WPA2 ir WPA3

Išleista 2018 m., WPA3 yra atnaujinta ir saugesnė „Wi-Fi Protected Access“ protokolo versija, skirta saugiems belaidžiams tinklams. Kaip mes aprašėme WPA2WPA3Reiškia „Wi-Fi“ apsaugota prieiga 2 „Wi-Fi“ apsaugota prieiga 3 Kas tai? Saugos protokolas, kurį 2004 m. Sukūrė „Wi-Fi“ aljansas, skirtas naudoti užtikrinant belaidžius tinklus; skirtas pakeisti WEP ir WPA protokolus. Išleistas 2018 m., WPA3 yra naujos kartos WPA ir pasižymi geresnėmis saugos funkcijomis. Tai apsaugo nuo silpnų slaptažodžių, kuriuos galima gana lengvai nulaužti spėliojant. Metodai Skirtingai nei WEP ir WPA, WPA2 vietoj RC4 srauto šifro naudoja AES standartą. CCMP pakeičia WPA TKIP. 128 bitų šifravimas „WPA3-Personal“ režimu (192 bitai „WPA3-Enterprise“) ir persiuntimo slaptumas. WPA3 taip pat pakeičia „Pre-Shared Key“ (PSK) mainus kartu su lygiaverčių tapatumų autentifikavimu, tai yra saugesnis būdas atlikti pradinį raktų keitimą.. Saugus ir rekomenduojamas? WPA2 rekomenduojama naudoti per WEP ir WPA ir yra saugesnis, kai išjungta „Wi-Fi Protected Setup“ (WPS). Nerekomenduojama naudoti WPA3. Taip, WPA3 yra saugesnis nei WPA2 toliau aprašytame rašinyje aprašytais būdais. Apsaugoti valdymo rėmai (PMF) WPA2 įpareigoja PMF palaikymą nuo 2018 m. Pradžios. Senesni maršrutizatoriai, turintys neišpakuotą firmware, gali nepalaikyti PMF. WPA3 įpareigoja naudoti apsaugotus valdymo rėmus (PMF)

Turinys: WPA2 ir WPA3

  • 1 naujas rankos paspaudimas: lygiagretus tapatybės patvirtinimas (SAE)
    • 1.1 Atsparus iššifravimui neprisijungus
    • 1.2 Pirmyn paslaptis
  • 2 Galimas belaidis šifravimas (OWE)
  • 3 įrenginių aprūpinimo protokolas (DPP)
  • 4 ilgesni šifravimo raktai
  • 5 Saugumas
  • 6 WPA3 palaikymas
  • 7 rekomendacijos
  • 8 literatūros sąrašas

Naujas rankos paspaudimas: lygiagretus tapatybės patvirtinimas (SAE)

Kai įrenginys bando prisijungti prie slaptažodžiu apsaugoto „Wi-Fi“ tinklo, slaptažodžio pateikimo ir patvirtinimo veiksmai atliekami per keturias puses. WPA2 programoje ši protokolo dalis buvo pažeidžiama KRACK atakų:

Esant klavišų diegimo išpuoliui [KRACK], priešininkas apgaudinėja auką iš naujo įdiegti jau naudojamą raktą. Tai pasiekiama manipuliuojant ir pakartojant kriptografinius rankos paspaudimo pranešimus. Kai auka iš naujo įdiegia raktą, susiejami parametrai, tokie kaip padidėjęs perdavimo paketų numeris (t. Y. Necelis) ir priėmimo paketo numeris (t. Y. Pakartojimo skaitiklis), atkuriami į pradinę vertę. Iš esmės, norint užtikrinti saugumą, raktą reikia įdiegti ir naudoti tik vieną kartą.

Net atnaujinus WPA2, siekiant sumažinti KRACK pažeidžiamumą, WPA2-PSK vis tiek gali būti nulaužtas. Yra netgi patarimų, kaip įsilaužti į WPA2-PSK slaptažodžius.

WPA3 ištaiso šį pažeidžiamumą ir sumažina kitas problemas, naudodamas skirtingą rankos paspaudimo mechanizmą, kad būtų galima prisijungti prie „Wi-Fi“ tinklo - lygiagrečių lygiaverčių asmenų autentifikavimas, dar žinomas kaip „Dragonfly Key Exchange“..

Šiame vaizdo įraše aprašyta techninė informacija apie tai, kaip WPA3 naudoja „Dragonfly“ raktų keitimą, kuris pats yra SPEKE (paprastas slaptažodžio eksponentinis keitimasis) variantas..

„Dragonfly“ raktų mainų pranašumai yra slaptumas ir atsparumas iššifravimui neprisijungus.

Atsparus iššifravimui neprisijungus

WPA2 protokolo pažeidžiamumas yra tas, kad užpuolikas neturi likti prisijungę prie tinklo, kad atspėtų slaptažodį. Užpuolikas gali užfiksuoti ir užfiksuoti keturių krypčių pradinio WPA2 ryšio rankos paspaudimą, kai esate arti tinklo. Tada šis užfiksuotas srautas gali būti naudojamas neprisijungus prie žodyno paremtos atakos norint atspėti slaptažodį. Tai reiškia, kad jei slaptažodis yra silpnas, jis lengvai sulaužomas. Iš tikrųjų raidinius ir skaitmeninius slaptažodžius, sudarytus iki 16 simbolių, WPA2 tinkluose galima gana greitai nulaužti.

WPA3 naudoja „Dragonfly Key Exchange“ sistemą, todėl yra atspari žodyno atakoms. Tai apibrėžiama taip:

Atsparumas žodyno atakoms reiškia, kad bet koks priešininko įgytas pranašumas turi būti tiesiogiai susijęs su sąveikų su sąžiningu protokolo dalyviu skaičiumi, o ne per skaičiavimą. Priešininkas negalės gauti jokios informacijos apie slaptažodį, išskyrus tai, ar vienas spėjimas iš protokolo paleidimo yra teisingas ar neteisingas.

Ši WPA3 savybė apsaugo tinklus, kuriuose tinklo slaptažodis, t. Y. Iš anksto bendrintas raktas (PSDK), yra silpnesnis nei rekomenduojamas sudėtingumas..

Pirmyn paslaptis

Belaidis tinklas naudoja radijo signalą informacijai (duomenų paketams) perduoti iš kliento įrenginio (pvz., Telefono ar nešiojamojo kompiuterio) ir belaidžio prieigos taško (maršrutizatoriaus). Šie radijo signalai yra transliuojami atvirai ir juos gali perimti ar „priimti“ visi netoliese esantys žmonės. Kai belaidis tinklas yra apsaugotas slaptažodžiu, nesvarbu, ar WPA2, ar WPA3, signalai yra užšifruojami, todėl signalus perimanti trečioji šalis negalės suprasti duomenų.

Tačiau užpuolikas gali įrašyti visus šiuos duomenis, kuriuos jie įsiterpia. Ir jei jie ateityje atspės slaptažodį (tai įmanoma per žodyno ataką WPA2, kaip mes matėme aukščiau), jie gali naudoti raktą, kad iššifruotų praeityje tame tinkle užfiksuotą duomenų srautą..

WPA3 suteikia išankstinę paslaptį. Protokolas yra suprojektuotas taip, kad net turint tinklo slaptažodį, slapyvardis neįgauna srauto tarp prieigos taško ir kito kliento įrenginio..

Oportunistinis belaidis šifravimas (OWE)

Aprašytas šiame dokumente (RFC 8110), oportunistinis belaidis šifravimas (OWE) yra nauja WPA3 funkcija, pakeičianti 802.11 „atvirą“ autentifikavimą, plačiai naudojamą interneto prieigos taškuose ir viešuosiuose tinkluose..

Šis „YouTube“ vaizdo įrašas pateikia techninę OWE apžvalgą. Pagrindinė idėja yra naudoti „Diffie-Hellman“ raktų mainų mechanizmą, kad būtų užšifruotas visas ryšys tarp įrenginio ir prieigos taško (maršrutizatoriaus). Dešifravimo raktas komunikacijai yra skirtingas kiekvienam klientui, prisijungusiam prie prieigos taško. Taigi nė vienas kitas tinklo įrenginys negali iššifruoti šio ryšio, net jei klausosi jo (tai vadinama uostymu). Ši nauda vadinama Individuali duomenų apsauga-duomenų srautas tarp kliento ir prieigos taško yra „individualizuotas“; taigi, nors kiti klientai gali uostyti ir užfiksuoti šį srautą, jie negali jo iššifruoti.

Didelis OWE pranašumas yra tas, kad jis apsaugo ne tik tinklus, kuriems prisijungti reikia slaptažodžio; tai taip pat apsaugo atvirus „neužtikrintus“ tinklus, kurie neturi jokių slaptažodžio reikalavimų, pvz. belaidžiai tinklai bibliotekose. OWE šiems tinklams suteikia šifravimą be autentifikacijos. Nereikia jokių paslaugų teikimo, jokių derybų ir jokių kredencialų - tai tiesiog veikia, kai vartotojui nereikia nieko daryti ar net žinoti, kad jos naršymas dabar yra saugesnis..

Įspėjimas: OWE neapsaugo nuo „nesąžiningų“ prieigos taškų (AP), pavyzdžiui, „medaus puodo“ taškų ar piktų dvynių, kurie bando apgauti vartotoją, kad jis susisiektų su jais ir pavogtų informaciją.

Kitas įspėjimas yra tas, kad WPA3 palaiko neautentifikuotą šifravimą, bet neįpareigoja. Gali būti, kad gamintojas gauna WPA3 etiketę neįdiegdamas neleistino šifravimo. Ši funkcija dabar vadinama „Wi-Fi CERTIFIED Enhanced Open“, todėl pirkėjai turėtų ieškoti šios etiketės šalia WPA3 etiketės, kad įsitikintų, jog jų perkamas įrenginys palaiko neautentifikuotą šifravimą..

Įrenginio aprūpinimo protokolas (DPP)

„Wi-Fi“ įrenginių aprūpinimo protokolas (DPP) pakeičia mažiau saugią „Wi-Fi Protected Setup“ (WPS). Daugelis namų automatikos ar daiktų interneto (TTO) įrenginių neturi sąsajos slaptažodžiams įvesti, todėl norint palaikyti „Wi-Fi“ sąranką reikia pasikliauti išmaniaisiais telefonais..

Čia dar kartą pažymime, kad „Wi-Fi Alliance“ neįpareigojo šios funkcijos naudoti siekiant gauti WPA3 sertifikatą. Taigi techniškai tai nėra WPA3 dalis. Vietoj to, ši funkcija dabar yra jų „Wi-Fi CERTIFIED Easy Easy“ programos dalis. Taigi, prieš pirkdami WPA3 sertifikuotą aparatinę įrangą, ieškokite šios etiketės.

DPP leidžia įrenginius autentifikuoti „Wi-Fi“ tinkle be slaptažodžio, naudojant QR kodą arba NFC („Near-field communication“ - tą pačią technologiją, kuri belaidžiams operacijoms suteikia „Apple Pay“ arba „Android Pay“ žymes)..

Naudojant „Wi-Fi Protected Setup“ (WPS), slaptažodis perduodamas iš jūsų telefono į „IoT“ įrenginį, kuris slaptažodžiu naudojasi prisijungdamas prie „Wi-Fi“ tinklo. Bet naudodami naują įrenginių aprūpinimo protokolą (DPP), įrenginiai vykdo abipusę autentifikaciją be slaptažodžio.

Ilgesni šifravimo raktai

Daugelyje WPA2 diegimų naudojami 128 bitų AES šifravimo raktai. „IEEE 802.11i“ standartas taip pat palaiko 256 bitų šifravimo raktus. WPA3 ilgesni raktų dydžiai - 192 bitų saugos ekvivalentas - įpareigoti tik „WPA3-Enterprise“.

„WPA3-Enterprise“ reiškia įmonės autentifikavimą, kuris prisijungimui prie belaidžio tinklo naudoja vartotojo vardą ir slaptažodį, o ne tik slaptažodį (dar žinomą kaip bendrąjį raktą), būdingą namų tinklams..

Vartotojų programoms WPA3 sertifikavimo standartas leido pasirinkti ilgesnius raktų dydžius. Kai kurie gamintojai naudos ilgesnius klavišų dydžius, nes dabar juos palaiko protokolas, tačiau vartotojai privalės pasirinkti maršrutizatorių / prieigos tašką, kuris.

Saugumas

Kaip aprašyta aukščiau, bėgant metams WPA2 tapo pažeidžiama įvairių išpuolių formų, įskaitant liūdnai pagarsėjusią KRACK techniką, kuriai galimi pataisymai, tačiau ne visiems maršrutizatoriams ir kurios nėra plačiai diegiamos vartotojų, nes tam reikia atnaujinti programinę aparatinę įrangą..

2018 m. Rugpjūčio mėn. Buvo atrastas dar vienas WPA2 atakos vektorius.[1] Tai užpuolikui, kuris uostomas WPA2 rankinių rankomis, yra lengva gauti iš anksto bendro naudojimo raktą (slaptažodį). Tada užpuolikas gali naudoti brutalios jėgos metodą, kad palygintų šį maišos būdą su dažniausiai naudojamų slaptažodžių sąrašo maišais arba spėlionių sąrašu, kuriame bandomos visos įmanomos įvairaus ilgio raidžių ir skaičių variacijos. Naudojant debesų kompiuterijos išteklius, labai svarbu atspėti bet kokį slaptažodį, trumpesnį nei 16 simbolių.

Trumpai tariant, WPA2 saugumas yra toks pat gerai, kaip sugadintas, bet tik WPA2-Personal. „WPA2-Enterprise“ yra daug atsparesni. Kol WPA3 nebus plačiai prieinamas, naudokite tvirtą savo WPA2 tinklo slaptažodį.

WPA3 palaikymas

Tikimasi, kad po jos įvedimo 2018 m. Parama taps pagrindine. Net jei turite belaidį maršrutizatorių, palaikantį WPA3, jūsų senas telefonas ar planšetinis kompiuteris gali negauti WPA3 reikalingų programinės įrangos atnaujinimų. Tokiu atveju prieigos taškas grįš į WPA2, taigi jūs vis tiek galėsite prisijungti prie maršrutizatoriaus, bet be WPA3 pranašumų..

Per 2–3 metus WPA3 taps pagrindine, o jei jūs perkate maršrutizatoriaus aparatinę įrangą, patartina, kad pirkimai būtų apsaugoti nuo ateities..

Rekomendacijos

  1. Jei įmanoma, pasirinkite WPA3 per WPA2.
  2. Pirkdami WPA3 sertifikuotą aparatinę įrangą, taip pat ieškokite „Wi-Fi Enhanced Open“ ir „Wi-Fi Easy Connect“ sertifikatų. Kaip aprašyta aukščiau, šios savybės padidina tinklo saugumą.
  3. Pasirinkite ilgą, sudėtingą slaptažodį (iš anksto bendrintą raktą):
    1. slaptažodyje naudokite skaičius, didžiąsias ir mažąsias raides, tarpus ir net „specialiuosius“ simbolius.
    2. Padaryk tai praeitimifrazė vietoj vieno žodžio.
    3. Padarykite jį ilgesnį nei 20 simbolių.
  4. Jei perkate naują belaidį maršrutizatorių ar prieigos tašką, pasirinkite tokį, kuris palaiko WPA3 arba planuoja išleisti programinės įrangos naujinį, kuris ateityje palaikys WPA3. Belaidžio maršrutizatoriaus pardavėjai periodiškai išleidžia savo produktų programinės įrangos naujinius. Atsižvelgiant į tai, koks geras pardavėjas, jie atnaujinimus išleidžia dažniau. pvz. po KRACK pažeidžiamumo TP-LINK buvo viena iš pirmųjų pardavėjų, išleidusių savo maršrutizatorių pataisas. Jie taip pat išleido pleistrus vyresniems maršrutizatoriams. Taigi, jei jūs tyrinėjate, kurį maršrutizatorių pirkti, pažiūrėkite į to gamintojo išleistų programinės įrangos versijų istoriją. Pasirinkite įmonę, kuri kruopščiai planuoja atnaujinti savo veiklą.
  5. Naudokite VPN, kai naudojate viešą „Wi-Fi“ interneto prieigos tašką, pavyzdžiui, kavinę ar biblioteką, nepriklausomai nuo to, ar belaidis tinklas yra apsaugotas slaptažodžiu (t. Y. Saugus), ar ne.

Nuorodos

  • KRACK atakos prieš WPA2
  • „Dragonfly Key Exchange“ - IEEE baltas popierius
  • „Wi-Fi Alliance“ pranešimas spaudai dėl WPA3 funkcijų ir WPA2 patobulinimų
  • WPA3 saugos patobulinimai - „YouTube“
  • Galimas belaidis šifravimas: RFC 1180
  • WPA3 - praleista galimybė
  • WPA3 techninė informacija
  • „WPA-2“ pabaigos pradžia: „WPA-2“ nulaužimas tapo daug lengvesnis