WEP安全性能研究及其攻击

[Ｓ[１]]和Ｓ[Ｓ[１]＋Ｓ[Ｓ[１]]]这三个元素以很高的概率（大于５％）均不参与ＫＳＡ剩余的交换操作，也即首字节输出以很高的概率满足：

Ｏｕｔ＝ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]＝ＳＩ＋Ｂ－１[ｊＩ＋Ｂ－１＋Ｋ[Ｂ]＋ＳＩ＋Ｂ－１[Ｉ＋Ｂ]]

这种情况下，通过重建ＫＳＡ，能够成功地从首字节输出中获取加密密钥中某个特定字节Ｋ[Ｉ＋Ｂ]的信息：

Ｋ[Ｂ]＝Ｓ[Ｏｕｔ]－ｊＩ＋Ｂ－１－ＳＩ＋Ｂ－１[Ｉ＋Ｂ]]

Ｓ[Ｏｕｔ]表示元素Ｏｕｔ在状态表中的位置。

从前面分析可以看出，在满足ＳＩ[１]＜Ｉ＋Ｂ?且ＳＩ[１]＋ＳＩ[ＳＩ[１]]＝Ｉ＋Ｂ条件的情况下，可以准确重建Ｋ[Ｂ]的概率大于５％，远远大于１／２５６。这样通过收集足够数量的满足上述条件的数据包，就可以成功地重建密钥Ｋ[Ｂ]。同理，在成功重建Ｋ[Ｂ]的基础上，就可以用类似的方法重建所有密钥。

具体算法如下：

ＲｅｃｏｖｅｒＷｅｐＫｅｙ(ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ,ＫｅｙＢｙｔｅ)

Ｃｏｕｎｔｓ[０．．．２５５]＝０

Ｆｏｒ ｅａｃｈ ｐａｃｋｅｔ－＞Ｐ

Ｉｆ Ｒｅｓｏｌｖｅｄ﹖(Ｐ．ＩＶ）

Ｃｏｕｎｔｓ[ＳｉｍｕｌａｔｅＲｅｓｏｌｖｅｄ(Ｐ,ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ)]＋＝１

Ｆｏｒ ｅａｃｈ ＳｅｌｅｃｔＭａｘｉｍａｌＩｎｄｅｘｅｓＷｉｔｈＢｉａｓ(Ｃｏｕｎｔｓ)－＞ＢｙｔｅＧｕｅｓｓ

ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ[ＫｅｙＢｙｔｅ]＝ＢｙｔｅＧｕｅｓｓ

Ｉｆ Ｅｑｕａｌ﹖(ＫｅｙＢｙｔｅ,ＫｅｙＬｅｎｇｔｈ)

Ｉｆ ＣｈｅｃｋＣｈｅｃｋｓｕｍｓ(ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ)

Ｒｅｔｕｒｎ ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ

Ｅｌｓｅ

Ｋｅｙ＝ＲｅｃｏｖｅｒＷＥＰＫｅｙ(ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ,ＫｅｙＢｙｔｅ＋１)

Ｉｆ ｎｏｔＥｑｕａｌ﹖(Ｋｅｙ,Ｆａｉｌｕｒｅ)

Ｒｅｔｕｒｎ Ｋｅｙ

Ｒｅｔｕｒｎ Ｆａｉｌｕｒｅ

２．３ 算法改进

可以看出，以上的攻击方法中，所有关于Ｋ[Ｉ＋Ｂ]的预测均是基于其前面所有密钥（Ｋ[０]，．．．，Ｋ[Ｉ＋Ｂ－１]）已知的基础上。换言之，前面的预测错误将直接导致Ｋ[Ｉ＋Ｂ]的错误预测。那么能否从Ｋ[Ｉ＋Ｂ]中推测出Ｋ[０]，．．．，Ｋ[Ｉ＋Ｂ－１]的信息？

考虑ＫＳＡ，如果经过Ｉ次迭代后，满足：

Ｉ＜ＳＩ[１]＋ＳＩ[ＳＩ[１]]＝Ｉ＋Ｂ≤Ｌ

ＳＩ[１]≤Ｉ

则ＳＩ[１]和ＳＩ[ＳＩ[１]]以很大的概率（（２５４／２５６）Ｌ－Ｉ≈１）不参与第Ｉ步与第Ｌ步之间的迭代。同时，ｊ以很大的概率不指向ＳＩ[Ｉ]，．．．，ＳＩ[Ｉ＋Ｂ]这几个元素。

即：

ＳＩ[１]＝ＳＩ＋Ｂ－１[１]   ｉＬ－１＝Ｌ－１

ｊＩ＋Ｂ－１＝ｊＩ＋ＳＩ[Ｉ]＋．．．＋ＳＩ[Ｉ＋Ｂ－１]＋Ｋ[Ｉ]＋．．．＋Ｋ[Ｉ＋Ｂ－１]

考虑第Ｌ步：

《WEP安全性能研究及其攻击(第4页)》