WPA2 vs WPA3

Dikeluarkan pada tahun 2018, WPA3 adalah versi terkini Protokol Akses Wi-Fi yang dikemas kini dan lebih selamat untuk menjamin rangkaian wayarles. Seperti yang kita nyatakan dalam WPA2WPA3Berdiri untuk Akses Pelindung Wi-Fi 2 Akses Terlindung Wi-Fi 3 Apa itu? Protokol keselamatan yang dibangunkan oleh Wi-Fi Alliance pada tahun 2004 untuk kegunaan dalam menjamin rangkaian wayarles; direka untuk menggantikan protokol WEP dan WPA. Dikeluarkan pada 2018, WPA3 adalah generasi seterusnya WPA dan mempunyai ciri keselamatan yang lebih baik. Ia melindungi daripada kata laluan lemah yang boleh retak dengan mudah melalui meneka. Kaedah Tidak seperti WEP dan WPA, WPA2 menggunakan standard AES dan bukan cipher aliran RC4. CCMP menggantikan TKIP WPA. Penyulitan 128-bit dalam mod WPA3-Peribadi (192-bit dalam WPA3-Enterprise) dan kerahsiaan ke hadapan. WPA3 juga menggantikan pertukaran Kunci Pra-Dikongsi (PSK) dengan Pengesahan Serentak Bersamaan, cara yang lebih selamat untuk melakukan pertukaran utama permulaan. Selamat dan disyorkan? WPA2 disyorkan melalui WEP dan WPA, dan lebih selamat apabila Wi-Fi Protected Setup (WPS) dinyahdayakan. Ia tidak disyorkan ke atas WPA3. Ya, WPA3 lebih aman daripada WPA2 dengan cara yang dibahas dalam esei di bawah. Bingkai Pengurusan yang Dilindungi (PMF) WPA2 mandat sokongan PMF sejak awal tahun 2018. Router lama dengan firmware yang belum dipaten tidak boleh menyokong PMF. Mandat WPA3 menggunakan Bingkai Pengurusan Dilindungi (PMF)

Kandungan: WPA2 vs WPA3

  • 1 Handshake Baru: Pengesahan serentak serentak (SAE)
    • 1.1 Tahan terhadap Decryption Offline
    • 1.2 Rahsia Maju
  • 2 Penyulitan Tanpa Opportunistik (OWE)
  • 3 Protokol Peruntukan Peranti (DPP)
  • 4 Kunci Penyulitan Semula
  • 5 Keselamatan
  • 6 Sokongan untuk WPA3
  • 7 Cadangan
  • 8 Rujukan

New Handshake: Pengesahan serentak serentak (SAE)

Apabila peranti cuba log masuk ke rangkaian Wi-Fi yang dilindungi kata laluan, langkah-langkah membekalkan dan mengesahkan kata laluan akan diambil melalui jabat tangan 4 arah. Di WPA2, bahagian protokol ini terdedah kepada serangan KRACK:

Dalam serangan semula pemasangan semula [KRACK], musuh menipu seorang mangsa untuk memasang semula kunci yang sedang digunakan. Ini dicapai dengan memanipulasi dan memainkan semula mesej jahitan kriptografi. Apabila mangsa mengembalikan semula kunci, parameter yang berkaitan seperti nombor paket penghantaran tambahan (iaitu bukan) dan menerima nombor paket (iaitu berulang kaunter) diset semula ke nilai awal mereka. Pada asasnya, untuk menjamin keselamatan, kunci hanya perlu dipasang dan digunakan sekali sahaja.

Walaupun dengan kemas kini kepada WPA2 untuk mengatasi kerentanan KRACK, WPA2-PSK masih boleh retak. Terdapat juga panduan bagaimana untuk mengesan kata laluan WPA2-PSK.

WPA3 membetulkan kelemahan ini dan mengatasi masalah lain dengan menggunakan mekanisme jabat tangan yang berbeza untuk mengesahkan rangkaian Wi-Fi-Pengesahan serentak Bersamaan, juga dikenali sebagai Dragonfly Key Exchange.

Butiran teknikal tentang bagaimana WPA3 menggunakan pertukaran kunci Dragonfly-yang sendiri adalah variasi SPEKE (Kata Kunci Mudah Pasaran Eksponen Sederhana) - yang diterangkan dalam video ini.

Kelebihan pertukaran utama Dragonfly adalah kerahsiaan dan rintangan ke hadapan untuk penyahsemaan luar talian.

Tahan ke Decryption Offline

Kerentanan protokol WPA2 adalah bahawa penyerang tidak perlu terus berhubung dengan rangkaian untuk meneka kata laluan. Penyerang boleh menghidu dan menangkap jabat tangan 4 arah sambungan awal berasaskan WPA2 apabila berada berdekatan dengan rangkaian. Trafik yang ditangkap kemudian boleh digunakan di luar talian dalam serangan berasaskan kamus untuk meneka kata laluan. Ini bermakna jika kata laluan lemah, ia mudah rosak. Sebenarnya, kata laluan alfanumerik sehingga 16 aksara boleh retak cukup cepat untuk rangkaian WPA2.

WPA3 menggunakan sistem Exchange Keyfly sehingga ia tahan terhadap serangan kamus. Ini ditakrifkan sebagai berikut:

Rintangan terhadap serangan kamus bermakna bahawa apa-apa kelebihan yang dapat diperoleh oleh musuh mesti berkaitan langsung dengan jumlah interaksi yang dibuatnya dengan peserta protokol yang jujur ​​dan bukan melalui pengiraan. Lawan tidak akan dapat memperoleh apa-apa maklumat tentang kata laluan kecuali sama ada satu tekaan tunggal dari protokol dijalankan adalah betul atau salah.

Ciri WPA3 ini melindungi rangkaian di mana kata laluan rangkaian-i.e., Kunci pra-kongsi (PSDK) - lebih lemah daripada kerumitan yang disyorkan.

Majukan Kerahsiaan

Rangkaian wayarles menggunakan isyarat radio untuk menghantar maklumat (paket data) antara peranti klien (mis. Telefon atau komputer riba) dan titik akses wayarles (penghala). Isyarat radio ini disiarkan secara terbuka dan boleh dipintas atau "diterima" oleh sesiapa sahaja di sekitar. Apabila rangkaian tanpa wayar dilindungi melalui kata laluan-sama ada WPA2 atau WPA3-isyarat disulitkan supaya pihak ketiga memintas isyarat tidak akan dapat memahami data.

Walau bagaimanapun, penyerang boleh merakam semua data ini yang mereka sokong. Dan jika mereka dapat meneka kata laluan pada masa akan datang (yang mungkin melalui serangan kamus pada WPA2, seperti yang kita lihat di atas), mereka boleh menggunakan kunci untuk menyahsulit lalu lintas data yang dicatatkan pada masa lalu di rangkaian itu.

WPA3 menyediakan rahsia ke hadapan. Protokol ini direka dengan cara yang walaupun dengan kata laluan rangkaian, adalah mustahil untuk mengintai untuk mengintip lalu lintas di antara titik akses dan peranti klien yang berbeza.

Penyulitan Tanpa Had Opportunistik (OWE)

Digambarkan dalam whitepaper ini (RFC 8110), Opportunistik Wireless Encryption (OWE) adalah ciri baru dalam WPA3 yang menggantikan pengesahan 802.11 "terbuka" yang banyak digunakan di hotspot dan rangkaian awam.

Video YouTube ini memberikan gambaran teknikal OWE. Idea utama adalah menggunakan mekanisme pertukaran kunci Diffie-Hellman untuk menyulitkan semua komunikasi antara peranti dan titik akses (penghala). Kunci penyahsulitan untuk komunikasi adalah berbeza untuk setiap pelanggan yang menyambung ke titik akses. Oleh itu, tiada peranti lain di rangkaian boleh menyahsulit komunikasi ini, walaupun mereka mendengar di atasnya (yang dipanggil menghidu). Manfaat ini dipanggil Perlindungan Data Individu-trafik data antara pelanggan dan titik akses adalah "individu"; jadi sementara pelanggan lain dapat menghidu dan merakam lalu lintas ini, mereka tidak boleh menyahsulitnya.

Keuntungan besar OWE ialah ia melindungi bukan hanya rangkaian yang memerlukan kata laluan untuk disambungkan; ia juga melindungi rangkaian "tidak selamat" terbuka yang tidak mempunyai keperluan kata laluan, cth. rangkaian tanpa wayar di perpustakaan. OWE menyediakan rangkaian ini dengan penyulitan tanpa pengesahan. Tiada peruntukan, tiada rundingan, dan tiada kelayakan diperlukan - ia hanya berfungsi tanpa pengguna perlu melakukan apa-apa atau bahkan mengetahui bahawa penyemakannya kini lebih selamat.

Kaveat: OWE tidak melindungi terhadap titik akses "nakal" (AP) seperti AP honeypot atau kembar jahat yang cuba menipu pengguna untuk menyambung dengan mereka dan mencuri maklumat.

Satu lagi kaveat adalah bahawa WPA3 menyokong-tetapi tidak mandat-penyulitan tidak sah. Adalah mungkin bahawa pengeluar mendapat label WPA3 tanpa melaksanakan penyulitan yang tidak disahkan. Ciri kini dipanggil Wi-Fi CERTIFIED Enhanced Open jadi pembeli harus mencari label ini sebagai tambahan kepada label WPA3 untuk memastikan peranti yang mereka beli menyokong enkripsi yang tidak diautifikasi.

Protokol Peruntukan Peranti (DPP)

Protokol Peruntukan Peranti Wi-Fi (DPP) menggantikan Wi-Fi Protected Setup (WPS) yang kurang selamat. Banyak peranti dalam automasi rumah-atau Internet Perkara (IoT) -dengan tidak mempunyai antara muka untuk masuk kata laluan dan perlu bergantung pada telefon pintar untuk menengahkan persediaan Wi-Fi mereka.

Peringatan di sini sekali lagi adalah bahawa Perikatan Wi-Fi tidak dimandatkan ciri ini digunakan untuk mendapatkan persijilan WPA3. Oleh itu, tidak secara teknikal sebahagian daripada WPA3. Sebaliknya, ciri ini kini merupakan sebahagian daripada program Sokongan Wi-Fi CERTIFIED Easy Connect mereka. Jadi cari label itu sebelum membeli perkakasan yang disahkan WPA3.

DPP membenarkan peranti disahkan ke rangkaian Wi-Fi tanpa kata laluan, menggunakan sama ada kod QR atau NFC (komunikasi Near-field, teknologi yang sama yang mengurus urus niaga tanpa wayar pada Apple Pay atau Android Pay) tag.

Dengan Wi-Fi Protected Setup (WPS), kata laluan disampaikan dari telefon anda ke peranti IoT, yang kemudiannya menggunakan kata laluan untuk mengesahkan ke rangkaian Wi-Fi. Tetapi dengan Peranti Provisioning Protokol (DPP) yang baru, peranti melakukan pengesahan bersama tanpa kata laluan.

Kunci Penyulitan Semula

Kebanyakan pelaksanaan WPA2 menggunakan kunci enkripsi 128-bit AES. Piawaian IEEE 802.11i juga menyokong kunci penyulitan 256-bit. Dalam WPA3, saiz kunci yang lebih lama-sama dengan keselamatan 192-bit-adalah mandat hanya untuk WPA3-Enterprise.

WPA3-Enterprise merujuk kepada pengesahan perusahaan, yang menggunakan nama pengguna dan kata laluan untuk menyambung ke rangkaian tanpa wayar, bukan sekadar kata laluan (aka pra-kongsi) yang tipikal untuk rangkaian rumah.

Bagi aplikasi pengguna, piawaian pensijilan untuk WPA3 telah membuat saiz kunci yang lebih lama pilihan. Sesetengah pengilang akan menggunakan saiz kunci yang lebih lama kerana mereka kini disokong oleh protokol, tetapi tanggungjawab akan menjadi pengguna untuk memilih titik penghala / akses yang.

Keselamatan

Seperti yang diterangkan di atas, selama bertahun-tahun WPA2 telah menjadi terdedah kepada pelbagai bentuk serangan, termasuk teknik KRACK terkenal yang mana patch tersedia tetapi tidak untuk semua router dan tidak digunakan secara meluas oleh pengguna kerana ia memerlukan peningkatan versi firmware.

Pada bulan Ogos 2018, satu lagi serangan vektor untuk WPA2 telah ditemui.[1] Ini memudahkan para penyerang yang mengendus jag tangan WPA2 untuk mendapatkan hash kunci yang telah dikongsi (kata laluan). Penyerang kemudian boleh menggunakan teknik kekerasan untuk membandingkan hash ini terhadap hash senarai kata laluan yang biasa digunakan, atau senarai teka-teki yang mencuba setiap kemungkinan variasi huruf dan nombor yang bervariasi panjang. Menggunakan sumber pengkomputeran awan, ia tidak mudah untuk meneka sebarang kata laluan yang kurang daripada 16 aksara panjang.

Pendek kata, keselamatan WPA2 sebaiknya dipecahkan, tetapi hanya untuk WPA2-Peribadi. WPA2-Enterprise adalah lebih tahan. Sehingga WPA3 tersedia secara meluas, gunakan kata laluan yang kuat untuk rangkaian WPA2 anda.

Sokongan untuk WPA3

Selepas diperkenalkan pada tahun 2018, ia dijangka mengambil masa 12-18 bulan untuk mendapat sokongan arus perdana. Walaupun anda mempunyai penghala wayarles yang menyokong WPA3, telefon lama atau tablet anda mungkin tidak menerima peningkatan perisian yang diperlukan untuk WPA3. Dalam hal ini, titik akses akan kembali ke WPA2 sehingga anda masih dapat menyambung ke router-tetapi tanpa kelebihan WPA3.

Dalam 2-3 tahun, WPA3 akan menjadi arus perdana dan jika anda membeli perkakasan router sekarang adalah dinasihatkan untuk masa depan bukti pembelian anda.

Cadangan

  1. Jika boleh, pilih WPA3 melalui WPA2.
  2. Apabila membeli perkakasan yang disahkan WPA3, lihat juga untuk pensijilan Sambungkan Wi-Fi Terbuka dan Wi-Fi Mudah Sambung. Seperti yang dijelaskan di atas, ciri-ciri ini meningkatkan keselamatan rangkaian.
  3. Pilih kata laluan yang panjang dan kompleks (kunci pra-kongsi):
    1. gunakan nombor, huruf besar dan huruf kecil, ruang dan juga aksara "istimewa" dalam kata laluan anda.
    2. Jadikan ia lulusfrasa bukannya satu perkataan.
    3. Jadikannya panjang-20 aksara atau lebih.
  4. Jika anda membeli penghala wayarles atau titik akses baru, pilih salah satu yang menyokong WPA3 atau merancang untuk melancarkan kemas kini perisian yang akan menyokong WPA3 pada masa akan datang. Penjual tanpa wayar secara berkala melepaskan peningkatan perisian tegar untuk produk mereka. Bergantung kepada kebaikan vendor, mereka melepaskan peningkatan secara lebih kerap. contohnya. selepas kerentanan KRACK, TP-LINK adalah antara vendor pertama untuk mengeluarkan patch untuk router mereka. Mereka juga mengeluarkan patch untuk router yang lebih tua. Jadi, jika anda sedang meneliti penghala mana yang hendak dibeli, lihat sejarah versi firmware yang dikeluarkan oleh pengeluar itu. Pilih syarikat yang rajin menaik taraf mereka.
  5. Gunakan VPN apabila menggunakan hotspot Wi-Fi awam seperti kafe atau perpustakaan, tanpa mengira sama ada rangkaian wayarles dilindungi kata laluan (iaitu, selamat) atau tidak.

Rujukan

  • Serangan KRACK pada WPA2
  • Dragonfly Key Exchange - kertas putih IEEE
  • Siaran Akhbar Wi-Fi Alliance untuk ciri WPA3 dan penambahbaikan WPA2
  • Tambahan Keselamatan WPA3 - Youtube
  • Penyulitan Tanpa Opportunistik: RFC 1180
  • WPA3 - Peluang Terlepas
  • Butiran Teknikal WPA3
  • Permulaan Akhir WPA-2: Cracking WPA-2 Baru Mendapatkan Lot Penuh Lebih Mudah