WPA3, Enhanced Open, Easy Connect: tres nuevos protocolos de la Wi-Fi Alliance
La Wi-Fi Alliance
presentó recientemente
la mayor actualización de seguridad de Wi-Fi en 14 años. El Protocolo de seguridad de Wi-Fi de Acceso protegido 3 (WPA3) presenta actualizaciones muy necesarias para el protocolo WPA2 de 2004. En lugar de rediseñar completamente la seguridad de Wi-Fi, WPA3 se enfoca en nuevas tecnologías que deberían cerrar las brechas que comenzaron a aparecer en WPA2.
La Wi-Fi Alliance también ha anunciado dos protocolos de certificación adicionales e independientes que se implementan en paralelo con WPA3. Los protocolos Enhanced Open y Easy Connect son independientes de WPA3, pero mejoran la seguridad para ciertos tipos de redes y situaciones.
Todos los protocolos están disponibles para que los fabricantes los implementen en sus dispositivos. Si WPA2 puede considerarse un indicador, estos protocolos finalmente se adoptarán universalmente, pero la Alianza Wi-Fi no proporciona ningún cronograma según el cual esto debería suceder. Lo más probable es que, con la introducción de nuevos dispositivos en el mercado, finalmente lleguemos a la etapa en la que WPA3, Enhanced Open y Easy Connect se conviertan en nuevos pilares de seguridad.
¿Qué hacen todos estos nuevos protocolos? Hay muchos detalles, y dado que la mayoría de ellos están relacionados con el cifrado inalámbrico, también se encuentran matemáticas complejas, pero aquí hay una descripción aproximada de los cuatro cambios principales que traerán consigo al tema de la seguridad inalámbrica.
Autenticación simultánea de iguales, SAE
El mayor cambio que traerá
WPA3 . El punto más importante en la protección de la red se produce cuando un nuevo dispositivo intenta establecer una conexión. El enemigo debe permanecer detrás de las puertas, por lo que WPA2 y WPA3 prestan mucha atención a la autenticación de nuevas conexiones y a garantizar que el pirata informático no intente obtener acceso.
SAE es un nuevo método de autenticación para un dispositivo que intenta conectarse a una red. SAE es una variante del llamado
Apretón de manos de libélula , que utiliza criptografía para evitar que un atacante adivine la contraseña. Habla sobre cómo exactamente un nuevo dispositivo o usuario debe "saludar" a un enrutador de red al intercambiar claves criptográficas.
SAE está reemplazando el método de clave precompartida (PSK) [clave pre-distribuida] utilizado desde que se introdujo WPA2 en 2004. El PSK también se conoce como comunicación de cuatro pasos, ya que se deben transmitir tantos mensajes o "apretones de manos" bidireccionales entre el enrutador y el dispositivo de conexión para confirmar que han acordado una contraseña, mientras que ninguna de las partes informa al otro . Hasta 2016, el PSK parecía seguro, y luego se
lanzó un
ataque con Key Reinstallation Attacks (
KRACK ).
KRACK interrumpe una serie de apretones de manos, pretendiendo estar temporalmente desconectado del enrutador. De hecho, usa conectividad repetitiva para analizar los apretones de manos hasta que pueda descubrir cuál era la contraseña. SAE bloquea la posibilidad de tal ataque, así como los ataques de diccionario fuera de línea más comunes, cuando una computadora revisa millones de contraseñas para determinar cuál coincide con la información recibida durante las conexiones PSK.
Como su nombre lo indica, SAE funciona asumiendo que los dispositivos son iguales, en lugar de considerar que un dispositivo envía solicitudes y el segundo establece el derecho de conexión (tradicionalmente era un dispositivo que intentaba conectarse y un enrutador, respectivamente). Cualquiera de las partes puede enviar una solicitud de conexión, y luego comienzan a enviar de forma independiente su información de identificación, en lugar de intercambiar mensajes por turnos, de ida y vuelta. Y sin ese intercambio, el ataque KRACK no podrá "insertar un pie entre la puerta y la jamba", y los ataques de diccionario serán inútiles.
SAE ofrece una mejora de seguridad adicional que el PSK no tenía: confidencialidad directa. Supongamos que un atacante obtiene acceso a datos cifrados que un enrutador envía y recibe de Internet. Anteriormente, el atacante podía guardar estos datos y luego, en caso de adivinar con éxito la contraseña, descifrarlos. Usando SAE, con cada nueva conexión, se establece una nueva contraseña de cifrado, por lo que incluso si el atacante en algún momento penetra en la red, podrá robar solo la contraseña de los datos transmitidos después de este momento.
SAE se describe en el
estándar IEEE 802.11-2016 , que
abarca más de 3.500 páginas.
Protocolos de seguridad de 192 bits
WPA3-Enterprise , una versión de WPA3 diseñada para su uso en instituciones gubernamentales y financieras, así como en un entorno corporativo, tiene cifrado de 192 bits. Este nivel de encriptación para el enrutador doméstico será excesivo, pero tiene sentido usarlo en redes que funcionan con información particularmente confidencial.
Ahora el Wi-Fi funciona con seguridad de 128 bits. La seguridad en 192 bits no será obligatoria: será una opción de configuración para aquellas organizaciones cuyas redes lo necesiten. La Wi-Fi Alliance también enfatiza que en las redes industriales es necesario fortalecer la seguridad en todos los frentes: la estabilidad del sistema está determinada por la resistencia del eslabón más débil.
Para garantizar un nivel adecuado de seguridad para toda la red, de principio a fin, WPA3-Enterprise utilizará el protocolo de modo de contador / Galois de 256 bits para el cifrado, el modo de autenticación de mensajes hash de 384 bits para la generación y confirmación de claves, y los algoritmos de curva elíptica Diffie-Hellman Intercambio, algoritmo de firma digital de curva elíptica para autenticación de clave. Tienen muchas matemáticas complejas, pero la ventaja es que el cifrado de 192 bits será compatible en cada paso.
Fácil de conectar
Easy Connect es un reconocimiento de la gran cantidad de dispositivos conectados a la red en el mundo. Y aunque, tal vez, no todas las personas deseen obtener hogares inteligentes, la persona promedio probablemente tenga más dispositivos conectados al enrutador de su hogar hoy que en 2004. Conexión fácil: un intento de la alianza Wi-Fi para hacer que la conexión de todos estos dispositivos sea más intuitiva.
En lugar de ingresar una contraseña cada vez que agrega un dispositivo, los dispositivos tendrán códigos QR únicos, y cada código de dispositivo funcionará como una clave pública. Para agregar un dispositivo, puede escanear el código usando un teléfono inteligente que ya está conectado a la red.
Después de escanear, el dispositivo intercambiará claves de autenticación con la red para establecer una comunicación posterior. El protocolo Easy Connect no está asociado con WPA3: los dispositivos certificados para él deben tener un certificado para WPA2, pero no necesariamente un certificado para WPA3.
Abierto mejorado
Open mejorado es otro protocolo separado diseñado para proteger a un usuario en una red abierta. Las redes abiertas, aquellas que usa en un café o aeropuerto, conllevan una amplia gama de problemas que generalmente no le preocupan cuando establece una conexión en su hogar o en el trabajo.
Muchos ataques que ocurren en una red abierta son pasivos. Cuando un grupo de personas se conecta a la red, un atacante puede recopilar muchos datos simplemente filtrando la información que pasa.
Open mejorado utiliza el cifrado inalámbrico oportunista (OWE), definido en
la Fuerza de tareas de ingeniería de Internet RFC 8110 , para proteger contra las escuchas pasivas. OWE no requiere protección de autenticación adicional: se centra en mejorar el cifrado de los datos transmitidos a través de redes públicas para evitar su robo. También previene el llamado Una simple inyección de paquetes [inyección de paquetes poco sofisticada] en la que un atacante intenta interrumpir la red creando y transmitiendo paquetes de datos especiales que parecen parte del funcionamiento normal de la red.
Enhanced Open no proporciona protección de autenticación debido a la naturaleza de la organización de red abierta: están, por definición, destinados a uso general. Enhanced Open fue diseñado para mejorar la protección de las redes abiertas contra ataques pasivos, para no requerir que los usuarios ingresen contraseñas adicionales o sigan pasos adicionales.
Pasarán al menos unos años antes de que WPA3, Easy Connect y Enhanced Open se conviertan en la norma. El WPA3 generalizado ocurrirá solo después de reemplazar o actualizar los enrutadores. Sin embargo, si le preocupa la seguridad de su red personal, puede reemplazar su enrutador actual por otro que admita WPA3, tan pronto como los fabricantes comiencen a venderlos, lo que puede suceder en unos pocos meses.