Differkinome

WPA2 vs. WPA3

technológie
Share

Vydané v roku 2018, WPA3 je aktualizovaná a bezpečnejšia verzia protokolu Wi-Fi Protected Access na zabezpečenie bezdrôtových sietí. Ako sme opísali v WPA2WPA3Znamenať Chránený prístup Wi-Fi 2 Chránený prístup Wi-Fi 3 Čo je to? Bezpečnostný protokol vyvinutý Alianciou Wi-Fi v roku 2004 na použitie pri zabezpečení bezdrôtových sietí; určené na nahradenie protokolov WEP a WPA. Vydané v roku 2018, WPA3 je ďalšou generáciou WPA a má lepšie bezpečnostné funkcie. Chráni pred slabými heslami, ktoré je možné pomerne ľahko rozlúštiť pomocou hádania. metódy Na rozdiel od WEP a WPA, WPA2 namiesto štandardnej šifry RC4 používa štandard AES. CCMP nahrádza TKIP WPA. 128-bitové šifrovanie v režime WPA3-Personal (192-bit v systéme WPA3-Enterprise) a forwardové tajomstvo. WPA3 tiež nahrádza výmenu zdieľaného kľúča (PSK) simultánnym overením totožnosti, čo je bezpečnejší spôsob počiatočnej výmeny kľúčov.. Bezpečné a odporúčané? WPA2 sa odporúča cez WEP a WPA a je bezpečnejšie, keď je deaktivované nastavenie Wi-Fi Protected Setup (WPS). Neodporúča sa pri WPA3. Áno, WPA3 je bezpečnejšie ako WPA2 spôsobmi diskutovanými v eseji nižšie. Chránené riadiace rámce (PMF) WPA2 nariaďuje podporu PMF od začiatku roku 2018. Staršie smerovače s nekompatibilným firmvérom nemusia podporovať PMF. WPA3 nariaďuje používanie chránených riadiacich rámcov (PMF)

Obsah: WPA2 verzus WPA3

  • 1 nové podanie ruky: simultánne overovanie totožnosti (SAE)
    • 1.1 Odolnosť voči dešifrovaniu offline
    • 1.2 Forward Secrecy
  • 2 príležitostné bezdrôtové šifrovanie (OWE)
  • 3 Protokol poskytovania zariadení (DPP)
  • 4 dlhšie šifrovacie kľúče
  • 5 Zabezpečenie
  • 6 Podpora pre WPA3
  • 7 odporúčaní
  • 8 Referencie

Nové podanie ruky: simultánne overovanie totožnosti (SAE)

Keď sa zariadenie pokúsi prihlásiť do siete Wi-Fi chránenej heslom, kroky dodania a overenia hesla sa vykonajú prostredníctvom 4-cestného podania. Vo WPA2 bola táto časť protokolu zraniteľná voči útokom KRACK:

Pri útoku na reinštaláciu kľúča [KRACK] protivník podvedie obeť do preinštalovania už používaného kľúča. Dosahuje sa to manipuláciou a nahradením kryptografických správ o handshake. Keď obeť znovu nainštaluje kľúč, pridružené parametre, ako je napríklad prírastkové číslo paketu (t. J. Nonce) a číslo paketu (t. J. Počítadlo opakovania), sa nastavia na pôvodnú hodnotu. V záujme zabezpečenia bezpečnosti by sa mal kľúč nainštalovať a používať iba raz.

Aj pri aktualizáciách WPA2 na zmiernenie zraniteľnosti voči KRACK môže byť WPA2-PSK stále popraskaná. Existujú dokonca návody na hackovanie hesiel WPA2-PSK.

WPA3 rieši túto zraniteľnosť a zmierňuje ďalšie problémy pomocou iného mechanizmu handshake na autentifikáciu do siete Wi-Fi - simultánne overovanie totožnosti, známe tiež ako Dragonfly Key Exchange.

Technické podrobnosti o tom, ako WPA3 používa výmenu kľúčov Dragonfly - ktorá sama o sebe predstavuje variáciu výmeny SPEKE (Simple Password Exponential Key Exchange) - je opísaná v tomto videu..

Medzi výhody výmeny kľúčov Dragonfly patrí dôvernosť a odolnosť voči dešifrovaniu v režime offline.

Odolné voči dešifrovaniu offline

Chyba protokolu WPA2 spočíva v tom, že útočník nemusí zostať pripojený k sieti, aby uhádol heslo. Útočník môže zachytiť a zachytiť štvorcestné podanie počiatočného pripojenia založeného na WPA2, keď je v blízkosti siete. Tento zachytený prenos sa potom dá použiť offline pri útoku založenom na slovníku na uhádnutie hesla. To znamená, že ak je heslo slabé, ľahko sa rozbije. V skutočnosti môžu byť alfanumerické heslá do 16 znakov pomerne rýchlo prelomené pre siete WPA2.

WPA3 používa systém Dragonfly Key Exchange, takže je odolný proti útokom slovníkov. Definuje sa takto:

Odolnosť proti slovníkovému útoku znamená, že akákoľvek výhoda, ktorú môže protivník získať, musí priamo súvisieť s počtom interakcií, ktoré robí s čestným účastníkom protokolu, a nie prostredníctvom výpočtu. Protivník nebude môcť získať žiadne informácie o hesle s výnimkou toho, či je správny alebo nesprávny jeden odhad z vykonávania protokolu..

Táto vlastnosť WPA3 chráni siete, kde sieťové heslo, t. J. Vopred zdieľaný kľúč (PSDK), je slabšie ako odporúčaná zložitosť.

Forward Secrecy

Bezdrôtová sieť využíva rádiový signál na prenos informácií (dátové pakety) medzi klientskym zariadením (napr. Telefónom alebo prenosným počítačom) a bezdrôtovým prístupovým bodom (router). Tieto rádiové signály sú vysielané otvorene a môže ich zachytiť alebo „prijať“ ktokoľvek v okolí. Ak je bezdrôtová sieť chránená pomocou hesla - či už WPA2 alebo WPA3 -, sú signály šifrované, takže zachytenie signálov treťou stranou nebude schopné porozumieť údajom.

Útočník však môže zaznamenať všetky tieto údaje, ktoré zachytáva. A ak sú schopní uhádnuť heslo v budúcnosti (čo je možné prostredníctvom útoku slovníka na WPA2, ako sme videli vyššie), môžu pomocou kľúča dešifrovať dátový prenos zaznamenaný v minulosti v tejto sieti..

WPA3 poskytuje forwardové tajomstvo. Protokol je navrhnutý tak, že ani pri sieťovom hesle nie je možné, aby odposluch klesol na komunikáciu medzi prístupovým bodom a iným klientskym zariadením..

Oportunistické bezdrôtové šifrovanie (OWE)

Opportunistic Wireless Encryption (OWE), popísané v tomto dokumente (RFC 8110), je nová funkcia v protokole WPA3, ktorá nahrádza „otvorené“ overenie 802.11, ktoré sa bežne používa v hotspotoch a vo verejných sieťach..

Toto video YouTube poskytuje technický prehľad OWE. Hlavnou myšlienkou je použitie mechanizmu výmeny kľúčov Diffie-Hellman na šifrovanie všetkej komunikácie medzi zariadením a prístupovým bodom (smerovač). Dešifrovací kľúč pre komunikáciu sa líši pre každého klienta, ktorý sa pripája k prístupovému bodu. Takže žiadne iné zariadenie v sieti nemôže túto komunikáciu dešifrovať, aj keď ju počúva (čo sa nazýva čuchanie). Táto výhoda sa nazýva Individuálna ochrana údajov-dátová prevádzka medzi klientom a prístupovým bodom je „individualizovaná“; takže zatiaľ čo iní klienti môžu tento prenos vyčítať a zaznamenať, nemôžu ho dešifrovať.

Veľkou výhodou systému OWE je to, že chráni nielen siete, ktoré vyžadujú pripojenie, ale aj heslo; Chráni tiež otvorené „nezabezpečené“ siete, ktoré nevyžadujú heslo, napr. bezdrôtové siete v knižniciach. OWE poskytuje týmto sieťam šifrovanie bez autentifikácie. Nevyžadujú sa žiadne provízie, vyjednávania ani poverenia - funguje to bez toho, aby užívateľ musel urobiť čokoľvek, dokonca ani vedel, že jej prehliadanie je teraz bezpečnejšie..

Výzva: OWE nechráni pred „nečestnými“ prístupovými bodmi (AP), ako sú AP s honeypotmi alebo zlé dvojčatá, ktoré sa snažia prinútiť používateľa, aby sa s nimi spojil a ukradol informácie.

Ďalšou výzvou je, že WPA3 podporuje šifrovanie, ktoré nie je overené autorizáciou, ale nepovoľuje. Je možné, že výrobca získa označenie WPA3 bez zavedenia neovereného šifrovania. Táto funkcia sa teraz nazýva Wi-Fi CERTIFIED Enhanced Open, takže kupujúci by mali okrem štítka WPA3 hľadať aj túto značku, aby zabezpečili, že zariadenie, ktoré kupujú, podporuje neoverené šifrovanie..

Protokol poskytovania zariadení (DPP)

Protokol poskytovania zariadení Wi-Fi (DPP) nahrádza menej bezpečné nastavenie Wi-Fi Protected Setup (WPS). Mnoho zariadení v domácej automatizácii - alebo internet vecí (IoT) - nemá rozhranie na zadávanie hesla a na sprostredkovanie nastavenia Wi-Fi sa musia spoliehať na smartphony..

Výzva tu spočíva v tom, že aliancia Wi-Fi nenariadila túto funkciu na získanie certifikácie WPA3. Nie je teda technicky súčasťou WPA3. Namiesto toho je táto funkcia teraz súčasťou ich programu Wi-Fi CERTIFIED Easy Connect. Pred zakúpením hardvéru s certifikátom WPA3 preto vyhľadajte tento štítok.

DPP umožňuje autentifikáciu zariadení do siete Wi-Fi bez hesla pomocou značiek QR kód alebo NFC (komunikácia v blízkom poli, rovnaká technológia, ktorá umožňuje bezdrôtové transakcie na Apple Pay alebo Android Pay).

Pri nastavení Wi-Fi Protected Setup (WPS) sa heslo komunikuje z telefónu do zariadenia IoT, ktoré potom pomocou hesla autentifikuje sieť Wi-Fi. Ale s novým protokolom DPP (Device Provisioning Protocol) vykonávajú zariadenia vzájomnú autentifikáciu bez hesla.

Dlhšie šifrovacie kľúče

Väčšina implementácií WPA2 používa 128-bitové šifrovacie kľúče AES. Norma IEEE 802.11i tiež podporuje 256-bitové šifrovacie kľúče. Vo WPA3 sú dlhšie veľkosti kľúčov - ekvivalent 192-bitovej bezpečnosti - povinné iba pre WPA3-Enterprise.

WPA3-Enterprise sa týka podnikovej autentifikácie, ktorá na pripojenie k bezdrôtovej sieti používa užívateľské meno a heslo, a nie iba heslo (známe tiež ako zdieľaný kľúč), ktoré je typické pre domáce siete..

V prípade spotrebiteľských aplikácií sa vďaka certifikačnému štandardu pre WPA3 stali voliteľné dlhšie veľkosti kľúčov. Niektorí výrobcovia budú používať dlhšie veľkosti kľúčov, pretože ich protokol podporuje, ale záťaž bude na spotrebiteľoch, aby si vybrali smerovač / prístupový bod, ktorý.

zabezpečenia

Ako je uvedené vyššie, v priebehu rokov sa protokol WPA2 stal zraniteľným voči rôznym formám útoku vrátane neslávne známej techniky KRACK, pre ktorú sú dostupné opravy, ale nie pre všetky smerovače a ktoré nie sú široko nasadené používateľmi, pretože si vyžaduje aktualizáciu firmvéru..

V auguste 2018 bol objavený ďalší útočný vektor pre WPA2.[1] To uľahčuje útočníkovi, ktorý čuchá handshake WPA2, získať hash vopred zdieľaného kľúča (heslo). Útočník potom môže použiť techniku ​​hrubej sily na porovnanie tohto hashu proti hashe zoznamu bežne používaných hesiel alebo zoznamu odhadov, ktoré sa snažia o každú možnú variáciu písmen a čísiel rôznej dĺžky. Pri použití prostriedkov cloud computingu je triviálne uhádnuť akékoľvek heslo kratšie ako 16 znakov.

Stručne povedané, zabezpečenie WPA2 je rovnako dobré ako prerušené, ale iba pre WPA2-Personal. WPA2-Enterprise je oveľa odolnejší. Pokiaľ nie je široko dostupný WPA3, používajte pre svoju sieť WPA2 silné heslo.

Podpora pre WPA3

Po svojom zavedení v roku 2018 sa očakáva, že podpora bude trvať 12 až 18 mesiacov, kým sa podpora nezačlení. Aj keď máte bezdrôtový smerovač, ktorý podporuje WPA3, váš starý telefón alebo tablet nemusia dostať aktualizácie softvéru potrebné pre WPA3. V takom prípade sa prístupový bod vráti späť na WPA2, takže sa môžete stále pripojiť k smerovaču, ale bez výhod WPA3..

O 2 až 3 roky sa WPA3 stane hlavným prúdom a ak kupujete hardvér smerovača, teraz je vhodné vaše nákupy overiť v budúcnosti..

odporúčania

  1. Ak je to možné, vyberte WPA3 oproti WPA2.
  2. Pri nákupe hardvéru s certifikátom WPA3 vyhľadajte aj certifikáty Wi-Fi Enhanced Open a Wi-Fi Easy Connect. Ako je uvedené vyššie, tieto vlastnosti zvyšujú bezpečnosť siete.
  3. Vyberte dlhé a zložité heslo (vopred zdieľaný kľúč):
    1. v hesle používajte číslice, veľké a malé písmená, medzery a dokonca aj „špeciálne“ znaky.
    2. Nech je to priechodfrázy namiesto jedného slova.
    3. Nech je to dlhých 20 alebo viac znakov.
  4. Ak kupujete nový bezdrôtový smerovač alebo prístupový bod, vyberte ten, ktorý podporuje WPA3, alebo plánujete spustiť aktualizáciu softvéru, ktorá bude podporovať WPA3 v budúcnosti. Predajcovia bezdrôtových smerovačov pravidelne vydávajú aktualizácie firmvéru pre svoje produkty. V závislosti od toho, aký dobrý je predajca, vydávajú aktualizácie častejšie. napr. po zraniteľnosti KRACK, TP-LINK bol medzi prvými predajcami, ktorí vydali opravy pre svoje smerovače. Vydali tiež záplaty pre staršie smerovače. Ak teda skúmate, ktorý smerovač kúpiť, pozrite sa na históriu verzií firmvéru vydaných týmto výrobcom. Vyberte si spoločnosť, ktorá sa dôsledne stará o svoje aktualizácie.
  5. Použite sieť VPN, keď používate verejný prístupový bod Wi-Fi, ako je kaviareň alebo knižnica, bez ohľadu na to, či je bezdrôtová sieť chránená heslom (t. J. Zabezpečená) alebo nie..

Referencie

  • Útoky KRACK na WPA2
  • Výmena kľúčov Dragonfly - dokument IEEE
  • Tlačová správa aliancie Wi-Fi Alliance pre funkcie WPA3 a vylepšenia WPA2
  • Vylepšenia zabezpečenia WPA3 - Ty trúbka
  • Príležitostné bezdrôtové šifrovanie: RFC 1180
  • WPA3 - Zmeškaná príležitosť
  • Technické podrobnosti WPA3
  • Začiatok konca WPA-2: Praskanie WPA-2 je teraz oveľa jednoduchšie
technológie
×