Differkinome

WPA2 prema WPA3

Tehnologija
Share

Objavljen 2018. godine, WPA3 je ažurirana i sigurnija verzija protokola zaštićenog pristupa Wi-Fi mreže za zaštitu bežičnih mreža. Kao što smo opisali u WPA2WPA3Stalci za Zaštićen pristup Wi-Fi 2 Zaštićen pristup Wi-Fi 3 Što je? Sigurnosni protokol koji je 2004. godine razvio Wi-Fi Alliance za uporabu u osiguranju bežičnih mreža; dizajniran za zamjenu WEP i WPA protokola. Objavljen 2018. godine, WPA3 je nova generacija WPA-e i ima bolje sigurnosne značajke. Štiti od slabih lozinki koje se relativno lako mogu probiti putem nagađanja. metode Za razliku od WEP i WPA, WPA2 koristi AES standard umjesto šifre toka RC4. CCMP zamjenjuje WK-ov TKIP. 128-bitna enkripcija u WPA3-Personal načinu rada (192-bitna u WPA3-Enterprise) i tajna naprijed. WPA3 također zamjenjuje razmjenu unaprijed podijeljenog ključa (PSK) s istodobnom autentifikacijom jednakih, što je sigurniji način za početnu razmjenu ključeva. Sigurna i preporučena? WPA2 se preporučuje preko WEP-a i WPA-e, a sigurniji je kada je onemogućena Wi-Fi zaštićena instalacija (WPS). Ne preporučuje se preko WPA3. Da, WPA3 je sigurniji od WPA2 na načine koji su spomenuti u donjem eseju. Zaštićeni okviri upravljanja (PMF) WPA2 daje podršku PMF-u od početka 2018. Stariji usmjerivači s nepakiranim firmwareom možda ne podržavaju PMF. WPA3 daje upotrebu zaštićenih upravljačkih okvira (PMF)

Sadržaj: WPA2 vs WPA3

  • 1 Novo rukovanje: istodobna provjera identiteta (SAE)
    • 1.1 Otporno na offline dešifriranje
    • 1.2 Prosljeđivanje tajnosti
  • 2 priportunistička bežična enkripcija (OWE)
  • 3 protokol za pružanje uređaja (DPP)
  • 4 dulje šifrirajuće tipke
  • 5 Sigurnost
  • 6 Podrška za WPA3
  • 7 preporuka
  • 8 Reference

Novo rukovanje: istodobna provjera identiteta (SAE)

Kada se uređaj pokušava prijaviti na Wi-Fi mrežu zaštićenu lozinkom, koraci isporuke i provjere lozinke poduzimaju se četverosmjernim rukovanjem. U WPA2 ovaj je dio protokola bio ranjiv na napade KRACK-a:

U ključnom napadu ponovne instalacije [KRACK] protivnik pokušava navesti žrtvu da ponovo instalira ključ koji je već u upotrebi. To se postiže manipulacijom i reprodukcijom kriptografskih poruka o rukovanju. Kad žrtva ponovo instalira ključ, pridruženi parametri, poput inkrementalnog broja paketa za prijenos (tj. Bez obzira) i primaju paket (tj. Brojač ponovne reprodukcije) vraćaju se na početnu vrijednost. U osnovi, za osiguranje sigurnosti, ključ treba instalirati i koristiti samo jednom.

Čak i uz ažuriranja WPA2 radi ublažavanja ranjivosti KRACK-a, WPA2-PSK se još uvijek može razbiti. Postoje čak i upute za hakiranje WPA2-PSK lozinki.

WPA3 ispravlja ovu ranjivost i ublažava druge probleme koristeći drugačiji mehanizam stiskanja ruku za autentifikaciju na Wi-Fi mrežu - istodobna provjera identiteta jednake, poznata i kao Dragonfly Key Exchange.

Tehnički detalji o tome kako WPA3 koristi razmjenu Dragonfly ključeva - koja je i sama varijacija SPEKE (Simple Password Exponential Key Exchange) - opisani su u ovom videu.

Prednosti Dragonfly ključ razmjene su naprijed tajnost i otpornost na dešifriranje izvan mreže.

Otporan na offline dešifriranje

Ranjivost WPA2 protokola je u tome što napadač ne mora ostati povezan s mrežom da bi pogodio lozinku. Napadač može njušiti i uhvatiti četverosmjernu stisak početne veze koja se temelji na WPA2 u blizini mreže. Ovaj zarobljeni promet tada se može koristiti izvan mreže u napadu na temelju rječnika za nagađanje lozinke. To znači da ako je lozinka slaba, lako je probiti. Zapravo, alfanumeričke lozinke do 16 znakova mogu se prilično brzo probiti za WPA2 mreže.

WPA3 koristi sustav Dragonfly Key Exchange tako da je otporan na napade na rječnik. To je definirano na sljedeći način:

Otpor prema rječniku znači da svaka prednost koju protivnik može steći mora biti izravno povezana s brojem interakcija koje ostvari s poštenim sudionikom protokola, a ne pomoću računanja. Protivnik neće moći dobiti nikakve podatke o zaporki, osim je li jedna nagađanja iz vođenja protokola točna ili netočna.

Ova značajka WPA3 štiti mreže u kojima je mrežna lozinka - tj. Unaprijed podijeljeni ključ (PSDK) - slabija od preporučene složenosti.

Naprijed tajnost

Bežično umrežavanje koristi radijski signal za prijenos informacija (paketa podataka) između klijentovog uređaja (npr. Telefona ili prijenosnog računala) i bežične pristupne točke (usmjerivač). Ti se radio signali emitiraju otvoreno i može ih presresti ili „primiti“ bilo tko u blizini. Kad je bežična mreža zaštićena lozinkom - bilo da je WPA2 ili WPA3 - signali su šifrirani, tako da treća strana koja presreće signale neće moći razumjeti podatke.

Međutim, napadač može zabilježiti sve te podatke koje presreću. A ako budu u mogućnosti pogoditi lozinku u budućnosti (što je moguće putem rječnika na WPA2, kao što smo vidjeli gore), mogu pomoću ključa dešifrirati promet podataka zabilježen u prošlosti na toj mreži.

WPA3 pruža tajnu prema naprijed. Protokol je osmišljen na način da je čak i uz mrežnu lozinku nemoguće prisluškivati ​​da preskače promet između pristupne točke i drugog klijentskog uređaja.

Oportunistička bežična enkripcija (OWE)

Opisano u ovom bijelom tekstu (RFC 8110), opportunistička bežična enkripcija (OWE) nova je značajka u WPA3 koja zamjenjuje 802.11 "otvorenu" provjeru autentičnosti koja se široko koristi u žarišnim točkama i javnim mrežama.

Ovaj YouTube videozapis pruža tehnički pregled OWE-a. Ključna ideja je korištenje mehanizma za razmjenu ključeva Diffie-Hellman za šifriranje sve komunikacije između uređaja i pristupne točke (usmjerivača). Ključ za dešifriranje komunikacije različit je za svakog klijenta koji se povezuje na pristupnu točku. Dakle, nijedan drugi uređaj na mreži ne može dešifrirati ovu komunikaciju, čak i ako je slušaju u njoj (što se naziva njuškanjem). Ta se korist zove Pojedinačna zaštita podataka-podatkovni promet između klijenta i pristupne točke "individualiziran"; pa dok ostali klijenti mogu njuškati i snimati ovaj promet, ne mogu ga dešifrirati.

Velika prednost OWE-a je što štiti ne samo mreže koje zahtijevaju lozinku za povezivanje; štiti i otvorene "nesigurne" mreže koje nemaju zahtjeve za zaporku, npr. bežične mreže u knjižnicama. OWE pruža ovim mrežama šifriranje bez autentifikacije. Nije potrebno predviđanje, pregovaranje i vjerodajnice - to jednostavno funkcionira bez da korisnik mora nešto učiniti ili čak znati da je njezino pregledavanje sada sigurnije..

Napomena: OWE ne štiti od "skitnih" pristupnih točaka (AP) poput AP-a sa medom ili zlih blizanaca koji pokušavaju izigrati korisnika da se poveže s njima i ukrade podatke.

Sljedeće upozorenje je da WPA3 podržava - ali ne nalaže neautorificirano šifriranje. Moguće je da proizvođač dobije WPA3 oznaku bez primjene neovlaštene enkripcije. Značajka se sada naziva Wi-Fi CERTIFIED Enhanced Open, tako da bi kupci trebali potražiti ovu naljepnicu pored WPA3 oznake kako bi osigurali da uređaj koji kupuju podržava neovlašteno šifriranje.

Protokol pružanja uređaja (DPP)

Wi-Fi uređaj za pružanje protokola (DPP) zamjenjuje manje sigurni Wi-Fi zaštićeni postav (WPS). Mnogi uređaji u kućnoj automatizaciji - ili Internetu stvari (IoT) - nemaju sučelje za unos lozinke i moraju se pouzdati u pametne telefone kako bi posredovali u postavljanju Wi-Fi-ja.

Još jednom upozorenje je da Wi-Fi Alliance nije odredio da se ova značajka koristi za dobivanje WPA3 certifikata. Dakle, tehnički nije dio WPA3. Umjesto toga, ova značajka sada je dio njihovog Wi-Fi CERTIFIED Easy Connect programa. Stoga potražite tu naljepnicu prije kupnje hardvera s WPA3 certifikatom.

DPP omogućuje provjeru autentičnosti uređaja na Wi-Fi mreži bez zaporke, koristeći QR kôd ili NFC (komunikacija u blizini polja, ista tehnologija koja omogućuje bežične transakcije na Apple Pay ili Android Pay) oznakama.

Sa zaštićenom postavkom za Wi-Fi (WPS) lozinka se s vašeg telefona komunicira na IoT uređaju koji zatim lozinku koristi za provjeru autentičnosti na Wi-Fi mreži. No s novim protokolom za pružanje uređaja (DPP) uređaji provode međusobnu provjeru autentičnosti bez zaporke.

Duži ključevi šifriranja

Većina WPA2 implementacija koristi 128-bitne AES ključeve za šifriranje. IEEE 802.11i standard također podržava 256-bitne ključeve za enkripciju. U WPA3, dulje veličine ključeva - protuvrijednost 192-bitne sigurnosti - propisane su samo za WPA3-Enterprise.

WPA3-Enterprise odnosi se na provjeru autentičnosti poduzeća koja koristi korisničko ime i lozinku za povezivanje s bežičnom mrežom, a ne samo lozinku (aka prethodno podijeljeni ključ) koja je tipična za kućne mreže.

Za potrošačke aplikacije, certifikacijski standard za WPA3 učinio je duljim dimenzijama ključa. Neki će proizvođači koristiti dulje veličine ključa jer su sada podržane protokolom, ali potrošač će morati izabrati odabir usmjerivača / pristupne točke koji će.

sigurnosti

Kao što je gore opisano, tijekom godina WPA2 je postao ranjiv na razne oblike napada, uključujući zloglasnu KRACK tehniku ​​za koju su zakrpe dostupne, ali nisu za sve usmjerivače, a korisnici ih ne primjenjuju u širokoj mjeri jer zahtijevaju nadogradnju upravljačkog softvera..

U kolovozu 2018. otkriven je još jedan vektor napada za WPA2.[1] To olakšava napadaču koji njuška stisak ruke WPA2 da dobije hash unaprijed podijeljenog ključa (lozinke). Napadač tada može upotrijebiti tehniku ​​grube sile kako bi uporedio ovaj hash sa heševima s popisom najčešće korištenih lozinki ili popisom nagađanja koja pokušava svaku moguću varijaciju slova i brojeva različite duljine. Koristeći resurse računalstva u oblaku, nebitno je pogoditi bilo koju lozinku duljinu od 16 znakova.

Ukratko, sigurnost WPA2 jednako je dobra kao i lomljiva, ali samo za WPA2-Personal. WPA2-Enterprise je puno otporniji. Dok WPA3 nije široko dostupan, upotrijebite snažnu lozinku za svoju WPA2 mrežu.

Podrška za WPA3

Nakon uvođenja u 2018. godinu, očekuje se da će proći 12-18 mjeseci da bi podrška prešla u redovnu mrežu. Čak i ako imate bežični usmjerivač koji podržava WPA3, vaš stari telefon ili tablet možda neće primati nadogradnje softvera potrebne za WPA3. U tom slučaju pristupna će se točka vratiti na WPA2 pa se i dalje možete povezati s usmjerivačem, ali bez prednosti WPA3.

Za 2-3 godine, WPA3 postat će mainstream i ako kupujete hardver usmjerivača sada je preporučljivo buduće dokaze o kupnji..

preporuke

  1. Gdje je to moguće, odaberite WPA3 nad WPA2.
  2. Kada kupujete hardver koji je certificiran WPA3, također potražite Wi-Fi Enhanced Open i Wi-Fi Easy Connect certifikate. Kao što je gore opisano, ove značajke poboljšavaju sigurnost mreže.
  3. Odaberite dugu, složenu zaporku (ključ koji se dijeli unaprijed):
    1. u zaporci koristite brojeve, velika i mala slova, razmake, pa čak i "posebne" znakove.
    2. Neka prođefraza umjesto jedne riječi.
    3. Neka bude dugačak 20 znakova ili više.
  4. Ako kupujete novi bežični usmjerivač ili pristupnu točku, odaberite onaj koji podržava WPA3 ili planirate uvesti ažuriranje softvera koji će podržavati WPA3 u budućnosti. Dobavljači bežičnih usmjerivača povremeno puštaju nadogradnje upravljačkog softvera za svoje proizvode. Ovisno o tome koliko je dobavljač dobar, puštaju nadogradnje češće. npr nakon ranjivosti KRACK, TP-LINK je bio među prvim dobavljačima koji su izdali zakrpe za svoje usmjerivače. Također su izdali zakrpe za starije usmjerivače. Dakle, ako istražujete koji usmjerivač kupiti, pogledajte povijest verzija softvera koje je objavio taj proizvođač. Odaberite tvrtku koja marljivo radi na njihovoj nadogradnji.
  5. Koristite VPN prilikom upotrebe javne Wi-Fi pristupne točke kao što je kafić ili knjižnica, bez obzira je li bežična mreža zaštićena lozinkom (tj. Sigurna) ili ne.

Reference

  • KRACK napada na WPA2
  • Dragonfly Key Exchange - IEEE bijeli papir
  • Priopćenje za Wi-Fi Alliance za WPA3 značajke i poboljšanja WPA2
  • Poboljšanja sigurnosti WPA3 - YouTube
  • Oportunistička bežična enkripcija: RFC 1180
  • WPA3 - propuštena prilika
  • Tehnički detalji WPA3
  • Početak kraja WPA-2: Kretanje WPA-2 jednostavno je lakše
Tehnologija
×