Le 25 juin 2018, la Wi-Fi Alliance a
officiellement présenté le
programme de certification Wi-Fi CERTIFIED WPA3 . Il s'agit de la première mise à jour du protocole de sécurité Wi-Fi en 14 ans.
Selon l'alliance, WPA3 (Wi-Fi Protected Access 3) "ajoute de nouvelles fonctionnalités pour simplifier la sécurité Wi-Fi, fournir une authentification plus fiable, augmenter la force cryptographique pour les marchés de données hautement sensibles et assurer la résilience des réseaux critiques". Dans tous les réseaux WPA3:
- Les dernières méthodes de sécurité sont utilisées.
- Protocoles obsolètes interdits
- Fonction obligatoire de protection des trames de contrôle contre les PMF compromis (trames de gestion protégées)
Étant donné que les réseaux Wi-Fi diffèrent dans leurs besoins d'utilisation et de sécurité, WPA3, comme WPA2, propose deux profils standard pour les réseaux personnels et d'entreprise: WPA3-Personal et WPA3-Enterprise.
Les utilisateurs
WPA3-Personal bénéficient d'une authentification par mot de passe et d'une protection par force brute plus solides, même s'ils choisissent un mot de passe trop court ou trop simple. Ceci est accompli en remplaçant l'ancien protocole de clé pré-partagée (PSK) par le protocole d'
authentification simultanée d'égaux (SAE) de Dan Perkins. SAE fait référence à des protocoles comme
PAKE (accord de clé authentifié par mot de passe): une méthode interactive où deux ou plusieurs parties établissent des clés cryptographiques en fonction de la connaissance d'un ou de plusieurs côtés du mot de passe.
La propriété clé de PAKE est qu'une personne au milieu
ne peut pas obtenir suffisamment d'informations pour mener une bruteforce «hors ligne» à part entière en mode passif. Il a certainement besoin d'une interaction avec les parties pour vérifier chaque option. Cela signifie que même avec des mots de passe faibles, une sécurité bien meilleure est fournie qu'auparavant.
WPA3-Personal est plus axé sur la facilité d'utilisation. Les utilisateurs peuvent toujours choisir des mots de passe arbitraires.
WPA3-Enterprise offre des exigences de sécurité beaucoup plus élevées et permet désormais l'utilisation de protocoles de sécurité très robustes pour les réseaux de données sensibles. Des protocoles cryptographiques utilisant un minimum de clés de 192 bits et les outils cryptographiques suivants pour la protection des données sont proposés:
- Cryptage authentique : protocole Galois / Counter Mode 256 bits (GCMP-256)
- Génération et confirmation de clé : mode d'authentification de message haché 384 bits (HMAC) avec hachage d'algorithme de hachage sécurisé (HMAC-SHA384)
- Échange de clés et authentification : échange de protocole ECDH (Elliptic Curve Diffie-Hellman) et signature numérique ECDSA (Elliptic Curve Digital Signature Algorithm) sur une courbe elliptique de 384 bits
- Gestion robuste de la protection du trafic : code d'authentification de message Galois à protocole de diffusion / multidiffusion 256 bits (BIP-GMAC-256)
Il est supposé que lors du choix du mode 192 bits, tous les outils ci-dessus seront utilisés, ce qui garantit la bonne combinaison de protocoles comme plate-forme de sécurité de base au sein du réseau WPA3.
WPA3 maintient la compatibilité descendante avec les appareils WPA2 et est actuellement une certification supplémentaire facultative pour les appareils Wi-Fi CERTIFIÉS.
WPA3 est basé sur le protocole cryptographique Dan Harkins
Authentification simultanée des égaux (SAE ). Ce spécialiste est également l'auteur du
fameux protocole
Dragonfly (RFC 7664) . Je dois dire que le processus d'approbation de la RFC 7664 à l'IETF s'est
accompagné d' un débat houleux . Kevin Igoe, président du groupe de travail sur les normes de cryptographie du CFRG qui a revendiqué Dragonfly, serait
membre de la NSA . En conséquence, néanmoins, dans un sens global, on ne peut pas parler en toute confiance de la force cryptographique et de la fiabilité globale du protocole SAE et de la norme WPA3 dans son ensemble.
La Wi-Fi Alliance s'attend à ce que les appareils compatibles WPA3 arrivent sur le marché en 2019, ainsi que les appareils
prenant en charge la nouvelle version plus rapide du Wi-Fi lui-même -
802.11ax . Après cela, la prise en charge de WPA3 peut être une condition préalable à la certification de tout appareil Wi-Fi.
