Průvodce standardem WPA3 WiFi

Všichni používáme WiFi neustále. Existuje více WiFi zařízení než lidí. To je způsob, jakým se většina z nás připojuje k internetu a hodně z toho internetového aktivity zahrnuje komunikaci vysoce citlivých a osobních údajů.

Je proto škoda, že standard WPA2, který se používá k ochraně dat při přenosu rádiovými vlnami mezi vaším zařízením a routerem, který je připojuje k internetu, je zcela rozbitý.

Dokument white paper zveřejněný v říjnu loňského roku prokázal, že každé připojení WPA2 je nezabezpečené. Díky zranitelnosti KRACK mohou hackeři snadno snoopovat všechna nešifrovaná data odesílaná přes WiFi téměř na každém z 9 miliard zařízení WiFi na naší planetě..

A možná nejznepokojivější věcí v té době bylo, že nebylo co nahradit...

WPA3

Proto je jen malým překvapením, že Wi-Fi Alliance nedávno oznámila spuštění nástupce WPA2, chytro nakloněného WPA3. Nejen, že opravuje zranitelnost KRACK, ale řeší i mnoho dalších problémů se zabezpečením WiFi obecně, které se staly stále více zřejmé od zavedení WPA2 v roce 2004.

WPA3

WPA3 je k dispozici ve dvou verzích: WPA-Personal a WPA-Enterprise.

WPA3-osobní

KRACK opraven

Standard WPA2 se již nějakou dobu skřípává, ale objevem zranitelnosti KRACK (Key Reinstallation Attack), která podnítila Alianci WiFi k zavedení nového standardu, který přepracovává zabezpečení WiFi.

KRACK využívá chybu ve čtyřsměrném handshake používaném k zabezpečení připojení WPA2 k routerům, bez ohledu na použitou platformu nebo zařízení.

Krack

WPA3 to řeší pomocí handshake Simultánní ověřování rovných (SAE). Varianta protokolu Dragonfy Key Exchange Protocol, která nahrazuje použití předem sdíleného klíče (PSK) ve WPA2 a publikovaný bezpečnostní důkaz naznačuje, že je vysoce bezpečný.

Lepší zabezpečení heslem

Při revizi zabezpečení WiFi se nás Aliance WiFi také snaží chránit před námi. Jediný největší bezpečnostní problém s WiFi je, že většina lidí používá velmi slabá a snadno uhodnutelná hesla.

A i když jste změnili heslo, WPA2 umožňuje útočníkovi neomezené odhady. To jim umožní provést slovníkový útok, který zahodí na váš router tisíce běžných hesel za minutu, dokud nenajde to správné.

WPA3 zmírňuje proti útokům heslem dvěma způsoby. Simultánní autentizace pomocí aplikace Equals handshake zabraňuje útokům na slovníky tím, že zabraňuje útočníkovi, aby udělal více než jeden odhad hesla na útok. Pokaždé, když je zadáno nesprávné heslo, je třeba se znovu připojit k síti, aby se mohlo uhodnout.

Výběr přirozeného hesla je další nová funkce. Tvrdí se, že to pomůže uživatelům vybrat silná, ale snadno zapamatovatelná hesla.

Forward Secrecy

Forward Secrecy znamená, že při každém připojení WPA3 se vygeneruje nová sada šifrovacích klíčů. Pokud by útočník někdy ohrozil heslo routeru, nebude mít přístup k datům, která již byla přenesena, protože je chráněna různými sadami klíčů.

WPA3-Enterprise

Jak již název napovídá, cílem WP3-Enterprise je poskytnout podnikům, vládám a finančním institucím ještě větší bezpečnost.

Data jsou chráněna 256bitovou šifrou protokolu Galois / Counter Mode (GCMP-256) pomocí 384bitové výměny klíčů ECDH nebo ECDSA s hash autentizací HMAC SHA385. Chráněné rámy správy (PMF) jsou zabezpečeny pomocí 256bitového protokolu Galois Message Authentication Code (BIP-GMAC-256).

Zajímavé je, že WiFi Alliance popisuje tuto sadu šifrovacích algoritmů jako „ekvivalent 192bitové kryptografické síly“.

Kritika

Mathy Vanhoef je vědcem PhD na KU Leuven, který objevil zranitelnost KRACK ve WPA2. V nedávném blogovém příspěvku popsal WPA3 jako zmeškanou příležitost.

WPA3 není standard jako takový. Jedná se o certifikační program. Pokud produkt podporuje a správně implementuje standardy stanovené pro WPA3, pak WiFi Alliance udělí certifikaci Wi-Fi CERTIFIED WPA3 ™.

Při prvním oznámení WPA3 bylo navrženo, aby obsahovalo 4 klíčové standardy:

  1. Handshake Vážka (SAE)
  2. Wi-Fi Easy Connect, funkce, která opravuje známé chyby zabezpečení v aktuálním nastavení chráněném Wi-Fi
  3. Wi-Fi Enhanced Open, jehož cílem je bezpečnější používání veřejných WiFi hotspotů poskytováním neověřeného šifrování při připojení k otevřenému hotspotu
  4. Zvýšilo by to velikost šifrovacích klíčů relace.

Ve své konečné podobě jsou však standardy 2-4 doporučeny pro použití v zařízeních WPA3, ale nejsou vyžadovány. Aby mohli výrobci získat oficiální certifikaci Wi-Fi CERTIFIED WPA3 ™, musí implementovat pouze simultánní ověřování totožnosti.

Standardy Wi-Fi Easy Connect a Wi-Fi Enhanced Open získávají vlastní certifikaci WiFi Alliance, zatímco větší velikost klíče relace je vyžadována pouze pro certifikaci WPA3-Enterprise.

„Obávám se, že v praxi to znamená, že výrobci budou pouze implementovat nový handshake, plácnou na něj štítek„ WPA3 certifikovaný “a udělá to s ním [...] To znamená, že pokud si koupíte zařízení, které je schopné WPA3, není žádná záruka, že tyto dvě funkce podporuje. “

V zájmu spravedlivosti vůči WiFi alianci bylo pravděpodobně přijato rozhodnutí s cílem povzbudit výrobce WiFi, aby co nejdříve přijali normu tím, že pro ně bude méně náročné na implementaci.

Existuje také velká šance, že se výrobci dobrovolně rozhodnou zahrnout standardy Wi-Fi Easy Connect a Wi-Fi Enhanced Open do svých produktů WPA3..

Tak co dál?

Aliance WiFi neočekává, že budou k dispozici žádné produkty WPA3, a to až do konce tohoto roku, a očekává se, že až do konce roku 2020 dojde k široké implementaci nejdříve..

Teoreticky lze většinu produktů WiFi upgradovat na WPA3 pomocí softwarových oprav. Zdá se však nepravděpodobné, že mnoho výrobců bude věnovat zdroje na vývoj takových záplat pro stávající produkty, které by se místo toho mohly utratit za vývoj nových produktů pro trh..

To neplatí pro všechny společnosti. Router-maker Linksys například potvrdil svůj závazek vydávat aktualizace firmwaru WPA3 pro „starší produkty“.

Ve většině případů však bude upgrade na WPA3 zahrnovat vyhození routeru a všech WiFi zařízení a jejich nahrazení novým zařízením WPA3. Vzhledem k tomu, že v současné době existuje na planetě přibližně 9 miliard zařízení podporujících WiFi, k tomu nedojde přes noc.

Bude proto pravděpodobně trvat roky, než se ekosystém WiFi rozvinul do bodu, kdy by WPA3 mohl být považován za všudypřítomný; a do té doby bychom samozřejmě mohli potřebovat nový standard WPA4!

WPA3 je zpětně kompatibilní

Vzhledem k tomu, že WPA2 je vysoce nejistá, měl by se každý ve skutečnosti co nejdříve upgradovat na WPA3. Realisticky však většina lidí nejen vyhodí své drahé stávající vybavení.

Je proto užitečné, aby WPA3 byl zpětně kompatibilní. Směrovače WPA3 budou přijímat připojení ze starších zařízení (WPA2) a zařízení WPA3 se budou moci připojit ke starším směrovačům. Pokud však router i zařízení nejsou připraveny na WPA3, nebude mít připojení výhody ze zlepšeného zabezpečení nabízeného novým standardem.

Dokud nebudete plně kompatibilní s WPA3, důrazně doporučujeme, abyste snížili zranitelnost KRACK spuštěním připojení VPN na všech zařízeních WPA2 (nikoli samotný směrovač)..

Stejným způsobem, jakým vás použití VPN chrání, když používáte veřejný WiFi hotspot, to zajistí, že všechna data cestující mezi vaším zařízením a routerem jsou bezpečně šifrována, a tudíž bezpečná před útokem KRACK.

Pozor také na návštěvu webových stránek HTTPS také zmírňuje problém, ale vyžaduje z vaší strany neustálou ostražitost. Stolní systémy lze k routeru připojit pomocí ethernetového kabelu, který je činí imunními vůči útokům KRACK.

Závěr

WPA2 je nefunkční, takže WPA3 nemůže přijít dostatečně brzy - a měli byste jej přijmout co nejdříve. Je škoda, že celý původní soubor standardů WPA3 nepřinesl konečné snížení, ale pokud to povede k rychlejšímu širšímu přijetí WPA3, může být rozhodnutí potvrzeno.

Výrobci se mohou rozhodnout zahrnout standardy Wi-Fi Easy Connect a Wi-Fi Enhanced Open do svých produktů WPA3..

Mezitím si uvědomte, jak jsou vaše stávající WiFi připojení nezabezpečena, a podnikněte kroky k vyřešení problému.

Obrázek: Autor: BeeBright / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me