HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA MẬT MÃ  BÁO CÁO BÀI TẬP LỚN MÔN HỌC BẢO MẬT CÁC DỊCH VỤ MẠNG Chủ đề số 14 TÌM HIỂU CƠ CHẾ BẢO MẬT DỮ LIỆU TRONG CHUẨN WPA3 ENTERPISE Giảng viên: TS Nguyễn Văn Nghị Thực hiện: Sinh viên lớp TC23A Phan Thanh Tịnh Nguyễn Tấn Thương Bùi Quang Sang Nguyễn Trọng Duy HÀ NỘI, 2022 Ý KIẾN CỦA GIẢNG VIÊN 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 MỤC LỤC Danh mục kí hiệu từ viết tắt Danh mục CÁC BẢNG DANH MỤC CÁC HÌNH VẼ .3 Lời mở đầu .4 Tài liệu tham khảo 19 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 DANH MỤC KÍ HIỆU VÀ TỪ VIẾT TẮT Viết tắt Giải thích AES Advandced Encryption Standard TKIP Temporal Key Integrity Protocol PSK Pre-Shared Key EAP Extensible Authentication Protocol RADIUS Remote Authentication Dial in User Service AP Access Point CCMP Counter Mode Cipher Block Chaining Message Authentication Code Protocol SSID Service Set Indentifer PMK Pair-wise Master Key PAE Port Access Entity PTK Pair-wise Transient Key GTK Group Transient Key STA Wireless station IANA ECC Elliptic Curve Cryptography FFC Finite Field Cryptography KDF Key Derivation Function Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.1 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 DANH MỤC CÁC BẢNG Bảng 1.1: Bảng biểu diễn …………………………………………………5 (danh mục làm tự động giống mục lục) Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.2 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 DANH MỤC CÁC HÌNH VẼ Hình 1.1: Hình biểu diễn …………………………………………………5 (danh mục làm tự động giống mục lục) Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.3 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 LỜI MỞ ĐẦU Trước phát triển mạnh mẽ công nghệ thơng tin tồn cầu với thành công bước đầu cách mạng công nghiệp 4.0, sống, làm việc thời kỳ - thời kỳ “kỷ nguyên số” Ngày nay, hầu hết người có sử dụng 01 thiết bị di động kết nối với mạng 3G, 4G, 5G, Wi-Fi để trao đổi thông tin, làm việc, mua sắm ngân hàng trực tuyến… Với nhu cầu đó, Wi-Fi dần xuất khắp nơi từ gia đình, trường học đến địa điểm công cộng: quán cà phê, nhà hàng, khách sạn Vì vậy, Wifi xem cầu nối cho tất người liên kết với nhau, trao đổi thông tin nơi đâu Tất điều đặt cho nhiệm vụ mới, bảo vệ bí mật Wi-Fi địi hỏi phải tồn Vì vậy, bảo mật mạng Wi-Fi để giữ bí mật riêng tư người dung đời Trong báo cáo ngày hôm nay, chúng tơi trình bày thảo luận nội dung “Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterprise” Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.4 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 CHƯƠNG GIỚI THIỆU VỀ WIFI 1.1 Giới thiệu Wi-Fi 1.1.1 Khái niệm Wi-Fi (Wireless Fidelity) họ giao thức mạng không dây, dựa tiêu chuẩn họ IEEE 802.11 , sử dụng rộng rãi cho việc kết nối không dây thiết bị mạng nội việc kết nối Internet, cho phép thiết bị điện tử phạm vi ngắn chia sẻ liệu thơng qua sóng vơ tuyến 1.1.2 Lịch sử đời Vic Hayes gọi "cha đẻ Wi-Fi" ơng chủ trì ủy ban IEEE tạo chuẩn 802.11 vào năm 1997 Chuẩn 802.11 thành lập vào năm 1997 Sau đó, cải tiến băng thông mạng thêm vào chuẩn 802.11 Chúng bao gồm 802.11a, 802.11b, 802.11g, 802.11n, 801.11ac… Theo đó, đặc điểm kỹ thuật cho WiFi thiết lập, cho phép hai megabyte giây truyền liệu không dây thiết bị Điều châm ngòi cho phát triển thiết bị nguyên mẫu (bộ định tuyến) để tuân thủ theo chuẩn IEEE802.11 vào năm 1999, WiFi giới thiệu để sử dụng nhà 1.1.3 Tần số WiFi (qua giai đoạn) WiFi sử dụng sóng điện từ để liên lạc liệu chạy hai tần số chính: 2.4Ghz (802.11b) 5Ghz (802.11a) Trong nhiều năm, 2.4Ghz lựa chọn phổ biến cho người dùng WiFi, hoạt động với hầu hết thiết bị thống tốn 11a 1.1.4 Phạm vi Wi-Fi hoạt động băng tần 2,4 GHz truyền thống lên đến 150 feet (46 m) nhà 300 feet (92 m) trời Các định tuyến 802.11a cũ chạy băng tần GHz đạt xấp xỉ phần ba khoảng cách Các định tuyến 802.11n 802.11ac hoạt động hai băng tần 2,4 GHz GHz khác khả hiển thị tương tự Các vật cản vật lý nhà tường gạch khung kim loại vách làm giảm phạm vi mạng WiFi 25% trở lên Do định luật vật lý, kết nối WiFi GHz dễ bị chướng ngại vật 2,4 GHz 1.2 Các chuẩn bảo mật Wi-Fi cũ (WEP, WPA, WPA2) Tất liệu truyền qua mạng Wi-Fi kênh truy cập mở mang thông tin trao đổi mạng Wi-Fi chia sẻ cho người dùng khác mạng khác Tuy nhiên, liệu phải trao đổi người sử dụng mạng Wi-Fi Do đó, vấn đề bảo mật trở thành Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.5 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 chủ đề nóng nghiên cứu điều tra Mahmoud Khasawneh, Izadeen Kajman, Rashed Alkhudaidy Anwar Alt Bắt đầu từ năm 1990, nhiều giao thức bảo mật không dây develo áp dụng, khơng có giao thức số coi giao thức tốt mối đe dọa bảo mật khác phát sinh hàng ngày với lỗ hổng nâng cao liệu ứng dụng 1.2.1 WEP (Wired Equivalent Privacy) Quyền riêng tư tương đương có dây (WEP) lần phát hành phần tiêu chuẩn IEEE 802.11 vào năm 1999 Tính bảo mật coi tương đương với phương tiện có dây nào, có tên gọi WEP yêu cầu tất máy khách điểm truy cập (AP - Access point) mạng phải chia sẻ tối đa bốn khóa đối xứng bí mật khác Điều gây khó khăn cho việc triển khai cài đặt lớn hơn, người dùng thay đổi thường xuyên lý hầu hết cài đặt sử dụng khóa bí mật có tên khóa gốc Quy trình mã hóa WEP: WEP sử dụng mã hóa dịng mã Ron - RC4 [Stream Cipher] để bảo mật tổng kiểm tra CRC-32 cho tính tồn vẹn Lúc đầu, sử dụng khóa 40 104 bit vectơ khởi tạo 24 bit WEP sử dụng thuật tốn đối xứng, có nghĩa hai thiết bị phải chia sẻ khóa bí mật để giao tiếp an toàn với Vấn đề với WEP liên quan đến việc sử dụng vector khởi tạo 24-bit, đơi tự lặp lại q trình truyền Trong giới mật mã, ngẫu nhiên hóa khơng từ chối vectơ khởi tạo điều tối quan trọng điều ngăn cản việc đốn số văn định trình truyền Nếu tin tặc bắt đầu thấy số văn mã hóa định lặp lại nó, bắt đầu cho văn lặp lại từ giải mã tin nhắn mà khơng có kiến thức nội dung chia sẻ WEP có số nhược điểm lớn: khơng ngăn chặn việc giả mạo gói tin, khơng ngăn chặn cơng phát lại, sử dụng RC4 khơng cách, khóa sử dụng yếu brute-cưỡng máy tính tiêu chuẩn vài đến vài phút, cho phép kẻ cơng sửa đổi thơng điệp mà khơng cần biết khóa mã hóa bị cơng vào năm 2001 Fluhrer, Mantin Shamir Họ kẻ cơng khơi phục khóa bí mật mạng máy tính xách tay tiêu dùng trung bình khoảng thời gian trung bình 1-2 Ngày nay, khơi phục khóa bí mật vịng chưa đầy 60 giây Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.6 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 1.2.2 WPA (Wi-Fi Protected Access) Do WEP khơng đủ an tồn, năm 2003, Nhóm tác vụ IEEE 802.11 trình bày giao thức Wi-Fi Protected Access - WPA để khắc phục sai sót WEP WPA giao thức bảo mật thiết kế để tạo mạng khơng dây (Wi-Fi) an tồn Nó tương tự giao thức WEP, cung cấp cải tiến cách xử lý khóa bảo mật cách người dùng ủy quyền WPA chạy phần cứng với WEP yêu cầu cập nhật chương trình sở Trong sử dụng mã hóa RC4, TKIP sử dụng khóa mã hóa tạm thời thường xuyên đổi mới, khiến khóa khó bị đánh cắp sau sử dụng để giải mã lượng thơng tin hữu ích Ngồi ra, tính tồn vẹn liệu cải thiện thông qua việc sử dụng chế băm mạnh mẽ hơn, Michael Message Integrity Check (MMIC) Nó sử dụng AES để mã hóa khơng phải tất phần cứng WPA hỗ trợ AES Quy trình mã hóa WPA: Để cải thiện mã hóa liệu, WPA sử dụng giao thức TKIP (Temporal Key Integrity Protocol – Giao thức tích hợp khóa theo thời gian) để tạo khóa 128 bit cho gói gửi qua sóng vơ tuyến, khác với WEP dùng khóa cho gói Thuật tốn Michael sử dụng để cung cấp kiểm tra tính tồn vẹn thơng điệp chế khóa lại, sửa chữa sai sót WEP - Cơ chế xác thực WPA WPA kích hoạt hai phiên xác thực: + WPA-Personal: phù hợp với văn phịng nhỏ máy tính gia đình WPA-Personal cịn gọi WPA-PSK (WPA-Pre Share key - Khóa chia sẻ trước) Để bắt đầu giao tiếp, khóa tĩnh chia sẻ hai bên giao tiếp Mấu chốt Khóa ghép nối (Pairing master key - PMK) quy trình TKIP phải đặt chỗ trước hiệp hội thành lập Với WPA-PSK, nút WLAN cấu hình thiết bị không dây xác thực với điểm truy cập khóa 256-bit + WPA-Enterprise: Được thiết kế cho mạng công ty, doanh nghiệp doanh nghiệp lớn Doanh nghiệp WPA thiết lập xác thực 802.1x Quay số xác thực từ xa dịch vụ người dùng (RADIUS) Giao thức xác thực mở rộng (EAP- Extensible Authentication Protocol) để cung cấp xác thực mạnh Chế độ Doanh nghiệp cung cấp khóa mã hóa động phân phối an toàn sau người dùng đăng nhập tên người dùng mật họ cung cấp chứng kỹ thuật số hợp lệ Người dùng khơng thấy khóa mã hóa thực tế chúng không lưu trữ thiết bị WPA-Enterprises cung cấp khả Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.7 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 bảo mật tuyệt vời cho lưu lượng mạng không dây Các phương pháp EAP khác là: EAP - Giao thức xác thực mở rộng nhẹ (EAP LEAP), EAP - Xác thực linh hoạt qua đường hầm bảo mật (EAP-FAST), EAP-Thông báo thông báo (EAP-MD5), EAP- Bảo mật lớp truyền tải (EAP TLS), EAP- Bảo mật lớp truyền tải đường hầm ( EAP TTLS), EAP- Mô-đun nhận dạng thuê bao Hệ thống Tồn cầu cho Truyền thơng Di động (EAP-SIM) - Điểm yếu WPA: + WPA sử dụng thuật tốn mã hóa yếu RC4 thay Tiêu chuẩn mã hóa nâng cao (AES) + Tiện ích nguồn mở có tên Reaver bỏ qua mật WPA thiết lập Wi-Fi bảo vệ (WPS) bật + WPA dễ bị công từ điển trường hợp cụm mật yếu + Nó dễ bị cơng từ chối dịch vụ (DOS) + Kích thước gói liệu tăng lên dẫn đến truyền lâu + Cần thiết lập phức tạp cho WPA-doanh nghiệp + Vấn đề khơng tương thích với phần cứng cũ + Chi phí hiệu suất lớn 1.2.3 WPA2 (Wi-Fi Protected Access 2) Một năm sau WPA đời, WPA2 giới thiệu vào ngày 24/06/2004 (Tên gọi thức WPA2 dạng tiêu chuẩn tổ chức IEEE IEEE 802.11.i-2004) WPA2 giới thiệu chế độ mã hóa chí cịn tốt kết hợp bảo mật mạnh mẽ Tiêu chuẩn dự thảo WPA2 xác thực vào ngày 24/6/2004 thiết lập vào tháng 9/2004 WPA2 phiên nâng cao sử dụng AES thay TKIP để khắc phục sai sót WPA Đặc biệt, Thuật toán Michael (MIC) thay mã xác thực tin nhắn, CCMP, coi hoàn toàn an toàn RC4 thay AES (Tiêu chuẩn mã hóa nâng cao) - Thành phần WPA2 WPA2 có hai thành phần cốt lõi để bảo mật mạng khơng dây LAN gồm mã hóa (encryption) xác thực (authentication) Thành phần mã hóa WPA2 quy định sử dụng AES (Advanced Encrytion Standard - Tiêu chuẩn mã hóa nâng cao) Thành phần xác thực WPA2 gồm hai chế độ: cho cá nhân cho tổ chức Chế độ cá nhân yêu cầu sử dụng PSK (Pre-Share Key – Khóa chia sẻ trước) không yêu cầu người dùng xác thực riêng rẽ Chế độ tổ chức yêu cầu người dùng xác thực riêng rẽ dựa tiêu chuẩn IEEE 802.1X sử dụng giao thức EAP (Extensible Authentication Protocol - Giao thức xác thực mở rộng) nhằm đảm bảo Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.8 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 chương trình xác nhận WPA WPA2 trao đổi, liên thơng với Chế độ tổ chức yêu cầu triển khai phần cứng/phần mềm gồm: + Lựa chọn kiểu EAP (Extensible Authentication Protocol - Giao thức xác thực mở rộng) hỗ trợ cho trạm, điểm truy cập cho máy chủ xác thực + Lựa chọn triển khai máy chủ xác thực RAIDUS (Remote Authentication Dial in User Service - Xác thực từ xa cho dịch vụ người dùng) dựa máy chủ xác thực + Phần mềm WPA2 nâng cấp cho điểm truy cập máy khách WPA2 thiết lập kịch truyền thông bảo mật 04 giai đoạn Tại giai đoạn đầu tiên, AP (Access Point – Điểm truy cập) máy khách thoả thuận sách bảo mật (gồm phương pháp xác thực, giao thức cho truyền tải lưu lượng đơn hướng (unicast), giao thức truyền tải lưu lượng đa hướng (multicast) phương pháp xác thực trước (pre-authentication)) Việc xác định sách bảo mật nhằm hỗ trợ cho việc kết nối AP máy khách Trong giai đoạn thứ hai (chỉ áp dụng cho chế độ tổ chức), chế xác thực 802.1X khởi tạo AP máy khách sử dụng phương pháp xác thực ưu tiên để cấp phát khóa chủ dùng chung (common master key) Trong giai đoạn thứ sau xác thực thành cơng, khóa tạm thời (mỗi khóa có thời gian trì định) thiết lập cập nhật Trong giai đoạn thứ tư, tất khóa cấp phát sử dụng giao thức CCMP (Counter Mode Cipher Block Chaining message authentication code protocol – Giao thức xác thực thông điệp chế độ Counter Cipher, chế mã hóa AES sử dụng cho WPA2) để cung cấp liệu bảo mật nguyên vẹn - Xác thực WPA2 Một thay đổi quan trọng giới thiệu WPA2 chế phân chia xác thực người dùng đảm bảo việc tuân thủ tính riêng tư tồn vẹn thơng tin, WPA2 cung cấp kiến trúc bảo mật mạnh mẽ, tính mở rộng cao phù hợp với mạng máy tính nhà tổ chức Xác thực chế độ cá nhân WPA2 triển khai máy khách AP, cấp phát khóa chia sẻ trước (PSK) 256-bit trích xuất từ cụm văn mã hóa (a plain-text pass phrase) từ tới 63 kí tự PSK kết hợp với SSID (Service Set Indentifer – Số định danh dịch vụ hình thành thuật tốn cho Khóa chủ theo cặp (Pair-wise Master Key (PMK) sử dụng giai đoạn cấp phát khóa Xác thực chế độ tổ chức WPA2 dựa theo tiêu chuẩn xác thực IEEE 801.1X Các thành phần gồm máy khách tham gia vào mạng (máy truy cập), máy chủ AP cung cấp chế truy cập đóng vai trò máy xác nhận máy chủ xác thực (RADIUS) triển khai xác thực máy khách Máy xác nhận AP phân Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.9 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 chia cổng ảo vào hai cổng lô gic, cho dịch vụ cho xác thực, tạo thành thực thể truy cập cổng (Port Access Entity – PAE) Cổng logic cho xác thực PAE thường xuyên mở cho phép khung xác thực qua cổng lô gic dịch vụ PAE mở thực xác thực thành công máy chủ RADIUS Việc kết nối máy truy cập máy xác nhận sử dụng giao thức EAPoL lớp (EAP over LAN) Máy chủ xác thực (RADIUS) nhận yêu cầu xác thực từ máy xác nhận xử lý Khi trình xác thực hoàn thành, máy truy cập máy xác nhận có khóa chủ bí mật thể hình vẽ đây: Hình 1: Cơ chế kết nối, xác thực máy trạm máy AP Việc cấp phát khóa WPA2 bao gồm hai chế bắt tay (handshakes): + Cơ chế bắt tay bốn bước cho PTK (Pair-wise Transient Key – Khóa theo cặp tạm thời) GTK (Group Transient Key – Khóa nhóm tạm thời) + Cơ chế bắt tay cho khóa nhóm nhằm làm GTK - Mã hóa WPA2 Thuật tốn mã hóa AES sử dụng WPA2, sử dụng block cipher (một chuỗi/khối mật mã khóa đối xứng sử dụng để nhóm bít chuỗi thơng tin có độ dài cố định) sử dụng cho trình mã hóa giải mã Trong WPA2, triển khai theo AES, bit mã hóa khối block sử dụng khóa có độ dài 128 bít Mã hóa AES bao gồm 04 giai đoạn tạo thành vịng mã hóa vịng thực lặp lại 10 lần Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.10 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 AES sử dụng giao thức CCMP (Counter-Mode/CBC-Mac Protocol) CCM (Counter-Mode/CBC-Mac) chế độ triển khai cho khối block cipher cho phép khóa đơn lẻ sử dụng cho q trình mã hóa xác thực Hai chế độ CCM bao gồm chế độ đếm (Counter Mode), sử dụng cho mã hóa liệu chế độ CBC-MAC (Cipher Block Chaining Message Authentication Code) cung cấp tính tồn vẹn cho liệu Mã hóa AES chế độ tồn vẹn thơng tin cung cấp liệu ngun vẹn, khơng có thay đổi trường gói tin mào đầu (header), thực sau (AES sử dụng véc tơ khởi tạo 128-bit (Initialization Vector (IV))): + IV mã hóa với AES Khóa tạm thời (Temporal Key (TK)) để cung cấp khối kết 128-bít + Khối kết 128 bít sử dụng toán tử XOR với khối liệu 128 bít + Kết tốn tử XOR sau chuyển lại bước bước 128 khối block trọng tải liệu 802.11 (802.11 payload) vét cạn + Cuối trình triển khai, 64 bít sử dụng cho chế độ tồn vẹn thơng tin (Message Integrity Code (MIC) Hình 2: Cơ chế mã hóa AES WPA2 Thuật tốn chế độ đếm (Counter Mode) mã hóa liệu với MIC sau: + Khởi động đếm (counter) Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.11 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 + Khối 128 bít mã hóa sử dụng AE Khóa tạm thời (TK) để cung cấp khối kết 128 bít + Thực tốn tử XOR Trước tiên, liệu 128 bít cung cấp khối block 128 mã hóa + Lặp lại bước từ 1-3 khối 128 bít mã hóa hết + Thiết lập counter (bộ đếm) tới mã hóa sử dụng AES tốn tử XOR - Giải mã WPA2 Các bước giải mã thực sau: + Sử dụng thuật toán tượng tự cho mã hóa + Các giá trị từ bước phần nội dung mã hóa trọng tải liệu 802.11 (802.11 payload) giải mã sử dụng thuật toán chế độ đếm (Counter Mode) TK Kết liệu giải mã chế độ MIC + Dữ liệu sau xử lý thuật toán CBC-MAC để tính tốn MIC giá trị bước bước khơng phù hợp, gói tin bị loại bỏ Sau đó, liệu giải mã gửi qua mạng tới máy khách - Lợi ích WPA2 WPA2 giải lỗ hỗng WEP tin tặc công kiểu đơn vị trung gian “man in the middle” giải mã xác thực, tái gửi nhận (replay), khóa yếu (weak keys), giả mạo gói tin (packet forging), xung đột khóa (key collision) Bằng việc sử dụng mã hóa AES xác thực 802.1X/EAP, WPA2 nâng cao cải thiện lực so với WPA sử dụng mã hóa TKIP xác thực 802.1X/EAP Hơn nữa, WPA2 bổ sung hai chức nâng cao cho việc hỗ trợ chuyển vùng không dây (roaming of wireless) máy khách di chuyển điểm truy cập AP: + Hỗ trợ lưu trữ PMK (Pair-wise Master Key) – cho phép tái kết nối tới AP, máy khách kết nối mà không cần tái xác thực (re-authenticate) + Hỗ trợ xác thực trước (Pre-authentication) – cho phép máy khách xác thực trước tới AP chuẩn bị chuyển tới, trì kết nối với AP khác di chuyển xa Việc hỗ trợ lưu trữ PMK xác thực cho phép WPA2 giảm thời gian chuyển vùng từ giây tới 1/10 giây Lợi ích việc chuyển vùng nhanh WPA2 hỗ trợ ứng dụng đòi hỏi thời gian Citrix, video, thoại IP (voice over IP) không bị gián đoạn chuyển vùng Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.12 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 - Điểm yếu WPA2: + Khung điều khiển vvaf quản lý không má hóa dẫn đến để cơng DOS + Việc xác thực không xác thực dẫn đến giả mạo địa MAC + Tấn công bạo lực sử dụng cụm mật yếu WPA2-cá nhân + WPA2 đắt tiền cần thay đổi phần cứng có, khơng hỗ trợ phần cứng cũ + Các khung quản lý sử dụng để báo cáo cấu trúc liên kết mạng khơng mã hóa, cho phép kẻ cơng phân tích bố cục mạng + WPA2-Enterprise dựa giao thức kiểm soát truy cập 802.1x dựa cổng dễ có lỗ hổng Hole196 + Xảy tình trạng ngập kẹt gói tin có kích thước lớn 1.2.4 WPA3 (Wi-Fi Protected Access 3) WPA3 lần lặp lại thứ ba tiêu chuẩn Truy cập bảo vệ Wi-Fi Wi-Fi Alliance phát triển thay tiêu chuẩn trước đó, WPA2 Tiêu chuẩn WPA tạo nhóm nhiệm vụ kỹ thuật bảo mật Liên minh Wi-Fi, Stephen Orr Cisco chủ trì, với mục đích chuẩn hóa bảo mật khơng dây WPA3 giới thiệu tính mạng bảo mật doanh nghiệp, cá nhân mạng mở thông qua việc gia tăng sức mạnh mật mã, cho phép quy trình xác thực an toàn cho tất điểm cuối hỗ trợ WPA3 WPA3 v1.0 phát hành lần vào ngày 09/4/2018, cập nhập hai WPA3 v2.0 (20/12/2019) WPA3 v3.0 (14/12/2020) WPA3 phân thành loại chủ yếu sau: - Chế độ WPA3-Cá nhân; - WPA3-Chế độ chuyển tiếp cá nhân; - Chế độ WPA3-Enterprise - Chế độ chuyển đổi WPA3-Enterprise - Chế độ 192-bit WPA3-Enterprise - Chuyển đổi BSS nhanh WPA3 - Xác thực chứng máy chủ WPA3-Enterprise; - SAE-PK; - Chế độ SAE-PK; Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.13 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 - URI WIFI; - Chỉ báo Tắt chuyển đổi 1.2.4.1 WPA3 - Personal (cá nhân) WPA3-Personal áp dụng cho cài đặt mạng cá nhân Các chế độ WPA3-Personal: - Chế độ WPA3-Cá nhân; - Chế độ chuyển tiếp WPA3-Cá nhân 1.2.4.2 Chế độ WPA3-Cá nhân Khi hoạt động chế độ WPA3-Cá nhân: - Một AP phải bật chọn AKM 00-0F-AC: BSS - Một STA cho phép chọn AKM 00-0F-AC: chọn cho liên kết - Một AP không bật chọn AKM: 00-0F-AC: 2, 00-0F-AC: - Một STA không cho phép chọn AKM: 00-0F-AC: 2, 00-0F-AC: chọn cho liên kết - Một AP phải đặt MFPC thành 1, MFPR thành - Một STA đặt MFPC thành 1, MFPR thành - Một STA khơng kích hoạt WEP TKIP 1.2.4.3 WPA3-Chế độ chuyển tiếp cá nhân Khi hoạt động chế độ chuyển tiếp WPA3-Cá nhân: - Một AP phải bật chọn AKM 00-0F-AC: 00-0F-AC: BSS - Một STA cho phép chọn AKM 00-0F-AC: 00-0F-AC: chọn cho liên kết - Một AP phải bật chọn AKM: 00-0F-AC: - Một STA phải cho phép chọn AKM: 00-0F-AC: chọn cho liên kết - Một AP phải đặt MFPC thành 1, MFPR thành - Một STA đặt MFPC thành 1, MFPR thành - Một AP từ chối hiệp hội cho SAE PMF khơng thương lượng cho hiệp hội Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.14 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 - Một STA thương lượng PMF liên kết với AP SAE 1.2.4.4 Yêu cầu bổ sung chế độ WPA3-Personal Các yêu cầu bổ sung sau áp dụng cho tất chế độ WPA3-Personal: - Một AP khơng kích hoạt WPA phiên BSS với WPA3-Personal - Một AP khơng kích hoạt WEP TKIP BSS WPA3Personal - Khi kết nối với AP hỗ trợ SAE PSK, STA kết nối SAE - Trên AP, PSK AKM (00-0F-AC: 00-0FAC: 6) bật, chế độ chuyển tiếp WPA3-Personal bật theo mặc định, trừ quản trị viên ghi đè rõ ràng để hoạt động chế độ WPA2-Cá nhân 1.2.4.5 WPA3-Doanh nghiệp WPA3-Enterprise áp dụng cho cài đặt mạng doanh nghiệp Các chế độ WPA3-Enterprise định nghĩa sau: - Chế độ WPA3-Enterprise; - Chế độ chuyển tiếp WPA3-Enterprise; - Chế độ 192-bit WPA3-Enterprise 1.2.4.6 Chế độ WPA3-Enterprise Khi hoạt động chế độ WPA3-Enterprise: - Một AP phải bật chọn AKM 00-0F-AC: (IEEE 802.1X với SHA-256) BSS; - Một STA cho phép chọn AKM 00-0F-AC: chọn cho liên kết; - Một AP không bật chọn AKM: 00-0F-AC:1 (IEEE 802.1X với SHA-1); - Một STA không cho phép chọn AKM 00-0F-AC: chọn cho liên kết; - Một AP đặt MFPC thành 1, MFPR thành 1; - Một STA đặt MFPC thành 1, MFPR thành 1; - Một STA khơng bật WEP TKIP Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.15 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 1.2.4.7 Chế độ chuyển đổi WPA3-Enterprise Khi hoạt động chế độ chuyển đổi WPA3-Enterprise: - Một AP phải bật chọn AKM 00-0F-AC: (IEEE 802.1X với SHA-1) 00-0F-AC: (IEEE 802.1X với SHA-256) BSS; - Một STA cho phép chọn AKM 00-0F-AC: 00-0F-AC: chọn cho liên kết; - Một AP phải đặt MFPC thành 1, MFPR thành 0; - Một STA đặt MFPC thành 1, MFPR đến 1.2.4.8 Yêu cầu bổ sung chế độ WPA3-Enterprise Các yêu cầu bổ sung sau áp dụng cho tất chế độ WPA3-Enterprise: - Một AP khơng kích hoạt WPA phiên BSS với WPA3-Enterprise; - Một AP khơng kích hoạt WEP TKIP BSS WPA3Enterprise; 1.2.4.9 Chế độ WPA3-Enterprise 192-bit Chế độ 192-bit WPA3-Enterprise phù hợp để triển khai môi trường doanh nghiệp nhạy cảm để bảo vệ mạng Wi Fi® với yêu cầu bảo mật cao phủ, quốc phịng cơng nghiệp Khi hoạt động chế độ WPA3-Enterprise 192-bit: - Khi AP sử dụng chế độ 192-bit WPA3-Enterprise, PMF đặt thành bắt buộc (bit MFPR trường Khả RSN đặt thành RSNE AP truyền đi) - Khi STA sử dụng chế độ 192-bit WPA3-Enterprise, PMF đặt thành bắt buộc (bit MFPR trường Khả RSN đặt thành RSNE STA truyền) - Bộ mật mã EAP phép sử dụng với chế độ WPA3-Enterprise 192-bit là: + ECDHE ECDSA sử dụng đường cong mô-đun nguyên tố 384-bit P-384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 + ECDHE sử dụng đường cong mô-đun nguyên tố 384-bit P-384 + Mô-đun RSA ≥ 3072-bit + TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 + Mơ-đun RSA ≥ 3072-bit Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.16 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 + DHE ≥ 3072-bit mơ-đun Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.17 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 CHƯƠNG TÌM HIỂU CƠ CHẾ BẢO MẬT DỮ LIỆU TRONG CHUẨN WPA3 ENTERPISE 2.1 Xác thực đồng thời (Simultaneous Authentication of Equals) Như giới thiệu trên, WPA2 sử dụng chế xác thực bắt tay bốn bước, nhiên WPA3 sử dụng chế xác thực đồng thời SAE Xác thực đồng thời (SAE) biến thể Dragonfly, trao đổi khóa xác thực mật dựa chứng khơng có kiến thức SAE sử dụng trạm để xác thực mật khẩu; có thuộc tính bảo mật sau: - Việc kết thúc giao thức thành công dẫn đến cặp khóa chủ chia sẻ hai trạm - Kẻ công xác định mật cặp khóa chủ cách quan sát thụ động trao đổi cách tự xen vào trao đổi cách chuyển tiếp trung thực thông điệp hai trạm - Kẻ công khơng thể xác định mật khóa chia sẻ kết cách sửa đổi, giả mạo phát lại khung hình thành trạm trung thực, khơng bị gián đoạn - Kẻ công thực nhiều lần đoán mật cho lần công Điều ngụ ý kẻ công thực công sau chuyển sang chế độ ngoại tuyến thực lần đoán mật lặp lặp lại thành cơng Nói cách khác, SAE có khả chống lại công từ điển - Sự thỏa hiệp cặp khóa chủ từ lần chạy trước giao thức không mang lại lợi cho kẻ thù cố gắng xác định mật khóa chia sẻ từ trường hợp khác - Việc thỏa hiệp mật không mang lại lợi cho kẻ công việc cố gắng xác định cặp khóa chủ từ trường hợp trước Không giống giao thức xác thực khác, SAE khơng có khái niệm “Người khởi xướng” “Người phản hồi” “Người cung cấp” “Người xác thực” Các bên tham gia sàn giao dịch bình đẳng, bên bắt đầu giao thức Mỗi bên khởi tạo giao thức đồng thời cho bên tự xem “người khởi xướng” cho lần chạy giao thức cụ thể Giao thức ngang hàng sử dụng theo kiểu máy khách-máy chủ truyền thống (hoặc Supplicant / Authenticator) trị chuyện khơng u cầu cần thiết để giải chất MBSSs Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.18 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 Các bên liên quan gọi STA-A STA-B Chúng xác định địa MAC chúng, STA- A-MAC STA-B-MAC Các STA bắt đầu giao thức chúng phát máy ngang hàng cách nhận (các) khung Beacon Probe Response chúng nhận khung Xác thực cho biết xác thực SAE từ máy ngang hàng SAE giao thức xác thực RSNA SAE thực tất trạm lưới để tạo điều kiện thúc đẩy khả tương tác 2.1.1 Các giả định SAE SAE sử dụng chức liệu khác để hoàn thành nhiệm vụ giả định thuộc tính định chức Những điều sau: - H hàm “giải nén” (xem IETF RFC 5869) tập trung entropy có khả phân tán từ đầu vào để tạo đầu khóa giả ngẫu nhiên, mạnh mặt mật mã Hàm nhận đầu vào “salt” khơng bí mật khóa đầu vào bí mật “ikm” tạo đầu có độ dài cố định - CN chức xác nhận lấy khóa bí mật liệu để xác nhận liên kết với sàn giao dịch - Một nhóm chu trình hữu hạn thương lượng mà việc giải toán logarit rời rạc khơng khả thi mặt tính tốn Khi sử dụng với AKM 00-0F-AC: 00-0F-AC: 9, H viết tắt HMAC- SHA-256: H (salt, ikm) = HMAC-SHA-256 (salt, ikm) Khi sử dụng với AKMs 00-0F-AC: 00-0F-AC: 9, CN khởi tạo hàm nhận khóa, đếm chuỗi liệu Mỗi phần liệu chuyển đổi thành chuỗi octet nối với trước nối với đếm chuyển, với khóa, tới HMAC- SHA-256: CN(key, counter, X, Y, Z, ) = HMAC-SHA-256(key, counter || D2OS(X) || D2OS(Y) || D2OS(Z) || ) Trong D2OS () đại diện cho hàm chuyển đổi liệu sang chuỗi octet Mỗi lệnh gọi CN () xác định định dạng đếm Các mô tả khác hàm H CN yêu cầu tạo mã định danh AKM Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.19 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 2.1.2 Mật Mật sử dụng SAE để tính tốn cách xác định phần tử bí mật nhóm thương lượng, gọi phần tử mật Đầu vào cho trình cần phải dạng chuỗi nhị phân Để giao thức kết thúc thành công, bên cần tạo chuỗi nhị phân giống hệt cho mật định, mật định dạng ký tự Khơng có biểu diễn nhị phân tắc ký tự mơ hồ tồn mật chuỗi ký tự Để loại bỏ không rõ ràng này, trạm đại diện cho mật dựa ký tự dạng chuỗi ASCII Việc trình bày mật dựa ký tự ký tự khác sử dụng kỹ thuật xử lý trước mật (để ánh xạ chuỗi ký tự thành chuỗi nhị phân) thỏa thuận, theo kiểu dải, trước bắt đầu SAE Nếu mật dạng nhị phân (ví dụ: khóa chia sẻ trước nhị phân) khơng có biểu diễn tập ký tự giả định Biểu diễn nhị phân mật khẩu, sau chuyển đổi từ biểu diễn ký tự trực tiếp dạng nhị phân, lưu trữ dotllRSNConfigPasswordValueTable Khi “mật khẩu” gọi mô tả SAE theo sau thông tin xác thực từ dotl IRSNConfigPasswordValueTable sử dụng Tìm hiểu chế bảo mật liệu chuẩn WPA3 Enterpise 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99 Tr.20 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.2237.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.66 37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.99