يمكن أن يكون WPA3 أكثر أمانًا: رأي الخبراء

تركز خطط Wi-Fi Alliance الجديدة على الأمن ، لكن الباحثين المستقلين يجدون فرصًا ضائعة فيها

عمل الوصول المحمي بالدقة اللاسلكية 2 ، أو WPA2 ، بنجاح ولفترة طويلة. ولكن بعد 14 عامًا ، كبروتوكول أمان لاسلكي رئيسي ، بدأت الثقوب حتمًا في الظهور. لذلك ، أعلن تحالف Wi-Fi عن خطط لخليفة هذا البروتوكول ، WPA3 ، من بداية العام شيئًا فشيئًا يعطي معلومات حول التغييرات القادمة.

لكن تحالف Wi-Fi ، المؤسسة المسؤولة عن التصديق على المنتجات التي تستخدم Wi-Fi ، ربما لم تفعل كل ما في وسعها لجعل الأمان اللاسلكي حديثًا حقًا - على الأقل هذا ما يعتقده باحث أمني تابع لجهة خارجية. يعتقد Mati Vanhof ، الباحث في جامعة Leuven الكاثوليكية في بلجيكا ، والذي اكتشف هجوم KRACK في عام 2016 للقضاء على WPA2 ، يعتقد أن تحالف Wi-Fi يمكن أن يعمل بشكل أفضل من خلال فحص بروتوكولات الأمان البديلة وشهاداتها.

الاختلاف الكبير بين WPA2 و WPA3 هو الطريقة التي تستقبل بها الأجهزة جهاز التوجيه أو نقاط الوصول الأخرى التي تحاول الانضمام إليها. يقدم WPA3 تحية أو مصافحة تسمى المصادقة المتزامنة للمساواة ، SAE. ميزته أنه يمنع هجمات مثل KRACK التي تقاطع التحية في WPA2. يضمن عدم إمكانية تبادل المفاتيح التي تثبت هوية الجهازين. للقيام بذلك ، فإنه يساوي حقوق الجهاز والموجه. قبل ذلك ، شارك جهاز اقتراع (يحاول الاتصال بالشبكة) وجهاز تفويض (جهاز توجيه) في تبادل التحية هذا.

تحل SAE مشكلات كبيرة تتعلق بضعف WPA2 - هذه خطوة مهمة ، ولكنها ربما ليست كبيرة بما يكفي. يدعي Wanhof أن الشائعات المنتشرة في المجتمع الأمني ​​، على الرغم من أن مثل هذه التحية ستمنع الهجمات الضارة مثل KRACK ، تبقى أسئلة حول ما إذا كانت قادرة على أي شيء آخر.

يقول فانهوف إن التحليل الرياضي للتحية يبدو أنه يؤكد سلامتها. يقول: "من ناحية أخرى ، هناك تعليقات وانتقادات توضح وجود خيارات أخرى". "احتمال حدوث مشاكل طفيفة أعلى من أنواع أخرى من التحية."

أحد المخاوف هو احتمال وقوع هجوم على قنوات الطرف الثالث ، على وجه الخصوص ، هجوم زمني . على الرغم من أن SAE تقاوم الهجمات التي تقاطع التحية مباشرة ، إلا أنها قد تكون عرضة لهجمات أكثر سلبية تراقب وقت التفويض وتستخرج بعض معلومات كلمة المرور بناءً على ذلك.

في عام 2013 ، وجد باحثون من جامعة نيوكاسل خلال تحليل التشفير SAE أن التحية عرضة لما يسمى هجمات المجموعات الفرعية الصغيرة . تقلل مثل هذه الهجمات المفاتيح المتبادلة بين جهاز التوجيه وجهاز الاتصال بمجموعة فرعية صغيرة ومحدودة من الخيارات التي يسهل اختراقها من مجموعة من الخيارات المتعددة المتاحة بشكل شائع. لمعالجة هذا الضعف ، يقترح الباحثون استكمال SAE بخطوة أخرى من التحقق الرئيسي ، بعد التضحية ببعض كفاءة التحية.

ومع ذلك ، تحمي SAE من الهجمات التي تستغل نقاط ضعف WPA2. يقول كيفين روبنسون ، نائب رئيس التسويق في تحالف Wi-Fi ، إنه يجعل هجمات القاموس غير المتصلة بالإنترنت مستحيلة. يمكن تنفيذ مثل هذه الهجمات عندما يتمكن المهاجم من التحقق من آلاف ومئات الآلاف من كلمات المرور المحتملة على التوالي دون إثارة شكوك من الشبكة. توفر SAE أيضًا سرية مباشرة - إذا تمكن المهاجم من الوصول إلى الشبكة ، فستظل جميع البيانات المرسلة فوقه قبل ذلك آمنة - في حالة WPA2 ، لم يكن الأمر كذلك.

عندما أعلن تحالف Wi-Fi لأول مرة عن إصدار WPA3 في بيان صحفي في يناير ، ذكر "مجموعة ميزات" لتحسين الأمان. ألمح الإصدار إلى أربعة خصائص محددة. أحدهم ، SAE ، أصبح أساس WPA3. يمكن استخدام التشفير الثاني 192 بت في الشركات الكبيرة أو المؤسسات المالية التي تنتقل إلى WPA3. واثنين من الخصائص الأخرى لم تدخل في WPA3.

الخصائص الموجودة في برامج الشهادات المنفصلة لم تصل إلى هناك. الأول ، Easy Connect ، يبسط عملية توصيل الأجهزة من إنترنت الأشياء بشبكتك المنزلية. أما الثانية ، المحسنة المفتوحة ، فهي تحمي المزيد من الشبكات المفتوحة - مثل تلك الموجودة في المطارات والمقاهي.

يقول وانهوف: "أعتقد أن Wi-Fi Alliance صاغ على وجه التحديد البيان الصحفي لشهر يناير بشكل غامض للغاية". - لم يعدوا بأن كل هذا سيتم تضمينه في WPA3. كان هناك منطق أن كل هذه الخصائص ستصبح إلزامية. ومع ذلك ، أصبحت التحية فقط إلزامية - وأعتقد أن هذا أمر سيئ ".

تشعر وانهوف بالقلق من أن ثلاثة برامج اعتماد منفصلة ، WPA3 ، Easy Connect ، و Enhanced Open ، ستربك المستخدمين ، بدلاً من تغطيتها بمظلة WPA3. ويقول: "علينا إخبار المستخدمين العاديين باستخدام Easy Connect و Enhanced Open".

يعتقد تحالف Wi-Fi أن برامج الشهادات المنفصلة ستقلل من ارتباك المستخدم. يقول روبنسون: "من المهم أن يفهم المستخدم الفرق بين WPA3 وبروتوكول Open Enhanced للشبكات المفتوحة". وبالمثل ، يقول ، الصناعة في تحالف Wi-Fi شعرت أنه من المهم التأكد من أن Easy Connect يوفر طريقة خالية من المتاعب لتوصيل الأجهزة التي لا تزال تستخدم WPA2 ، بدلاً من قصرها على الأجهزة الجديدة فقط. "

ومع ذلك ، بغض النظر عما إذا كان مستخدمي برامج شهادة Wi-Fi Alliance الجديدة مرتبكين أو مطمئنين ، يعتقد Wanhof أن تحالف Wi-Fi يمكن أن يغطي عملية اختيار البروتوكول بشكل أكثر صراحة. يقول: "لقد عملوا خلف أبواب مغلقة". "وبسبب هذا ، كان لدى خبراء الأمن ومصممي التشفير صعوبة في التعليق على هذه العملية" ، الأمر الذي يثير مخاوف بشأن نقاط الضعف المحتملة لـ SAE والعديد من برامج الاعتماد.

يشير فانهوف أيضًا إلى أن العملية المفتوحة يمكن أن تؤدي إلى بروتوكول WPA3 أكثر قوة. يقول: "غالبًا ما نواجه السرية". ثم نكتشف أنه نتيجة لذلك ، تبين أن الأمن ضعيف. بشكل عام ، أدركنا أنه من الأفضل دائمًا العمل بشكل مفتوح ".