WPA3 ، فتح محسن ، توصيل سهل: ثلاثة بروتوكولات جديدة من تحالف Wi-Fi
كشف تحالف Wi-Fi مؤخرًا
عن أكبر تحديث أمان Wi-Fi منذ 14 عامًا. يقدم بروتوكول أمان Wi-Fi 3 (WPA3) للدخول المحمي تحديثات ضرورية للغاية لبروتوكول WPA2 لعام 2004. بدلاً من إعادة تصميم أمان Wi-Fi بالكامل ، يركز WPA3 على التقنيات الجديدة التي يجب أن تسد الفجوات التي بدأت في الظهور في WPA2.
وأعلن تحالف Wi-Fi أيضًا عن بروتوكولي شهادة منفصلين إضافيين يتم نشرهما بالتوازي مع WPA3. بروتوكولات Open Connect و Easy Connect المحسنة مستقلة عن WPA3 ، ولكنها تحسن الأمان لأنواع معينة من الشبكات والمواقف.
جميع البروتوكولات متاحة للتنفيذ من قبل الشركات المصنعة في أجهزتهم. إذا كان يمكن اعتبار WPA2 مؤشرًا ، فسيتم اعتماد هذه البروتوكولات في نهاية المطاف على مستوى العالم ، لكن تحالف Wi-Fi لا يعطي أي جدول زمني وفقًا لذلك. على الأرجح ، مع طرح أجهزة جديدة في السوق ، سنصل في النهاية إلى المرحلة التي ستصبح WPA3 و Open Enhanced و Easy Connect أعمدة أمان جديدة.
ماذا تفعل كل هذه البروتوكولات الجديدة؟ هناك الكثير من التفاصيل ، وبما أن معظمها يتعلق بالتشفير اللاسلكي ، فإن الرياضيات المعقدة موجودة أيضًا - ولكن هنا وصف تقريبي للتغييرات الرئيسية الأربعة التي ستجلبها معهم إلى قضية الأمان اللاسلكي.
المصادقة المتزامنة لـ Equals، SAE
أكبر تغيير
سيجلبه WPA3 . تأتي أهم نقطة في حماية الشبكة عندما يحاول جهاز جديد إنشاء اتصال. يجب أن يبقى العدو خلف البوابات ، لذلك يولي WPA2 و WPA3 الكثير من الاهتمام لتوثيق الاتصالات الجديدة والتأكد من أنها ليست محاولات من قبل القراصنة للوصول.
SAE هي طريقة مصادقة جديدة لجهاز يحاول الاتصال بشبكة. SAE هو أحد أنواع ما يسمى ب
مصافحة اليعسوب ، والتي تستخدم التشفير لمنع المهاجم من تخمين كلمة المرور. يتحدث عن كيفية قيام جهاز أو مستخدم جديد بالضبط "بتحية" موجه الشبكة عند تبادل مفاتيح التشفير.
يحل SAE محل طريقة المفتاح المشترك مسبقًا (المفتاح الموزع مسبقًا) المستخدم منذ تقديم WPA2 في عام 2004. يُعرف PSK أيضًا باسم الاتصال من أربع خطوات ، نظرًا لأن العديد من الرسائل أو "مصافحات" ثنائية الاتجاه ، يجب إرسالها بين جهاز التوجيه وجهاز الاتصال للتأكد من أنهما اتفقا على كلمة مرور ، بينما لا يقوم أي من الجانبين بإبلاغ الآخر . حتى عام 2016 ، بدا PSK آمنًا ، ثم تم
شن هجوم باستخدام Key Reinstallation Attacks (
KRACK ).
يقاطع KRACK سلسلة من مصافحات اليد ، متظاهرًا بقطع الاتصال مؤقتًا عن جهاز التوجيه. في الواقع ، يستخدم الاتصال المتكرر لتحليل المصافحة حتى يتمكن من معرفة ما هي كلمة المرور. تقوم SAE بحظر إمكانية حدوث مثل هذا الهجوم ، بالإضافة إلى أكثر الهجمات القاموس غير المتصلة شيوعًا ، عندما يمر الكمبيوتر بملايين كلمات المرور لتحديد الكلمة التي تتطابق مع المعلومات التي يتم تلقيها أثناء اتصالات PSK.
كما يوحي الاسم ، يعمل SAE على افتراض أن الأجهزة متساوية ، بدلاً من النظر في جهاز إرسال طلبات واحد والجهاز الثاني الذي يثبت حق الاتصال (تقليديًا كان جهازًا يحاول الاتصال وجهاز توجيه ، على التوالي). يمكن لأي من الأطراف إرسال طلب اتصال ، ثم يبدأون في إرسال معلومات التعريف الخاصة بهم بشكل مستقل ، بدلاً من تبادل الرسائل في المقابل ذهابًا وإيابًا. وبدون مثل هذا التبادل ، لن يكون هجوم KRACK قادرًا على "إدخال قدم بين الباب والوسادة" ، وستصبح هجمات القاموس عديمة الفائدة.
تقدم SAE تعزيزًا أمنيًا إضافيًا لم يكن لدى PSK: سرية إلى الأمام. افترض أن أحد المهاجمين يمكنه الوصول إلى البيانات المشفرة التي يرسلها جهاز التوجيه ويستلمها من الإنترنت. في السابق ، كان بإمكان المهاجم حفظ هذه البيانات ، ثم في حالة نجاح تخمين كلمة المرور ، قم بفك تشفيرها. باستخدام SAE ، مع كل اتصال جديد ، يتم تعيين كلمة مرور تشفير جديدة ، لذلك حتى لو اخترق المهاجم في مرحلة ما الشبكة ، فسيتمكن من سرقة كلمة المرور فقط من البيانات المرسلة بعد هذه اللحظة.
تم وصف SAE في
معيار IEEE 802.11-2016 ، الذي
يمتد على 3500 صفحة.
بروتوكولات الأمان 192 بت
WPA3-Enterprise ، نسخة WPA3 مصممة للاستخدام في المؤسسات الحكومية والمالية ، وكذلك في بيئة الشركات ، لديها تشفير 192 بت. سيكون هذا المستوى من التشفير لجهاز التوجيه المنزلي مفرطًا ، ولكن من المنطقي استخدامه في الشبكات التي تعمل مع المعلومات الحساسة بشكل خاص.
يعمل Wi-Fi الآن مع أمان 128 بت. لن يكون الأمان في 192 بت إلزاميًا - سيكون خيار تكوين لتلك المؤسسات التي ستحتاجها شبكاته. يشدد تحالف Wi-Fi أيضًا على أنه في الشبكات الصناعية ، من الضروري تعزيز الأمن على جميع الجبهات: يتم تحديد استقرار النظام من خلال مقاومة أضعف حلقة.
لضمان مستوى مناسب من الأمن للشبكة بأكملها ، من البداية إلى النهاية ، ستستخدم WPA3-Enterprise بروتوكول Galois / Counter Mode 256 بت للتشفير ، ووضع مصادقة الرسائل المجزأة 384 بت لتوليد المفاتيح وتأكيدها ، وخوارزميات منحنى Elliptic Curve Diffie-Hellman تبادل ، خوارزمية التوقيع الرقمي منحنى الاهليلجيه للمصادقة الرئيسية. لديهم الكثير من الرياضيات المعقدة ، ولكن الميزة الإضافية هي أنه سيتم دعم تشفير 192 بت في كل خطوة.
توصيل سهل
Easy Connect هو اعتراف بالعدد الهائل من الأجهزة المتصلة بالشبكة في العالم. وعلى الرغم من أنه ربما لن يرغب جميع الأشخاص في الحصول على منازل ذكية ، إلا أن الشخص العادي على الأرجح لديه أجهزة متصلة بجهاز التوجيه المنزلي الخاص به اليوم أكثر من عام 2004. Easy Connect - محاولة من قبل تحالف Wi-Fi لجعل ربط جميع هذه الأجهزة أكثر سهولة.
بدلاً من إدخال كلمة مرور في كل مرة تضيف فيها جهازًا ، سيكون للأجهزة رموز QR فريدة - وسيعمل كل رمز جهاز كمفتاح عام. لإضافة جهاز ، يمكنك مسح الرمز ضوئيًا باستخدام هاتف ذكي متصل بالشبكة بالفعل.
بعد المسح ، سيتبادل الجهاز مفاتيح المصادقة مع الشبكة لإنشاء اتصال لاحق. بروتوكول Easy Connect غير مرتبط بـ WPA3 - يجب أن تحتوي الأجهزة المعتمدة لها على شهادة WPA2 ، ولكن ليس بالضرورة شهادة WPA3.
فتح محسن
فتح المحسن هو بروتوكول منفصل آخر مصمم لحماية مستخدم على شبكة مفتوحة. الشبكات المفتوحة - تلك التي تستخدمها في مقهى أو مطار - تحمل مجموعة كاملة من المشاكل التي لا تهمك عادةً عند إنشاء اتصال في المنزل أو في العمل.
العديد من الهجمات التي تحدث على شبكة مفتوحة سلبية. عندما تتصل مجموعة من الأشخاص بالشبكة ، يمكن للمهاجم جمع الكثير من البيانات بمجرد تصفية المعلومات التي تمر.
يستخدم نظام Open Enhanced التشفير اللاسلكي الانتهازي (OWE) ، المحدد في
فرقة عمل هندسة الإنترنت RFC 8110 ، للحماية من التنصت السلبي. لا يتطلب OWE حماية إضافية للمصادقة - فهو يركز على تحسين تشفير البيانات المرسلة عبر الشبكات العامة لمنع سرقتها. كما يمنع ما يسمى ب حقنة حزم بسيطة [حقن حزم غير معقدة] يحاول فيها المهاجم تعطيل الشبكة عن طريق إنشاء وإرسال حزم بيانات خاصة تبدو وكأنها جزء من التشغيل العادي للشبكة.
لا يوفر Open Enhanced حماية للمصادقة نظرًا لطبيعة تنظيم الشبكة المفتوحة - فهي ، بحكم تعريفها ، مخصصة للاستخدام العام. تم تصميم Open Enhanced لتحسين حماية الشبكات المفتوحة من الهجمات السلبية ، حتى لا تطالب المستخدمين بإدخال كلمات مرور إضافية أو اتباع خطوات إضافية.
سوف يستغرق الأمر بضع سنوات على الأقل قبل أن يصبح WPA3 ، Easy Connect و Enhanced Open القاعدة. لن يحدث انتشار WPA3 على نطاق واسع إلا بعد استبدال أجهزة التوجيه أو تحديثها. ومع ذلك ، إذا كنت قلقًا بشأن أمان شبكتك الشخصية ، فيمكنك استبدال جهاز التوجيه الحالي بجهاز آخر يدعم WPA3 ، بمجرد أن يبدأ المصنعون في بيعه ، والذي يمكن أن يحدث في غضون بضعة أشهر.