Martin Beck und Erik Tews haben in ihrem Paper "Practical Attacks against WEP und WPA" Details zu ihrem Angriff auf WPA-gesicherte Funknetze veröffentlicht.
[..] Das Programm schneidet das letzte Byte eines WEP-Paketes ab. Unter der Annahme, dass das Byte 0 war, versucht es, durch eine XOR-Verknüpfung der letzten vier Bytes mit einem bestimmten Wert wieder eine gültige Checksumme zu rekonstruieren. Dann sendet es das Paket an einen Access Point und beobachtet, ob dieser es akzeptiert. Wenn nicht, nimmt es an, dass das abgeschnittene Byte eine 1 war – im ungünstigsten Fall probiert es das bis 256 durch. Dieses Spiel wiederholt sich dann für jedes weitere Byte des Paketes. Am Ende hat der Angreifer das Paket im Klartext.
Quellen:
[..] Das Programm schneidet das letzte Byte eines WEP-Paketes ab. Unter der Annahme, dass das Byte 0 war, versucht es, durch eine XOR-Verknüpfung der letzten vier Bytes mit einem bestimmten Wert wieder eine gültige Checksumme zu rekonstruieren. Dann sendet es das Paket an einen Access Point und beobachtet, ob dieser es akzeptiert. Wenn nicht, nimmt es an, dass das abgeschnittene Byte eine 1 war – im ungünstigsten Fall probiert es das bis 256 durch. Dieses Spiel wiederholt sich dann für jedes weitere Byte des Paketes. Am Ende hat der Angreifer das Paket im Klartext.
Quellen: