Differkinome

WPA2 vs WPA3

Tehnoloogia
Share

2018. aastal välja antud WPA3 on Wi-Fi Protected Access protokolli värskendatud ja turvalisem versioon turvaliste traadita võrkude jaoks. Nagu me kirjeldasime WPA2WPA3Tähistab WiFi-kaitstud juurdepääs 2 Wi-Fi kaitstud juurdepääs 3 Mis see on? Turvaprotokoll, mille Wi-Fi Alliance töötas välja 2004. aastal kasutamiseks traadita võrkude turvalisuse tagamiseks; loodud asendama WEP ja WPA protokolle. 2018. aastal välja antud WPA3 on järgmise põlvkonna WPA ja sellel on paremad turvaelemendid. See kaitseb nõrkade paroolide eest, mille äraarvamise abil saab suhteliselt kergesti puruneda. Meetodid Erinevalt WEP-st ja WPA-st kasutab WPA2 RC4 voo šifri asemel AES-i standardit. CCMP asendab WPA TKIP-i. 128-bitine krüptimine režiimis WPA3-Personal (192-bitine WPA3-Enterprise) ja edastav salastatus. WPA3 asendab ka eeljagatud võtme (PSK) vahetuse võrdsuse samaaegse autentimisega - turvalisem viis esmase võtmevahetuse tegemiseks. Turvaline ja soovitatav? WPA2 on soovitatav kasutada üle WEP ja WPA ning see on turvalisem, kui Wi-Fi Protected Setup (WPS) on keelatud. Seda ei soovitata üle WPA3. Jah, WPA3 on allpool toodud essees käsitletud viisidel turvalisem kui WPA2. Kaitstud haldusraamid (PMF) WPA2 volitab PMF-i toetama alates 2018. aasta algusest. Vanemad ruuterid, millel pole paigaldamata püsivara, ei pruugi PMF-i toetada. WPA3 volitab kaitstud haldusraamid (PMF) kasutama

Sisu: WPA2 vs WPA3

  • 1 uus käepigistus: võrdsete õiguste samaaegne autentimine (SAE)
    • 1.1 Võrguühenduseta dekrüptimise suhtes vastupidav
    • 1.2 Edasisaladus
  • 2 võimaluseta traadita krüptimine (OWE)
  • 3 seadme varustamise protokoll (DPP)
  • 4 pikemat krüptimisklahvi
  • 5 Turvalisus
  • 6 WPA3 tugi
  • 7 soovitust
  • 8 viidet

Uus käepigistus: võrdsete õiguste samaaegne autentimine (SAE)

Kui seade proovib parooliga kaitstud WiFi-võrku sisse logida, toimub parooli sisestamine ja kinnitamine neljapoolsel käepigistusel. WPA2-s oli protokolli see osa KRACKi rünnakute suhtes haavatav:

Võtme taasinstalli rünnakus [KRACK] trügib vastane ohvrile juba kasutatava võtme uuesti installima. See saavutatakse krüptograafiliste käepigistussõnumitega manipuleerimise ja uuesti esitamise teel. Kui ohver võti uuesti installib, lähtestatakse seotud parameetrid, näiteks lisanduv edastatava paketi number (s.o nonce) ja vastuvõtupaketi number (st kordusloendur) nende algväärtusele. Turvalisuse tagamiseks tuleks võtit installida ja kasutada ainult üks kord.

Isegi WPA2 värskendustega, et leevendada KRACK-i haavatavusi, saab WPA2-PSK siiski krakkida. WPA2-PSK paroolide häkkimiseks on olemas isegi juhised.

WPA3 parandab selle haavatavuse ja leevendab muid probleeme, kasutades WiFi-võrku autentimiseks erinevat käepigistuse mehhanismi - võrdsete õiguste samaaegne autentimine, tuntud ka kui Dragonfly Key Exchange.

Selles videos kirjeldatakse tehnilisi üksikasju selle kohta, kuidas WPA3 kasutab Dragonfly võtmevahetust, mis ise on SPEKE (lihtsa parooliga eksponentsiaalse võtmevahetuse) variatsioon..

Dragonfly võtmevahetuse eelisteks on edasisaladus ja vastupidavus võrguühenduseta dekrüptimisele.

Võrguühenduseta dekrüpteerimise suhtes vastupidav

WPA2 protokolli haavatavuseks on see, et ründaja ei pea parooli arvamiseks võrguga ühenduses olema. Ründaja saab nuusutada ja hõivata WPA2-põhise algse ühenduse neljasuunalist käepigistust võrgu läheduses. Seda hõivatud liiklust saab seejärel paroolist arvamiseks võrguühenduseta kasutada sõnastikupõhises rünnakus. See tähendab, et kui parool on nõrk, on see kergesti purunev. Tegelikult saab kuni 16 tähemärgilisi tähtnumbrilisi paroole WPA2-võrkude jaoks üsna kiiresti lahti saada.

WPA3 kasutab Dragonfly Key Exchange süsteemi, nii et see on vastupidav sõnastikurünnakutele. See on määratletud järgmiselt:

Vastupanu sõnastiku rünnakule tähendab, et kõik eelised, mida vastane võib saada, peavad olema otseselt seotud suhtluse arvuga, mida ta teeb ausa protokolliga osalejaga, mitte arvutamise teel. Vastane ei saa parooli kohta teavet, välja arvatud see, kas üks protokollist tulenev aim on õige või vale.

See WPA3 funktsioon kaitseb võrke, kus võrgu parool, st eeljagatud võti (PSDK) on soovitatud keerukusest nõrgem.

Edasisaladus

Traadita võrk kasutab raadiosignaali teabe (andmepakettide) edastamiseks kliendi seadme (nt telefoni või sülearvuti) ja traadita pääsupunkti (ruuteri) vahel. Neid raadiosignaale edastatakse avalikult ja neid saab läheduses keegi kinni hoida või "vastu võtta". Kui traadita võrk on kaitstud parooliga - olenemata sellest, kas WPA2 või WPA3 -, on signaalid krüptitud, nii et signaale kinni pidav kolmas osapool ei saa andmeid aru.

Kuid ründaja saab salvestada kõik need andmed, mida nad pealtkuulavad. Ja kui nad suudavad tulevikus parooli ära arvata (mis on võimalik WPA2 sõnastikurünnaku kaudu, nagu me eespool nägime), saavad nad kasutada võtit selle võrgu minevikus salvestatud andmeliikluse dekrüpteerimiseks.

WPA3 pakub edasisaladust. Protokoll on konstrueeritud nii, et isegi võrguparooliga pole pealtkuulajal võimatu parkida liikluspöörduspunkti ja teise kliendi seadme vahelist liiklust.

Oportunistlik traadita krüptimine (OWE)

Selles valges raamatus (RFC 8110) kirjeldatu on oportunistlik traadita krüptimine (OWE) WPA3-s uus funktsioon, mis asendab levialades ja avalikes võrkudes laialdaselt kasutatavat 802.11 autentimist..

See YouTube'i video annab tehnilise ülevaate OWE-st. Põhiidee on kasutada seadme ja pääsupunkti (ruuteri) vahelise suhtluse krüptimiseks Diffie-Hellmani võtmevahetusmehhanismi. Side dekrüpteerimisvõti on iga pöörduspunktiga ühendava kliendi jaoks erinev. Nii et ükski teine ​​võrgus olev seade ei saa seda suhtlust dekrüpteerida, isegi kui nad seda kuulavad (mida nimetatakse nuusutamiseks). Seda eelist nimetatakse Individuaalne andmekaitse-andmeliiklus kliendi ja pääsupunkti vahel on "individualiseeritud"; nii et kuigi teised kliendid saavad seda liiklust nuusutada ja salvestada, ei saa nad seda dekrüpteerida.

OWE suur eelis on see, et see kaitseb mitte ainult võrke, mille ühendamiseks on vaja parooli; see kaitseb ka avatud "turvamata" võrke, millel pole paroolinõudeid, nt. traadita võrgud raamatukogudes. OWE varustab neid võrke ilma autentimiseta krüptimisega. Valmistamist, läbirääkimist ja volikirja pole vaja - see toimib lihtsalt ilma, et kasutaja peaks midagi tegema või isegi teaks, et tema sirvimine on nüüd turvalisem.

Hoiatus: OWE ei kaitse "petturite" pöörduspunktide (AP), nagu kärgpottide AP või kurjade kaksikute eest, kes üritavad kasutajaid meelitada nendega kontakti looma ja teavet varastama.

Veel üks hoiatus on see, et WPA3 toetab autentimata krüptimist, kuid ei anna selleks volitust. Võimalik, et tootja saab WPA3-märgise ilma autentimata krüptimist rakendamata. Funktsiooni nimi on nüüd Wi-Fi CERTIFIED Enhanced Open, nii et ostjad peaksid lisaks WPA3 sildile otsima seda silti ka selleks, et veenduda, et ostetav seade toetab autentimata krüptimist.

Seadme varustamise protokoll (DPP)

Wi-Fi-seadme varustusprotokoll (DPP) asendab vähem turvalise Wi-Fi-kaitsega seadistuse (WPS). Paljudel koduautomaatikas või asjade Internetis (IoT) olevatel seadmetel pole parooli sisestamiseks liidest ja WiFi-seadistuste vahetamiseks peavad nad nutitelefonidele tuginema.

Siinkohal tuleb veel kord tõdeda, et Wi-Fi Alliance ei ole seda funktsiooni lubanud kasutada WPA3 sertifikaadi saamiseks. Seega pole see tehniliselt WPA3 osa. See funktsioon on nüüd osa nende Wi-Fi CERTIFIED Easy Connect programmist. Nii et enne WPA3-sertifikaadiga riistvara ostmist otsige seda silti.

DPP võimaldab seadmete autentimist Wi-Fi-võrgus ilma paroolita, kasutades kas QR-koodi või NFC (lähiväljaside, sama tehnoloogia, mis annab traadita tehingutele juurdepääsu Apple Pay või Android Pay abil).

Wi-Fi Protected Setup (WPS) abil edastatakse parool telefonist IoT-seadmele, mis seejärel kasutab parooli WiFi-võrgu autentimiseks. Kuid koos uue seadme varustamise protokolliga (DPP) teostavad seadmed vastastikust autentimist ilma paroolita.

Pikemad krüpteerimisvõtmed

Enamik WPA2 rakendusi kasutab 128-bitiseid AES krüptimisvõtmeid. IEEE 802.11i standard toetab ka 256-bitiseid krüptimisvõtmeid. WPA3-s on pikemad võtmesuurused - mis vastavad 192-bitisele turvalisusele - lubatud ainult WPA3-Enterprise'i jaoks.

WPA3-Enterprise viitab ettevõtte autentimisele, mis kasutab traadita võrguga ühenduse loomiseks kasutajanime ja parooli, mitte lihtsalt koduvõrkudele tüüpilist parooli (aka eeljagatud võtit)..

Tarbijarakenduste jaoks on WPA3 sertifitseerimisstandard teinud pikema võtme suuruse valikuliseks. Mõned tootjad kasutavad pikemaid võtmesuurusi, kuna neid toetab nüüd protokoll, kuid tarbijatel on kohustus valida ruuter / pääsupunkt, mis.

Turvalisus

Nagu ülalpool kirjeldatud, on WPA2 aastate jooksul muutunud haavatavaks mitmesuguste rünnakuvormide suhtes, sealhulgas kurikuulsa KRACK-tehnika jaoks, mille jaoks on saadaval plaastrid, kuid mitte kõigi ruuterite jaoks ja mida kasutajad pole laialdaselt kasutusele võtnud, kuna see nõuab püsivara uuendamist.

2018. aasta augustis avastati veel üks WPA2 rünnakuvektor.[1] See hõlbustab WPA2 käepigistusi nuusutaval ründajal eeljagatud võtme (parooli) räsi hankimist. Seejärel saab ründaja kasutada rämeda jõu tehnikat, et võrrelda seda räsi üldkasutatavate paroolide loendi räside või arvamiste loeteluga, mis proovib kõikvõimalikke erineva pikkusega tähtede ja numbrite variatsioone. Pilvandmetöötlusressursse kasutades on triviaalne arvata alla 16 tähemärgi pikkuseid paroole.

Lühidalt öeldes on WPA2 turvalisus sama hea kui purunenud, kuid ainult WPA2-Personal jaoks. WPA2-Enterprise on palju vastupidavam. Kuni WPA3 on laialdaselt saadaval, kasutage oma WPA2 võrgu jaoks tugevat parooli.

WPA3 tugi

Pärast selle kasutuselevõttu 2018. aastal kulub toetuste laiemaks muutmiseks 12–18 kuud. Isegi kui teil on traadita ruuter, mis toetab WPA3, ei pruugi teie vana telefon või tahvelarvuti saada WPA3 jaoks vajalikke tarkvarauuendusi. Sel juhul langeb pääsupunkt tagasi WPA2-le, nii et saate ikkagi ruuteriga ühenduse luua, kuid ilma WPA3 eelisteta.

2-3 aasta pärast muutub WPA3 tavapäraseks ja kui te ostate ruuteri riistvara nüüd on soovitatav oma ostud tulevikukindlaks teha.

Soovitused

  1. Võimaluse korral valige WPA3 WPA2 asemel.
  2. WPA3-sertifikaadiga riistvara ostmisel otsige ka Wi-Fi Enhanced Open ja Wi-Fi Easy Connect sertifikaate. Nagu eespool kirjeldatud, suurendavad need funktsioonid võrgu turvalisust.
  3. Valige pikk ja keeruline parool (eeljagatud võti):
    1. kasutage oma paroolis numbreid, väiketähti, tühikuid ja isegi "erimärke".
    2. Tee sellest möödafraas ühe sõna asemel.
    3. Muutke see pikkuseks - 20 tähemärki või rohkem.
  4. Kui ostate uue traadita ruuteri või pääsupunkti, valige see, mis toetab WPA3 või plaanib tulevikus välja töötada tarkvara värskenduse, mis toetab WPA3. Traadita ruuteri müüjad lasevad perioodiliselt välja oma toodete püsivara värskendusi. Sõltuvalt sellest, kui hea müüja on, vabastavad nad versiooniuuendusi sagedamini. nt. pärast KRACK-i haavatavust oli TP-LINK üks esimesi müüjaid, kes andis oma ruuteritele plaastreid välja. Samuti lasid nad välja plaastreid vanematele ruuteritele. Nii et kui uurite, millist ruuterit osta, vaadake selle tootja välja antud püsivara versioonide ajalugu. Valige ettevõte, kes on uuenduste osas ettevaatlik.
  5. Kasutage VPN-i, kui kasutate avalikku WiFi-leviala, näiteks kohvikut või raamatukogu, sõltumata sellest, kas traadita võrk on parooliga kaitstud (st turvaline) või mitte.

Viited

  • KRACK ründab WPA2
  • Dragonfly Key Exchange - IEEE valge paber
  • WPA3 funktsioonide ja WPA2 täiustuste Wi-Fi Alliance'i pressiteade
  • WPA3 turbeparandused - Youtube
  • Oportunistlik traadita krüptimine: RFC 1180
  • WPA3 - unustatud võimalus
  • WPA3 tehnilised üksikasjad
  • WPA-2 lõpu algus: WPA-2 lõhendamine on lihtsalt palju lihtsam
Tehnoloogia
×