Mellékleteink: HUP | Gamekapocs
Keres
DevOps és frontend-fejlesztői témákkal indul idén a HWSW meetup-sorozata

Küszöbön a WPA3, másfél évtized után frissülhet a Wi-Fi biztonság

Hlács Ferenc, 2018. június 26. 15:34

A Wi-Fi Alliance közzétette a protokoll specifikációit, jövőre érkezhetnek az első WPA3-as eszközök.

hirdetés

A Wi-Fi eszközöket célzó támadások egyre szélesedő fegyvertárral dolgoznak, amelyek ellen lassan a mintegy másfél évtizede szolgálatban lévő WPA2 biztonsági protokoll sem nyújt teljes védelmet. Ideje volt tehát a generációs váltásnak, a Wi-Fi Alliance bejelentette a WPA3 részletes specifikációit, amelyre a készülékgyártók már le is csaphatnak. A WPA3 a protokollt, illetve a szabványt felügyelő szövetség szerint egy sor új funkcióval teszi majd hatékonyabbá és nem utolsó sorban egyszerűbbé a Wi-Fi biztonságot. Az új generáció összetettebb hitelesítést, erősebb titkosítást és az üzleti kritikus hálózatok jobb támogatását ígéri, miközben kigyomlálja az elavult protokollokat és kötelezővé teszi a PMF (Protected Management Frames) használatát.

A frissített protokoll - akárcsak elődjei - két biztonsági móddal érkezik, a Wi-Fi Alliance itt is megkülönbözteti a WPA3-Personal és WPA3-Enterprise variánsokat, a felhasználási módtól függően. Előbbi kiterjedtebb és biztonságosabb jelszóalapú autentikációt kínál az egyéni felhasználók védelmére: a WPA3-Personal esetében az eddig használt PSK-t (Pre-shared Key) a SAE (Simultaneous Authentication of Equals) váltja le, amely sokkal ellenállóbb a szótáralapú brute force támadások ellen, mikor a támadó egy adatbázisból automatizáltan próbálgatja végig a lehetséges bejelentkezési azonosítókat, egyéb hálózati interakció nélkül. Utóbbi támadások jellemzően a viszonylag rövid jelszavak ellen vethetők be, egy 30 karakteres jelszónál már nem túl hatékonyak - a felhasználók többsége viszont nem a kiemelten jó jelszóadási gyakorlatáról híres.

A WPA3 a rövid jelszavak mellett is nagyobb biztonságot kínál majd, miután a négyes kézfogásra építő WPA2-t maga mögött hagyja - ez utóbbi nyitott utat tavaly ősszel a hírhedt KRACK biztonsági résnek is, amely az új protokoll fejlesztésének is lökést adott. A WPA3-mal bevezetett SAE bizonyos számú sikertelen próbálkozás után blokkolja majd az azonosítási kérelmeket, így komoly akadályt gördítve a brute force támadások elé. A SAE továbbá az úgynevezett forward secrecy támogatását is elhozza, vagyis a kapcsolat felépítéséhez használt privát kulcsot az eszköz nem tárolja el, így egyetlen kulcs megtörése nem teszi lehetővé a támadó számára a forgalom visszamenőleges visszafejtését. Ennek megfelelően a támadók még a jelszó birtokában sem lesznek képesek a korábbi forgalom visszafejtésére. A protokoll WPA3-Enterprise módja elsősorban a nagyvállalati, kormányzati ügyfeleket, illetve pénzintézeteket céloz, olyan funkciókkal mint a GCMP-256 (256-bit Galois/Counter Mode Protocol) titkosítás vagy épp a 384 bites hashelt üzenetautentikációs mód, biztonságos hash algoritmussal (HMAC-SHA384).

wifill

Mindezek mellett a protokoll legfrissebb generációja az újonnan bevezetett Wi-Fi Easy Connect megoldással is bővül, amelyen keresztül a beviteli felülettel - mint érintőkijelző vagy billentyűzet - akár egyáltalán nem rendelkező eszközök is könnyebben csatlakozhatnak a hálózatra. A funkció használatához elég az adott routeren található QR-kódot okostelefonnal beszkennelni, majd ugyanígy leolvasni a csatlakoztatni kívánt eszköz kódját is - ezzel nyilvános kulcsot használva létre is jön a Wi-Fi kapcsolat. A Wi-Fi Easy Connect a WPA3-mal párhuzamosan opcionálisan a WPA2-t használó eszközökre is elérhetővé válik.

Végül de nem utolsó sorban a Wi-Fi Alliance által néhány hete bejelentett Wi-Fi Enhanced Open megoldás is említést érdemel, utóbbi a nyílt Wi-Fi hálózatokat tenné biztonságosabbá, például a reptereken, kávézókban. A megoldás lényege, hogy egy OWE (Opportunistic Wireless Encryption) algoritmussal a router és a felhasználók közötti minden kapcsolatot külön titkosít, dedikált titkosítási kulccsal. A technológia így elvágja a lehetőséget az egyazon hálózaton dolgozó felhasználók közötti illetéktelen kémkedésre.

A WPA3-as eszközök várhatóan 2019 második felében láthatnak leghamarabb napvilágot, továbbá nem kizárt, hogy egyes már piacon lévő felső kategóriás, illetve vállalati eszközök szoftverfrissítéssel támogatást kapnak majd az új protokollhoz.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Két hét múlva újraindul a legnagyobb hazai tech meetup-sorozat, a HWSW free!