Všetci používame Wi-Fi stále. Existuje viac WiFi zariadení ako ľudí. Takto sa väčšina z nás pripája na internet a mnohé z týchto aktivít na internete si vyžadujú komunikáciu veľmi citlivých a osobných údajov.


Je preto škoda, že štandard WPA2, ktorý sa používa na ochranu údajov pri prenose rádiových vĺn medzi zariadením a smerovačom, ktorý ich pripája na internet, je úplne prerušený..

Dokument uverejnený v októbri minulého roka ukázal, že každé pripojenie WPA2 je neisté. Vďaka zraniteľnosti spoločnosti KRACK môžu hackeri ľahko odhaliť všetky nezašifrované údaje odoslané prostredníctvom siete Wi-Fi takmer na každom z 9 miliárd zariadení WiFi na planéte..

A možno najnebezpečnejšou vecou v tom čase bolo, že nič nemalo nahradiť...

WPA3

Preto neprekvapuje, že aliancia Wi-Fi nedávno oznámila spustenie nástupcu WPA2, ktorý je precízne naklonený WPA3. Nielenže opravuje zraniteľnosť KRACK, ale zaoberá sa aj mnohými ďalšími problémami týkajúcimi sa zabezpečenia WiFi vo všeobecnosti, ktoré sa od čias zavedenia WPA2 v roku 2004 stali čoraz zreteľnejšie.

WPA3

WPA3 sa dodáva v dvoch verziách: WPA-Personal a WPA-Enterprise.

WPA3-Personal

KRACK opravený

Norma WPA2 sa už nejaký čas krčí, ale objavenie zraniteľnosti spoločnosti Key Reinstallation Attack (KRACK) podnietilo Alianciu WiFi k zavedeniu nového štandardu, ktorý prepracováva zabezpečenie WiFi.

KRACK využíva chybu v štvorsmernom handshake, ktorý sa používa na zabezpečenie pripojenia WPA2 k smerovačom, bez ohľadu na použitú platformu alebo zariadenie..

Krack

WPA3 to napraví pomocou handshake simultánnym overením totožnosti (SAE). Variant protokolu výmeny kľúčov Dragonfy, ktorý nahrádza použitie zdieľaného kľúča (PSK) vo WPA2 a zverejnený bezpečnostný dôkaz naznačuje, že je vysoko bezpečný.

Lepšia ochrana heslom

Pri revízii zabezpečenia WiFi sa nás Aliancia WiFi snaží chrániť aj pred nami. Jediným najväčším bezpečnostným problémom WiFi je to, že väčšina ľudí používa veľmi slabé a ľahko uhádnuteľné heslá.

A aj keď ste zmenili svoje heslo, WPA2 umožňuje útočníkovi robiť neobmedzené odhady. To im umožňuje vykonať slovníkový útok, ktorý na váš smerovač vyhodí tisíce bežných hesiel za minútu, kým nenájde správne heslo.

WPA3 zmierňuje útoky heslom dvoma spôsobmi. Simultánne overenie totožnosti pomocou protokolu Equals zabraňuje útokom slovníkov tým, že bráni útočníkovi urobiť viac ako jedno hádanie hesla pri útoku. Zakaždým, keď je zadané nesprávne heslo, bude sa musieť znova pripojiť k sieti, aby urobil ďalšie odhady.

Prírodný výber hesla je ďalšou novou funkciou. Tvrdí sa, že to pomôže používateľom vybrať si silné, ale ľahko zapamätateľné heslá.

Forward Secrecy

Forward Secrecy znamená, že pri každom vytvorení pripojenia WPA3 sa vygeneruje nová sada šifrovacích kľúčov. Ak by útočník niekedy ohrozil heslo smerovača, nebude mať prístup k údajom, ktoré už boli prenesené, pretože je chránené rôznymi sadami kľúčov.

WPA3-Enterprise

Ako už názov napovedá, cieľom WP3-Enterprise je poskytnúť podnikom, vládam a finančným inštitúciám ešte väčšiu bezpečnosť.

Dáta sú chránené 256-bitovou šifrou protokolu Galois / Counter Mode (GCMP-256) pomocou 384-bitovej výmeny kľúčov ECDH alebo ECDSA s hash autentifikáciou HMAC SHA385. Chránené riadiace rámce (PMF) sú zabezpečené pomocou 256-bitového protokolu overovania integrity protokolu Galois (BIP-GMAC-256).

Je zaujímavé, že WiFi Alliance popisuje túto sadu šifrovacích algoritmov ako „ekvivalent 192-bitovej kryptografickej sily“.

kritiky

Mathy Vanhoef je PhD výskumníkom na KU Leuven, ktorý objavil zraniteľnosť KRACK vo WPA2. V nedávnom blogovom príspevku opísal WPA3 ako zmeškanú príležitosť.

WPA3 nie je ako taký štandardom. Je to certifikačný program. Ak produkt podporuje a správne implementuje štandardy určené pre WPA3, potom WiFi Alliance udelí certifikácii Wi-Fi CERTIFIED WPA3 ™.

Pri prvom oznámení WPA3 sa navrhlo, aby obsahovalo 4 kľúčové normy:

  1. Handshake Vážka (SAE)
  2. Wi-Fi Easy Connect, funkcia, ktorá opravuje známe zraniteľné miesta v aktuálnom nastavení chráneného Wi-Fi
  3. Wi-Fi Enhanced Open, ktorého cieľom je zvýšenie bezpečnosti verejných hotspotov Wi-Fi poskytnutím neovereného šifrovania pri pripájaní k otvorenému hotspotu
  4. Zvýšilo by to veľkosť šifrovacích kľúčov relácie.

Vo svojej konečnej podobe sa však štandardy 2-4 odporúčajú na použitie v zariadeniach WPA3, ale nevyžadujú sa. Na získanie oficiálnej certifikácie Wi-Fi CERTIFIED WPA3 ™ musia výrobcovia implementovať iba simultánne overenie totožnosti Handshake.

Všetky štandardy Wi-Fi Easy Connect a Wi-Fi Enhanced Open získajú od WiFi Alliance svoju vlastnú samostatnú certifikáciu, zatiaľ čo zvýšená veľkosť kľúča relácie sa vyžaduje iba na certifikáciu WPA3-Enterprise..

„Obávam sa, že v praxi to znamená, že výrobcovia jednoducho zavedú nový spôsob podania rúk, pošliapajú naň označenie„ WPA3 certifikované “a urobia sa s ním [...] To znamená, že ak si kúpite zariadenie, ktoré je schopné WPA3, tam nezaručuje, že tieto dve funkcie podporuje. “

V záujme spravodlivosti voči aliancii WiFi sa pravdepodobne prijalo rozhodnutie s cieľom povzbudiť výrobcov WiFi, aby čo najskôr prijali normu tak, že pre nich bude menej náročné implementovať.

Existuje tiež veľká šanca, že sa výrobcovia dobrovoľne rozhodnú zahrnúť štandardy Wi-Fi Easy Connect a Wi-Fi Enhanced Open do svojich produktov WPA3..

Čo ďalej?

Aliancia WiFi neočakáva, že sa kúpia žiadne produkty WPA3 najmenej koncom tohto roka, a neočakáva sa, že sa široká implementácia uskutoční najskôr koncom roku 2020..

Teoreticky možno väčšina produktov WiFi upgradovať na WPA3 pomocou softvérových opráv. Zdá sa však nepravdepodobné, že mnoho výrobcov bude venovať zdroje na vývoj takýchto záplat pre existujúce výrobky, ktoré by sa mohli namiesto toho minúť na vývoj nových výrobkov pre trh..

Toto neplatí pre všetky spoločnosti. Router-maker Linksys napríklad potvrdil svoj záväzok vydávať aktualizácie firmvéru WPA3 pre „staršie produkty“.

Vo väčšine prípadov však inovácia na WPA3 bude zahŕňať vyhodenie smerovača a všetkých WiFi zariadení a ich nahradenie novým zariadením WPA3. Vzhľadom na to, že v súčasnosti existuje na planéte okolo 9 miliárd zariadení s podporou WiFi, k tomu nedôjde cez noc.

Asi preto bude trvať roky, kým sa ekosystém Wi-Fi rozvinie do bodu, keď by sa WPA3 mohla považovať za všadeprítomnú; a dovtedy samozrejme potrebujeme nový štandard WPA4!

WPA3 je spätne kompatibilný

Vzhľadom na to, že WPA2 je veľmi neistá, každý by sa mal čo najskôr aktualizovať na WPA3. Realisticky však väčšina ľudí nielen vyhodí svoje drahé existujúce vybavenie.

Preto je užitočné, aby WPA3 bol spätne kompatibilný. Smerovače WPA3 budú akceptovať pripojenia zo starších zariadení (WPA2) a zariadenia WPA3 sa budú môcť pripojiť k starším smerovačom. Ak však smerovač aj zariadenie nie sú pripravené na pripojenie WPA3, pripojenie nebude mať úžitok zo zlepšeného zabezpečenia ponúkaného novým štandardom.

Kým nebudete plne kompatibilní s WPA3, dôrazne vám odporúčame zmierniť zraniteľnosť KRACK spustením pripojenia VPN na všetkých zariadeniach WPA2 (nie samotný smerovač)..

Rovnakým spôsobom, ako vás pomocou VPN chráni pri používaní verejného hotspotu WiFi, sa zabezpečí, že všetky údaje, ktoré cestujú medzi vaším zariadením a smerovačom, sú bezpečne šifrované, a preto sú chránené pred útokom KRACK..

Opatrnosť pri návšteve webových stránok HTTPS tiež zmierňuje problém, vyžaduje si však z vašej strany neustálu ostražitosť. Stolové systémy je možné pripojiť k smerovaču pomocou ethernetového kábla, vďaka ktorému sú odolné voči útokom KRACK.

záver

WPA2 je nefunkčný, takže WPA3 nemôže prísť dosť skoro - a mali by ste ho prijať čo najskôr. Je škoda, že celý pôvodný súbor štandardov WPA3 nepriniesol konečné zníženie, ale ak to má za následok rýchlejšie prijatie WPA3, potom môže byť rozhodnutie potvrdené..

Výrobcovia sa môžu rozhodnúť zahrnúť štandardy Wi-Fi Easy Connect a Wi-Fi Enhanced Open do svojich produktov WPA3..

Medzitým si uvedomte, aké nebezpečné sú vaše existujúce pripojenia Wi-Fi, a podniknite kroky na zmiernenie problému..

Obrazový kredit: Autor: BeeBright / Shutterstock.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me