Хабрахабр

Началась сертификация устройств WPA3: слабые пароли стали более безопасными

25 июня 2018 года Wi-Fi Alliance официально представил программу сертификации Wi-Fi CERTIFIED WPA3. Это первое за последние 14 лет обновление протоколов безопасности Wi-Fi.

Во всех сетях WPA3: По заявлению альянса, WPA3 (Wi-Fi Protected Access 3) «добавляет новые функции для упрощения безопасности Wi-Fi, обеспечения более надёжной аутентификации, повышения криптографической стойкости для высокочувствительных рынков данных и обеспечения отказоустойчивости критически важных сетей».

  • Используются последние методы безопасности
  • Запрещены устаревшие протоколы
  • Обязательна функция защиты управляющих фреймов от компрометации PMF (Protected Management Frames)

Поскольку сети Wi-Fi отличаются потребностями в использовании и безопасности, WPA3 как и WPA2 предлагает два стандартных профиля для личных и корпоративных сетей: WPA3-Personal и WPA3-Enterprise.

Это реализуется за счёт замены старого протокола Pre-shared Key (PSK) на протокол Simultaneous Authentication of Equals (SAE) от Дэна Перкинса. Пользователи WPA3-Personal получают более надёжную парольную аутентификацию и защиту от брутфорса даже в тех случаях, если выбирают слишком короткий или простой пароль. SAE относится к протоколам типа PAKE (password-authenticated key agreement): интерактивный метод, где две или более стороны устанавливают криптографические ключи, основанные на знании одной или несколькими сторонами пароля.

Ему обязательно требуется взаимодействие со сторонами для проверки каждого варианта. Ключевое свойство PAKE — человек в середине не может получить достаточно информации, чтобы провести полноценный «офлайновый» брутфорс в пассивном режиме. Это означает, что даже со слабыми паролями обеспечивается гораздо лучшая безопасность, чем раньше.

Пользователи по-прежнему могут выбирать произвольные парооли WPA3-Personal больше ориентирован на простоту в использовании.

Предлагаются криптографические протоколы с использованием минимум 192-битных ключей и следующие криптографические инструменты для защиты данных: WPA3-Enterprise предоставляет гораздо более высокие требования к безопасности и теперь позволяет использовать особо стойкие протоколы безопасности для конфиденциальных сетей передачи данных.

  • Аутентичное шифрование: 256-битный Galois/Counter Mode Protocol (GCMP-256)
  • Формирование ключа и подтверждение: 384-битный Hashed Message Authentication Mode (HMAC) с хэшированием по протоколу Secure Hash Algorithm (HMAC-SHA384)
  • Обмен ключами и аутентификация: обмен по протоколу Elliptic Curve Diffie-Hellman (ECDH) и цифровая подпись по алгоритму Elliptic Curve Digital Signature Algorithm (ECDSA) на 384-битной эллиптической кривой
  • Надёжное управление защитой трафика: 256-битный Broadcast/Multicast Integrity Protocol Galois Message Authentication Code (BIP-GMAC-256)

Предполагается, что при выборе 192-битного режима будут использоваться все перечисленные инструменты, что гарантирует правильную комбинацию протоколов как базовую платформу безопасности внутри сети WPA3.

WPA3 сохраняет обратную совместимость с устройствами WPA2 и в настоящее время является необязательной дополнительной сертификацией для устройств Wi-Fi CERTIFIED.

Этот специалист также является автором печально известного протокола Dragonfly (RFC 7664). WPA3 основан на криптографическом протоколе Simultaneous Authentication of Equals (SAE) от Дэна Харкинса (Dan Harkins). Председатель рабочей группы по криптостандартам CFRG, которая утверждала Dragonfly, Кевин Айгоу (Kevin Igoe) предположительно является сотрудником АНБ. Нужно сказать, что процедура утверждения RFC 7664 в IETF сопровождалась бурными дебатами. В результате всё-таки в глобальном смысле нельзя со всей уверенностью говорить о криптографической стойкости и общей надёжности протокола SAE и стандарта WPA3 в целом.

11ax. Wi-Fi Alliance ожидает, что устройства с поддержкой WPA3 получат распространение на рынке в 2019 году, вместе с устройствами, которые поддерживают новую, более быструю версию самого Wi-Fi — 802. После этого поддержка WPA3 может стать обязательным условием для сертификации любого устройства Wi-Fi.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть