Vuonna 2018 julkaistu WPA3 on päivitetty ja turvallisempi versio Wi-Fi Protected Access -protokollasta, joka suojaa langattomia verkkoja. Kuten kuvailimme
Kun laite yrittää kirjautua sisään salasanalla suojattuun Wi-Fi-verkkoon, salasanan toimittaminen ja varmennus vaiheet suoritetaan 4-suuntaisen kädenpuristuksen avulla. WPA2: ssa tämä protokollan osa oli alttiina KRACK-iskuille:
Avaimen uudelleenasennushyökkäyksessä [KRACK] vihollinen huijaa uhrin asentamaan jo käytössä olevan avaimen uudelleen. Tämä saavutetaan manipuloimalla ja toistamalla kryptografisia kädenpuristusviestejä. Kun uhri asentaa avaimen uudelleen, liittyvät parametrit, kuten inkrementaalinen lähetyspaketin numero (ts. Nonce) ja vastaanottopaketin numero (ts. Uusintalaskuri), palautetaan alkuperäiseen arvoonsa. Pohjimmiltaan turvallisuuden takaamiseksi avain tulisi asentaa ja käyttää vain kerran.
Jopa päivittämällä WPA2: ta KRACK-haavoittuvuuksien vähentämiseksi, WPA2-PSK voidaan silti murtaa. Siellä on jopa ohjeita WPA2-PSK-salasanojen hakkerointiin.
WPA3 korjaa tämän haavoittuvuuden ja lievittää muita ongelmia käyttämällä erilaista kädenpuristusmekanismia autentikointiin Wi-Fi-verkkoon - Samanaikainen henkilöiden todennus, joka tunnetaan myös nimellä Dragonfly Key Exchange.
Tässä videossa kuvataan tekniset yksityiskohdat siitä, kuinka WPA3 käyttää Dragonfly-avaimenvaihtoa - joka itsessään on SPEKE-version (yksinkertainen salasanaeksponentiaalinen avainvaihto) -vaihtoehto..
Dragonfly-avaintenvaihdon etuina ovat eteenpäin suuntautuva salaisuus ja vastustuskyky offline-salauksen purkamiseen.
WPA2-protokollan haavoittuvuus on, että hyökkääjän ei tarvitse pysyä yhteydessä verkkoon salasanan arvaamiseksi. Hyökkääjä voi haistaa ja kaapata WPA2-pohjaisen alkuperäisen yhteyden 4-suuntainen kättely verkon läheisyydessä. Tätä kaapattua liikennettä voidaan sitten käyttää offline-tilassa sanakirjapohjaisessa hyökkäyksessä salasanan arvaamiseksi. Tämä tarkoittaa, että jos salasana on heikko, se on helposti murtettavissa. Itse asiassa jopa 16 merkkiä kestävät aakkosnumeeriset salasanat voidaan murtaa melko nopeasti WPA2-verkoissa.
WPA3 käyttää Dragonfly Key Exchange -järjestelmää, joten se kestää sanakirjahyökkäyksiä. Tämä määritellään seuraavasti:
Sanakirjahyökkäykset kestävät sitä, että kaikkien hyötyjen, joita vastustaja voi saada, on liityttävä suoraan vuorovaikutusten määrään, joita hän tekee rehellisen protokollan osallistujan kanssa, eikä laskennan kautta. Vihollinen ei voi saada mitään tietoja salasanasta, paitsi onko yksi arvaus protokollan suorituksesta oikea vai väärin.
Tämä WPA3: n ominaisuus suojaa verkkoja, joissa verkon salasana, ts. Esijaettu avain (PSDK), on heikompi kuin suositeltu monimutkaisuus.
Langaton verkko käyttää radiosignaalia tiedon (datapakettien) lähettämiseen asiakaslaitteen (esim. Puhelimen tai kannettavan) ja langattoman tukiaseman (reitittimen) välillä. Nämä radiosignaalit lähetetään avoimesti, ja kuka tahansa läheisyydessä voi siepata tai "vastaanottaa". Kun langaton verkko on suojattu salasanalla - riippumatta siitä onko WPA2 vai WPA3 - signaalit salataan, joten signaaleja sieppaava kolmas osapuoli ei pysty ymmärtämään tietoja.
Hyökkääjä voi kuitenkin tallentaa kaikki nämä sieppaamansa tiedot. Ja jos he pystyvät arvaamaan salasanan tulevaisuudessa (mikä on mahdollista sanakirjahyökkäyksen avulla WPA2: lle, kuten olemme nähneet yllä), he voivat käyttää avainta salataksesi aiemmin tallennetun tietoliikenteen kyseisessä verkossa..
WPA3 tarjoaa eteenpäin salaisuuden. Protokolla on suunniteltu siten, että jopa verkon salasanalla salakuuntelija ei voi torjua tukiaseman ja toisen asiakaslaitteen välistä liikennettä..
Tässä julkaisussa kuvattu (RFC 8110) Opportunistic Wireless Encryption (OWE) on WPA3: n uusi ominaisuus, joka korvaa 802.11: n "avoimen" todennuksen, jota käytetään laajalti yhteyspisteissä ja julkisissa verkoissa..
Tämä YouTube-video tarjoaa teknisen yleiskuvan OWE: stä. Keskeinen idea on käyttää Diffie-Hellman-avaintenvaihtomekanismia kaiken viestinnän salaamiseen laitteen ja tukiaseman (reitittimen) välillä. Viestinnän salauksenpurkuavain on erilainen jokaiselle asiakaspisteelle muodostavalle asiakkaalle. Joten mikään muista verkon laitteista ei voi purkaa tätä viestintää, vaikka he kuuntelevat sitä (jota kutsutaan nuuskaamiseksi). Tätä etua kutsutaan Yksilöllinen tietosuoja-datan liikenne asiakkaan ja tukiaseman välillä on "yksilöity"; Joten vaikka muut asiakkaat voivat haistaa ja tallentaa tätä liikennettä, he eivät voi purkaa sitä.
OWE: n suuri etu on, että se ei suojaa vain verkkoja, jotka vaativat salasanan yhteyden muodostamiseksi; se suojaa myös avoimia "suojaamattomia" verkkoja, joilla ei ole salasanavaatimuksia, esim. langattomat verkot kirjastoissa. OWE tarjoaa näille verkoille salauksen ilman todennusta. Ei varaamista, neuvotteluja ja käyttöoikeustietoja ei tarvita - se toimii vain ilman, että käyttäjän tarvitsee tehdä mitään tai edes tietää, että hänen selaamisensa on nyt turvallisempaa.
Varoitus: OWE ei suojaa "roistoilta" tukiasemilta, kuten hunajapotila-AP: ltä tai pahoilta kaksosilta, jotka yrittävät huijata käyttäjän muodostamaan yhteydenpitoon heidän kanssaan ja varastamaan tietoja.
Toinen varoitus on, että WPA3 tukee, mutta ei valtuuta todentamatonta salausta. On mahdollista, että valmistaja saa WPA3-tarran toteuttamatta todentamatonta salausta. Ominaisuutta kutsutaan nyt Wi-Fi CERTIFIED Enhanced Open -sovellukseksi, joten ostajien tulisi etsiä tämä etiketti WPA3-etiketin lisäksi varmistaakseen, että ostamasi laite tukee todentamatonta salausta.
Wi-Fi-laitteen toimittamisprotokolla (DPP) korvaa vähemmän turvallisen Wi-Fi-suojatun asennuksen (WPS). Monilla kodin automaation tai esineiden Internetin (IoT) laitteilla ei ole käyttöliittymää salasanan syöttämiseen, ja niiden on luotettava älypuhelimiin väliaikaiseen Wi-Fi-asetukseen..
Varoitus tässä on jälleen kerran, että Wi-Fi Alliance ei ole valtuuttanut tätä ominaisuutta käyttämään WPA3-sertifioinnin saamiseksi. Joten se ei ole teknisesti osa WPA3: ta. Sen sijaan tämä ominaisuus on nyt osa heidän Wi-Fi CERTIFIED Easy Connect -ohjelmaa. Joten etsi tämä etiketti ennen WPA3-sertifioidun laitteiston ostamista.
DPP sallii laitteiden todentamisen Wi-Fi-verkkoon ilman salasanaa joko käyttämällä QR-koodia tai NFC (Near-field communication, sama tekniikka, joka käyttää langattomia tapahtumia Apple Pay- tai Android Pay-tunnisteissa).
WPS-suojatun asennuksen (WPS) avulla salasana välitetään puhelimesta IoT-laitteeseen, joka sitten käyttää salasanaa todentaakseen Wi-Fi-verkon. Mutta uudessa laitetoimitusprotokollassa (DPP) laite suorittaa keskinäisen todennuksen ilman salasanaa.
Useimmat WPA2-toteutukset käyttävät 128-bittisiä AES-salausavaimia. IEEE 802.11i -standardi tukee myös 256-bittisiä salausavaimia. WPA3: ssa pidempi avainkoko - joka vastaa 192-bittistä suojausta - on pakollista vain WPA3-Enterprise -yritykselle.
WPA3-Enterprise viittaa yrityksen todennukseen, joka käyttää käyttäjänimeä ja salasanaa yhteyden muodostamiseen langattomaan verkkoon, eikä pelkästään kotiverkoille tyypillistä salasanaa (alias jaettu avain)..
Kuluttajasovelluksissa WPA3: n varmennusstandardi on tehnyt pidemmistä avainkokoista valinnaisia. Jotkut valmistajat käyttävät pidempiä avainkokoja, koska protokolla tukee niitä nyt, mutta kuluttajien velvollisuutena on valita reititin / tukiasema, joka.
Kuten yllä on kuvattu, WPA2 on vuosien kuluessa tullut haavoittuvaiseksi useille hyökkäysmuodoille, mukaan lukien pahamaineinen KRACK-tekniikka, jota varten on saatavana korjauksia, mutta ei kaikille reitittimille ja joita käyttäjät eivät ole käyttäneet laajasti, koska se vaatii laiteohjelmiston päivityksen.
Elokuussa 2018 löydettiin jälleen yksi WPA2: n hyökkäysvektori.[1] Tämän ansiosta WPA2-kädenpuristuksia hakeva hyökkääjä saa helposti esijaetun avaimen (salasanan) tiivisteen. Hyökkääjä voi sitten käyttää raa'an voiman tekniikkaa verrataksesi tätä tiivistettä yleisesti käytettyjen salasanojen luettelon hajautusluetteloihin tai arvausluetteloon, joka kokeilee kaikkia mahdollisia variaatioita kirjaimia ja numeroita, joiden pituus vaihtelee. Pilvilaskentaresursseja käyttämällä on triviaalia arvata mikä tahansa alle 16 merkkiä pitkä salasana.
Lyhyesti sanottuna, WPA2-tietoturva on yhtä hyvä kuin rikki, mutta vain WPA2-Personal-suojaukseen. WPA2-Enterprise on paljon kestävämpi. Käytä vahvaa salasanaa WPA2-verkkoosi, kunnes WPA3 on laajalti saatavissa.
Tuen käyttöönoton jälkeen vuonna 2018 odotetaan 12-18 kuukautta, jotta tuki menee valtavirtaan. Vaikka sinulla olisi langaton reititin, joka tukee WPA3: ta, vanha puhelin tai tabletti ei ehkä vastaanota WPA3: lle tarvittavia ohjelmistopäivityksiä. Tässä tapauksessa tukiasema palaa takaisin WPA2: een, joten voit silti muodostaa yhteyden reitittimeen, mutta ilman WPA3: n etuja.
2-3 vuoden kuluttua WPA3: sta tulee yleistä, ja jos ostat reitittimen laitteistoa nyt, on suositeltavaa tehdä tulevaisuuden kestäväksi ostoksesi.