WPA3, Enhanced Open, Easy Connect: Drei neue Protokolle der Wi-Fi Alliance
Die Wi-Fi Alliance hat kürzlich
das größte Wi-Fi-Sicherheitsupdate seit 14 Jahren vorgestellt. Das Wi-Fi-Sicherheitsprotokoll Protected Access 3 (WPA3) führt dringend benötigte Aktualisierungen des WPA2-Protokolls 2004 ein. Anstatt die Wi-Fi-Sicherheit komplett neu zu gestalten, konzentriert sich WPA3 auf neue Technologien, die die Lücken schließen sollen, die in WPA2 aufgetreten sind.
Die Wi-Fi Alliance hat außerdem zwei zusätzliche separate Zertifizierungsprotokolle angekündigt, die parallel zu WPA3 bereitgestellt werden. Die Protokolle Enhanced Open und Easy Connect sind unabhängig von WPA3, verbessern jedoch die Sicherheit für bestimmte Arten von Netzwerken und Situationen.
Alle Protokolle können von Herstellern in ihren Geräten implementiert werden. Wenn WPA2 als Indikator betrachtet werden kann, werden diese Protokolle letztendlich universell übernommen, aber die Wi-Fi Alliance gibt keinen Zeitplan vor, nach dem dies geschehen sollte. Mit der Einführung neuer Geräte auf dem Markt werden wir höchstwahrscheinlich das Stadium erreichen, nach dem WPA3, Enhanced Open und Easy Connect zu neuen Sicherheitssäulen werden.
Was machen all diese neuen Protokolle? Es gibt viele Details, und da die meisten mit der drahtlosen Verschlüsselung zusammenhängen, wird auch komplexe Mathematik gefunden - aber hier ist eine ungefähre Beschreibung der vier wichtigsten Änderungen, die sie zum Thema drahtlose Sicherheit mit sich bringen werden.
Gleichzeitige Authentifizierung von Gleichen, SAE
Die größte Veränderung wird
WPA3 bringen. Der wichtigste Punkt beim Netzwerkschutz kommt, wenn ein neues Gerät versucht, eine Verbindung herzustellen. Der Feind muss hinter den Toren bleiben, daher achten WPA2 und WPA3 besonders darauf, neue Verbindungen zu authentifizieren und sicherzustellen, dass sie nicht vom Hacker versucht werden, Zugriff zu erhalten.
SAE ist eine neue Authentifizierungsmethode für ein Gerät, das versucht, eine Verbindung zu einem Netzwerk herzustellen. SAE ist eine Variante des sogenannten
Libellen-Handshake , bei dem mithilfe der Kryptografie verhindert wird, dass ein Angreifer das Kennwort errät. Er spricht darüber, wie genau ein neues Gerät oder ein neuer Benutzer einen Netzwerkrouter beim Austausch kryptografischer Schlüssel „begrüßen“ soll.
SAE ersetzt die seit der Einführung von WPA2 im Jahr 2004 verwendete PSK-Methode (Pre-Shared Key). Das PSK wird auch als vierstufige Kommunikation bezeichnet, da so viele Nachrichten oder bidirektionale „Handshakes“ zwischen dem Router und dem Verbindungsgerät übertragen werden müssen, um zu bestätigen, dass sie sich auf ein Passwort geeinigt haben, während keine Seite die andere informiert . Bis 2016 schien die PSK sicher zu sein, und dann wurde ein
Angriff mit Key Reinstallation Attacks (
KRACK )
gestartet .
KRACK unterbricht eine Reihe von Handshakes und gibt vor, vorübergehend vom Router getrennt zu sein. Tatsächlich verwendet er sich wiederholende Konnektivität, um Handshakes zu analysieren, bis er herausfinden kann, wie das Passwort lautete. SAE blockiert die Möglichkeit eines solchen Angriffs sowie die häufigsten Offline-Wörterbuchangriffe, wenn ein Computer Millionen von Kennwörtern durchläuft, um festzustellen, welches mit den während PSK-Verbindungen empfangenen Informationen übereinstimmt.
Wie der Name schon sagt, geht SAE davon aus, dass Geräte gleich sind, anstatt zu berücksichtigen, dass ein Gerät Anforderungen sendet und das zweite das Recht auf Verbindung herstellt (traditionell war es ein Gerät, das versucht, eine Verbindung herzustellen, bzw. ein Router). Jede der Parteien kann eine Verbindungsanfrage senden, und dann beginnen sie, ihre identifizierenden Informationen unabhängig zu senden, anstatt Nachrichten nacheinander hin und her auszutauschen. Und ohne einen solchen Austausch kann der KRACK-Angriff keinen „Fuß zwischen Tür und Pfosten setzen“, und Wörterbuchangriffe werden unbrauchbar.
SAE bietet eine zusätzliche Sicherheitsverbesserung, die die PSK nicht hatte: Weiterleitungsgeheimnis. Angenommen, ein Angreifer erhält Zugriff auf verschlüsselte Daten, die ein Router aus dem Internet sendet und empfängt. Zuvor konnte der Angreifer diese Daten speichern und sie dann bei erfolgreicher Kennwortschätzung entschlüsseln. Mit SAE wird bei jeder neuen Verbindung ein neues Verschlüsselungskennwort festgelegt. Selbst wenn der Angreifer irgendwann in das Netzwerk eindringt, kann er nur das Kennwort aus den nach diesem Moment übertragenen Daten stehlen.
SAE ist im
IEEE 802.11-2016-Standard beschrieben , der mehr als 3.500 Seiten umfasst.
192-Bit-Sicherheitsprotokolle
WPA3-Enterprise , eine Version von WPA3, die für die Verwendung in Behörden und Finanzinstituten sowie in Unternehmensumgebungen entwickelt wurde, verfügt über eine 192-Bit-Verschlüsselung. Diese Verschlüsselungsstufe für den Heimrouter ist zu hoch, es ist jedoch sinnvoll, sie in Netzwerken zu verwenden, die mit besonders vertraulichen Informationen arbeiten.
Jetzt arbeitet Wi-Fi mit 128-Bit-Sicherheit. Die Sicherheit in 192 Bit ist nicht obligatorisch - dies ist eine Konfigurationsoption für Organisationen, deren Netzwerke sie benötigen. Die Wi-Fi Alliance betont auch, dass industrielle Netzwerke die Sicherheit an allen Fronten stärken müssen: Die Ausfallsicherheit eines Systems wird durch die Ausfallsicherheit des schwächsten Glieds bestimmt.
Um ein angemessenes Sicherheitsniveau für das gesamte Netzwerk von Anfang bis Ende zu gewährleisten, verwendet WPA3-Enterprise das 256-Bit-Galois / Counter-Modus-Protokoll für die Verschlüsselung, den 384-Bit-Authentifizierungsmodus für Hashed-Nachrichten zur Schlüsselgenerierung und -bestätigung sowie die Diffie-Hellman-Algorithmen für elliptische Kurven Austausch, Algorithmus für digitale Signatur mit elliptischer Kurve zur Schlüsselauthentifizierung. Sie haben eine Menge komplexer Mathematik, aber das Plus ist, dass die 192-Bit-Verschlüsselung bei jedem Schritt unterstützt wird.
Einfache Verbindung
Easy Connect ist eine Anerkennung für die große Anzahl von Geräten, die weltweit mit dem Netzwerk verbunden sind. Und obwohl vielleicht nicht alle Menschen Smart Homes haben möchten, hat die durchschnittliche Person heute höchstwahrscheinlich mehr Geräte an ihren Heimrouter angeschlossen als im Jahr 2004. Easy Connect - ein Versuch der Wi-Fi-Allianz, die Verbindung all dieser Geräte intuitiver zu gestalten.
Anstatt jedes Mal, wenn Sie ein Gerät hinzufügen, ein Kennwort einzugeben, verfügen Geräte über eindeutige QR-Codes - und jeder Gerätecode fungiert als öffentlicher Schlüssel. Um ein Gerät hinzuzufügen, können Sie den Code mit einem Smartphone scannen, das bereits mit dem Netzwerk verbunden ist.
Nach dem Scannen tauscht das Gerät Authentifizierungsschlüssel mit dem Netzwerk aus, um die nachfolgende Kommunikation herzustellen. Das Easy Connect-Protokoll ist nicht mit WPA3 verknüpft - dafür zertifizierte Geräte müssen über ein Zertifikat für WPA2 verfügen, jedoch nicht unbedingt über ein Zertifikat für WPA3.
Erweitert offen
Enhanced Open ist ein weiteres separates Protokoll zum Schutz eines Benutzers in einem offenen Netzwerk. Offene Netzwerke - solche, die Sie in einem Café oder auf einem Flughafen verwenden - bringen eine ganze Reihe von Problemen mit sich, die Sie normalerweise nicht betreffen, wenn Sie zu Hause oder bei der Arbeit eine Verbindung herstellen.
Viele Angriffe in einem offenen Netzwerk sind passiv. Wenn eine Gruppe von Personen eine Verbindung zum Netzwerk herstellt, kann ein Angreifer viele Daten sammeln, indem er einfach die vorbeiziehenden Informationen filtert.
Enhanced Open verwendet Opportunistic Wireless Encryption (OWE), definiert in der
Internet Engineering Task Force RFC 8110 , um vor passivem Abhören zu schützen. OWE benötigt keinen zusätzlichen Authentifizierungsschutz - es konzentriert sich auf die Verbesserung der Verschlüsselung von Daten, die über öffentliche Netzwerke übertragen werden, um deren Diebstahl zu verhindern. Es verhindert auch das sogenannte Eine einfache Paketinjektion (nicht anspruchsvolle Paketinjektion), bei der ein Angreifer versucht, das Netzwerk zu stören, indem er spezielle Datenpakete erstellt und überträgt, die wie ein Teil des normalen Netzwerkbetriebs aussehen.
Enhanced Open bietet aufgrund der Art der offenen Netzwerkorganisation keinen Authentifizierungsschutz - sie sind per Definition für den allgemeinen Gebrauch bestimmt. Enhanced Open wurde entwickelt, um den Schutz offener Netzwerke vor passiven Angriffen zu verbessern, sodass Benutzer keine zusätzlichen Kennwörter eingeben oder zusätzliche Schritte ausführen müssen.
Es wird mindestens einige Jahre dauern, bis WPA3, Easy Connect und Enhanced Open zur Norm werden. Weit verbreitetes WPA3 tritt nur nach dem Ersetzen oder Aktualisieren von Routern auf. Wenn Sie jedoch Bedenken hinsichtlich der Sicherheit Ihres persönlichen Netzwerks haben, können Sie Ihren aktuellen Router durch einen anderen ersetzen, der WPA3 unterstützt, sobald die Hersteller mit dem Verkauf beginnen, was in einigen Monaten geschehen kann.