在我的家里,我有一个使用密码短语受 WPA2-PSK(WPA2 Personal)保护的路由器。
当我尝试通过 Internet 登录某个页面时(此页面不使用 HTTPS 登录),我的所有数据都以明文形式发送(因为我可以看到我在 Wireshark 中输入的密码)。
这是为什么?我的意思是,我的 WiFi 受到保护,所以所有通信都应该加密,对吗?
为什么通过受密码保护的 Wifi 以明文形式发送 HTTP 数据?
信息安全
tls
无线上网
wpa2-psk
2021-09-05 17:15:50
4个回答
我的意思是,我的 WiFi 受到保护,所以所有通信都应该加密,对吗?
它是,但不是在你正在阅读它的地方。加密发生在“管道”中的某个点,然后解密也必须发生在“管道”中的某个点(否则数据无用)。您在解密后观察数据,如果您使用 HTTPS(相反提供端到端加密,从服务器开始到浏览器结束),这是不可能的。
如果您尝试使用 Wireshark 来捕获 HTTPS 事务的内容,它会是这样的:
+--------+ (encrypted) +----------+ (encrypted) +--------+
| Server | ----------->| Internet |------------>| Router |
+--------+ +----------+ +--------+
|
| (encrypted)
+------------------+---+
| Your PC | |
| +-----------+ (e)| |
| | Browser |<---+ |
| +-----------+ | |
| +-----------+ (e)| |
| | Wireshark |<---/ |
| +-----------+ |
+----------------------+
在这里,您的浏览器知道如何解密数据,因为它首先“拥有”HTTPS 交易;您的 Wireshark 实例(根据端到端加密的目的,在这种情况下被视为与任何其他窥探者一样)没有。
但是你的无线加密从路由器开始,到PC的网卡结束,所以你的结果更像是这样:
+--------+ (plaintext) +----------+ (plaintext) +--------+
| Server | ----------->| Internet |------------>| Router |
+--------+ +----------+ +--------+
|
| (encrypted)
+------------------+---+
| Your PC | |
| +-----------+ (p)| |
| | Browser |<---+ |
| +-----------+ | |
| +-----------+ (p)| |
| | Wireshark |<---/ |
| +-----------+ |
+----------------------+
在这里,您 PC 上的任何东西都可以读取数据,因为它们已被您的网卡解密。否则,哪个应用程序会解密数据?什么都行不通。
HTTPS和WPA2-PSK几乎没有关系;他们做完全不同的工作。
使用带有 WPA2-PSK(或任何其他网络加密算法)的路由器,并不意味着所有站点都必须使用 https。这意味着未连接到网络的人看不到未加密的流量。
将 HTTPS 视为您的浏览器和网站之间的关系。
将 WPA2-PSK 视为您的设备和接入点之间的关系。
当您在计算机上运行 Wireshark 时,您正在捕获计算机可以“看到”的流量。
如果您在浏览 HTTP 网站时运行 Wireshark,计算机会以明文形式“看到”数据,因为 Wi-Fi 加密发生在路由器/接入点级别,即所谓的“链路层”。
另一方面,如果您在浏览 HTTPS 网站时运行 Wireshark,即使您没有使用 Wi-Fi 加密,Wireshark 也会“看到”加密数据,因为 HTTPS 加密 (SSL/TLS) 发生在浏览器级别,或者更多准确地说,在“应用层”。
这样想。
一个接入点允许多个设备连接到 Internet。如果没有任何类型的加密,任何设备(无论是在无线网络内部还是外部)都能够以明文形式“看到”来自和去往任何连接到网络的设备的流量。Wi-Fi 加密可防止网络外部的设备查看您的流量(这就是密码的用途)并防止网络内部的设备相互监视(简化一点,数据使用每个设备的不同密钥加密)。因此,如果 Alice 和 Bob 连接到接入点 AP,不仅 Eve(在网络外)看不到与 Alice 和 Bob 相关的流量,Bob 也看不到 Alice 在做什么,反之亦然。
但是,Wi-Fi 网络的所有者可以很容易地看到 Alice 和 Bob 在做什么。
类比
将加密(目前)视为一系列管道,将数据视为通过这些管道发送的信件。
无线网络是一个巨大的房间,您可以在其中读取、写入和传输消息,因为它还包括一个邮局(接入点)。
邮局允许您使用另一个邮箱将您的信件寄给其他人,也许是在世界的另一端。它通过检查信上写的地址并发送给它来做到这一点。
如果使用 Wi-Fi 加密,房间会被锁定,每个用户都有一个不同的管子,他可以通过它发送和接收消息。
互联网是巨大房间之外的一切。爱丽丝和鲍勃在房间里,夏娃在外面。
免责声明:为简洁起见,在此上下文中,talk=write 和 read
1)如果房间没有上锁,没有电子管,并且您发送的是明信片明信片(没有 Wi-Fi 加密,没有 HTTPS),那么您将有一个工作邮局(正确发送和接收信件),但非常不安全一。Alice 可以获取 Bob 发送的信件,反之亦然。此外,任何人都可以进入邮局并获取任何信件。换句话说,这将是一个巨大的混乱。
2) Wi-Fi 加密,无 HTTPS对应一个上锁的房间,每人使用一管,这样 Alice 就无法抓取 Bob 发送或接收的信件。显然,甚至不在房间里的夏娃,什么也看不见。然而,这些信件是明信片,这意味着内容没有加密。这意味着邮局可以看到您发送和接收的所有内容。
现在,你可能不喜欢这样。如果邮局只需要发送邮件,为什么他们可以阅读您的邮件?然后,您同意与您交流的人的意见,并决定编写编码或加密的明信片。例如,HI MIKE 将变为 FJSDJHDNFSJ。
这样,邮局就无法理解您和您的朋友在说什么。
3) 涉及加密卡和没有明显管道的未锁定房间的系统类似于没有 Wi-Fi 加密,但 HTTPS。所以邮局不知道你在写什么和在读什么,而 Eve(他在锁着的房间外面,但在你离开房间时可以看到你的信件)可以收集或复制你的信息,但无法理解它们。一切都很好,对吧?嗯,不。Bob、Eve 和其他人(网络内外)仍然可以看到您正在与谁交谈。
4)如果系统涉及一个带有不同管子和加密明信片的上锁房间,它类似于Wi-Fi加密+ HTTPS,这很不错。没有人知道你在说什么,只有邮局知道你在和谁说话。
TL;博士。受密码保护的 Wi-Fi 上的 HTTP 允许您和接入点所有者读取您的流量,即使同一网络上的其他人无法读取。
受密码保护的 Wi-Fi 上的 HTTPS 意味着只有您可以读取您的流量,并且只有接入点所有者知道您正在访问哪些网站。
顺便说一句,如果您不希望 AP 所有者知道您正在访问哪些网站,您应该使用其他解决方案,包括 VPN 和 Tor。
您的 wifi 受 WPA2 保护只是意味着从您的计算机通过空中发送到路由器的信号是加密的,仅此而已。从那里开始(从路由器到您的 ISP 的下一跳,然后最终到为您的请求提供服务的 Web 服务器),流量是未加密的。
但是,https 提供端到端加密。一端是您的浏览器(在您这边),另一端是为请求提供服务的 Web 服务器。端到端意味着这两端之间的任何实体都无法看到纯文本。检查任意 https 网站,您会看到: Wireshark 什么都看不到,因为 Wireshark 侦听网络接口,并且只有在浏览器加密后才能获取数据。另一方面,WPA2 不是端到端的。网络设备处理加密(Wireshark 在设备执行此操作之前拦截数据)。这就是为什么您可以看到明文数据的原因。
这里要说明的重要一点是,您可以在您的计算机上执行其他人可以在每个互联网路由器上执行的操作,这些路由器可以在您的 wifi 路由器和 Web 服务器之间获取数据。因此,将 WPA2 视为一种保护家庭网络空中发送部分隐私的方法。如果您希望通过 Internet 进行通信的机密性,端到端加密协议(如 https)是首选方法。
其它你可能感兴趣的问题