Przewodnik po standardzie WPA3 WiFi

Wszyscy korzystamy z WiFi przez cały czas. Istnieje więcej urządzeń WiFi niż ludzi. W ten sposób większość z nas łączy się z Internetem, a wiele z tych działań w Internecie wiąże się z przekazywaniem bardzo wrażliwych i osobistych danych.

Szkoda więc, że WPA2, standard używany do ochrony danych przesyłanych przez fale radiowe między urządzeniem a routerem łączącym go z Internetem, jest całkowicie zepsuty.

Oficjalny dokument opublikowany w październiku ubiegłego roku wykazał, że każde połączenie WPA2 jest niepewne. Dzięki podatności na KRACK, wszystkie niezaszyfrowane dane przesyłane przez Wi-Fi na prawie każdym z 9 miliardów urządzeń Wi-Fi na świecie, mogą zostać łatwo zaatakowane przez hakerów.

Być może najbardziej niepokojącą rzeczą w tym czasie było to, że nic nie zastąpiło...

WPA3

Nic więc dziwnego, że Wi-Fi Alliance ogłosił niedawno wprowadzenie następcy WPA2, sprytnie przechylonego WPA3. Nie tylko usuwa lukę KRACK, ale rozwiązuje wiele innych problemów związanych z bezpieczeństwem WiFi, które stają się coraz bardziej widoczne od czasu wprowadzenia WPA2 w 2004 roku.

WPA3

WPA3 występuje w dwóch wersjach: WPA-Personal i WPA-Enterprise.

WPA3-Personal

KRACK naprawiony

Standard WPA2 trzeszczy już od dłuższego czasu, ale odkrycie podatności na atak Key Reinstallation Attack (KRACK) skłoniło WiFi Alliance do wprowadzenia nowego standardu, który przegląda zabezpieczenia WiFi.

KRACK wykorzystuje wadę czterokierunkowego uzgadniania używanego do zabezpieczenia połączeń WPA2 z routerami, niezależnie od używanej platformy lub urządzenia.

Krack

WPA3 rozwiązuje ten problem, używając zamiast tego jednoczesnego uzgadniania równoczesnego (SAE). Wariant protokołu Dragonfy Key Exchange, który zastępuje użycie klucza wstępnego (PSK) w WPA2, a opublikowany dowód bezpieczeństwa wskazuje, że jest bardzo bezpieczny.

Lepsze bezpieczeństwo hasła

Dokonując przeglądu bezpieczeństwa WiFi, Sojusz WiFi stara się również chronić nas przed nami. Największy problem bezpieczeństwa związany z Wi-Fi polega na tym, że większość osób używa bardzo słabych i łatwych do odgadnięcia haseł.

Nawet jeśli zmieniłeś hasło, WPA2 pozwala atakującemu na nieograniczone zgadywanie. Pozwala im to przeprowadzić atak słownikowy, który wyrzuca na router tysiące popularnych haseł, dopóki nie znajdzie właściwego.

WPA3 zapobiega atakom hasłem na dwa sposoby. Jednoczesne uzgadnianie równości zapobiega atakom słownikowym, uniemożliwiając atakującemu odgadnięcie hasła na więcej niż jeden raz. Za każdym razem, gdy zostanie wprowadzone nieprawidłowe hasło, będą musiały ponownie połączyć się z siecią, aby zgadywać.

Wybór hasła naturalnego to kolejna nowa funkcja. Twierdzi się, że pomoże to użytkownikom wybrać mocne, ale łatwe do zapamiętania hasła.

Przekaż tajemnicę

Forward Secrecy oznacza, że ​​za każdym razem, gdy nawiązywane jest połączenie WPA3, generowany jest nowy zestaw kluczy szyfrujących. Jeśli osoba atakująca kiedykolwiek naruszy hasło routera, nie będzie w stanie uzyskać dostępu do danych, które już zostały przesłane, ponieważ są chronione różnymi zestawami kluczy.

WPA3-Enterprise

Jak sama nazwa wskazuje, WP3-Enterprise ma na celu zapewnienie firmom, rządom i instytucjom finansowym jeszcze większego bezpieczeństwa.

Dane są chronione 256-bitowym szyfrem Galois / Counter Mode Protocol (GCMP-256), przy użyciu 384-bitowej wymiany kluczy ECDH lub ECDSA z uwierzytelnianiem hash HMAC SHA385. Chronione ramki zarządzania (PMF) są zabezpieczone przy użyciu 256-bitowego kodu uwierzytelniania Broadcast / Multicast Integrity Galois Message Authentication Code (BIP-GMAC-256).

Co ciekawe, WiFi Alliance opisuje ten zestaw algorytmów szyfrowania jako „odpowiednik 192-bitowej siły kryptograficznej”.

Krytyka

Mathy Vanhoef jest badaczem PhD w KU Leuven, który odkrył lukę KRACK w WPA2. W ostatnim poście na blogu opisał WPA3 jako straconą szansę.

WPA3 nie jest standardem jako takim. Jest to program certyfikacji. Jeśli produkt obsługuje i poprawnie wdraża standardy określone dla WPA3, wówczas WiFi Alliance przyzna mu certyfikat Wi-Fi CERTIFIED WPA3 ™.

Kiedy po raz pierwszy ogłoszono WPA3, zaproponowano, aby obejmował on 4 kluczowe standardy:

  1. Uścisk dłoni Dragonfly (SAE)
  2. Wi-Fi Easy Connect, funkcja, która usuwa znane luki w bieżącej chronionej konfiguracji Wi-Fi
  3. Wi-Fi Enhanced Open, mający na celu zwiększenie bezpieczeństwa korzystania z publicznych hotspotów Wi-Fi poprzez zapewnienie nieuwierzytelnionego szyfrowania podczas łączenia się z otwartym hotspotem
  4. Zwiększyłoby to rozmiary kluczy szyfrowania sesji.

Jednak w ostatecznej formie zaleca się stosowanie standardów 2-4 w urządzeniach WPA3, ale nie są one wymagane. Aby otrzymać oficjalny certyfikat Wi-Fi CERTIFIED WPA3 ™, producenci muszą jedynie wdrożyć procedurę jednoczesnego uwierzytelnienia równości.

Standardy Wi-Fi Easy Connect i Wi-Fi Enhanced Open otrzymują osobne certyfikaty od WiFi Alliance, podczas gdy większy rozmiar klucza sesji jest wymagany tylko do certyfikacji WPA3-Enterprise.

„Obawiam się, że w praktyce oznacza to, że producenci wprowadzą nowy uścisk dłoni, nakleją na nim etykietę z certyfikatem„ WPA3 ”i zrobią to [...] Oznacza to, że jeśli kupisz urządzenie z obsługą WPA3, tam nie gwarantuje, że obsługuje te dwie funkcje. ”

W ramach rzetelności wobec sojuszu WiFi prawdopodobnie podjęto decyzję, aby zachęcić producentów WiFi do jak najszybszego przyjęcia standardu, czyniąc go mniej uciążliwym dla nich.

Istnieje również duża szansa, że ​​producenci dobrowolnie dołączą standardy Wi-Fi Easy Connect i Wi-Fi Enhanced Open do swoich produktów WPA3.

Więc, co dalej?

WiFi Alliance nie spodziewa się, że jakiekolwiek produkty WPA3 będą dostępne do zakupu przynajmniej do końca tego roku i nie spodziewa się szerokiej implementacji do końca 2020 roku.

Teoretycznie większość produktów Wi-Fi można uaktualnić do WPA3 za pomocą poprawek oprogramowania. Wydaje się jednak mało prawdopodobne, aby wielu producentów przeznaczyło zasoby na opracowanie takich poprawek dla istniejących produktów, które zamiast tego można by przeznaczyć na opracowanie nowych produktów na rynek.

Nie dotyczy to wszystkich firm. Na przykład producent routerów Linksys potwierdził swoje zaangażowanie w wydawanie aktualizacji oprogramowania układowego WPA3 dla „starszych produktów”.

Jednak w większości przypadków aktualizacja do WPA3 będzie wymagać wyrzucenia routera i wszystkich urządzeń WiFi i zastąpienia ich nowym sprzętem WPA3. Biorąc pod uwagę, że na świecie jest obecnie około 9 miliardów urządzeń z obsługą WiFi, nie stanie się to z dnia na dzień.

Dlatego prawdopodobnie miną lata, zanim ekosystem WiFi rozwinie się do tego stopnia, że ​​WPA3 można uznać za wszechobecny; i do tego czasu oczywiście możemy pilnie potrzebować nowego standardu WPA4!

WPA3 jest kompatybilny wstecz

Biorąc pod uwagę, że WPA2 jest bardzo niepewny, wszyscy naprawdę powinni uaktualnić do WPA3 jak najszybciej. Realistycznie jednak większość ludzi nie wyrzuci po prostu swojego drogiego istniejącego sprzętu.

Dlatego przydatne jest, aby WPA3 był wstecznie kompatybilny. Routery WPA3 zaakceptują połączenia ze starszych urządzeń (WPA2), a urządzenia WPA3 będą mogły łączyć się ze starszymi routerami. Ale dopóki zarówno router, jak i urządzenie nie będą gotowe na WPA3, połączenie nie skorzysta z lepszych zabezpieczeń oferowanych przez nowy standard.

Dlatego dopóki nie będziesz w pełni zgodny z WPA3, zdecydowanie zalecamy ograniczenie luki w zabezpieczeniach KRACK poprzez uruchomienie połączenia VPN na wszystkich urządzeniach WPA2 (nie na samym routerze).

W ten sam sposób, w jaki korzystanie z VPN chroni Cię podczas korzystania z publicznego hotspotu Wi-Fi, zapewnia to, że wszystkie dane przesyłane między twoim urządzeniem a routerem są bezpiecznie szyfrowane, a zatem zabezpieczone przed atakiem KRACK.

Uważność, aby odwiedzać wyłącznie witryny HTTPS, również łagodzi problem, ale wymaga stałej czujności z twojej strony. Systemy stacjonarne można podłączyć do routera za pomocą kabla Ethernet, co czyni je odpornymi na ataki KRACK.

Wniosek

WPA2 jest zepsuty, więc WPA3 nie może przyjść wystarczająco wcześnie - i powinieneś go jak najszybciej przyjąć. Szkoda, że ​​pełny oryginalny zestaw standardów WPA3 nie dokonał ostatecznego cięcia, ale jeśli spowoduje to szybsze szerokie przyjęcie WPA3, decyzja może zostać uzasadniona.

W każdym razie producenci mogą zdecydować się na włączenie standardów Wi-Fi Easy Connect i Wi-Fi Enhanced Open do swoich produktów WPA3.

W międzyczasie pamiętaj o tym, jak niepewne są twoje istniejące połączenia Wi-Fi i podejmij kroki, aby złagodzić problem.

Źródło zdjęcia: autor: BeeBright / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me