En guide till WPA3 WiFi-standard

Vi använder alla WiFi hela tiden. Det finns fler WiFi-enheter än det finns människor. Det är så de flesta av oss ansluter till internet och mycket av den internetaktiviteten innebär att kommunicera mycket känsliga och personliga data.

Det är därför synd att WPA2, standarden som används för att skydda data när den färdas över radiovågorna mellan din enhet och routern som ansluter den till internet, är helt trasig.

En whitepaper som publicerades i oktober förra året demonstrerade att varje WPA2-anslutning är osäker. Tack vare KRACK-sårbarheten kan alla okrypterade data som skickas över WiFi på nästan var och en av de 9 miljarder WiFi-enheterna på planeten enkelt snäppas på av hackare.

Och den kanske mest oroande saken var att det inte fanns något som skulle ersätta det...

WPA3

Det är därför som en liten överraskning att Wi-Fi Alliance nyligen har meddelat lanseringen av WPA2s efterträdare, listigt lutande WPA3. Den fixar inte bara KRACK-sårbarheten, utan den tar upp många andra problem med WiFi-säkerhet i allmänhet som har blivit allt tydligare sedan WPA2 introducerades 2004.

WPA3

WPA3 finns i två versioner: WPA-Personal och WPA-Enterprise.

WPA3-Personligt

KRACK fast

WPA2-standarden har knakat ganska länge nu, men det var upptäckten av Key Reinstallation Attack (KRACK) -sårbarheten som galvaniserade WiFi Alliance till att införa en ny standard som granskar WiFi-säkerhet.

KRACK utnyttjar en brist i fyrvägshandskakningen som används för att säkra WPA2-anslutningar till routrar, oavsett vilken plattform eller enhet som används.

Krack

WPA3 fixar detta genom att använda en handskakning samtidigt (SAE) samtidigt. En variant av Dragonfy Key Exchange Protocol, detta ersätter användningen av en Pre-shared Key (PSK) i WPA2 och ett publicerat säkerhetsbevis indikerar att det är mycket säkert.

Bättre lösenordssäkerhet

Vid översyn av WiFi-säkerhet försöker WiFi Alliance också skydda oss mot oss själva. Det enskilt största säkerhetsproblemet med WiFi är att de flesta använder mycket svaga och lätt gissade lösenord.

Och även om du har ändrat ditt lösenord tillåter WPA2 en angripare att göra obegränsade gissningar. Detta gör att de kan utföra en ordbokattack som kastar tusentals vanliga lösenord per minut på din router tills den hittar rätt.

WPA3 mildrar mot lösenordsattacker på två sätt. Samtidig autentisering av Equals handskakning förhindrar ordboksattacker genom att stoppa en angripare från att göra mer än en gissning på lösenordet per attack. Varje gång ett felaktigt lösenord anges måste de ansluta till nätverket igen för att göra en ny gissning.

Naturligt lösenordsval är en annan ny funktion. Det hävdas att detta kommer att hjälpa användare att välja starka men lätt att komma ihåg lösenord.

Framåt sekretess

Framåt sekretess innebär att varje gång en WPA3-anslutning upprättas genereras en ny uppsättning krypteringsnycklar. Om en angripare någonsin skulle kompromissa med din routers lösenord kan de inte komma åt data som redan har överförts eftersom det är skyddat av olika uppsättningar nycklar.

WPA3-Enterprise

Som namnet antyder syftar WP3-Enterprise till att ge företag, regeringar och finansinstitut ännu större säkerhet.

Data skyddas med en 256-bitars Galois / Counter Mode Protocol (GCMP-256) -ciffer med en 384-bitars ECDH- eller ECDSA-nyckelutbyte med HMAC SHA385-hashverifiering. Protected Management Frames (PMF) är säkrade med hjälp av 256-bitars Broadcast / Multicast Integrity Protocol Galois Message Authentication Code (BIP-GMAC-256).

Intressant nog beskriver WiFi-alliansen denna svit med krypteringsalgoritmer som "motsvarande 192-bitars kryptografisk styrka."

kritik

Mathy Vanhoef är PHD-forskare vid KU Leuven som upptäckte KRACK-sårbarheten i WPA2. I ett nyligt blogginlägg beskrev han WPA3 som en missad möjlighet.

WPA3 är inte en standard som sådan. Det är ett certifieringsprogram. Om en produkt stöder och implementerar korrekt de standarder som anges för WPA3, kommer WiFi Alliance att tilldela den Wi-Fi CERTIFIED WPA3 ™ -certifiering.

När WPA3 först tillkännagavs föreslogs att den skulle innehålla fyra nyckelstandarder:

  1. Dragonfly-handskakningen (SAE)
  2. Wi-Fi Easy Connect, en funktion som fixar kända sårbarheter i den nuvarande Wi-Fi-skyddade installationen
  3. Wi-Fi Enhanced Open, syftar till att använda offentliga WiFi-hotspots säkrare genom att tillhandahålla obekräftad kryptering när du ansluter till en öppen hotspot
  4. Det skulle öka nyckelstorlekarna för sessionskryptering.

I sin slutliga form rekommenderas dock standarderna 2-4 för användning i WPA3-enheter men krävs inte. För att få officiell Wi-Fi CERTIFIED WPA3 ™ -certifieringstillverkare behöver bara implementera en simulerad autentisering av Equals handskakning.

Standarden Wi-Fi Easy Connect och Wi-Fi Enhanced Open får var och en sin egen certifiering från WiFi Alliance, medan ökad sessionstangentstorlek endast krävs för WPA3-Enterprise-certifiering.

”Jag är rädd att det i praktiken innebär att tillverkare bara kommer att implementera den nya handskakningen, smälla en" WPA3-certifierad "etikett på den och vara klar med det [...] Det betyder att om du köper en enhet som är WPA3 kan det är ingen som helst garanti för att det stöder dessa två funktioner. "

I rättvisa mot WiFi-alliansen fattades antagligen beslutet för att uppmuntra WiFi-tillverkare att anta standarden så snart som möjligt genom att göra det mindre besvärligt för dem att implementera.

Det finns också en god chans att tillverkarna frivilligt väljer att inkludera standarderna Wi-Fi Easy Connect och Wi-Fi Enhanced Open i sina WPA3-produkter.

Så vad nästa?

WiFi Alliance förväntar sig inte att några WPA3-produkter blir tillgängliga att köpa förrän åtminstone sent i år, och förväntar sig inte att se ett brett genomförande förrän i slutet av 2020 tidigast.

I teorin kan de flesta WiFi-produkter uppgraderas till WPA3 via programvarupatcher. Det verkar emellertid osannolikt att många tillverkare kommer att avsätta resurser för att utveckla sådana patches för befintliga produkter som istället skulle kunna spenderas på att utveckla nya produkter för marknaden.

Detta gäller inte alla företag. Router-tillverkaren Linksys har till exempel bekräftat sitt åtagande att utfärda WPA3-firmware-uppdateringar för ”äldre produkter”.

I de flesta fall innebär det dock att uppgradering till WPA3 innebär att du slänger din router och alla dina WiFi-enheter och ersätter dem med en ny WPA3-växel. Med tanke på att det för närvarande finns cirka 9 miljarder WiFi-aktiverade enheter på planeten kommer detta inte att ske över en natt.

Det kommer därför troligen att gå några år innan WiFi-ekosystemet har utvecklats till den punkt där WPA3 kan betraktas som allestädes närvarande; och då kan vi naturligtvis snabbt behöva en ny WPA4-standard!

WPA3 är bakåtkompatibel

Med tanke på att WPA2 är mycket osäker bör alla verkligen uppgradera till WPA3 så snart som möjligt. Realistiskt sett kommer de flesta emellertid inte bara att kasta bort sina dyra befintliga redskap.

Det är därför användbart att WPA3 är bakåtkompatibel. WPA3-routrar accepterar anslutningar från äldre (WPA2) -enheter och WPA3-enheter kommer att kunna ansluta till äldre routrar. Men såvida inte både routern och enheten är WPA3-klar, kommer anslutningen inte att dra nytta av den förbättrade säkerheten som den nya standarden erbjuder.

Tills du är helt WPA3-kompatibel rekommenderar vi därför starkt att du mildrar KRACK-sårbarheten genom att köra en VPN-anslutning på alla dina WPA2-enheter (inte själva routern).

På mycket samma sätt som att använda en VPN skyddar dig när du använder en offentlig WiFi-hotspot, garanterar detta att all information som reser mellan din enhet och routern är säkert krypterad och därför säker från en KRACK-attack.

Att vara försiktig med att bara besöka HTTPS-webbplatser mildrar också problemet, men kräver ständig vaksamhet från din sida. Skrivbordssystem kan anslutas till din router via en Ethernet-kabel, vilket gör dem immun mot KRACK-attacker.

Slutsats

WPA2 är trasig, så WPA3 kan inte komma tillräckligt snart - och du bör anta det så snart du kan. Det är synd att den fulla ursprungliga uppsättningen av WPA3-standarder inte gjorde det slutgiltiga skäret, men om detta resulterar i en snabbare bred anslutning av WPA3 kan beslutet motiveras.

Tillverkarna kan ändå välja att inkludera standarderna Wi-Fi Easy Connect och Wi-Fi Enhanced Open i sina WPA3-produkter, ändå.

Under tiden ska du vara medveten om hur osäkra dina befintliga WiFi-anslutningar är, och vidta åtgärder för att mildra problemet.

Bildkredit: Av BeeBright / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me