Οδηγός για το πρότυπο WiFi WPA3

Όλοι χρησιμοποιούμε το WiFi όλη την ώρα. Υπάρχουν περισσότερες υπάρχουσες συσκευές WiFi από ό, τι υπάρχουν άνθρωποι. Είναι ο τρόπος με τον οποίο οι περισσότεροι από εμάς συνδέονται με το διαδίκτυο και πολλές από αυτές τις δραστηριότητες στο Διαδίκτυο συνεπάγονται την επικοινωνία πολύ ευαίσθητων και προσωπικών δεδομένων.


Είναι επομένως κρίμα που το WPA2, το πρότυπο που χρησιμοποιείται για την προστασία δεδομένων καθώς ταξιδεύει πάνω από τα ραδιοκύματα μεταξύ της συσκευής σας και του δρομολογητή που το συνδέει με το διαδίκτυο, είναι εντελώς κατεστραμμένο.

Μια λευκή ετικέτα που δημοσιεύθηκε τον περασμένο Οκτώβριο κατέδειξε ότι κάθε σύνδεση WPA2 είναι ανασφαλής. Χάρη στην ευπάθεια του KRACK, όλα τα μη κρυπτογραφημένα δεδομένα που αποστέλλονται μέσω WiFi σε κάθε μία από τις 9 δισεκατομμύρια συσκευές Wi-Fi στον πλανήτη, μπορούν εύκολα να περιπλανηθούν από τους χάκερ.

Και ίσως το πιο ανησυχητικό πράγμα εκείνη την εποχή ήταν ότι δεν υπήρχε τίποτα να το αντικαταστήσει...

WPA3

Ως εκ τούτου, δεν προκαλεί έκπληξη το γεγονός ότι η Wi-Fi Alliance ανακοίνωσε πρόσφατα την κυκλοφορία του διαδόχου του WPA2, με επίπονη κλίση του WPA3. Όχι μόνο διορθώνει την ευπάθεια του KRACK, αλλά αντιμετωπίζει πολλά άλλα προβλήματα με την ασφάλεια WiFi γενικά, τα οποία έχουν γίνει όλο και πιο εμφανή από τότε που εισήχθη το WPA2 το 2004.

WPA3

Το WPA3 διατίθεται σε δύο εκδόσεις: WPA-Personal και WPA-Enterprise.

WPA3-Προσωπικό

Το KRACK είναι σταθερό

Το πρότυπο WPA2 έχει σκασίματα εδώ και αρκετό καιρό, αλλά ήταν η ανακάλυψη της ευπάθειας του Key Attack Attack (KRACK) που γαλβανιζόταν την WiFi Alliance στην εισαγωγή ενός νέου προτύπου το οποίο ανανεώνει την ασφάλεια WiFi.

Το KRACK εκμεταλλεύεται ένα ελάττωμα στη χειραψία τεσσάρων κατευθύνσεων που χρησιμοποιείται για τη διασφάλιση συνδέσεων WPA2 σε δρομολογητές, ανεξάρτητα από την πλατφόρμα ή τη συσκευή που χρησιμοποιείται.

Krack

Το WPA3 επιδιορθώνει αυτό χρησιμοποιώντας την ταυτόχρονη χειραψία ταυτόχρονης πιστοποίησης ταυτότητας (SAE). Μια παραλλαγή του πρωτοκόλλου Dragonfy Key Exchange, αντικαθιστά τη χρήση ενός κοινόχρηστου κλειδιού (PSK) στο WPA2 και μια δημοσιευμένη απόδειξη ασφάλειας υποδεικνύει ότι είναι εξαιρετικά ασφαλής.

Καλύτερη ασφάλεια κωδικού πρόσβασης

Στην αναβάθμιση της ασφάλειας WiFi, η WiFi Alliance επιδιώκει επίσης να μας προστατεύσει από τον εαυτό μας. Το μεγαλύτερο πρόβλημα ασφάλειας με το WiFi είναι ότι οι περισσότεροι χρησιμοποιούν πολύ αδύναμους και εύκολα μαντέψουμε κωδικούς πρόσβασης.

Και ακόμα κι αν έχετε αλλάξει τον κωδικό πρόσβασής σας, το WPA2 επιτρέπει σε έναν εισβολέα να κάνει απεριόριστες εικασίες. Αυτό τους επιτρέπει να εκτελέσουν μια επίθεση λεξικού που ρίχνει χιλιάδες κοινούς κωδικούς ανά λεπτό στο δρομολογητή σας μέχρι να βρει το σωστό.

Το WPA3 μετριάζει τις επιθέσεις κωδικού πρόσβασης με δύο τρόπους. Ο ταυτόχρονος έλεγχος ταυτότητας του Equals handshake αποτρέπει επιθέσεις λεξικών εμποδίζοντας τον εισβολέα να κάνει περισσότερες από μία μανίες στον κωδικό πρόσβασης ανά επίθεση. Κάθε φορά που εισάγετε έναν εσφαλμένο κωδικό πρόσβασης θα πρέπει να συνδεθείτε ξανά στο δίκτυο για να κάνετε μια άλλη εικασία.

Η φυσική επιλογή κωδικού πρόσβασης είναι μια άλλη νέα δυνατότητα. Υποστηρίζεται ότι αυτό θα βοηθήσει τους χρήστες να επιλέξουν ισχυρούς αλλά εύκολο να θυμηθούν κωδικούς πρόσβασης.

Προώθηση μυστικότητας

Προηγούμενη μυστικότητα σημαίνει ότι κάθε φορά που γίνεται σύνδεση WPA3, δημιουργείται ένα νέο σύνολο κλειδιών κρυπτογράφησης. Εάν ένας εισβολέας θα υπονομεύσει ποτέ τον κωδικό πρόσβασης του δρομολογητή σας, δεν θα έχει πρόσβαση σε δεδομένα που έχουν ήδη μεταδοθεί, καθώς προστατεύεται από διαφορετικά σετ πλήκτρων.

WPA3-Enterprise

Όπως υποδηλώνει το όνομά της, το WP3-Enterprise στοχεύει να προσφέρει ακόμη μεγαλύτερη ασφάλεια στις επιχειρήσεις, τις κυβερνήσεις και τα χρηματοπιστωτικά ιδρύματα.

Τα δεδομένα προστατεύονται με κρυπτογράφηση 256-bit Galois / Counter Mode Protocol (GCMP-256), χρησιμοποιώντας μια ανταλλαγή κλειδιών ECDH ή ECDSA 384-bit με πιστοποίηση κατακερματισμού HMAC SHA385. Τα Προστατευόμενα Πλαίσια Διαχείρισης (PMF) προστατεύονται με τη χρήση κώδικα Galois Message Authentication Message (BIP-GMAC-256) 256-bit Broadcast / Multicast Πρωτόκολλο Ακεραιότητας.

Είναι ενδιαφέρον ότι η Συμμαχία WiFi περιγράφει αυτή τη σουίτα αλγορίθμων κρυπτογράφησης ως "το ισοδύναμο κρυπτογραφικής ισχύος 192-bit".

Κρίσεις

Ο Mathy Vanhoef είναι ερευνητής PHD στο KU Leuven ο οποίος ανακάλυψε την ευπάθεια του KRACK στο WPA2. Σε πρόσφατη ανάρτηση ιστολογίου, περιέγραψε το WPA3 ως χαμένη ευκαιρία.

Το WPA3 δεν αποτελεί πρότυπο. Είναι ένα πρόγραμμα πιστοποίησης. Εάν ένα προϊόν υποστηρίζει και εφαρμόζει σωστά τα πρότυπα που έχουν καθοριστεί για το WPA3 τότε η WiFi Alliance θα του απονείμει πιστοποίηση Wi-Fi CERTIFIED WPA3 ™.

Όταν ανακοινώθηκε για πρώτη φορά το WPA3, προτάθηκε να περιλαμβάνει τέσσερα βασικά πρότυπα:

  1. Η χειραψία Dragonfly (SAE)
  2. Wi-Fi Easy Connect, μια δυνατότητα που καθορίζει γνωστά ευπάθειες στην τρέχουσα Wi-Fi Protected Setup
  3. Το Wi-Fi Enhanced Open, που έχει ως στόχο να καταστήσει ασφαλέστερα τα δημόσια hotspots WiFi παρέχοντας κρυπτογράφηση χωρίς έλεγχο ταυτότητας κατά τη σύνδεση σε ένα ανοιχτό hotspot
  4. Θα αυξήσει τα μεγέθη κλειδιών κρυπτογράφησης συνεδρίας.

Στην τελική μορφή της, ωστόσο, τα πρότυπα 2-4 συνιστώνται για χρήση σε συσκευές WPA3 αλλά δεν απαιτούνται. Για να λάβετε επίσημες πιστοποιήσεις WPA3 πιστοποίησης Wi-Fi CERTIFIED πρέπει να εφαρμόσετε μόνο ταυτόχρονο έλεγχο ταυτότητας για χειραψία Equals.

Τα πρότυπα Wi-Fi Easy Connect και Wi-Fi Enhanced Open έχουν ξεχωριστή πιστοποίηση από την WiFi Alliance, ενώ το αυξημένο μέγεθος κλειδιού συνόδου απαιτείται μόνο για την πιστοποίηση WPA3-Enterprise.

"Φοβούμαι ότι στην πράξη αυτό σημαίνει ότι οι κατασκευαστές απλώς θα εφαρμόσουν τη νέα χειραψία, χτυπήσουν μια ετικέτα με πιστοποίηση WPA3 και θα γίνουν με αυτό [...] Αυτό σημαίνει ότι αν αγοράσετε μια συσκευή που είναι WPA3 ικανή, δεν είναι καμία εγγύηση ότι υποστηρίζει αυτά τα δύο χαρακτηριστικά. "

Σε δίκαιη θέση στην WiFi Alliance, πιθανότατα αποφασίστηκε να ενθαρρυνθούν οι κατασκευαστές WiFi να υιοθετήσουν το πρότυπο το συντομότερο δυνατόν, καθιστώντας λιγότερο επιρρεπείς σε αυτούς την εφαρμογή.

Υπάρχει επίσης μια καλή πιθανότητα ότι οι κατασκευαστές θα επιλέξουν οικειοθελώς να συμπεριλάβουν τα πρότυπα Wi-Fi Easy Connect και Wi-Fi Enhanced Open στα προϊόντα WPA3.

Τόσο λοιπόν?

Η WiFi Alliance δεν αναμένει ότι τα προϊόντα WPA3 θα είναι διαθέσιμα για αγορά μέχρι τουλάχιστον αργά το τρέχον έτος και δεν αναμένουν ευρεία εφαρμογή έως τα τέλη του 2020 το νωρίτερο.

Θεωρητικά, τα περισσότερα προϊόντα WiFi μπορούν να αναβαθμιστούν στο WPA3 μέσω των ενημερωμένων εκδόσεων λογισμικού. Φαίνεται όμως απίθανο ότι πολλοί κατασκευαστές θα αφιερώσουν πόρους για την ανάπτυξη τέτοιων μπαλωμάτων για υπάρχοντα προϊόντα τα οποία θα μπορούσαν να χρησιμοποιηθούν για την ανάπτυξη νέων προϊόντων για την αγορά.

Αυτό δεν ισχύει για όλες τις εταιρείες. Ο δρομολογητής Linksys, για παράδειγμα, επιβεβαίωσε τη δέσμευσή του για την έκδοση ενημερώσεων υλικολογισμικού WPA3 για "προϊόντα παλαιού τύπου".

Στις περισσότερες περιπτώσεις, ωστόσο, η αναβάθμιση σε WPA3 θα περιλαμβάνει τη ρίψη του δρομολογητή σας και όλων των συσκευών WiFi και την αντικατάστασή τους με νέα εργαλεία WPA3. Δεδομένου ότι υπάρχουν σήμερα περίπου 9 δισεκατομμύρια συσκευές με δυνατότητα WiFi στον πλανήτη, αυτό δεν πρόκειται να συμβεί εν μία νυκτί.

Κατά πάσα πιθανότητα θα είναι χρόνια πριν το οικοσύστημα WiFi έχει αναπτυχθεί μέχρι το σημείο όπου το WPA3 θα μπορούσε να θεωρηθεί πανταχού παρόν. και μέχρι τότε, φυσικά, θα χρειαζόταν επειγόντως ένα νέο πρότυπο WPA4!

Το WPA3 είναι συμβατό προς τα πίσω

Δεδομένου ότι το WPA2 είναι εξαιρετικά ανασφαλές, όλοι πρέπει πραγματικά να αναβαθμίσουν το WPA3 το συντομότερο δυνατό. Ωστόσο, ρεαλιστικά, οι περισσότεροι άνθρωποι δεν πρόκειται απλώς να πετάξουν τα ακριβότερα υπάρχοντα εργαλεία τους.

Επομένως, είναι χρήσιμο το WPA3 να είναι συμβατό προς τα πίσω. Οι δρομολογητές WPA3 δέχονται συνδέσεις από παλαιότερες συσκευές (WPA2) και οι συσκευές WPA3 θα μπορούν να συνδεθούν με παλαιότερους δρομολογητές. Αλλά εάν και ο δρομολογητής και η συσκευή δεν είναι έτοιμοι για WPA3, η σύνδεση δεν θα επωφεληθεί από τη βελτιωμένη ασφάλεια που προσφέρει το νέο πρότυπο.

Μέχρι να είστε πλήρως συμβατοί με το πρότυπο WPA3, σας συνιστούμε να μετριάσετε την ευπάθεια του KRACK εκτελώντας μια σύνδεση VPN σε όλες τις συσκευές σας WPA2 (όχι στον ίδιο τον δρομολογητή).

Με τον ίδιο ακριβώς τρόπο που το VPN σας προστατεύει όταν χρησιμοποιείτε ένα δημόσιο WiFi hotspot, αυτό εξασφαλίζει ότι όλα τα δεδομένα που μετακινούνται μεταξύ της συσκευής σας και του δρομολογητή είναι κρυπτογραφημένα με ασφάλεια και επομένως ασφαλή από μια επίθεση KRACK.

Η προσεκτική παρακολούθηση μόνο των ιστότοπων HTTPS μετριάζει το πρόβλημα, αλλά απαιτεί συνεχή επαγρύπνηση από μέρους σας. Τα επιτραπέζια συστήματα μπορούν να συνδεθούν με το δρομολογητή σας μέσω καλωδίου Ethernet, γεγονός που τους καθιστά άθικτους σε επιθέσεις KRACK.

συμπέρασμα

Το WPA2 είναι σπασμένο, οπότε το WPA3 δεν μπορεί να έρθει αρκετά σύντομα - και πρέπει να το υιοθετήσετε το συντομότερο δυνατό. Είναι κρίμα το γεγονός ότι το πλήρες πρωτότυπο σύνολο προτύπων WPA3 δεν έκανε την τελική περικοπή, αλλά εάν αυτό οδηγήσει σε ταχύτερη ευρεία υιοθέτηση του WPA3 τότε η απόφαση μπορεί να δικαιολογηθεί.

Οι κατασκευαστές ενδέχεται να αποφασίσουν να συμπεριλάβουν τα πρότυπα Wi-Fi Easy Connect και Wi-Fi Enhanced Open στα προϊόντα WPA3 τους ούτως ή άλλως.

Εν τω μεταξύ, παρακαλώ να γνωρίζετε πόσο ανασφαλείς είναι οι υπάρχουσες συνδέσεις WiFi και να λάβετε μέτρα για να μετριάσετε το πρόβλημα.

Πιστοποίηση εικόνας: Με BeeBright / Shutterstock.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me