Differkinome

WPA2 vs. WPA3

Technológia
Share

A 2018-ban megjelenő WPA3 a Wi-Fi Protected Access protokoll frissített és biztonságosabb verziója a vezeték nélküli hálózatok biztonságossá tétele érdekében. Amint azt a WPA2WPA3Áll Wi-Fi védett hozzáférés 2 Wi-Fi védett hozzáférés 3 Mi az? A Wi-Fi Szövetség által 2004-ben kifejlesztett biztonsági protokoll a vezeték nélküli hálózatok biztonságos használatához; A WEP és a WPA protokollok helyettesítésére szolgál. A 2018-ban kiadott WPA3 a WPA következő generációja, és jobb biztonsági szolgáltatásokkal rendelkezik. Védi a gyenge jelszavakat, amelyek kitalálással viszonylag egyszerűen feltörhetők. Mód A WEP-től és a WPA-tól eltérően a WPA2 az AES szabványt használja az RC4 adatfolyam rejtjel helyett. A CCMP helyettesíti a WPA TKIP-jét. 128 bites titkosítás WPA3-Personal módban (192 bites WPA3-Enterprise) és továbbító titoktartás. A WPA3 az elő-megosztott kulcs (PSK) cserét is felváltja az egyenlő egyidejű hitelesítéssel, ez a kezdeti kulcscsere biztonságosabb módja.. Biztonságos és ajánlott? A WPA2 használata a WEP és a WPA felett javasolt, és biztonságosabb, ha a Wi-Fi Protected Setup (WPS) le van tiltva. A WPA3 felett nem ajánlott. Igen, a WPA3 biztonságosabb, mint a WPA2, az alábbi esszében tárgyalt módon. Védett kezelési keretek (PMF) A WPA2 2018 eleje óta engedélyezi a PMF támogatását. Előfordulhat, hogy a nem telepített firmware régebbi útválasztók nem támogatják a PMF-et. A WPA3 megbízást ad a védett kezelőkeretek (PMF) használatára

Tartalom: WPA2 vs WPA3

  • 1 új kézfogás: Az egyenlők egyidejű hitelesítése (SAE)
    • 1.1 Ellenáll az offline dekódolásnak
    • 1.2. Előzetes titoktartás
  • 2 opcionális vezeték nélküli titkosítás (OWE)
  • 3 eszközellátási protokoll (DPP)
  • 4 hosszabb titkosítási kulcs
  • 5 Biztonság
  • 6 A WPA3 támogatása
  • 7 ajánlás
  • 8 Hivatkozások

Új kézfogás: Az egyenlők egyidejű hitelesítése (SAE)

Amikor egy eszköz megpróbál bejelentkezni egy jelszóval védett Wi-Fi hálózatba, a jelszó megadásának és ellenőrzésének négy irányú kézfogással történik a megadása. A WPA2-ben a protokollnak ez a része érzékeny volt a KRACK támadásokra:

A kulcs újratelepítési támadásában [KRACK] az ellenfél becsapja az áldozatot egy már használatban lévő kulcs újratelepítésébe. Ezt a kriptográfiai kézfogás üzenetek manipulálásával és visszajátszásával érik el. Amikor az áldozat újratelepíti a kulcsot, a kapcsolódó paraméterek, mint például az inkrementális átviteli csomag száma (vagyis a nonce) és a fogadott csomag száma (azaz a visszajátszási számláló) visszaállnak a kezdeti értékükre. A biztonság garantálása érdekében a kulcsot csak egyszer kell telepíteni és használni.

Még a WPA2 frissítéseivel is, hogy enyhítsék a KRACK sebezhetőségeket, a WPA2-PSK továbbra is feltörhető. Még vannak útmutatók a WPA2-PSK jelszavak feltöréséhez.

A WPA3 kijavítja ezt a sebezhetőséget és enyhíti az egyéb problémákat egy másik kézfogási mechanizmus használatával, amely hitelesíti a Wi-Fi hálózatot - az egyenlők egyidejű hitelesítése, más néven Dragonfly Key Exchange.

A videó leírja, hogy a WPA3 hogyan használja a Dragonfly kulcscserét - amely maga a SPEKE (egyszerű jelszó-exponenciális kulcscsere) variációja..

A Dragonfly kulcscsere előnyei a titkosítás és az offline dekódolás ellenállása.

Ellenálló az offline dekódolás ellen

A WPA2 protokoll sebezhetősége az, hogy a támadónak nem kell csatlakoznia a hálózathoz a jelszó kitalálása érdekében. A támadó szippanthatja és elfoghatja a WPA2-alapú kezdeti kapcsolat négyirányú kézfogását, amikor a hálózat közelében van. Ez a rögzített forgalom offline módon felhasználható egy szótár alapú támadás során a jelszó kitalálására. Ez azt jelenti, hogy ha a jelszó gyenge, akkor könnyen törhető. Valójában a legfeljebb 16 karakterből álló alfanumerikus jelszavak meglehetősen gyorsan feltörhetők a WPA2 hálózatok esetében.

A WPA3 a Dragonfly Key Exchange rendszert használja, így ellenáll a szótár támadásoknak. Ezt a következőképpen kell meghatározni:

A szótár támadással szembeni ellenállás azt jelenti, hogy az ellenfél által elõnyert bármely elõnyt közvetlenül a becsületes protokoll résztvevõivel folytatott interakciók számához kell kapcsolódni, nem pedig számítások útján. Az ellenfél nem tud információt szerezni a jelszóról, kivéve, ha a protokoll futtatásának egyetlen kitalálása helyes vagy helytelen.

A WPA3 ez a szolgáltatás védi azokat a hálózatokat, ahol a hálózati jelszó, azaz az előre megosztott kulcs (PSDK) gyengébb, mint az ajánlott összetettség..

Biztonsági titoktartás

A vezeték nélküli hálózat rádiójelet használ az információ (adatcsomagok) továbbítására az ügyfél eszköz (például telefon vagy laptop) és a vezeték nélküli hozzáférési pont (útválasztó) között. Ezeket a rádiójeleket nyíltan sugározzák, és a közelben bárki elfoghatja vagy „veheti” őket. Ha a vezeték nélküli hálózatot jelszó védi - függetlenül attól, hogy WPA2 vagy WPA3 - a jeleket titkosítja, így a jeleket elfogó harmadik fél nem fogja megérteni az adatokat.

A támadó azonban rögzítheti az összes elfogott adatot. És ha képesek lesznek kitalálni a jelszót a jövőben (ami a szótár támadása révén lehetséges a WPA2-hez, amint azt fentebb láttuk), használhatják a kulcsot a hálózaton a múltban rögzített adatforgalom visszafejtéséhez..

A WPA3 továbbít titkot. A protokollt úgy tervezték meg, hogy még a hálózati jelszóval sem lehetséges, hogy a lehallgató szimatoljon a hozzáférési pont és egy másik kliens eszköz közötti forgalomról..

Oportunista vezeték nélküli titkosítás (OWE)

Ebben a tanulmányban (RFC 8110) leírtak szerint az Opportunist Wireless Encryption (OWE) egy új szolgáltatás a WPA3-ban, amely felváltja a hotspotokban és a nyilvános hálózatokban széles körben alkalmazott 802.11 „nyitott” hitelesítést..

Ez a YouTube-videó műszaki áttekintést nyújt az OWE-ről. A legfontosabb ötlet egy Diffie-Hellman kulcscsere-mechanizmus használata az eszköz és a hozzáférési pont (útválasztó) közötti kommunikáció titkosításához. A kommunikáció dekódoló kulcsa különbözik az egyes hozzáférési ponttal csatlakozó ügyfeleknél. Tehát a hálózat többi eszköze sem tudja visszafejteni ezt a kommunikációt, még ha be is hallgatják (ezt szimatolásnak hívják). Ezt az előnyt hívják Egyéni adatvédelem-az adatforgalom az ügyfél és a hozzáférési pont között "individualizált"; tehát míg más ügyfelek szippanthatják és rögzíthetik ezt a forgalmat, nem tudják visszafejteni.

Az OWE nagy előnye, hogy nem csak azokat a hálózatokat védi, amelyek csatlakozáshoz jelszó szükséges; ezenkívül védi a nyílt "nem biztonságos" hálózatokat is, amelyeknek nincs jelszókövetelményeik, pl. vezeték nélküli hálózatok a könyvtárakban. Az OWE titkosítást nyújt ezeknek a hálózatoknak hitelesítés nélkül. Nincs szükség létesítésre, tárgyalásokra és hitelesítő adatokra - csak anélkül működik, hogy a felhasználónak bármit is meg kell tennie, vagy akár tudnia kell, hogy a böngészése most biztonságosabb.

Figyelem: az OWE nem védi a "gazember" hozzáférési pontoktól (AP), mint például a mézeskanál AP-től vagy a gonosz ikrektől, amelyek megpróbálják becsapni a felhasználót a velük való kapcsolatba lépésbe és az információk ellopására..

Egy másik figyelmeztetés az, hogy a WPA3 támogatja, de nem engedélyezi a nem hitelesített titkosítást. Lehetséges, hogy a gyártó megkapja a WPA3 címkét hitelesítetlen titkosítás végrehajtása nélkül. A szolgáltatás neve Wi-Fi CERTIFIED Enhanced Open, tehát a vásárlóknak ezt a címkét kell keresniük a WPA3 címkén kívül, hogy megbizonyosodjanak arról, hogy az általuk vásárolt eszköz támogatja-e a hitelesítetlen titkosítást..

Készülékellátási protokoll (DPP)

A Wi-Fi eszköz-biztosítási protokoll (DPP) felváltja a kevésbé biztonságos Wi-Fi védett beállítást (WPS). Számos otthoni automatizálásban vagy a tárgyak internetében (IoT) nincs interfész a jelszó megadásához, és okostelefonokra kell támaszkodniuk a Wi-Fi beállításuk közben.

Itt ismét az a figyelmeztetés, hogy a Wi-Fi Alliance nem kötelezte ezt a funkciót a WPA3 tanúsítás megszerzésére. Tehát technikailag nem része a WPA3-nak. Ehelyett ez a szolgáltatás most része a Wi-Fi CERTIFIED Easy Connect programnak. Tehát keresse meg ezt a címkét, mielőtt WPA3-tanúsítással rendelkező hardvert vásárol.

A DPP lehetővé teszi az eszközök hitelesítését a Wi-Fi hálózathoz jelszó nélkül, akár QR-kód, akár NFC (közeli kommunikáció, ugyanaz a technológia, amely vezeték nélküli tranzakciókat hajt végre az Apple Pay vagy Android Pay) címkékkel.

A Wi-Fi Protected Setup (WPS) használatával a jelszót a telefonról továbbítja az IoT eszközhöz, amely a jelszóval hitelesíti a Wi-Fi hálózatot. De az új eszközszolgáltató protokoll (DPP) révén az eszközök kölcsönös hitelesítést végeznek jelszó nélkül.

Hosszabb titkosítási kulcsok

A legtöbb WPA2 megvalósítás 128 bites AES titkosítási kulcsokat használ. Az IEEE 802.11i szabvány 256 bites titkosítási kulcsokat is támogat. A WPA3-ban a hosszabb kulcsméretek - amelyek megegyeznek a 192 bites biztonsággal - csak a WPA3-Enterprise számára kötelezőek.

A WPA3-Enterprise a vállalati hitelesítésre utal, amely egy felhasználónevet és jelszót használ a vezeték nélküli hálózathoz való csatlakozáshoz, nem pedig csak egy otthoni hálózatokra jellemző jelszót (más néven előre megosztott kulcsot)..

A fogyasztói alkalmazások esetében a WPA3 tanúsítási szabványa hosszabb kulcsméreteket tette lehetővé. Egyes gyártók hosszabb kulcsméreteket fognak használni, mivel ezeket a protokoll már támogatja, ám a fogyasztóknak az a felelősségük, hogy válasszanak egy útválasztót / hozzáférési pontot, amely.

Biztonság

Mint fentebb leírtuk, az évek során a WPA2 sebezhetővé vált a támadások különféle formáival szemben, ideértve a hírhedt KRACK technikát, amelyhez javítások is rendelkezésre állnak, de nem minden útválasztóhoz, és a felhasználók nem használják széles körben, mert firmware frissítést igényel.

2018 augusztusában felfedezték a WPA2 újabb támadási vektorát.[1] Ez megkönnyíti a WPA2 kézfogást szippantó támadó számára az előre megosztott kulcs (jelszó) kivonatának megszerzését. A támadó ezután brutális erő technikával összehasonlíthatja ezt a kivonatot a leggyakrabban használt jelszavak listájának kivonataival, vagy a találgatások listájával, amely megpróbálja megváltoztatni a hosszúságú betűk és számok minden lehetséges variációját. A felhőalapú számítástechnikai erőforrások felhasználásával triviaális minden 16 karakternél rövidebb jelszó kitalálása.

Röviden: a WPA2 biztonsága ugyanolyan jó, mint a törött, de csak a WPA2-Personal számára. A WPA2-Enterprise sokkal ellenállóbb. Amíg a WPA3 széles körben nem elérhető, használjon erős jelszót a WPA2 hálózatához.

Támogatás a WPA3-hoz

A 2018-os bevezetése után várhatóan 12–18 hónap telik el a támogatás általános érvényesüléséhez. Még ha van egy vezeték nélküli útválasztója, amely támogatja a WPA3-t, a régi telefon vagy táblagép nem kapja meg a WPA3-hoz szükséges szoftverfrissítéseket. Ebben az esetben a hozzáférési pont visszatér a WPA2-hez, így továbbra is csatlakozhat az útválasztóhoz, de a WPA3 előnyei nélkül..

2-3 év múlva a WPA3 mainstream lesz, és ha router hardvert vásárol, tanácsos a vásárlások jövőbiztossága.

ajánlások

  1. Ha lehetséges, válassza a WPA3-ot a WPA2-nél.
  2. A WPA3-tanúsítással rendelkező hardver vásárlásakor keresse meg a Wi-Fi Enhanced Open és a Wi-Fi Easy Connect tanúsításokat is. Mint fentebb leírtuk, ezek a szolgáltatások növelik a hálózat biztonságát.
  3. Válasszon egy hosszú, összetett jelszót (előre megosztott kulcs):
    1. számok, kis- és nagybetűk, szóközök, sőt "speciális" karakterek használata a jelszóban.
    2. Csináld átkifejezés egyetlen szó helyett.
    3. Legyen hosszú, legalább 20 karakter hosszú.
  4. Ha új vezeték nélküli útválasztót vagy hozzáférési pontot vásárol, válasszon egyet, amely támogatja a WPA3-at, vagy azt tervezi, hogy egy szoftverfrissítést jelenít meg, amely a jövőben támogatni fogja a WPA3-at. A vezeték nélküli útválasztó forgalmazói időszakonként kiadják a firmware frissítéseket. Attól függően, hogy mennyire jó az eladó, gyakrabban bocsátanak ki frissítéseket. például. a KRACK sebezhetőség után a TP-LINK volt az első szállító, aki kiadott javításokat útválasztóik számára. Kiadtak javításokat is idősebb útválasztók számára. Tehát, ha azt szeretné megvizsgálni, hogy melyik útválasztót vásárolja meg, nézd meg a gyártó által kiadott firmware verziók történetét. Válasszon egy olyan társaságot, amely szorgalmazza a frissítéseket.
  5. Használjon VPN-t nyilvános Wi-Fi hotspot, például kávézó vagy könyvtár használatakor, függetlenül attól, hogy a vezeték nélküli hálózat jelszóval védett (vagyis biztonságos) vagy sem..

Irodalom

  • KRACK támadások a WPA2 ellen
  • Dragonfly Key Exchange - IEEE fehér papír
  • Wi-Fi Alliance sajtóközlemény a WPA3 szolgáltatásokról és a WPA2 fejlesztéseiről
  • WPA3 biztonsági fejlesztések - Youtube
  • Oportunista vezeték nélküli titkosítás: RFC 1180
  • WPA3 - elmulasztott lehetőség
  • WPA3 műszaki részletek
  • A WPA-2 vége kezdete: A WPA-2 feltörése csak sokkal könnyebb lett
Technológia
×