Выпуск hostapd и wpa_supplicant 2.7
После двух лет разработки подготовлен выпуск hostapd/wpa_supplicant 2.7, набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2 и EAP, состоящего из приложения wpa_supplicant для подключения к беспроводной сети в роли клиента и фонового процесса hostapd для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD.
Основные новшества:
- Добавлена поддержка метода быстрой настройки соединения FILS (Fast Initial Link Setup, стандартизирован как IEEE 802.11ai), позволяющего избавиться от задержек при роуминге во время миграции от одной точки доступа к другой;
- Добавлена поддержка метода согласования соединения OWE (Opportunistic Wireless Encryption, RFC 8110) для генерации ключей шифрования в открытых сетях. Расширение OWE задействовано в стандарте WPA3 для шифрования всех потоков данных между клиентом и точкой доступа в общедоступных публичных беспроводных сетей, не требующих аутентификации;
- Добавлена поддержка протокола DPP (Wi-Fi Device Provisioning Protocol), определяющего метод аутентификации по открытым ключам, задействованный в стандарте WPA3 для организации упрощённой настройки устройств без экранного интерфейса. Настройка осуществляется с использованием другого более продвинутого устройства, уже подключенного к беспроводной сети. Например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе;
- Устранена группа уязвимостей, связанных с атакой KRACK (Key Reinstallation Attacks), позволяющей вклиниться в беспроводное соединение на базе технологии WPA2 и организовать перехват или подстановку трафика без подключения к беспроводной сети и без определения пароля доступа;
- Удалён код, связанный с поддержкой механизма PeerKey (скомпрометирован и подвержен атаке KRACK);
- Добавлена возможность использования криптографической библиотеки wolfSSL и обеспечена совместимость с выпуском OpenSSL 1.1.1;
- В EAP-pwd добавлена возможность использования соли при хэшировании паролей;
- Улучшения, специфичные для hostapd:
- Переработана реализация технологии быстрого роуминга FT (Fast Transition, IEEE 802.11r), позволяющая переключаться между точками доступа по мере перемещения. Добавлена поддержка IEEE VLAN, SHA384, локальной генерации PMK-R0/PMK-R1 для FT-PSK, масок R0KH/R1KH и возможнлсть задания времени жизни в кэше PMK-R0 и PMK-R1;
- Улучшен реализация протокола аутентификации и создания ключей SAE (Simultaneous Authentication of Equals), предоставляющего более защищённый метод аутентификации на основе паролей. Добавлена возможность настройки отдельного пароля для SAE, не пересекающегося с паролем WPA2. Добавлена настройка «sae_require_pmf» для обязательного применения MFP для SAE. Добавлена поддержка PI (Password Identifier);
- В интерфейс командной строки (hostapd_cli) добавлена возможность просмотра истории введённых команд и автодополнения ввода;
- Добавлены опции для ограничения интенсивности обновления ключей EAPOL (wpa_group_update_count и wpa_pairwise_update_count);
- В реализацию стандарта Hotspot 2.0 добавлена возможность настройки ссылки на провайдера (venue_url), определения документа с условиями использования, подключения в режиме роуминга и установки OSEN-соединений;
- Улучшения, специфичные для wpa_supplicant:
- Добавлена поддержка 3072-битных ключей RSA с 192-битной криптографией NSA Suite B;
- В реализации стандарта IEEE 802.1AE (MACsec) предложен новый драйвер macsec_linux, предоставляющий интерфейс к модулю ядра Linux macsec;
- Добавлена возможность использования для кэша PMKSA постоянных внешних хранилищ;
- Добавлена поддержка рандомизации локального MAC-адреса для запросов GAS (параметр gas_rand_mac_addr);
- Добавлена опция auto_uuid для использования случайного WPS UUID;
- Добавлена поддержка использования хэша SHA256 при сравнении сертификатов OCSP;
- Добавлен параметр group_mgm для настройки наборов шифров, разрешённых для управления группами;
- Для режима AP (точка доступа) добавлена настройка ap_isolate;
- В netlink-интерфейсе nl80211 добавлена поддержка выноса обработки операций 4-стороннего согласования соединения на плечи драйвера;
- В реализации FT (Fast Transition) добавлена поддержка SHA384 и шифров BIP-CMAC-256, BIP-GMAC-128 и BIP-GMAC-256 в дополнение к BIP-CMAC-128.
© OpenNet