 00:19:22,480 --> 00:19:27,040 Plus il y a d'itérations de hachage, plus la recherche par picorage devient difficile. 239 00:19:27,040 --> 00:19:31,780 effectuer cette opération peut s'avérer très gourmande en ressources de calcul. 240 00:19:31,780 --> 00:19:36,260 le smartphone et l'ordinateur portable pour parcourir ces millions potentiels de 241 00:19:36,260 --> 00:19:41,160 itérations de recherche d'un mot de passe Wi-Fi long et complexe avant 242 00:19:41,160 --> 00:19:45,200 Il trouve finalement la coordonnée x qui va servir à remplir le champ. 243 00:19:45,200 --> 00:19:50,060 la formule, et c'est donc l'un des inconvénients : hé, j'essaie de faire quoi ? 244 00:19:50,060 --> 00:19:52,660 Ils me disent de faire, j'essaie de trouver une phrase de passe vraiment très longue. 245 00:19:52,660 --> 00:19:56,400 mais cela consomme beaucoup de ressources de calcul et provoque une surchauffe de mon processeur 246 00:19:56,400 --> 00:19:59,320 parce que la chasse et le picorage impliquent de passer par des millions et des millions 247 00:19:59,320 --> 00:20:04,700 de hachages pour enfin fonctionner et l'autre inconvénient de la chasse et du picorage 248 00:20:04,700 --> 00:20:10,020 Ce qu'ils disent, c'est que vous savez si quelqu'un à l'extérieur renifle. 249 00:20:10,020 --> 00:20:13,600 votre trafic sans fil, et leur objectif est soit d'accéder à votre 250 00:20:13,600 --> 00:20:17,460 Le Wi-Fi, ou bien ils veulent, vous savez, casser le chiffrement pour pouvoir le décrypter. 251 00:20:17,460 --> 00:20:21,960 Les cadres de pensée des gens, quels que soient leurs objectifs malveillants, l'objectif est ce que nous voulons 252 00:20:21,960 --> 00:20:26,300 pour leur donner le moins d'informations possible, nous voulons les empêcher 253 00:20:26,300 --> 00:20:32,300 à partir de suppositions sur ce qui se passe dans le Wi-Fi, donc avec ceci 254 00:20:32,300 --> 00:20:38,560 Voici une méthode : si quelqu'un utilise le Wi-Fi avec une phrase de passe très courte et simple… 255 00:20:38,560 --> 00:20:45,720 et je reniflais, d'accord, et je voyais vraiment, comme si tu pouvais, tu pouvais 256 00:20:45,720 --> 00:20:49,720 mesurer le temps écoulé depuis le premier envoi du message de commit par le client. 257 00:20:49,720 --> 00:20:54,040 Le client envoie son message de validation. Le client a déjà généré un mot de passe. 258 00:20:54,040 --> 00:20:57,660 L'élément a donc déjà subi le hachage et tout ça, mais l'accès 259 00:20:57,660 --> 00:21:02,700 Le point n'a pas encore été atteint car, tant que le client n'a pas envoyé le message, l'accès est impossible. 260 00:21:02,700 --> 00:21:07,080 Le but est de ne pas savoir ce qu'est l'elliptique de Diffie-Hellman, ou plutôt elliptique. 261 00:21:07,080 --> 00:21:10,940 Groupe de courbes Diffie-Helman que le client souhaite utiliser car il y a plus 262 00:21:10,940 --> 00:21:15,860 qu'un seul, de sorte que le point d'accès ne puisse pas générer son élément de mot de passe jusqu'à ce que 263 00:21:15,860 --> 00:21:20,080 Il voit ce message de commit du client et il sait à quel groupe cela appartient. 264 00:21:20,080 --> 00:21:24,620 Le client utilise donc si je surveillais tout à l'extérieur et que j'étais 265 00:21:24,620 --> 00:21:29,720 En traçant un tracé plus rigide, je pouvais en fait voir… hmm, on dirait que je peux vraiment… 266 00:21:29,720 --> 00:21:33,700 mesurer le temps, par exemple en microsecondes ou millisecondes, entre le moment où… 267 00:21:33,700 --> 00:21:37,640 Le premier message de commit a été vu, puis le deuxième message de commit provenant de 268 00:21:37,640 --> 00:21:42,280 Le point d'accès est revenu et je pourrais peut-être en déduire quelque chose. 269 00:21:42,280 --> 00:21:47,560 Si ce délai est vraiment court, je peux en déduire que la phrase de passe qu'ils utilisent est… 270 00:21:47,560 --> 00:21:51,840 L'utilisation doit être quelque chose d'assez court et simple, tandis que si le temps est 271 00:21:51,840 --> 00:21:56,160 plus long que je ne peux, oh, c'est probablement une phrase de passe très longue et complexe. 272 00:21:56,160 --> 00:21:59,780 Ils l'utilisent parce que trouver ce mot de passe prend beaucoup plus de temps. 273 00:21:59,780 --> 00:22:02,680 élément et c'est pourquoi ce deuxième message de commit prend un peu de temps 274 00:22:02,680 --> 00:22:07,500 Il est plus long de revenir en arrière, il existe en fait des types d'attaques qui utilisent cela 275 00:22:07,500 --> 00:22:11,920 comme une sorte de base à leur attaque, ce qui constitue un autre inconvénient. 276 00:22:11,920 --> 00:22:17,140 En cherchant et en picorant, l'avantage ici est que tout client Wi-Fi compatible 277 00:22:17,140 --> 00:22:23,700 Le WPA3 prendra en charge cette fonctionnalité car c'était la méthode originale utilisée par le WPA3. 278 00:22:23,700 --> 00:22:28,400 Nous avions l'habitude de proposer cet élément de mot de passe, mais nous en avons parlé récemment. 279 00:22:28,400 --> 00:22:32,860 certains inconvénients ont conduit plus tard au développement d'une technologie appelée hachage. 280 00:22:32,860 --> 00:22:37,080 cet élément est plus récent, il est sorti après de nombreuses recherches et il 281 00:22:37,080 --> 00:22:43,500 utilise un algorithme de hachage cryptographiquement spécifié pour courber, donc voici vraiment 282 00:22:43,500 --> 00:22:46,980 On va entrer dans les détails, sans avoir à faire de maths ni rien d'autre. 283 00:22:46,980 --> 00:22:51,380 Pour que vous compreniez pourquoi c'est mieux, pourquoi c'est mieux, parce que d'une manière ou d'une autre 284 00:22:51,380 --> 00:22:56,960 d'une manière que je ne comprends pas, cela est capable de prendre vos entrées de 285 00:22:56,960 --> 00:23:00,740 votre phrase de passe, votre SSID et éventuellement l'adresse MAC du client 286 00:23:00,740 --> 00:23:05,880 ou le point d'accès et, d'une manière ou d'une autre, aller là et découvrir quoi 287 00:23:05,880 --> 00:23:10,900 La valeur d'un élément de mot de passe est celle qui satisferait à la difficulté de la courbe elliptique. 288 00:23:10,900 --> 00:23:14,500 Le groupe Helman, sans effectuer de multiples itérations et en se demandant si cela fonctionne 289 00:23:14,500 --> 00:23:18,740 Non, ça marche ? Non, ça marche ? Ah oui, celui-là marche, il contourne le problème d'une manière ou d'une autre. 290 00:23:18,740 --> 00:23:23,400 Tout ça en zips, directement à la réponse. Je n'ai aucune idée de comment ça marche, mais 291 00:23:23,400 --> 00:23:28,140 Cela fonctionne, c'est donc plus efficace et plus sûr que la chasse à picorer. 292 00:23:28,140 --> 00:23:32,800 Mais comme je l'ai dit, le problème vient malheureusement de certains clients et points d'accès plus anciens. 293 00:23:32,800 --> 00:23:37,980 Nous ne soutenons pas cela, voici donc nos conclusions finales concernant cette vidéo. 294 00:23:37,980 --> 00:23:42,740 Il faut savoir que les points d'accès font de la publicité dans leurs balises 295 00:23:42,740 --> 00:23:48,900 Quelles sont les fonctionnalités de mot de passe prises en charge par leurs balises et sondes ? 296 00:23:48,900 --> 00:23:53,760 Dans leurs réponses, ils disent en fait, vous savez, il y a 297 00:23:53,760 --> 00:23:58,400 En fait, s'ils prennent en charge le hachage vers un élément, il existe des informations spécifiques. 298 00:23:58,400 --> 00:24:02,420 un élément qu'ils insèrent dans les balises et je vous le montrerai dans un 299 00:24:02,420 --> 00:24:05,800 Diapositive suivante, mais pour vous donner un aperçu dès maintenant, c'est en fait dicté 300 00:24:05,800 --> 00:24:12,560 L'IEEE stipule que si un point d'accès prend en charge le hachage d'un élément, il doit l'intégrer. 301 00:24:12,560 --> 00:24:17,400 un élément d'information spécial juste après l'élément rsn juste après 302 00:24:17,400 --> 00:24:21,060 Ils doivent ajouter un autre élément de réseau de sécurité robuste. 303 00:24:21,060 --> 00:24:26,060 qui contient une petite configuration indiquant que je réalise un hachage vers un élément, ou du moins 304 00:24:26,060 --> 00:24:29,680 Il est indiqué que je peux prendre en charge le hachage vers l'élément, ce petit peu si c'est le cas. 305 00:24:29,680 --> 00:24:34,540 La valeur « un » indique que je suis capable de cela, puis laisse le choix au client. 306 00:24:34,540 --> 00:24:38,620 pour décider s'il souhaite utiliser ou non le hachage de l'élément ou si ou 307 00:24:38,620 --> 00:24:43,400 non, il veut maintenant utiliser le picorage comme il le dit juste ici si 308 00:24:43,400 --> 00:24:48,220 Les clients sans fil voient ces balises ou ils voient cette réponse de sonde et 309 00:24:48,220 --> 00:24:52,080 ils voient cet élément d'information là-dedans, alors la plupart du temps si le 310 00:24:52,080 --> 00:24:57,100 En réalité, le client n'est pas toujours le même, c'est ce qui est indiqué dans le texte. 311 00:24:57,100 --> 00:25:01,800 Les spécifications IEEE indiquent que si un client voit ce bit défini à un et que le client 312 00:25:01,800 --> 00:25:07,580 Il prend en charge le hachage vers un élément ; il devrait utiliser le hachage vers un élément, et non pas la recherche et 313 00:25:07,580 --> 00:25:11,660 Il n'utilisera le picage que s'il ne perçoit pas ces informations. 314 00:25:11,660 --> 00:25:15,780 L'élément indique donc que le point d'accès ne prend pas en charge la prise en charge. 315 00:25:15,780 --> 00:25:19,900 Pour convertir un hachage en élément, je suppose que je dois utiliser l'ancienne méthode de recherche. 316 00:25:19,900 --> 00:25:24,060 Et voici maintenant une autre chose très importante à savoir. 317 00:25:24,060 --> 00:25:31,020 ou si vous utilisez le Wi-Fi 6e, le Wi-Fi 7 ou toute autre technologie susceptible d'être utilisée. 318 00:25:31,020 --> 00:25:36,340 À l'avenir, ces éléments nécessiteront un hachage, ce qui est obligatoire. 319 00:25:36,340 --> 00:25:39,560 Il vous faudra évidemment un point d'accès plus récent pour prendre en charge ces nouveaux appareils. 320 00:25:39,560 --> 00:25:44,520 Les normes Wi-Fi sont prises en charge et elles seront compatibles avec H2E. Assurez-vous simplement que vos clients le sont également. 321 00:25:44,520 --> 00:25:49,320 Vous pouvez également le soutenir dès maintenant si vous n'êtes pas sûr de ses capacités. 322 00:25:49,320 --> 00:25:53,200 Vos points d'accès à vos clients se limitent à la chasse au picotement. 323 00:25:53,200 --> 00:25:58,280 Vous devriez être en sécurité. C'est tout pour cette vidéo. Merci beaucoup !