Differkinome

WPA2 v primerjavi z WPA3

Tehnologija
Share

Objavljen leta 2018, je WPA3 posodobljena in varnejša različica protokola Wi-Fi Protected Access za zaščito brezžičnih omrežij. Kot smo opisali v WPA2WPA3Pomeni Zaščiten dostop Wi-Fi 2 Zaščiten dostop Wi-Fi 3 Kaj je to? Varnostni protokol, ki ga je leta 2004 razvil Wi-Fi Alliance za uporabo pri varovanju brezžičnih omrežij; zasnovan za nadomestitev protokolov WEP in WPA. Objavljen leta 2018, WPA3 je naslednja generacija WPA in ima boljše varnostne funkcije. Ščiti pred šibkimi gesli, ki jih je mogoče zlahka razbiti z ugibanjem. Metode Za razliko od WEP in WPA, WPA2 namesto šifre toka RC4 uporablja standard AES. CCMP nadomešča TKIP WPA. 128-bitno šifriranje v osebnem načinu WPA3 (192-bitno v WPA3-Enterprise) in tajnost naprej. WPA3 nadomešča tudi izmenjavo vnaprej deljenega ključa (PSK) s hkratno overitvijo enakih, bolj varen način za začetno izmenjavo ključev. Varno in priporočljivo? WPA2 je priporočljiv prek WEP in WPA in je bolj varen, ko je onemogočena Wi-Fi zaščitena namestitev (WPS). Ne priporočamo ga prek WPA3. Da, WPA3 je bolj varen kot WPA2 na načine, ki so opisani v spodnjem eseju. Zaščiteni okvirji za upravljanje (PMF) WPA2 podpira PMF od začetka leta 2018. Starejši usmerjevalniki z nešteto programsko opremo morda ne podpirajo PMF. WPA3 nalaga uporabo zaščitenih okvirjev za upravljanje (PMF)

Vsebina: WPA2 proti WPA3

  • 1 Novo rokovanje: Hkratna overitev enakih (SAE)
    • 1.1 Odporen na dešifriranje brez povezave
    • 1.2 Posredovanje tajnosti
  • 2 priložnostno šifriranje brezžičnih povezav (OWE)
  • 3 Protokol za zagotavljanje naprav (DPP)
  • 4 daljše tipke za šifriranje
  • 5 Varnost
  • 6 Podpora za WPA3
  • 7 Priporočila
  • 8 Reference

New Handshake: Hkratna overitev enakih (SAE)

Ko se naprava poskuša prijaviti v zaščiteno z geslom omrežje Wi-Fi, se koraki dobave in preverjanja gesla izvedejo s 4-smernim stiskanjem. V WPA2 je bil ta del protokola ranljiv za napade KRACK:

V ključnem napadu ponovne namestitve [KRACK] nasprotnik nagovarja žrtev pri ponovni namestitvi že uporabljenega ključa. To dosežemo z manipulacijo in predvajanjem kriptografskih sporočil o stisku roke. Ko žrtev znova namesti ključ, se pridruženi parametri, kot so število paketnih paketov za prenos (t.j. ne) in prejemajo paketno številko (t.j. števec ponovitve), ponastavijo na prvotno vrednost. Za zagotovitev varnosti je treba ključ namestiti in uporabiti samo enkrat.

Tudi s posodobitvami WPA2 za ublažitev ranljivosti KRACK je WPA2-PSK še vedno mogoče razbiti. Obstajajo celo navodila za vpadanje gesel za WPA2-PSK.

WPA3 odpravi to ranljivost in odpravi druge težave z uporabo drugačnega mehanizma stiskanja rok za avtentifikacijo v omrežje Wi-Fi-istočasna overitev enakovrednih znanih tudi kot Dragonfly Key Exchange.

Tehnične podrobnosti o tem, kako WPA3 uporablja izmenjavo ključev Dragonfly - kar je sam po sebi različica SPEKE (Simple Password Exponential Key Exchange) - so opisane v tem videoposnetku.

Prednosti izmenjave ključev Dragonfly sta tajnost in odpornost na dešifriranje brez povezave.

Odporen na dešifriranje brez povezave

Ranljivost protokola WPA2 je, da napadalcu ni treba ostati povezan z omrežjem, da bi uganil geslo. Napadalec lahko v bližini omrežja zajaha in ujame 4-smerno stisk roke začetne povezave, ki temelji na WPA2. Ta ujeti promet lahko nato uporabite brez povezave v slovarskem napadu za ugibanje gesla. To pomeni, da je geslo zlahka lomljivo, če je geslo šibko. Dejansko lahko alfanumerična gesla do 16 znakov precej hitro pokvarijo za omrežja WPA2.

WPA3 uporablja sistem izmenjave ključev Dragonfly, tako da je odporen proti napadom na slovar. To je opredeljeno na naslednji način:

Odpor do napada na slovar pomeni, da mora biti vsaka prednost, ki jo dobi nasprotnik, neposredno povezana s številom interakcij, ki jih opravi s poštenim udeležencem protokola, in ne z računanjem. Nasprotnik ne bo mogel dobiti nobenih informacij o geslu, razen če je eno ugibanje izvlečka protokola pravilno ali napačno.

Ta funkcija WPA3 ščiti omrežja, pri katerih je omrežno geslo, tj. Ključ v skupni rabi (PSDK), šibkejši od priporočene zapletenosti.

Posredovanje tajnosti

Brezžično omrežje uporablja radijski signal za prenos informacij (podatkovni paketi) med odjemalsko napravo (npr. Telefon ali prenosnik) in brezžično dostopno točko (usmerjevalnik). Ti radijski signali oddajajo odprto in jih lahko prestreže ali "sprejme" kdorkoli v bližini. Ko je brezžično omrežje zaščiteno z geslom - naj bo to WPA2 ali WPA3 - so signali šifrirani, tako da tretja oseba, ki prestreže signale, ne bo mogla razumeti podatkov.

Vendar pa napadalec lahko zabeleži vse te podatke, ki jih prestreže. In če bodo lahko v prihodnosti uganili geslo (kar je možno prek slovarskega napada na WPA2, kot smo videli zgoraj), lahko s ključem dešifrirajo podatkovni promet, posnet v preteklosti v tem omrežju.

WPA3 zagotavlja naprej tajnost. Protokol je zasnovan tako, da tudi pri omrežnem geslu ni mogoče prisluškovati prometu med dostopno točko in drugo napravo odjemalca.

Priložnostna brezžična enkripcija (OWE)

Opisano v tej beli knjigi (RFC 8110), je priložnost za brezžično šifriranje brezžičnih telefonov (OWE) nova funkcija v WPA3, ki nadomešča 802.11 "odprto" avtentikacijo, ki se pogosto uporablja v žariščih in javnih omrežjih.

Ta YouTube video posnetek nudi tehnični pregled OWE. Ključna ideja je uporaba mehanizma za izmenjavo ključev Diffie-Hellman za šifriranje vse komunikacije med napravo in dostopno točko (usmerjevalnikom). Dešifrirni ključ za komunikacijo je za vsakega odjemalca, ki se poveže z dostopno točko, drugačen. Tako nobena druga naprava v omrežju ne more dešifrirati te komunikacije, tudi če jo posluša (kar se imenuje vohanje). Ta ugodnost se imenuje Individualno varstvo podatkov-podatkovni promet med odjemalcem in dostopno točko je "individualiziran"; tako da lahko drugi odjemalci to promet zavohajo in posnamejo, vendar ga ne morejo dešifrirati.

Velika prednost OWE je, da ščiti ne le omrežja, ki za povezovanje potrebujejo geslo; ščiti tudi odprta "nezavarovana" omrežja, ki nimajo zahtev glede gesla, npr. brezžična omrežja v knjižnicah. OWE omogoča tem omrežjem šifriranje brez overjanja. Ne potrebujete nobenega posredovanja, pogajanj in nobenih poverilnic - preprosto deluje, ne da bi uporabnik kaj storil ali celo vedel, da je njeno brskanje zdaj bolj varno..

Opozorilo: OWE ne ščiti pred »lovskimi« dostopnimi točkami (AP-ji), kot so AP-ji za satje ali zlobni dvojčki, ki poskušajo uporabnika zvabiti v povezovanje z njimi in ukrasti podatke.

Druga opozorila so, da WPA3 podpira, vendar ne nalaga nepooblaščenega šifriranja. Mogoče je, da proizvajalec dobi nalepko WPA3, ne da bi pri tem uporabil nepooblaščeno šifriranje. Funkcija se zdaj imenuje Wi-Fi CERTIFIED Enhanced Open, zato naj kupci poleg oznake WPA3 iščejo to oznako in tako zagotovijo, da naprava, ki jo kupujejo, podpira nepooblaščeno šifriranje.

Protokol za zagotavljanje naprav (DPP)

Protokol za zagotavljanje naprav Wi-Fi (DPP) nadomešča manj varno zaščiteno nastavitev Wi-Fi (WPS). Številne naprave v domači avtomatizaciji - ali Internet of Things (IoT) - nimajo vmesnika za vnos gesla in se morajo za posredovanje svoje Wi-Fi nastaviti na pametne telefone.

Ponovna ugotovitev je, da združenje Wi-Fi ni pooblastilo, da se ta funkcija uporablja za pridobitev certifikata WPA3. Torej tehnično ni del WPA3. Namesto tega je ta funkcija zdaj del potrdila Wi-Fi CERTIFIED Easy Connect. Pred nakupom strojne opreme s certifikatom WPA3 poiščite to oznako.

DPP omogoča avtentikacijo naprav v omrežje Wi-Fi brez gesla z uporabo QR kode ali NFC (komunikacija v bližini), ista tehnologija, ki omogoča brezžične transakcije z oznakami Apple Pay ali Android Pay).

Z zaščiteno nastavitvijo za Wi-Fi (WPS) se geslo iz vašega telefona sporoči napravi IoT, ki nato uporabi geslo za preverjanje pristnosti v omrežju Wi-Fi. Toda z novim protokolom za zagotavljanje naprav (DPP) naprave izvajajo medsebojno preverjanje pristnosti brez gesla.

Daljši ključi za šifriranje

Večina WPA2 implementacij uporablja 128-bitne šifrirne ključe AES. Standard IEEE 802.11i podpira tudi 256-bitne šifrirne ključe. V WPA3 so daljše velikosti ključev - kar ustreza 192-bitni varnosti - pooblaščene samo za WPA3-Enterprise.

WPA3-Enterprise se nanaša na preverjanje pristnosti podjetja, ki uporablja uporabniško ime in geslo za povezavo z brezžičnim omrežjem, ne pa le geslo (aka vnaprej deljeni ključ), ki je značilno za domača omrežja.

Za potrošniške aplikacije je certifikacijski standard za WPA3 dal daljše velikosti ključev. Nekateri proizvajalci bodo uporabljali daljše velikosti ključev, ker jih zdaj podpira protokol, vendar bodo potrošniki morali izbrati usmerjevalnik / dostopno točko..

Varnost

Kot je opisano zgoraj, je WPA2 z leti postal ranljiv za različne oblike napada, vključno z zloglasno tehniko KRACK, za katero so na voljo popravki, vendar ne za vse usmerjevalnike in uporabniki ne uporabljajo široko, ker zahteva nadgradnjo strojne programske opreme.

Avgusta 2018 so odkrili še en vektor napada za WPA2.[1] To napadalcu, ki s stiskanjem roke WPA2 olajša, olajša pridobivanje ključa vnaprej deljenega ključa (gesla). Napadalec lahko nato uporabi tehniko silovite sile, da primerja ta heš s hešami seznama pogosto uporabljanih gesel ali seznama ugibanj, ki poskušajo vse možne različice črk in števil različnih dolžin. Z uporabo virov računalništva v oblaku je nezanimljivo uganiti katero koli geslo, krajše od 16 znakov.

Skratka, varnost WPA2 je tako dobra kot lomljena, vendar samo za WPA2-Personal. WPA2-Enterprise je veliko bolj odporen. Dokler WPA3 ni na voljo, uporabite močno geslo za svoje omrežje WPA2.

Podpora za WPA3

Po uvedbi leta 2018 naj bi trajalo 12–18 mesecev, da bo podpora vstopila v glavni tok. Tudi če imate brezžični usmerjevalnik, ki podpira WPA3, vaš stari telefon ali tablični računalnik morda ne bo dobil nadgradnje programske opreme, potrebne za WPA3. V tem primeru bo dostopna točka padla nazaj na WPA2, tako da se lahko še vedno povežete z usmerjevalnikom, vendar brez prednosti WPA3.

Čez 2-3 leta bo WPA3 postal mainstream in če zdaj kupujete strojno opremo usmerjevalnika, je priporočljivo, da svoje nakupe v prihodnosti preverite..

Priporočila

  1. Kjer je mogoče, izberite WPA3 nad WPA2.
  2. Ko kupujete strojno opremo s certifikatom WPA3, poiščite tudi certifikate Wi-Fi Enhanced Open in Wi-Fi Easy Connect. Kot je opisano zgoraj, te funkcije povečujejo varnost omrežja.
  3. Izberite dolgo, zapleteno geslo (ključ v skupni rabi):
    1. v geslu uporabite številke, velike in male črke, presledke in celo "posebne" znake.
    2. Naj bo prehodstavek namesto ene same besede.
    3. Naj bo dolgih 20 znakov ali več.
  4. Če kupujete nov brezžični usmerjevalnik ali dostopno točko, izberite tistega, ki podpira WPA3 ali načrtuje uvedbo posodobitve programske opreme, ki bo podpirala WPA3 v prihodnosti. Prodajalci brezžičnih usmerjevalnikov občasno sproščajo nadgradnje strojne programske opreme za svoje izdelke. Glede na to, kako dober je prodajalec, nadgradnje izdajajo pogosteje. npr. Po ranljivosti KRACK je bil TP-LINK med prvimi prodajalci, ki so izdali popravke za svoje usmerjevalnike. Izdali so tudi popravke za starejše usmerjevalnike. Če torej raziskujete, kateri usmerjevalnik naj kupite, si oglejte zgodovino različic strojne programske opreme, ki jih je izdal ta proizvajalec. Izberite podjetje, ki vestno skrbi za njihove nadgradnje.
  5. Uporabite VPN pri uporabi javne dostopne točke Wi-Fi, na primer v kavarni ali knjižnici, ne glede na to, ali je brezžično omrežje zaščiteno z geslom (tj. Varno) ali ne.

Reference

  • KRACK napadi na WPA2
  • Dragonfly Key Exchange - IEEE beli papir
  • Sporočilo za javnost združenja Wi-Fi Alliance za funkcije WPA3 in izboljšave WPA2
  • Izboljšave varnosti WPA3 - YouTube
  • Priložnostna brezžična šifriranje: RFC 1180
  • WPA3 - zamujena priložnost
  • Tehnični podatki WPA3
  • Začetek konca WPA-2: Razbijanje WPA-2 je preprosto lažje
Tehnologija
×