WPA3, Enhanced Open, Easy Connect: Tiga protokol baru dari Wi-Fi Alliance
Wi-Fi Alliance baru-baru ini
meluncurkan pembaruan keamanan Wi-Fi terbesar dalam 14 tahun. Protokol Keamanan Wi-Fi Protected Access 3 (WPA3) memperkenalkan pembaruan yang sangat dibutuhkan untuk protokol WPA2 2004. Alih-alih sepenuhnya mendesain ulang keamanan Wi-Fi, WPA3 berfokus pada teknologi baru yang harus menutup celah yang mulai muncul di WPA2.
Wi-Fi Alliance juga telah mengumumkan dua protokol sertifikasi tambahan yang terpisah yang sedang digunakan secara paralel dengan WPA3. Protokol Enhanced Open dan Easy Connect tidak tergantung pada WPA3, tetapi meningkatkan keamanan untuk jenis jaringan dan situasi tertentu.
Semua protokol tersedia untuk implementasi oleh produsen di perangkat mereka. Jika WPA2 dapat dianggap sebagai indikator, maka protokol ini pada akhirnya akan diadopsi secara universal, tetapi Wi-Fi Alliance tidak memberikan jadwal apa pun yang menurutnya harus terjadi. Kemungkinan besar, dengan diperkenalkannya perangkat baru di pasar, kami akhirnya akan mencapai tahap setelah WPA3, Enhanced Open, dan Easy Connect akan menjadi pilar keamanan baru.
Apa yang dilakukan semua protokol baru ini? Ada banyak detail, dan karena sebagian besar terkait dengan enkripsi nirkabel, matematika kompleks juga ditemukan - tetapi di sini ada deskripsi perkiraan dari empat perubahan utama yang akan mereka bawa pada masalah keamanan nirkabel.
Otentikasi Serentak Serentak, SAE
Perubahan terbesar yang akan dibawa
WPA3 . Poin paling penting dalam perlindungan jaringan datang ketika perangkat baru mencoba membuat koneksi. Musuh harus tetap berada di belakang gerbang, sehingga WPA2 dan WPA3 membayar banyak perhatian untuk mengautentikasi koneksi baru dan memastikan bahwa mereka bukan upaya oleh peretas untuk mendapatkan akses.
SAE adalah metode otentikasi baru untuk perangkat yang mencoba terhubung ke jaringan. SAE adalah varian dari yang disebut
jabat tangan capung , yang menggunakan kriptografi untuk mencegah penyerang menebak kata sandi. Dia berbicara tentang bagaimana tepatnya perangkat baru, atau pengguna, harus "menyapa" router jaringan ketika bertukar kunci kriptografi.
SAE mengganti metode Pra-Shared Key (PSK) [kunci pra-didistribusikan] yang digunakan sejak WPA2 diperkenalkan pada tahun 2004. PSK juga dikenal sebagai komunikasi empat langkah, karena begitu banyak pesan, atau "jabat tangan" dua arah, perlu ditransmisikan antara router dan perangkat penghubung untuk mengonfirmasi bahwa mereka telah menyetujui kata sandi, sementara tidak ada pihak yang mengatakan hal lain. . Hingga 2016, PSK tampak aman, dan kemudian
serangan diluncurkan dengan Key Reinstallation Attacks (
KRACK ).
KRACK menginterupsi serangkaian jabat tangan, berpura-pura terputus sementara dari router. Bahkan, dia menggunakan konektivitas berulang untuk menganalisis jabat tangan sampai dia bisa mengetahui apa kata sandinya. SAE memblokir kemungkinan serangan seperti itu, serta serangan kamus offline paling umum, ketika komputer melewati jutaan kata sandi untuk menentukan mana yang cocok dengan informasi yang diterima selama koneksi PSK.
Seperti namanya, SAE bekerja dengan asumsi bahwa perangkat sama, alih-alih mempertimbangkan satu perangkat mengirim permintaan dan yang kedua menetapkan hak untuk terhubung (secara tradisional itu adalah perangkat yang mencoba untuk terhubung dan router, masing-masing). Salah satu pihak dapat mengirim permintaan koneksi, dan kemudian mereka mulai mengirim informasi identitas mereka secara independen, alih-alih bertukar pesan secara bergantian, bolak-balik. Dan tanpa pertukaran semacam itu, serangan KRACK tidak akan bisa "menyisipkan kaki di antara pintu dan kusen", dan serangan kamus akan menjadi sia-sia.
SAE menawarkan peningkatan keamanan tambahan yang tidak dimiliki PSK: meneruskan kerahasiaan. Misalkan penyerang mendapatkan akses ke data terenkripsi yang dikirim dan diterima router dari Internet. Sebelumnya, penyerang bisa menyimpan data ini, dan kemudian, jika berhasil menebak kata sandi, dekripsi mereka. Menggunakan SAE, dengan setiap koneksi baru, kata sandi enkripsi baru diatur, jadi meskipun penyerang pada suatu titik menembus jaringan, ia hanya dapat mencuri kata sandi dari data yang dikirimkan setelah momen ini.
SAE dijelaskan dalam standar
IEEE 802.11-2016 , yang
mencakup lebih dari 3.500 halaman.
Protokol keamanan 192-bit
WPA3-Enterprise , versi WPA3 yang dirancang untuk digunakan di lembaga pemerintah dan keuangan, serta di lingkungan perusahaan, memiliki enkripsi 192-bit. Tingkat enkripsi untuk router rumah ini akan berlebihan, tetapi masuk akal untuk menggunakannya dalam jaringan yang bekerja dengan informasi yang sangat sensitif.
Sekarang Wi-Fi bekerja dengan keamanan 128 bit. Keamanan dalam 192 bit tidak akan wajib - itu akan menjadi opsi konfigurasi untuk organisasi yang membutuhkan jaringan itu. Wi-Fi Alliance juga menekankan bahwa jaringan industri perlu memperkuat keamanan di semua lini: ketahanan sistem ditentukan oleh ketahanan tautan yang paling lemah.
Untuk memastikan tingkat keamanan yang sesuai untuk seluruh jaringan, dari awal hingga selesai, WPA3-Enterprise akan menggunakan protokol Galois / Counter Mode 256-bit untuk enkripsi, Mode Otentikasi Pesan Hashing 384-bit untuk pembuatan dan konfirmasi kunci, dan algoritma Elliptic Curve Diffie-Hellman exchange, Elliptic Curve Digital Signature Algorithm untuk otentikasi kunci. Mereka memiliki banyak matematika yang rumit, tetapi nilai tambahnya adalah enkripsi 192-bit akan didukung pada setiap langkah.
Koneksi yang mudah
Easy Connect adalah pengakuan atas sejumlah besar perangkat yang terhubung ke jaringan di dunia. Dan meskipun, mungkin, tidak semua orang ingin mendapatkan rumah pintar, rata-rata orang kemungkinan besar memiliki lebih banyak perangkat yang terhubung ke router rumahnya hari ini daripada tahun 2004. Easy Connect - upaya aliansi Wi-Fi untuk membuat menghubungkan semua perangkat ini lebih intuitif.
Alih-alih memasukkan kata sandi setiap kali Anda menambahkan perangkat, perangkat akan memiliki kode QR unik - dan setiap kode perangkat akan berfungsi sebagai kunci publik. Untuk menambahkan perangkat, Anda dapat memindai kode menggunakan telepon pintar yang sudah terhubung ke jaringan.
Setelah pemindaian, perangkat akan bertukar kunci otentikasi dengan jaringan untuk menjalin komunikasi berikutnya. Protokol Easy Connect tidak terkait dengan WPA3 - perangkat yang disertifikasi untuk itu harus memiliki sertifikat untuk WPA2, tetapi belum tentu sertifikat untuk WPA3.
Terbuka ditingkatkan
Enhanced Open adalah protokol terpisah lain yang dirancang untuk melindungi pengguna di jaringan terbuka. Jaringan terbuka - jaringan yang Anda gunakan di kafe atau bandara - membawa berbagai masalah yang biasanya tidak menjadi masalah Anda saat membuat koneksi di rumah atau di tempat kerja.
Banyak serangan yang terjadi pada jaringan terbuka bersifat pasif. Ketika sekelompok orang terhubung ke jaringan, penyerang dapat mengumpulkan banyak data hanya dengan menyaring informasi yang lewat.
Enhanced Open menggunakan Opportunistic Wireless Encryption (OWE), yang didefinisikan dalam
Internet Engineering Task Force RFC 8110 , untuk melindungi dari penyadapan pasif. OWE tidak memerlukan perlindungan otentikasi tambahan - OWE berfokus pada peningkatan enkripsi data yang dikirimkan melalui jaringan publik untuk mencegah pencurian mereka. Ini juga mencegah apa yang disebut Injeksi paket sederhana [injeksi paket tidak canggih] di mana penyerang mencoba mengganggu jaringan dengan membuat dan mentransmisikan paket data khusus yang terlihat seperti bagian dari operasi normal jaringan.
Enhanced Open tidak menyediakan perlindungan otentikasi karena sifat dari organisasi jaringan terbuka - mereka, menurut definisi, dimaksudkan untuk penggunaan umum. Enhanced Open dirancang untuk meningkatkan perlindungan jaringan terbuka terhadap serangan pasif, agar tidak mengharuskan pengguna memasukkan kata sandi tambahan atau melalui langkah-langkah tambahan.
Setidaknya perlu beberapa tahun sebelum WPA3, Easy Connect, dan Enhanced Open menjadi norma. WPA3 yang menyebar luas akan terjadi hanya setelah mengganti atau memperbarui router. Namun, jika Anda khawatir tentang keamanan jaringan pribadi Anda, Anda dapat mengganti router Anda saat ini dengan yang lain yang mendukung WPA3, segera setelah produsen mulai menjualnya, yang dapat terjadi dalam beberapa bulan.