Опубликована технология защиты беспроводных сетей WPA3
Объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, опубликовало спецификацию WPA3 (Wi-Fi Protected Access), при разработке которой предпринята попытка устранения концептуальных недоработок, выявленных авторами атаки KRACK против WPA2. WPA3 продолжает основываться на базовых технологиях WPA2, дополняя их современными средствами обеспечения безопасности, такими как надёжные методы шифрования, обязательное использование PMF (Protected Management Frames) для контроля за целостностью трафика и исключение из спецификаций небезопасных протоколов.
Поддержка WPA2 пока остаётся обязательной для сертифицированных WiFi-устройств, но со временем после появление повсеместной поддержки WPA3, для всех WiFi-устройств в разряд обязательных будут переведены новые требования к безопасности. Для обеспечения совместимости, устройства WPA2 смогут подключаться к точкам доступа WPA3 при помощи специального переходного режима работы.
Предусмотрено два режима работы WPA3: WPA3-Personal и WPA3-Enterprise:
- В WPA3-Personal обеспечена надёжная защита даже при установке пользователем ненадёжного пароля доступа, легко подбираемого в результате словарных атак. Для защиты от атак по подбору пароля (brute-force) введено ограничение на число попыток аутентификации в рамках одного handshake (ограничение не позволит подбирать пароль в offline-режиме). Вместо PSK (Pre-Shared Key) ключа в WPA3 реализована технология SAE (Simultaneous Authentication of Equals), уже применяемой в mesh-сетях и описанной в стандарте IEEE 802.11s. SAE базируется на протоколе обмена ключами Диффи — Хеллмана с использованием конечных цикличных групп. Результирующий сессионный ключ, который получает каждая сторона соединения для аутентификации сеанса, вырабатывается на основе информации из пароля, ключей каждой системы и MAC-адресов обеих сторон. Компрометация закрытого ключа одной из сторон не приводит к компрометации сессионного ключа, т.е. даже узнав пароль атакующий не сможет расшифровать ранее перехваченный трафик.
- В WPA3-Enterprise применяется шифрование на основе как минимум 192-разрядных ключей, соответствующих требованиям CNSA (Commercial National Security Algorithm), выработанным комитетом NSS для защиты правительственных, военных и промышленных сетей. В частности, для аутентифицированного шифрования рекомендовано применение 256-разрядных ключей GCMP-256 (Galois/Counter Mode Protocol), для передачи и подтверждения ключей используется HMAC с хэшами SHA-384 (HMAC-SHA384), для согласования ключей и аутентификации используются ECDH (Elliptic Curve Diffie-Hellman) и ECDSA (Elliptic Curve Digital Signature Algorithm) с 384-разрядными эллиптическими кривыми, для защиты целостности кадров применяется протокол BIP-GMAC-256 (Broadcast/Multicast Integrity Protocol Galois Message Authentication Code).
Дополнительно предложена программа «Wi-Fi Easy Connect» с реализацией возможности упрощённой настройки устройств без экранного интерфейса. Настройка осуществляется с использованием другого более продвинутого устройства, уже подключенного к беспроводной сети. Например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе. Wi-Fi Easy Connect основывается на применении аутентификации по открытым ключам (в QR-коде передаётся открытый ключ) и может использоваться в сетях с WPA2 и WPA3. Особенностью Wi-Fi Easy Connect также является возможность замены точки доступа без необходимости переконфигурирования клиентских устройств.
Для создания общедоступных публичных беспроводных сетей представлена программа Wi-Fi CERTIFIED Enhanced Open, подразумевающая шифрвоание всех потоков данных между клиентом и точкой доступа, что позволит защитить приватность пользователя в общедоступных открытых сетях не требующих аутентификации. Для генерации ключей шифрования в открытых сетях применяется четырёхэтапный процесс согласования соединения, реализуемый расширением Opportunistic Wireless Encryption.
Авторы атаки KRACK на WPA2 выступили с критикой WPA3. Основные претензии к новой спецификации сводятся к тому, что очень многое поставлено в угоду обеспечения совместимости с WPA2 и обязательной является лишь секция «A More Secure Handshake», определяющая применение более надёжного метода согласования соединения «dragonfly». Требования по увеличению размера сессионных ключей применимы только при использовании WPA3-Enterprise.
© OpenNet