WPA2 salīdzinājumā ar WPA3

2018. gadā izlaists WPA3 ir atjaunināta un drošāka Wi-Fi aizsargātas piekļuves protokola versija, lai nodrošinātu bezvadu tīklus. Kā mēs aprakstījām WPA2WPA3Kandidē Wi-Fi aizsargāta piekļuve 2 Wi-Fi aizsargāta piekļuve 3 Kas tas ir? Drošības protokols, ko 2004. gadā izstrādāja Wi-Fi alianse izmantošanai bezvadu tīklu nodrošināšanā; paredzēts WEP un WPA protokolu aizstāšanai. Izlaists 2018. gadā, WPA3 ir nākamās paaudzes WPA, un tam ir labāki drošības elementi. Tas aizsargā pret vājām parolēm, kuras salīdzinoši viegli var uzlauzt, uzminot. Metodes Atšķirībā no WEP un WPA, WPA2 RC4 straumes šifra vietā izmanto AES standartu. CCMP aizstāj WPA TKIP. 128 bitu šifrēšana režīmā WPA3-Personal (192 biti - WPA3-Enterprise) un pārsūtīšanas slepenība. WPA3 arī aizstāj iepriekš koplietotās atslēgas (PSK) apmaiņu ar vienlaicīgu vienlīdzības autentifikāciju, kas ir drošāks veids, kā veikt sākotnējo atslēgu apmaiņu.. Drošs un ieteicams? WPA2 ieteicams izmantot WEP un WPA, un tas ir drošāks, ja ir atspējota Wi-Fi aizsargāta iestatīšana (WPS). Tas nav ieteicams, izmantojot WPA3. Jā, WPA3 ir drošāka nekā WPA2 veidos, kas apskatīti zemāk esošajā esejā. Aizsargātie pārvaldības rāmji (PMF) WPA2 nodrošina PMF atbalstu kopš 2018. gada sākuma. Vecāki maršrutētāji ar neiepakotu programmaparatūru var neatbalstīt PMF. WPA3 pilnvaro aizsargātās pārvaldības rāmjus (PMF)

Saturs: WPA2 vs WPA3

  • 1 jauns rokasspiediens: vienlaicīga vienāda autentifikācija (SAE)
    • 1.1. Izturīgs pret bezsaistes atšifrēšanu
    • 1.2. Nosūtīt slepenību
  • 2 iespējama bezvadu šifrēšana (OWE)
  • 3 ierīces nodrošināšanas protokols (DPP)
  • 4 garāki šifrēšanas taustiņi
  • 5 Drošība
  • 6 WPA3 atbalsts
  • 7 ieteikumi
  • 8 atsauces

Jauns rokasspiediens: vienlaicīga vienāda autentifikācija (SAE)

Kad ierīce mēģina pieteikties ar paroli aizsargātā Wi-Fi tīklā, paroles piegādes un verifikācijas darbības tiek veiktas, izmantojot četrvirzienu rokasspiedienu. WPA2 šī protokola daļa bija neaizsargāta pret KRACK uzbrukumiem:

Atslēgas atkārtotas instalēšanas uzbrukumā [KRACK] pretinieks māca upurim atkārtoti instalēt jau izmantoto atslēgu. Tas tiek panākts, manipulējot un atkārtojot kriptogrāfijas rokasspiediena ziņojumus. Kad upuris atkārtoti instalē atslēgu, saistītie parametri, piemēram, papildu pārraides paketes numurs (t.i., nonce) un saņemšanas paketes numurs (t.i., atkārtošanas skaitītājs), tiek atiestatīti uz to sākotnējo vērtību. Būtībā, lai garantētu drošību, atslēga jāuzstāda un jāizmanto tikai vienreiz.

Pat ar WPA2 atjauninājumiem, lai mazinātu KRACK ievainojamības, WPA2-PSK joprojām var tikt uzlauzts. Ir pat padomi, kā uzlauzt WPA2-PSK paroles.

WPA3 novērš šo ievainojamību un mazina citas problēmas, izmantojot atšķirīgu rokasspiediena mehānismu autentifikācijai Wi-Fi tīklā - vienlaicīga vienādojuma autentifikācija, kas pazīstama arī kā Dragonfly Key Exchange.

Šajā video ir aprakstīta tehniskā informācija par to, kā WPA3 izmanto Dragonfly atslēgu apmaiņu, kas pati par sevi ir SPEKE (vienkāršas paroles eksponenciālās atslēgas apmaiņas) variācija..

Dragonfly atslēgu apmaiņas priekšrocības ir slepenība un pretestība bezsaistes atšifrēšanai.

Izturīgs pret bezsaistes atšifrēšanu

WPA2 protokola ievainojamība ir tāda, ka uzbrucējam nav jāpaliek savienotam ar tīklu, lai uzminētu paroli. Uzbrucējs var šņaukt un uztvert uz WPA2 balstīta sākotnējā savienojuma četrvirzienu rokasspiedienu, atrodoties tīkla tuvumā. Šo satverto trafiku pēc tam var izmantot bezsaistē uzbrukumā vārdnīcai, lai uzminētu paroli. Tas nozīmē, ka, ja parole ir vāja, tā ir viegli salaužama. Faktiski burtu un ciparu paroles līdz 16 rakstzīmēm var diezgan ātri uzlauzt WPA2 tīklos.

WPA3 izmanto Dragonfly Key Exchange sistēmu, tāpēc tā ir izturīga pret vārdnīcu uzbrukumiem. To definē šādi:

Pretestība vārdnīcas uzbrukumam nozīmē, ka jebkurai pretinieka gūtajai priekšrocībai jābūt tieši saistītai ar mijiedarbību skaitu ar godīgu protokola dalībnieku, nevis ar aprēķiniem. Pretinieks nevarēs iegūt nekādu informāciju par paroli, izņemot to, vai viens minējums no protokola izpildes ir pareizs vai nepareizs.

Šī WPA3 funkcija aizsargā tīklus, kur tīkla parole, ti, iepriekš koplietotā atslēga (PSDK) ir vājāka nekā ieteiktā sarežģītība..

Nosūtīt slepenību

Bezvadu tīklā tiek izmantots radiosignāls, lai pārsūtītu informāciju (datu paketes) starp klienta ierīci (piemēram, tālruni vai klēpjdatoru) un bezvadu piekļuves punktu (maršrutētāju). Šos radiosignālus pārraida atklāti, un tos var pārtvert vai "uztvert" jebkurš tuvumā esošais. Ja bezvadu tīkls tiek aizsargāts, izmantojot paroli - neatkarīgi no tā, vai WPA2 vai WPA3 - signāli tiek šifrēti, tāpēc signālu pārtveroša trešā puse nespēs izprast datus.

Tomēr uzbrucējs var reģistrēt visus šos datus, ko viņi pārtver. Un, ja viņi nākotnē var uzminēt paroli (kas ir iespējams, izmantojot WPA2 vārdnīcas uzbrukumu, kā mēs redzējām iepriekš), viņi var izmantot taustiņu, lai atšifrētu datu plūsmu, kas iepriekš reģistrēta šajā tīklā..

WPA3 nodrošina slepenību uz priekšu. Protokols ir veidots tā, ka pat ar tīkla paroli noklausītājam nav iespējams snaust satiksmē starp piekļuves punktu un citu klienta ierīci..

Oportūnistiskā bezvadu šifrēšana (OWE)

Šajā dokumentā aprakstītais (RFC 8110) Opportunistic Wireless Encryption (OWE) ir jauna WPA3 funkcija, kas aizstāj 802.11 “atvērto” autentifikāciju, ko plaši izmanto karstajos punktos un publiskajos tīklos..

Šis YouTube video sniedz tehnisko pārskatu par OWE. Galvenā ideja ir izmantot diffija-Helmaņa atslēgu apmaiņas mehānismu, lai šifrētu visu saziņu starp ierīci un piekļuves punktu (maršrutētāju). Komunikācijas atšifrēšanas atslēga ir atšķirīga katram klientam, kas pieslēdzas piekļuves punktam. Tātad neviena no citām tīkla ierīcēm nevar atšifrēt šo saziņu, pat ja tās tajā ieklausās (ko sauc par šņaukšanu). Šis pabalsts tiek saukts Individuāla datu aizsardzība-datu trafiks starp klientu un piekļuves punktu ir "individualizēts"; tāpēc, kamēr citi klienti var šifrēt un reģistrēt šo datplūsmu, viņi to nevar atšifrēt.

Liela OWE priekšrocība ir tā, ka tā aizsargā ne tikai tīklus, kuru savienošanai nepieciešama parole; tas aizsargā arī atvērtos "nenodrošinātos" tīklus, kuriem nav noteiktas paroles prasības, piem. bezvadu tīkli bibliotēkās. OWE šiem tīkliem nodrošina šifrēšanu bez autentifikācijas. Nekādi nodrošinājumi, sarunas un akreditācijas dati nav nepieciešami - tas vienkārši darbojas, ja lietotājam nav jādara kaut kas vai pat jāzina, ka viņas pārlūkošana tagad ir drošāka.

Brīdinājums: OWE neaizsargā pret tādiem “negodīgiem” piekļuves punktiem (AP) kā medus katlu piekļuves punkti vai ļauni dvīņi, kas mēģina piespiest lietotāju sazināties ar viņiem un nozagt informāciju.

Vēl viens brīdinājums ir tāds, ka WPA3 atbalsta neautentificētu šifrēšanu, bet nepiešķir mandātu. Iespējams, ka ražotājs saņem WPA3 etiķeti, neieviešot neautentificētu šifrēšanu. Šī funkcija tagad tiek saukta par Wi-Fi CERTIFIED Enhanced Open, tāpēc pircējiem papildus WPA3 etiķetei ir jāmeklē šī etiķete, lai pārliecinātos, ka iegādātā ierīce atbalsta neautentificētu šifrēšanu..

Ierīces nodrošināšanas protokols (DPP)

Wi-Fi ierīces nodrošināšanas protokols (DPP) aizstāj mazāk drošu Wi-Fi aizsargātu iestatīšanu (WPS). Daudzām mājas automatizācijas ierīcēm vai lietu internetam (IoT) nav paroles ievadīšanas saskarnes, un, pabeidzot Wi-Fi iestatīšanu, jāpaļaujas uz viedtālruņiem..

Šeit vēlreiz tiek apgalvots, ka Wi-Fi alianse nav pilnvarojusi šo funkciju izmantot, lai iegūtu WPA3 sertifikātu. Tātad tas tehniski neietilpst WPA3. Tā vietā šī funkcija tagad ir daļa no viņu Wi-Fi sertificētās programmas Easy Connect programmas. Tāpēc pirms WPA3 sertificētas aparatūras iegādes meklējiet šo etiķeti.

DPP ļauj ierīcēm autentificēties Wi-Fi tīklā bez paroles, izmantojot vai nu QR kodu, vai NFC (Near-field communication - tā pati tehnoloģija, kas nodrošina bezvadu transakcijas Apple Pay vai Android Pay) tagos.

Izmantojot Wi-Fi aizsargātu iestatīšanu (WPS), parole tiek pārsūtīta no jūsu tālruņa uz IoT ierīci, kas pēc tam izmanto paroli, lai autentificētos Wi-Fi tīklā. Bet ar jauno ierīču nodrošināšanas protokolu (DPP) ierīces veic savstarpēju autentifikāciju bez paroles.

Garāki šifrēšanas taustiņi

Lielākajā daļā WPA2 ieviešanu tiek izmantotas 128 bitu AES šifrēšanas atslēgas. IEEE 802.11i standarts atbalsta arī 256 bitu šifrēšanas atslēgas. WPA3 formātā garāki atslēgu izmēri, kas ir ekvivalenti 192 bitu drošībai, ir atļauti tikai WPA3-Enterprise.

WPA3-Enterprise attiecas uz uzņēmuma autentifikāciju, kurā savienojumam ar bezvadu tīklu tiek izmantots lietotājvārds un parole, nevis tikai parole (aka iepriekš koplietota atslēga), kas raksturīga mājas tīkliem..

Patērētāju lietojumprogrammām WPA3 sertifikācijas standarts ir padarījis garāku atslēgu izmēru izvēles iespēju. Daži ražotāji izmantos garākus taustiņu izmērus, jo tos tagad atbalsta protokols, bet patērētājiem būs pienākums izvēlēties maršrutētāju / piekļuves punktu, kurš.

Drošība

Kā aprakstīts iepriekš, gadu gaitā WPA2 ir kļuvis neaizsargāts pret dažādiem uzbrukumu veidiem, ieskaitot draņķīgo KRACK paņēmienu, kuram ir pieejami ielāpi, bet ne visiem maršrutētājiem un kuru lietotāji nav plaši izmantojuši, jo tam ir nepieciešams jauninājums no programmaparatūras..

2018. gada augustā tika atklāts vēl viens WPA2 uzbrukuma vektors.[1] Tas uzbrucējam, kurš šņauc WPA2 rokasspiedienus, ļauj viegli iegūt iepriekš koplietotās atslēgas (paroles) jaucējkrānu. Pēc tam uzbrucējs var izmantot brutāla spēka paņēmienu, lai salīdzinātu šo jaucējdarbību ar parasti izmantoto paroļu saraksta sajaukumiem vai minējumu sarakstu, kas izmēģina visas iespējamās dažāda garuma burtu un skaitļu variācijas. Izmantojot mākoņdatošanas resursus, ir triviāli uzminēt jebkuru paroli, kas ir mazāka par 16 rakstzīmēm.

Īsāk sakot, WPA2 drošība ir tikpat laba kā salauzta, bet tikai WPA2-Personal. WPA2-Enterprise ir daudz izturīgāks. Kamēr WPA3 nav plaši pieejama, izmantojiet spēcīgu paroli savam WPA2 tīklam.

Atbalsts WPA3

Paredzams, ka pēc tā ieviešanas 2018. gadā paies 12–18 mēneši, lai atbalsts kļūtu plaši izplatīts. Pat ja jums ir bezvadu maršrutētājs, kas atbalsta WPA3, jūsu vecais tālrunis vai planšetdators, iespējams, nesaņem WPA3 nepieciešamos programmatūras jauninājumus. Tādā gadījumā piekļuves punkts atgriezīsies WPA2, lai jūs joprojām varētu izveidot savienojumu ar maršrutētāju, bet bez WPA3 priekšrocībām..

2-3 gadu laikā WPA3 kļūs par vispārpieņemtu, un, ja jūs pērkat maršrutētāja aparatūru tagad, ieteicams veikt pirkumu pārbaudi nākotnē..

Ieteikumi

  1. Ja iespējams, izvēlieties WPA3, nevis WPA2.
  2. Pērkot WPA3 sertificētu aparatūru, meklējiet arī Wi-Fi uzlabotās atvērtās un Wi-Fi Easy Connect sertifikācijas. Kā aprakstīts iepriekš, šīs funkcijas uzlabo tīkla drošību.
  3. Izvēlieties garu, sarežģītu paroli (iepriekš koplietotu atslēgu):
    1. parolē izmantojiet ciparus, lielos un mazos burtus, atstarpes un pat "īpašās" rakstzīmes.
    2. Padariet to caurlaidefrāze nevis viena vārda.
    3. Padariet to garu - 20 rakstzīmes vai vairāk.
  4. Ja pērkat jaunu bezvadu maršrutētāju vai piekļuves punktu, izvēlieties tādu, kas atbalsta WPA3, vai plāno izlaist programmatūras atjauninājumu, kas nākotnē atbalstīs WPA3. Bezvadu maršrutētāju pārdevēji periodiski izlaiž savu produktu programmaparatūras jauninājumus. Atkarībā no tā, cik labs ir pārdevējs, viņi jauninājumus izlaiž biežāk. piem. pēc KRACK ievainojamības TP-LINK bija viens no pirmajiem pārdevējiem, kas izlaida ielāpus saviem maršrutētājiem. Viņi arī izlaida ielāpus vecākiem maršrutētājiem. Tātad, ja jūs meklējat, kuru maršrutētāju pirkt, apskatiet šī ražotāja izlaistās programmaparatūras versiju vēsturi. Izvēlieties uzņēmumu, kurš cītīgi plāno veikt jauninājumus.
  5. Izmantojiet VPN, kad izmantojat publisku Wi-Fi tīklāju, piemēram, kafejnīcu vai bibliotēku, neatkarīgi no tā, vai bezvadu tīkls ir aizsargāts ar paroli (t.i., drošs) vai nē.

Atsauces

  • KRACK uzbrukumi WPA2
  • Dragonfly Key Exchange - IEEE baltais papīrs
  • Wi-Fi alianses paziņojums presei par WPA3 funkcijām un WPA2 uzlabojumiem
  • WPA3 drošības uzlabojumi - YouTube
  • Oportūnistiska bezvadu šifrēšana: RFC 1180
  • WPA3 - nokavēta iespēja
  • WPA3 tehniskā informācija
  • WPA-2 beigu sākums: WPA-2 uzlaušana ir kļuvusi vienkārša