现在 wifi 安全问题这么严重，为什么不引入公私钥体系呢?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3305 天前的主题，其中的信息可能已经有所发展或是发生改变。

有能力部署证书的都部署上，把 SSID 都改为域名显示，这样就和证书拥有者结合起来。比如， cmcc 都改为 chinamobile.com ，都部署公私钥，用户 WiFi 列表时有带有锁标识的，才是认证过的

公私钥

部署

WiFi

证书

31 条回复 • 2015-11-04 15:17:04 +08:00

tony1016

2015-10-29 15:14:15 +08:00 via Android

哈哈，如果可行，我把这种机制起名为 WiFi certification 1.0 协议

cxe2v

2015-10-29 15:17:11 +08:00

额，敢问这个有用？你家里搭个 wifi 也要申请一个证书？

shoaly

2015-10-29 15:18:57 +08:00

确实有道理, 虽然不像 @cxe2v 说的家家都需要一个证书, 但是在机场火车站咖啡厅, 看到一个在信任列表里面的 wifi 还是有意义的

tony1016

2015-10-29 15:25:08 +08:00 via Android

@cxe2v 私人部署什么，我说的是公共场所

Pastsong

2015-10-29 15:25:21 +08:00

商业用户使用带证书的 wlans:// 协议，使用证书加密连接，普通用户用的 wlan:// 协议，哎呀呀，草案可以写起来了

tony1016

2015-10-29 15:30:18 +08:00 via Android

再升级一下， SSID 分为显示名和隐藏名，显示名还可以是 cmcc ，但隐藏明是域名，用于验证

aveline

2015-10-29 15:35:25 +08:00

WPA Enterprise

est

2015-10-29 15:41:37 +08:00

这不就是 802.1x 上网认证？

tony1016

2015-10-29 15:42:19 +08:00 via Android

@est
@aveline 好吧，看来我少见多怪了

tony1016

2015-10-29 15:46:23 +08:00 via Android

@est
@aveline
@est 不过我觉得手机确实可以对认证过的，做一个醒目的标识

tony1016

2015-10-29 15:47:26 +08:00 via Android

@aveline
@est 现在只有在登录阶段才认证

powergx

2015-10-29 15:52:36 +08:00 via iPhone

wpa2 enterprise 就可以了

mfaner

2015-10-29 15:53:56 +08:00

CMCC 可以 EAP-SIM 认证，我 WP 在火车站连过

lshero

2015-10-29 15:54:22 +08:00

这就是嗤之以鼻的 WAPI

xfspace

2015-10-29 15:58:01 +08:00 via Android

@tony1016 802.1X 能用证书连接， https://en.m.wikipedia.org/wiki/IEEE_802.1X

tony1016

2015-10-29 16:00:51 +08:00 via Android

@mfaner
@est
@aveline 想一下还是有不同， enterprise 是在登录阶段做，而我的想法是在 SSID 广播阶段就做

honeycomb

2015-10-29 16:26:52 +08:00

@tony1016
广播带随机数+私钥签名的 SSID?

我记得 WAPI 有个梗是说，它的 AP/能验证路由器 /Radius 云云

Khlieb

2015-10-29 22:35:45 +08:00 via Android

路由器上能设置吧

tony1016

2015-10-30 09:19:18 +08:00

@honeycomb 是的，广播带有随机数＋私钥签名的 SSID

tony1016

2015-10-30 09:19:49 +08:00

@Khlieb 如果是新的协议，必然要各方支持

honeycomb

2015-10-30 09:28:13 +08:00

@tony1016
问题来了，谁在 AP/路由器部署证书？
证书的花费，如何保证 AP/路由器的证书不泄露？
如果不在 AP/路由器级别做，而在 Radius 服务器做，那么 Radius 和 AP/路由器之间如何互相验证，如何可靠传输(AP/路由器要发 SSID 给 Radius 以请求签名)，这样又有下一个问题，攻击者直接把这个随机数+签名的 SSID 抄过去不就完事了？
这种时候还是要握手一遍才能验证 AP/路由器端的身份

明文+签名可以验真，但没法保密

相比之下 802.1x 支持的扩展协议可以解决这个问题
当连上一个热点后，需要验证 Radius 和客户端互相验证身份才能建立链接

tony1016

2015-10-30 09:32:12 +08:00

@honeycomb 好吧，很专业，把这个随机数+签名的 SSID 抄过去我倒是没有想到。我的想法，还是希望在 SSID 广播阶段就能鉴别真伪，这样子对用户是最友好的

xrjr2015

2015-10-30 15:33:07 +08:00

wifi 安全的很，保险箱放大街上一样不安全，看你怎么用，谁再用，菜刀能切菜也能杀猪
媒体吹嘘 wifi 不安全是打击匿名发帖，因为会导致组织查水表有困难！

tony1016

2015-10-30 16:03:44 +08:00

@xrjr2015 这个是真不安全。自己搭一个路由器，再加上最近爆发的百度 wormhole 漏洞，窃取 android 信息，制造钓鱼，安装恶意程序，都是分分钟的事情。另外，昨天去参加一个中国信息安全用户大会，期间有中国公共 WIFI 安全分析报告（首发）（雨袭团），民间自己的调查，通过公共 WIFI 窃取，伪造已经变成一条产业链。报告中有说，目前公共 WIFI 中，很大一部分都是假的。

xrjr2015

2015-11-01 16:12:11 +08:00

@tony1016 都说看谁在用，你安卓 app 动不动就请求那么多的权限你自己管理好了吗？有米、淘米客直接木马手段盗窃用户隐私，还怕 wifi 不安全？
安装恶意程序那就更扯了，那么多的国内应用市场明目张胆违法怪用户瞎安装？
不就上个咖啡厅，公交车之类的 wifi ，还哪里有啥公共 wifi ，隔壁房子的 wifi 有几个闲空折腾你的啥个人信息？
媒体放大吹嘘，就是组织部门放口风，打击匿名发帖以及可能的境外信息在境内的流通，现在很多人都是光屁股在网络上跑！

julyclyde

2015-11-01 19:11:35 +08:00

关键问题是：你不能“阻止”一个和你的 ssid 重名的 AP 存在

tony1016

2015-11-02 09:14:37 +08:00

@julyclyde 但我可以标示哪个是正品，哪个是假的

tony1016

2015-11-02 09:18:16 +08:00

@xrjr2015 你以为你就管好了？你以为你管好就不会有信息泄漏了？
我在这里讨论公共 WIFI 问题，你非得说隔壁老王没有私钥，你让我怎么跟你沟通

julyclyde

2015-11-02 17:31:58 +08:00

@tony1016 客户端选择网络的时候是按 SSID 选择的而不是按 AP MAC 地址来选择的

tony1016

2015-11-03 13:15:28 +08:00

@julyclyde 只要有认证的 SSID ，都可以自动连接啊

julyclyde

2015-11-04 15:17:04 +08:00

@tony1016 遇到重名但加密方式不同的多个 AP ，移动站的行为会混乱