Анонс WPA3: Wi-Fi Alliance представил обновление безопасности

    Группа Wi-Fi Alliance, в которую входят Apple, Microsoft и Qualcomm, представила новый протокол безопасности для беспроводных сетей — WPA3. Подробности его реализации появятся позднее (в этом году), однако уже есть информация о нескольких функциях. Например, в WPA3 появится защита от атак полным перебором (brute-force) и возможность «персонализированного шифрования данных». Подробнее об этих и нескольких других особенностях мы расскажем под катом.


    / Flickr / Metropolitan Transportation Authority / CC

    Почему потребовался апгрейд


    Обновление в каком-то смысле стало ответом на баг в протоколе WPA2, используемом в миллиардах устройств по всему миру. Критическая уязвимость получила название KRACK, а обнаружил её бельгийский исследователь Мэтти Ванхоеф (Mathy Vanhoef) осенью прошлого года.

    KRACK — это атака повторного воспроизведения на беспроводную сеть, которая позволяет злоумышленникам провести MITM-атаку и «прослушивать» канал между клиентом и Wi-Fi-точкой.

    При установлении соединения по WPA2 выполняется четырехэтапное рукопожатие, во время которого генерируется криптографический ключ для шифрования трафика. Хакер, путем манипулирования сообщениями рукопожатий, принуждает жертву переопределить уже «утвержденный» ключ. Далее, номера переданного и принятого пакета устанавливаются в начальные значения. После чего злоумышленник может расшифровывать информацию и даже внедрять свой код в TCP.

    Новые функции WPA3


    Чтобы исключить эту уязвимость и усилить защищенность Wi-Fi-сетей в целом, Альянс внедряет несколько обновлений безопасности, которые станут частью WPA3.

    Первая функция — это брутфорс-защита. Новые правила ограничивают количество попыток ввода пароля, что повышает защиту от словарных атак (подобрать пароль офлайн также не получится).

    Еще появится возможность настраивать Wi-Fi-совместимые устройства с помощью сторонних гаджетов. Например, можно будет сконфигурировать WPA3 на устройстве интернета вещей со смартфона или планшета.

    В WPA3 также будет внедрена поддержка «персонализированного шифрования данных». Мэтти Ванхоеф в Твиттере предположил, что речь идет о реализации Opportunistic Wireless Encryption (OWE). Это улучшение, предложенное для стандарта 802.11. OWE использует для получения общего секретного ключа криптографический протокол Диффи — Хеллмана, который заменяет уязвимый метод PSK.

    Ванхоеф также предположил, что улучшенная защита паролей будет реализована с помощью механизмов SAE или Dragonfly, используемого в mesh-сетях.

    Наконец, представители W-Fi Alliance представили 192-разрядный пакет безопасности, реализованный согласно требованиям Commercial National Security Algorithm (CNSA) Suite. Их разработал Комитет по национальным системам безопасности (CNSS) для защиты государственных и индустриальных беспроводных сетей.

    Когда ждать стандарт


    И хотя подробная спецификация протокола будет опубликована уже в этом году, пройдет некоторое время, прежде чем появится возможность купить сертифицированное оборудование с поддержкой WPA3.

    Из-за массовости WPA2, внедрение WPA3 пройдет поэтапно, поэтому старый протокол пока останется востребован. Для тех, кто продолжит использовать WPA2, Альянс составит список советов для повышения защищенности сетей.

    Как говорит Мэтти Ванхеф (Mathy Vanhoef), внедряемые в WPA3 стандарты существуют уже продолжительное время, но не всегда используются в реальных системах. Мэтти надеется, что желание производителей получить спецификацию WPA3 (хотя бы из коммерческих соображений) изменит ситуацию и окажет положительное влияние на защищенность экосистемы беспроводных сетей.

    Дополнительные материалы по теме


    Обновление безопасности от Wi-Fi Alliance
    • Официальный релиз от Альянса с описанием внедряемых функций.

    KRACK — атака повторного воспроизведения
    • Сайт Мэтти Ванхоефа, на котором он в деталях объясняет принципы работы реализованной им атаки и показывает её реализацию на практике.

    Wi-Fi: спрос растет, а возможности ограничены
    • Материал из нашего корпоративного блога, в котором мы говорим о перспективах Wi-Fi сетей и проводим анализ пересылаемого по ним трафика.

    Wi-Fi Alliance анонсировал разработку стандарта Wi-Fi 802.11ax
    • Пост в соседнем корпоративном блоге, где собрана информация о внедряемых защитных мерах и разработке нового стандарта Wi-Fi 802.11ax.

    Как идентифицировать абонента в Wi-Fi сети по телефонному номеру
    • Рассказываем, как выполнить требование Минкомсвязи, согласно которому нужно проводить идентификацию пользователя и регистрировать его устройство в публичной беспроводной сети.

    Hacker News: WPA3 Announced
    • Тематический тред на HN, где обсуждаются нововведения и особенности их реализации. Внутри есть дополнительные ссылки по теме.

    Публичный Wi-Fi: как управлять с помощью DPI
    • Наш материал, в котором мы говорим о приоритезации трафика в Wi-Fi-сетях
    • +16
    • 4,5k
    • 3
    VAS Experts 121,41
    Российский разработчик DPI-системы СКАТ
    Поделиться публикацией
    Комментарии 3
    • 0
      Интересно, на устройствах, типа Mikrotik, поддержка WPA3 может появится вместе с обновлением, или новый стандарт требует железной реализации?
      • 0
        Первая функция — это брутфорс-защита. Новые правила ограничивают количество попыток ввода пароля, что повышает защиту от словарных атак (подобрать пароль офлайн также не получится)

        И так никто не перебирает пароли через точку доступа, так что в ограничении нет смысла. Почему не получится подобрать оффлайн для захваченного handshake? В материалах ничего не сказано по этому поводу.
        • 0
          Новые правила ограничивают количество попыток ввода пароля

          Интересно, а как именно это работает? Для конкретного MAC'а? Так их можно менять при каждой попытке. Для всего SSID'а? Тогда можно легко заDoS'ить его.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое