WPA3 अधिक सुरक्षित हो सकता है: विशेषज्ञ की राय

नई वाई-फाई एलायंस योजना सुरक्षा पर ध्यान केंद्रित करती है, लेकिन स्वतंत्र शोधकर्ता अवसर चूक जाते हैं

वाई-फाई संरक्षित एक्सेस 2, या डब्ल्यूपीए 2, सफलतापूर्वक और लंबे समय तक काम किया। लेकिन 14 साल बाद, मुख्य वायरलेस सुरक्षा प्रोटोकॉल के रूप में, अनिवार्य रूप से छेद दिखाई देने लगे। इसलिए, वाई-फाई एलायंस और इस प्रोटोकॉल के उत्तराधिकारी के लिए योजनाओं की घोषणा की , WPA3, आने वाले बदलावों के बारे में बहुत कम जानकारी देकर वर्ष की शुरुआत से।

लेकिन वाई-फाई एलायंस , वाई-फाई का उपयोग करने वाले उत्पादों को प्रमाणित करने के लिए जिम्मेदार संगठन, ने वायरलेस सुरक्षा को सही मायने में आधुनिक बनाने के लिए वह सब कुछ नहीं किया होगा - जो कम से कम तीसरे पक्ष के सुरक्षा शोधकर्ता का मानना ​​है। बेल्जियम के कैथोलिक विश्वविद्यालय के शोधकर्ता मति वनहोफ , जिन्होंने WPA2 को क्रैक करने के लिए 2016 में KRACK हमले की खोज की, उनका मानना ​​है कि वाई-फाई एलायंस वैकल्पिक सुरक्षा प्रोटोकॉल और उनके प्रमाण पत्रों की जांच करके बेहतर काम कर सकता है।

WPA2 और WPA3 के बीच बड़ा अंतर यह है कि डिवाइस राउटर या अन्य एक्सेस पॉइंट्स को बधाई देते हैं जो वे शामिल होने की कोशिश कर रहे हैं। WPA3 एक अभिवादन, या हैंडशेक का परिचय देता है, जिसे Simultaneous Authentication of Equals, SAE कहा जाता है। इसका लाभ यह है कि यह केआरएके जैसे हमलों को रोकता है जो डब्ल्यूपीए 2 में ग्रीटिंग को बाधित करते हैं। यह सुनिश्चित करता है कि दोनों उपकरणों की पहचान साबित करने वाली चाबियों का आदान-प्रदान बाधित न हो। ऐसा करने के लिए, यह डिवाइस और राउटर के अधिकारों को बराबर करता है। इससे पहले, एक पोलिंग डिवाइस (नेटवर्क से कनेक्ट करने का प्रयास) और एक अधिकृत डिवाइस (राउटर) ने इस तरह के अभिवादन में भाग लिया।

SAE WPA2 भेद्यता के साथ बड़ी समस्याओं को हल करता है - यह एक महत्वपूर्ण कदम है, लेकिन शायद बहुत बड़ा नहीं है। वानहोफ का दावा है कि सुरक्षा समुदाय में अफवाहें फैल रही हैं, हालांकि इस तरह के ग्रीटिंग से KRACK जैसे हानिकारक हमलों को रोका जा सकता है, इस बारे में सवाल बने रहते हैं कि क्या यह कुछ और करने में सक्षम है।

वनहोव का कहना है कि ग्रीटिंग का एक गणितीय विश्लेषण इसकी सुरक्षा की पुष्टि करता है। "दूसरी ओर, टिप्पणियां और आलोचनाएं हैं जो यह स्पष्ट करती हैं कि अन्य विकल्प हैं," वे कहते हैं। "छोटी समस्याओं की संभावना अन्य प्रकार की बधाई से अधिक है।"

एक चिंता तीसरे पक्ष के चैनलों पर हमले की संभावना है, विशेष रूप से, एक समय हमला । यद्यपि SAE उन हमलों के लिए प्रतिरोधी है जो सीधे ग्रीटिंग को बाधित करते हैं, यह अधिक निष्क्रिय हमलों के लिए असुरक्षित हो सकता है जो प्राधिकरण समय की निगरानी करते हैं और इसके आधार पर कुछ पासवर्ड जानकारी निकालते हैं।

2013 में, SAE क्रिप्टैनालिसिस के दौरान न्यूकैसल विश्वविद्यालय के शोधकर्ताओं ने पाया कि ग्रीटिंग तथाकथित के लिए असुरक्षित है छोटे उपसमूहों के हमले । इस तरह के हमलों से राउटर और कनेक्टिंग डिवाइस के बीच बदले गए विकल्पों की एक छोटी, सीमित उपसमूह को कम कर दिया जाता है, जो कई विकल्पों के उपलब्ध सेट की तुलना में क्रैक करना आसान होता है। इस भेद्यता को संबोधित करने के लिए, शोधकर्ताओं ने एसएई को कुंजी सत्यापन के एक और चरण के साथ पूरक करने का प्रस्ताव दिया, जिससे ग्रीटिंग की कुछ दक्षता का त्याग किया।

हालांकि, SAE उन हमलों से बचाता है जो WPA2 की कमजोरियों का फायदा उठाते हैं। केविन रॉबिन्सन , वाई-फाई एलायंस के लिए विपणन के उपाध्यक्ष, कहते हैं कि वह ऑफ़लाइन शब्दकोश हमलों को असंभव बनाता है। इस तरह के हमले तब किए जा सकते हैं जब हमलावर नेटवर्क से संदेह उठाए बिना एक पंक्ति में हजारों और हजारों संभावित पासवर्डों का सत्यापन करने में सक्षम हो। SAE भी प्रत्यक्ष गोपनीयता प्रदान करता है - यदि हमलावर ने नेटवर्क तक पहुंच प्राप्त की, तो इससे पहले भेजे गए सभी डेटा सुरक्षित रहेंगे - WPA2 के मामले में, ऐसा नहीं था।

जब वाई-फाई एलायंस ने पहली बार जनवरी में एक प्रेस विज्ञप्ति में WPA3 की रिहाई की घोषणा की, तो उन्होंने सुरक्षा में सुधार के लिए एक "सुविधा सेट" का उल्लेख किया। रिलीज ने चार विशिष्ट गुणों का संकेत दिया। उनमें से एक, SAE, WPA3 का आधार बन गया। दूसरा, 192-बिट एन्क्रिप्शन, WPA3 में जाने वाले बड़े निगमों या वित्तीय संस्थानों में उपयोग किया जा सकता है। और दो अन्य गुण WPA3 में नहीं मिले।

अलग प्रमाणीकरण कार्यक्रमों में मौजूद गुण वहां नहीं मिले। पहला, ईज़ी कनेक्ट, चीजों को इंटरनेट से कनेक्ट करने की प्रक्रिया को आपके होम नेटवर्क पर सरल करता है। दूसरा, एन्हांस्ड ओपन, अधिक खुले नेटवर्क की सुरक्षा करता है - जैसे कि हवाई अड्डों और कैफे में।

"मुझे लगता है कि वाई-फाई एलायंस ने विशेष रूप से जनवरी प्रेस विज्ञप्ति को इतनी अस्पष्ट रूप से तैयार किया है," वानहोफ कहते हैं। - उन्होंने वादा नहीं किया कि यह सब WPA3 में शामिल किया जाएगा। तर्क था कि ये सभी गुण अनिवार्य हो जाएंगे। हालांकि, केवल एक अभिवादन अनिवार्य हो गया - और यह, मुझे लगता है, बुरा है। "

वानहोफ़ को चिंता है कि तीन अलग-अलग प्रमाणन कार्यक्रम, डब्ल्यूपीए 3, ईज़ी कनेक्ट और एन्हांस्ड ओपन, उपयोगकर्ताओं को भ्रमित करेंगे, बजाय उन्हें WPA3 छाता के साथ कवर करने के। वे कहते हैं, "हमें साधारण उपयोगकर्ताओं को आसान कनेक्ट और एन्हांस किए गए ओपन का उपयोग करने के लिए कहना होगा।"

वाई-फाई एलायंस का मानना ​​है कि अलग प्रमाणीकरण कार्यक्रमों से उपयोगकर्ता भ्रम कम होगा। "यह महत्वपूर्ण है कि उपयोगकर्ता खुले नेटवर्क के लिए WPA3 और एन्हांस्ड ओपन प्रोटोकॉल के बीच अंतर को समझता है," रॉबिन्सन कहते हैं। इसी तरह, वे कहते हैं, वाई-फाई एलायंस के भीतर उद्योग ने महसूस किया कि यह महत्वपूर्ण था कि ईज़ी कनेक्ट प्रोटोकॉल केवल नए उपकरणों के लिए इस विकल्प को प्रतिबंधित करने के बजाय WPA2 का उपयोग करने वाले उपकरणों को जोड़ने के लिए एक परेशानी-मुक्त विधि प्रदान करता है। "

और फिर भी, चाहे नए वाई-फाई एलायंस प्रमाणन कार्यक्रमों के उपयोगकर्ता भ्रमित हों या आश्वस्त हों, वानहोफ़ का मानना ​​है कि वाई-फाई एलायंस अपनी प्रोटोकॉल चयन प्रक्रिया को और अधिक खुले तौर पर कवर कर सकता है। "वे बंद दरवाजे के पीछे काम करते हैं," वे कहते हैं। "इस वजह से, सुरक्षा विशेषज्ञों और क्रिप्टोग्राफर्स को इस प्रक्रिया पर टिप्पणी करने में एक कठिन समय था," जो संभावित एसएई भेद्यता और कई प्रमाणन कार्यक्रमों के बारे में चिंता पैदा करता है।

वनहोफ यह भी बताते हैं कि एक खुली प्रक्रिया WPA3 प्रोटोकॉल को और मजबूत बना सकती है। "हम अक्सर गोपनीयता का सामना करते हैं," वह कहते हैं। "और फिर हमें पता चलता है कि परिणाम के रूप में सुरक्षा कमजोर है।" सामान्य तौर पर, हमने महसूस किया कि खुले तौर पर काम करना हमेशा बेहतर होता है। ”