
El 25 de junio de 2018, la Wi-Fi Alliance
presentó oficialmente el
programa de certificación WPA3 CERTIFICADO por Wi-Fi . Esta es la primera actualización del protocolo de seguridad de Wi-Fi en 14 años.
Según la alianza, WPA3 (Acceso protegido Wi-Fi 3) "agrega nuevas funciones para simplificar la seguridad de Wi-Fi, proporcionar autenticación más confiable, aumentar la fuerza criptográfica para mercados de datos altamente sensibles y garantizar la resistencia de las redes de misión crítica". En todas las redes WPA3:
- Se utilizan los últimos métodos de seguridad.
- Protocolos obsoletos prohibidos
- Función obligatoria de proteger marcos de control de PMF (marcos de gestión protegidos) comprometidos
Dado que las redes Wi-Fi difieren en sus necesidades de uso y seguridad, WPA3, como WPA2, ofrece dos perfiles estándar para redes personales y corporativas: WPA3-Personal y WPA3-Enterprise.
Los usuarios de
WPA3-Personal obtienen una autenticación de contraseña más fuerte y protección de fuerza bruta incluso si eligen una contraseña que sea demasiado corta o simple. Esto se logra reemplazando el antiguo protocolo de clave precompartida (PSK) con el protocolo de
autenticación simultánea de iguales (SAE) de Dan Perkins. SAE se refiere a protocolos como
PAKE (acuerdo de clave autenticada por contraseña): un método interactivo donde dos o más partes establecen claves criptográficas basadas en el conocimiento de uno o más lados de la contraseña.
La propiedad clave de PAKE es que una persona en el medio
no puede obtener suficiente información para llevar a cabo una fuerza bruta "fuera de línea" completa en modo pasivo. Definitivamente necesita interacción con las partes para verificar cada opción. Esto significa que incluso con contraseñas débiles, se proporciona una seguridad mucho mejor que antes.
WPA3-Personal está más enfocado en la facilidad de uso. Los usuarios aún pueden elegir contraseñas arbitrarias.
WPA3-Enterprise proporciona requisitos de seguridad mucho más altos y ahora permite el uso de protocolos de seguridad altamente robustos para redes de datos confidenciales. Se ofrecen protocolos criptográficos que utilizan un mínimo de claves de 192 bits y las siguientes herramientas criptográficas para la protección de datos:
- Cifrado auténtico : protocolo de modo de contador / Galois de 256 bits (GCMP-256)
- Generación y confirmación de claves : modo de autenticación de mensajes hash de 384 bits (HMAC) con algoritmo hash seguro Hashing (HMAC-SHA384)
- Intercambio de claves y autenticación : Intercambio de protocolo de curva elíptica Diffie-Hellman (ECDH) y firma digital del algoritmo de firma digital de curva elíptica (ECDSA) en una curva elíptica de 384 bits
- Gestión robusta de protección del tráfico : Protocolo de integridad de difusión / multidifusión de 256 bits Código de autenticación de mensaje de Galois (BIP-GMAC-256)
Se supone que al elegir el modo de 192 bits, se utilizarán todas las herramientas anteriores, lo que garantiza la combinación correcta de protocolos como la plataforma de seguridad básica dentro de la red WPA3.
WPA3 mantiene la compatibilidad con dispositivos WPA2 y actualmente es una certificación adicional opcional para dispositivos Wi-Fi CERTIFICADOS.
WPA3 se basa en el protocolo criptográfico Dan Harkins
Autenticación simultánea de iguales (SAE ). Este especialista también es el autor del
infame protocolo
Dragonfly (RFC 7664) . Debo decir que el proceso de aprobación del RFC 7664 en el IETF estuvo
acompañado de un acalorado debate . Kevin Igoe, presidente del grupo de trabajo de estándares de cifrado CFRG que reclamó a Dragonfly, supuestamente
es miembro de la NSA . Como resultado, sin embargo, en un sentido global, no se puede hablar con plena confianza sobre la fuerza criptográfica y la fiabilidad general del protocolo SAE y el estándar WPA3 en su conjunto.
La Wi-Fi Alliance espera que los dispositivos habilitados para WPA3 lleguen al mercado en 2019, junto con dispositivos que admitan la nueva versión más rápida de Wi-Fi:
802.11ax . Después de eso, el soporte WPA3 puede ser un requisito previo para la certificación de cualquier dispositivo Wi-Fi.
