Анонс WPA3: Wi-Fi Alliance представил обновление безопасности
IT_HubГруппа Wi-Fi Alliance, в которую входят Apple, Microsoft и Qualcomm, представила новый протокол безопасности для беспроводных сетей — WPA3. Подробности его реализации появятся позднее (в этом году), однако уже есть информация о нескольких функциях. Например, в WPA3 появится защита от атак полным перебором (brute-force) и возможность «персонализированного шифрования данных». Подробнее об этих и нескольких других особенностях мы расскажем под катом.
Почему потребовался апгрейд
Обновление в каком-то смысле стало ответом на баг в протоколе WPA2, используемом в миллиардах устройств по всему миру. Критическая уязвимость получила название KRACK, а обнаружил её бельгийский исследователь Мэтти Ванхоеф (Mathy Vanhoef) осенью прошлого года.
KRACK — это атака повторного воспроизведения на беспроводную сеть, которая позволяет злоумышленникам провести MITM-атаку и «прослушивать» канал между клиентом и Wi-Fi-точкой.
При установлении соединения по WPA2 выполняется четырехэтапное рукопожатие, во время которого генерируется криптографический ключ для шифрования трафика. Хакер, путем манипулирования сообщениями рукопожатий, принуждаетжертву переопределить уже «утвержденный» ключ. Далее, номера переданного и принятого пакета устанавливаются в начальные значения. После чего злоумышленник может расшифровывать информацию и даже внедрять свой код в TCP.
Новые функции WPA3
Чтобы исключить эту уязвимость и усилить защищенность Wi-Fi-сетей в целом, Альянс внедряет несколько обновлений безопасности, которые станут частью WPA3.
Первая функция — это брутфорс-защита. Новые правила ограничивают количество попыток ввода пароля, что повышает защиту от словарных атак (подобрать пароль офлайн также не получится).
Еще появится возможность настраивать Wi-Fi-совместимые устройства с помощью сторонних гаджетов. Например, можно будет сконфигурировать WPA3 на устройстве интернета вещей со смартфона или планшета.
В WPA3 также будет внедрена поддержка «персонализированного шифрования данных». Мэтти Ванхоеф в Твиттерепредположил, что речь идет о реализацииOpportunistic Wireless Encryption (OWE). Это улучшение, предложенное для стандарта 802.11. OWE использует для получения общего секретного ключа криптографическийпротокол Диффи — Хеллмана, который заменяет уязвимый метод PSK.
Ванхоеф также предположил, что улучшенная защита паролей будет реализована с помощью механизмов SAE или Dragonfly, используемого в mesh-сетях.
Наконец, представители W-Fi Alliance представили 192-разрядный пакет безопасности, реализованный согласно требованиям Commercial National Security Algorithm (CNSA) Suite. Их разработалКомитет по национальным системам безопасности (CNSS) для защиты государственных и индустриальных беспроводных сетей.
Когда ждать стандарт
И хотя подробная спецификация протокола будет опубликована уже в этом году, пройдетнекоторое время, прежде чем появится возможность купить сертифицированное оборудование с поддержкой WPA3.
Из-за массовости WPA2, внедрение WPA3пройдет поэтапно, поэтому старый протокол пока останется востребован. Для тех, кто продолжит использовать WPA2, Альянс составит список советов для повышения защищенности сетей.
Как говорит Мэтти Ванхеф (Mathy Vanhoef), внедряемые в WPA3 стандарты существуют уже продолжительное время, но не всегда используются в реальных системах. Мэтти надеется, что желание производителей получить спецификацию WPA3 (хотя бы из коммерческих соображений) изменит ситуацию и окажет положительное влияние на защищенность экосистемы беспроводных сетей.