Мы все используем WiFi все время. Существует больше устройств WiFi, чем людей. Именно так большинство из нас подключается к Интернету, и большая часть этой интернет-деятельности связана с передачей конфиденциальных и личных данных..

Поэтому очень жаль, что WPA2, стандарт, используемый для защиты данных при их передаче по радиоволнам между вашим устройством и маршрутизатором, который соединяет его с Интернетом, полностью нарушен..

Документ, опубликованный в октябре прошлого года, показал, что каждое соединение WPA2 небезопасно. Благодаря уязвимости KRACK, все незашифрованные данные, отправленные по WiFi практически на каждое из 9 миллиардов WiFi-устройств на планете, могут быть легко взломаны хакерами..

И, пожалуй, самое тревожное в то время было то, что не было ничего, чтобы заменить...

WPA3

Поэтому неудивительно, что Wi-Fi Alliance недавно объявил о запуске преемника WPA2, хитро наклоненного WPA3. Он не только устраняет уязвимость KRACK, но и решает многие другие проблемы с безопасностью WiFi в целом, которые становятся все более очевидными после появления WPA2 в 2004 году..


WPA3

WPA3 выпускается в двух версиях: WPA-Personal и WPA-Enterprise..

WPA3-Personal

KRACK исправлена

Стандарт WPA2 скрипел уже довольно давно, но именно обнаружение уязвимости Key Reinstallation Attack (KRACK) подтолкнуло Альянс WiFi к внедрению нового стандарта, который пересматривает безопасность WiFi..

KRACK использует уязвимость в четырехстороннем рукопожатии, используемом для защиты соединений WPA2 с маршрутизаторами, независимо от используемой платформы или устройства.

Krack

WPA3 исправляет это, используя вместо этого квитирование с одновременной аутентификацией (SAE). Вариант протокола обмена ключами Dragonfy, он заменяет использование предварительного ключа (PSK) в WPA2, а опубликованное доказательство безопасности указывает, что он очень защищен.

Лучшая защита паролем

В капитальном ремонте безопасности WiFi, Альянс WiFi также стремится защитить нас от нас самих. Самая большая проблема безопасности с WiFi заключается в том, что большинство людей используют очень слабые и легко угадываемые пароли..

И даже если вы изменили свой пароль, WPA2 позволяет злоумышленнику делать неограниченные предположения. Это позволяет им выполнять атаку по словарю, которая генерирует тысячи общих паролей в минуту на вашем маршрутизаторе, пока он не найдет правильный.

WPA3 предотвращает атаки паролем двумя способами. Рукопожатие одновременной аутентификации равных предотвращает атаки по словарю, мешая злоумышленнику сделать более одного предположения о пароле на одну атаку. Каждый раз, когда вводится неправильный пароль, им нужно будет повторно подключиться к сети, чтобы сделать еще одно предположение.

Естественный выбор пароля - еще одна новая функция. Утверждается, что это поможет пользователям выбрать надежные, но легко запоминающиеся пароли..

Вперед Секретность

Прямая секретность означает, что каждый раз, когда устанавливается соединение WPA3, генерируется новый набор ключей шифрования. Если злоумышленник когда-либо скомпрометирует пароль вашего маршрутизатора, он не сможет получить доступ к уже переданным данным, поскольку он защищен различными наборами ключей..

WPA3-Enterprise

Как следует из названия, WP3-Enterprise стремится обеспечить предприятиям, правительствам и финансовым учреждениям еще большую безопасность.

Данные защищены с помощью 256-битного шифра протокола Галуа / счетного режима (GCMP-256) с использованием 384-битного обмена ключами ECDH или ECDSA с аутентификацией HMAC SHA385. Защищенные кадры управления (PMF) защищены с использованием 256-битного кода аутентификации сообщений Galois протокола целостности широковещательной / многоадресной передачи (BIP-GMAC-256).

Интересно, что WiFi Alliance описывает этот набор алгоритмов шифрования как «эквивалент 192-битной криптографической стойкости».

Критицизмы

Мэти Ванхоф, исследователь PHD в KU Leuven, обнаружила уязвимость KRACK в WPA2. В недавнем сообщении в блоге он описал WPA3 как упущенную возможность.

WPA3 не является стандартом как таковым. Это программа сертификации. Если продукт поддерживает и правильно реализует стандарты, указанные для WPA3, тогда Wi-Fi Alliance присвоит ему сертификат Wi-Fi CERTIFIED WPA3 ™..

Когда WPA3 был впервые объявлен, было предложено включить в него 4 ключевых стандарта:

  1. Рукопожатие "Стрекоза" (SAE)
  2. Wi-Fi Easy Connect, функция, которая исправляет известные уязвимости в текущей Защищенной настройке Wi-Fi
  3. Wi-Fi Enhanced Open, направленный на то, чтобы сделать использование точек доступа общедоступным WiFi более безопасным, обеспечивая шифрование без проверки подлинности при подключении к открытой точке доступа.
  4. Это увеличит размеры ключа шифрования сеанса.

Однако в окончательном виде стандарты 2-4 рекомендуются для использования в устройствах WPA3, но не являются обязательными. Чтобы получить официальную сертификацию Wi-Fi CERTIFIED WPA3 ™, производителям нужно только осуществить рукопожатие с одновременной аутентификацией равных..

Стандарты Wi-Fi Easy Connect и Wi-Fi Enhanced Open получают отдельную сертификацию от WiFi Alliance, в то время как увеличение размера ключа сеанса требуется только для сертификации WPA3-Enterprise..

«Я боюсь, что на практике это означает, что производители будут просто внедрять новое рукопожатие, наносить на него ярлык« сертифицированный WPA3 »и покончить с этим [...] Это означает, что если вы купите устройство с поддержкой WPA3, нет никакой гарантии, что он поддерживает эти две функции ».

Справедливости ради для WiFi Alliance, решение, вероятно, было принято для того, чтобы побудить производителей WiFi принять стандарт как можно скорее, сделав его менее трудным для внедрения.

Существует также хороший шанс, что производители добровольно решат включить стандарты Wi-Fi Easy Connect и Wi-Fi Enhanced Open в свои продукты WPA3..

Так, что дальше?

WiFi Alliance не ожидает, что какие-либо продукты WPA3 станут доступны для покупки, по крайней мере, до конца этого года, и не ожидает широкого внедрения до конца 2020 года..

Теоретически, большинство продуктов WiFi можно обновить до WPA3 с помощью программных исправлений. Однако представляется маловероятным, что многие производители будут выделять ресурсы на разработку таких исправлений для существующих продуктов, которые вместо этого можно было бы потратить на разработку новых продуктов для рынка..

Это не относится ко всем компаниям. Например, производитель маршрутизаторов Linksys подтвердил свою готовность выпускать обновления прошивки WPA3 для «устаревших продуктов».

В большинстве случаев, однако, обновление до WPA3 повлечет за собой выброс вашего маршрутизатора и всех ваших WiFi-устройств и замену их новым оборудованием WPA3. Учитывая, что в настоящее время на планете насчитывается около 9 миллиардов устройств с поддержкой WiFi, это не произойдет в одночасье..

Поэтому, вероятно, пройдут годы, прежде чем экосистема WiFi разовьется до такой степени, что WPA3 можно будет считать повсеместным; и к тому времени, конечно, нам может понадобиться срочно новый стандарт WPA4!

WPA3 обратно совместим

Учитывая, что WPA2 крайне небезопасен, каждый действительно должен как можно скорее перейти на WPA3. Реально, однако, большинство людей не просто собираются выбрасывать свои дорогие существующие вещи.

Поэтому полезно, чтобы WPA3 был обратно совместимым. Маршрутизаторы WPA3 будут принимать подключения от более старых (WPA2) устройств, а устройства WPA3 смогут подключаться к более старым маршрутизаторам. Но если и маршрутизатор, и устройство не готовы к WPA3, соединение не получит преимущества от улучшенной безопасности, предлагаемой новым стандартом..

Пока вы полностью не совместимы с WPA3, мы настоятельно рекомендуем вам уменьшить уязвимость KRACK, запустив VPN-соединение на всех ваших устройствах WPA2 (не на самом маршрутизаторе)..

Подобно тому, как использование VPN защищает вас при использовании публичной точки доступа WiFi, это гарантирует, что все данные, передаваемые между вашим устройством и маршрутизатором, надежно зашифрованы и, следовательно, защищены от атаки KRACK..

Тщательное посещение только HTTPS-сайтов также смягчает проблему, но требует от вас постоянной бдительности. Настольные системы могут быть подключены к маршрутизатору через кабель Ethernet, что делает их невосприимчивыми к атакам KRACK.

Вывод

WPA2 не работает, поэтому WPA3 не может появиться достаточно скоро, и вы должны принять его как можно скорее. Жаль, что полный первоначальный набор стандартов WPA3 не дал окончательного результата, но если это приведет к более быстрому широкому принятию WPA3, то решение может быть оправдано.

В любом случае производители могут решить включить стандарты Wi-Fi Easy Connect и Wi-Fi Enhanced Open в свои продукты WPA3..

Тем временем, пожалуйста, знайте, насколько небезопасны ваши существующие соединения WiFi, и примите меры для смягчения проблемы.

Изображение предоставлено BeeBright / Shutterstock.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me