728x90
EAPoL (Extensible Authentication Protocol over LAN) 패킷 내 Pairwise Cipher Suite Count 필드는 Wi-Fi 보안 프레임워크 중 RSN (Robust Security Network) 또는 WPA2/WPA3 인증 과정에서 매우 중요한 역할을 합니다.
📌 Pairwise Cipher Suite Count란?
Pairwise Cipher Suite Count는 EAPoL Key 메시지 (특히 EAPoL-Key Message 1 또는 Message 3) 내 RSN Information Element (RSN IE) 혹은 WPA IE에 포함된 필드로, 클라이언트(STA) 또는 **AP(Access Point)**가 지원하는 pairwise encryption algorithms의 수를 나타냅니다.
✔ 정의:
- 형식: 2바이트 필드
- 위치: RSN IE 또는 WPA IE 내부
- 의미: STA 또는 AP가 동시에 지원하는 pairwise cipher suite (예: CCMP, TKIP 등)의 갯수
예시:
Pairwise Cipher Suite Count: 0x0001
→ 이는 단 하나의 cipher suite (예: CCMP)만 지원함을 의미합니다.
📦 Pairwise Cipher Suite가 무엇인가?
Pairwise Cipher Suite는 개별 클라이언트와 AP 간의 unicast 트래픽을 암호화하는 데 사용되는 알고리즘을 의미합니다. 다음은 주요 Pairwise Cipher Suite입니다:
Cipher Suite OUI (Organization Unique Identifier) Type (1 byte) 암호화 방식
| 00:0f:ac:04 | 0x04 | CCMP (AES) |
| 00:0f:ac:02 | 0x02 | TKIP |
| 00:0f:ac:01 | 0x01 | WEP-40 (비권장) |
| 00:0f:ac:05 | 0x05 | GCMP-128 (WPA3) |
| 00:0f:ac:08 | 0x08 | GCMP-256 (WPA3-Enterprise) |
🔄 이 Count의 사용 용도
- 협상 과정 (Negotiation):
- STA가 EAPoL 패킷에서 AP에게 자신이 지원하는 cipher suite의 목록과 갯수를 전달함
- AP는 그 중 하나를 선택하여 4-Way Handshake 중 설정함
- 보안 검증:
- 클라이언트와 AP가 모두 같은 cipher suite를 지원하지 않으면 연결 실패
- WPA3 또는 WPA2-Enterprise 설정 시 이 정보는 강력한 암호화 기준 충족 여부를 평가하는 데 사용됨
- 무선 분석 도구:
- Wireshark 같은 도구로 EAPoL 분석 시 이 count를 통해 네트워크가 지원하는 암호화 수준 파악 가능
🧪 예시 패킷 분석
Wireshark에서 EAPoL-Key 프레임을 확인할 경우, 다음과 같이 표시될 수 있습니다:
RSN Information Element
Pairwise Cipher Suite Count: 2
Pairwise Cipher Suite List:
Cipher Suite: CCMP (00:0f:ac:04)
Cipher Suite: TKIP (00:0f:ac:02)
이는 STA가 CCMP와 TKIP 둘 다 지원한다는 의미이며, AP는 둘 중 하나를 선택하게 됩니다.
📍 참고 사항
- WPA3에서는 TKIP는 허용되지 않으며, 오직 GCMP-128/256 또는 CCMP만 사용 가능
- Pairwise Cipher Suite Count = 1이면 하나의 암호화 방식만 사용 가능하므로 보안 정책 강제에 유리
- 이 필드는 802.11i-2004, 802.11-2016, **802.11ax (Wi-Fi 6)**에서도 동일하게 사용됨
728x90