WPA2 vs. WPA3

Vuonna 2018 julkaistu WPA3 on päivitetty ja turvallisempi versio Wi-Fi Protected Access -protokollasta, joka suojaa langattomia verkkoja. Kuten kuvailimme WPA2WPA3Tarkoittaa Wi-Fi-suojattu pääsy 2 Wi-Fi-suojattu pääsy 3 Mikä se on? Wi-Fi Alliancen vuonna 2004 kehittämä tietoturvaprotokolla langattomien verkkojen turvaamiseksi; suunniteltu korvaamaan WEP- ja WPA-protokollat. Vuonna 2018 julkaistu WPA3 on seuraavan sukupolven WPA ja siinä on parempia suojausominaisuuksia. Se suojaa heikoilta salasanoilta, jotka voidaan murtaa suhteellisen helposti arvaamalla. menetelmät Toisin kuin WEP ja WPA, WPA2 käyttää AES-standardia RC4-stream-salauksen sijasta. CCMP korvaa WPA: n TKIP: n. 128-bittinen salaus WPA3-Personal-tilassa (192-bittinen WPA3-Enterprise) ja edelleensalaisuus. WPA3 korvaa myös esijaetun avaimen (PSK) vaihdon yhtäaikaisella autentikoinnilla, joka on turvallisempi tapa suorittaa avaimen vaihto. Suojattu ja suositeltava? WPA2: ta suositellaan WEP: n ja WPA: n yli ja se on turvallisempaa, kun Wi-Fi Protected Setup (WPS) on poistettu käytöstä. Sitä ei suositella WPA3: n yli. Kyllä, WPA3 on turvallisempi kuin WPA2 alla olevassa esseessä käsitellyillä tavoilla. Suojatut hallintakehykset (PMF) WPA2 on valtuuttanut PMF: n tuen vuodesta 2018. Vuodesta 2018 lähtien. Vanhemmat reitittimet, joiden laiteohjelmisto on vailla, eivät ehkä tue PMF: ää. WPA3 valtuuttaa suojatun hallintakehyksen (PMF) käytön

Sisältö: WPA2 vs. WPA3

  • 1 uusi kädenpuristus: yhtäaikainen autentikointi yhtäläisille (SAE)
    • 1.1 Kestää offline-salauksen purkamista
    • 1.2 Välitysalaisuus
  • 2 mahdollisuuden langatonta salausta (OWE)
  • 3 laitteen toimittamisprotokolla (DPP)
  • 4 pidempiä salausavaimia
  • 5 Turvallisuus
  • 6 WPA3-tuki
  • 7 suositusta
  • 8 Viitteet

Uusi kädenpuristus: Yhtäaikainen autentikointi (SAE)

Kun laite yrittää kirjautua sisään salasanalla suojattuun Wi-Fi-verkkoon, salasanan toimittaminen ja varmennus vaiheet suoritetaan 4-suuntaisen kädenpuristuksen avulla. WPA2: ssa tämä protokollan osa oli alttiina KRACK-iskuille:

Avaimen uudelleenasennushyökkäyksessä [KRACK] vihollinen huijaa uhrin asentamaan jo käytössä olevan avaimen uudelleen. Tämä saavutetaan manipuloimalla ja toistamalla kryptografisia kädenpuristusviestejä. Kun uhri asentaa avaimen uudelleen, liittyvät parametrit, kuten inkrementaalinen lähetyspaketin numero (ts. Nonce) ja vastaanottopaketin numero (ts. Uusintalaskuri), palautetaan alkuperäiseen arvoonsa. Pohjimmiltaan turvallisuuden takaamiseksi avain tulisi asentaa ja käyttää vain kerran.

Jopa päivittämällä WPA2: ta KRACK-haavoittuvuuksien vähentämiseksi, WPA2-PSK voidaan silti murtaa. Siellä on jopa ohjeita WPA2-PSK-salasanojen hakkerointiin.

WPA3 korjaa tämän haavoittuvuuden ja lievittää muita ongelmia käyttämällä erilaista kädenpuristusmekanismia autentikointiin Wi-Fi-verkkoon - Samanaikainen henkilöiden todennus, joka tunnetaan myös nimellä Dragonfly Key Exchange.

Tässä videossa kuvataan tekniset yksityiskohdat siitä, kuinka WPA3 käyttää Dragonfly-avaimenvaihtoa - joka itsessään on SPEKE-version (yksinkertainen salasanaeksponentiaalinen avainvaihto) -vaihtoehto..

Dragonfly-avaintenvaihdon etuina ovat eteenpäin suuntautuva salaisuus ja vastustuskyky offline-salauksen purkamiseen.

Kestää offline-salauksen purkamista

WPA2-protokollan haavoittuvuus on, että hyökkääjän ei tarvitse pysyä yhteydessä verkkoon salasanan arvaamiseksi. Hyökkääjä voi haistaa ja kaapata WPA2-pohjaisen alkuperäisen yhteyden 4-suuntainen kättely verkon läheisyydessä. Tätä kaapattua liikennettä voidaan sitten käyttää offline-tilassa sanakirjapohjaisessa hyökkäyksessä salasanan arvaamiseksi. Tämä tarkoittaa, että jos salasana on heikko, se on helposti murtettavissa. Itse asiassa jopa 16 merkkiä kestävät aakkosnumeeriset salasanat voidaan murtaa melko nopeasti WPA2-verkoissa.

WPA3 käyttää Dragonfly Key Exchange -järjestelmää, joten se kestää sanakirjahyökkäyksiä. Tämä määritellään seuraavasti:

Sanakirjahyökkäykset kestävät sitä, että kaikkien hyötyjen, joita vastustaja voi saada, on liityttävä suoraan vuorovaikutusten määrään, joita hän tekee rehellisen protokollan osallistujan kanssa, eikä laskennan kautta. Vihollinen ei voi saada mitään tietoja salasanasta, paitsi onko yksi arvaus protokollan suorituksesta oikea vai väärin.

Tämä WPA3: n ominaisuus suojaa verkkoja, joissa verkon salasana, ts. Esijaettu avain (PSDK), on heikompi kuin suositeltu monimutkaisuus.

Eteenpäin salaisuus

Langaton verkko käyttää radiosignaalia tiedon (datapakettien) lähettämiseen asiakaslaitteen (esim. Puhelimen tai kannettavan) ja langattoman tukiaseman (reitittimen) välillä. Nämä radiosignaalit lähetetään avoimesti, ja kuka tahansa läheisyydessä voi siepata tai "vastaanottaa". Kun langaton verkko on suojattu salasanalla - riippumatta siitä onko WPA2 vai WPA3 - signaalit salataan, joten signaaleja sieppaava kolmas osapuoli ei pysty ymmärtämään tietoja.

Hyökkääjä voi kuitenkin tallentaa kaikki nämä sieppaamansa tiedot. Ja jos he pystyvät arvaamaan salasanan tulevaisuudessa (mikä on mahdollista sanakirjahyökkäyksen avulla WPA2: lle, kuten olemme nähneet yllä), he voivat käyttää avainta salataksesi aiemmin tallennetun tietoliikenteen kyseisessä verkossa..

WPA3 tarjoaa eteenpäin salaisuuden. Protokolla on suunniteltu siten, että jopa verkon salasanalla salakuuntelija ei voi torjua tukiaseman ja toisen asiakaslaitteen välistä liikennettä..

Oportunistinen langaton salaus (OWE)

Tässä julkaisussa kuvattu (RFC 8110) Opportunistic Wireless Encryption (OWE) on WPA3: n uusi ominaisuus, joka korvaa 802.11: n "avoimen" todennuksen, jota käytetään laajalti yhteyspisteissä ja julkisissa verkoissa..

Tämä YouTube-video tarjoaa teknisen yleiskuvan OWE: stä. Keskeinen idea on käyttää Diffie-Hellman-avaintenvaihtomekanismia kaiken viestinnän salaamiseen laitteen ja tukiaseman (reitittimen) välillä. Viestinnän salauksenpurkuavain on erilainen jokaiselle asiakaspisteelle muodostavalle asiakkaalle. Joten mikään muista verkon laitteista ei voi purkaa tätä viestintää, vaikka he kuuntelevat sitä (jota kutsutaan nuuskaamiseksi). Tätä etua kutsutaan Yksilöllinen tietosuoja-datan liikenne asiakkaan ja tukiaseman välillä on "yksilöity"; Joten vaikka muut asiakkaat voivat haistaa ja tallentaa tätä liikennettä, he eivät voi purkaa sitä.

OWE: n suuri etu on, että se ei suojaa vain verkkoja, jotka vaativat salasanan yhteyden muodostamiseksi; se suojaa myös avoimia "suojaamattomia" verkkoja, joilla ei ole salasanavaatimuksia, esim. langattomat verkot kirjastoissa. OWE tarjoaa näille verkoille salauksen ilman todennusta. Ei varaamista, neuvotteluja ja käyttöoikeustietoja ei tarvita - se toimii vain ilman, että käyttäjän tarvitsee tehdä mitään tai edes tietää, että hänen selaamisensa on nyt turvallisempaa.

Varoitus: OWE ei suojaa "roistoilta" tukiasemilta, kuten hunajapotila-AP: ltä tai pahoilta kaksosilta, jotka yrittävät huijata käyttäjän muodostamaan yhteydenpitoon heidän kanssaan ja varastamaan tietoja.

Toinen varoitus on, että WPA3 tukee, mutta ei valtuuta todentamatonta salausta. On mahdollista, että valmistaja saa WPA3-tarran toteuttamatta todentamatonta salausta. Ominaisuutta kutsutaan nyt Wi-Fi CERTIFIED Enhanced Open -sovellukseksi, joten ostajien tulisi etsiä tämä etiketti WPA3-etiketin lisäksi varmistaakseen, että ostamasi laite tukee todentamatonta salausta.

Laitteen toimittamisprotokolla (DPP)

Wi-Fi-laitteen toimittamisprotokolla (DPP) korvaa vähemmän turvallisen Wi-Fi-suojatun asennuksen (WPS). Monilla kodin automaation tai esineiden Internetin (IoT) laitteilla ei ole käyttöliittymää salasanan syöttämiseen, ja niiden on luotettava älypuhelimiin väliaikaiseen Wi-Fi-asetukseen..

Varoitus tässä on jälleen kerran, että Wi-Fi Alliance ei ole valtuuttanut tätä ominaisuutta käyttämään WPA3-sertifioinnin saamiseksi. Joten se ei ole teknisesti osa WPA3: ta. Sen sijaan tämä ominaisuus on nyt osa heidän Wi-Fi CERTIFIED Easy Connect -ohjelmaa. Joten etsi tämä etiketti ennen WPA3-sertifioidun laitteiston ostamista.

DPP sallii laitteiden todentamisen Wi-Fi-verkkoon ilman salasanaa joko käyttämällä QR-koodia tai NFC (Near-field communication, sama tekniikka, joka käyttää langattomia tapahtumia Apple Pay- tai Android Pay-tunnisteissa).

WPS-suojatun asennuksen (WPS) avulla salasana välitetään puhelimesta IoT-laitteeseen, joka sitten käyttää salasanaa todentaakseen Wi-Fi-verkon. Mutta uudessa laitetoimitusprotokollassa (DPP) laite suorittaa keskinäisen todennuksen ilman salasanaa.

Pidemmät salausavaimet

Useimmat WPA2-toteutukset käyttävät 128-bittisiä AES-salausavaimia. IEEE 802.11i -standardi tukee myös 256-bittisiä salausavaimia. WPA3: ssa pidempi avainkoko - joka vastaa 192-bittistä suojausta - on pakollista vain WPA3-Enterprise -yritykselle.

WPA3-Enterprise viittaa yrityksen todennukseen, joka käyttää käyttäjänimeä ja salasanaa yhteyden muodostamiseen langattomaan verkkoon, eikä pelkästään kotiverkoille tyypillistä salasanaa (alias jaettu avain)..

Kuluttajasovelluksissa WPA3: n varmennusstandardi on tehnyt pidemmistä avainkokoista valinnaisia. Jotkut valmistajat käyttävät pidempiä avainkokoja, koska protokolla tukee niitä nyt, mutta kuluttajien velvollisuutena on valita reititin / tukiasema, joka.

turvallisuus

Kuten yllä on kuvattu, WPA2 on vuosien kuluessa tullut haavoittuvaiseksi useille hyökkäysmuodoille, mukaan lukien pahamaineinen KRACK-tekniikka, jota varten on saatavana korjauksia, mutta ei kaikille reitittimille ja joita käyttäjät eivät ole käyttäneet laajasti, koska se vaatii laiteohjelmiston päivityksen.

Elokuussa 2018 löydettiin jälleen yksi WPA2: n hyökkäysvektori.[1] Tämän ansiosta WPA2-kädenpuristuksia hakeva hyökkääjä saa helposti esijaetun avaimen (salasanan) tiivisteen. Hyökkääjä voi sitten käyttää raa'an voiman tekniikkaa verrataksesi tätä tiivistettä yleisesti käytettyjen salasanojen luettelon hajautusluetteloihin tai arvausluetteloon, joka kokeilee kaikkia mahdollisia variaatioita kirjaimia ja numeroita, joiden pituus vaihtelee. Pilvilaskentaresursseja käyttämällä on triviaalia arvata mikä tahansa alle 16 merkkiä pitkä salasana.

Lyhyesti sanottuna, WPA2-tietoturva on yhtä hyvä kuin rikki, mutta vain WPA2-Personal-suojaukseen. WPA2-Enterprise on paljon kestävämpi. Käytä vahvaa salasanaa WPA2-verkkoosi, kunnes WPA3 on laajalti saatavissa.

Tuki WPA3: lle

Tuen käyttöönoton jälkeen vuonna 2018 odotetaan 12-18 kuukautta, jotta tuki menee valtavirtaan. Vaikka sinulla olisi langaton reititin, joka tukee WPA3: ta, vanha puhelin tai tabletti ei ehkä vastaanota WPA3: lle tarvittavia ohjelmistopäivityksiä. Tässä tapauksessa tukiasema palaa takaisin WPA2: een, joten voit silti muodostaa yhteyden reitittimeen, mutta ilman WPA3: n etuja.

2-3 vuoden kuluttua WPA3: sta tulee yleistä, ja jos ostat reitittimen laitteistoa nyt, on suositeltavaa tehdä tulevaisuuden kestäväksi ostoksesi.

suositukset

  1. Valitse mahdollisuuksien mukaan WPA3 WPA2: n yli.
  2. Kun ostat WPA3-sertifioitua laitteistoa, etsi myös Wi-Fi Enhanced Open- ja Wi-Fi Easy Connect -sertifikaatit. Kuten yllä on kuvattu, nämä ominaisuudet parantavat verkon turvallisuutta.
  3. Valitse pitkä, monimutkainen salasana (esijaettu avain):
    1. Käytä salasanasi numeroita, isoja ja pieniä kirjaimia, välilyöntejä ja jopa "erikois" merkkejä.
    2. Tee se ohifraasi yhden sanan sijasta.
    3. Tee siitä vähintään 20 merkkiä pitkä.
  4. Jos ostat uuden langattoman reitittimen tai tukiaseman, valitse sellainen, joka tukee WPA3: ta tai aikoo julkaista ohjelmistopäivityksen, joka tukee WPA3: ta tulevaisuudessa. Langattoman reitittimen toimittajat julkaisevat määräajoin tuotteilleen laiteohjelmistopäivityksiä. Riippuen siitä, kuinka hyvä myyjä on, he julkaisevat päivityksiä useammin. esim. KRACK-haavoittuvuuden jälkeen TP-LINK oli ensimmäisten toimittajien joukossa, joka julkaisi korjaustiedostoja reitittimilleen. He julkaisivat myös korjauksia vanhemmille reitittimille. Joten jos tutkit, mitä reititintä haluat ostaa, tutustu valmistajan julkaisemien laiteohjelmistoversioiden historiaan. Valitse yritys, joka ajattelee päivityksiä ahkerasti.
  5. Käytä VPN: ää, kun käytät julkista Wi-Fi-yhteyspistettä, kuten kahvilaa tai kirjastoa, riippumatta siitä, onko langaton verkko salasanasuojattu (ts. Suojattu) vai ei..

Viitteet

  • KRACK hyökkäykset WPA2: ta vastaan
  • Dragonfly Key Exchange - IEEE-valkoinen paperi
  • Wi-Fi Alliancen lehdistötiedote WPA3-ominaisuuksista ja WPA2-parannuksista
  • WPA3-tietoturvaparannukset - YouTube
  • Oportunistinen langaton salaus: RFC 1180
  • WPA3 - menetetty tilaisuus
  • WPA3: n tekniset yksityiskohdat
  • WPA-2: n lopun alku: WPA-2: n murtaminen on vain paljon helpompaa