Em 25 de junho de 2018, a Wi-Fi Alliance
lançou oficialmente o
programa de certificação Wi-Fi CERTIFIED WPA3 . Esta é a primeira atualização do protocolo de segurança Wi-Fi em 14 anos.
De acordo com a aliança, o WPA3 (Wi-Fi Protected Access 3) "adiciona novos recursos para simplificar a segurança de Wi-Fi, fornecer autenticação mais confiável, aumentar a força criptográfica para mercados de dados altamente sensíveis e garantir a resiliência de redes de missão crítica". Em todas as redes WPA3:
- Os métodos de segurança mais recentes são usados.
- Protocolos desatualizados proibidos
- Função obrigatória de proteção de quadros de controle contra PMF comprometido (Quadros de Gerenciamento Protegidos)
Como as redes Wi-Fi diferem em suas necessidades de uso e segurança, o WPA3, como o WPA2, oferece dois perfis padrão para redes pessoais e corporativas: WPA3-Personal e WPA3-Enterprise.
Os usuários
WPA3-Personal obtêm autenticação de senha mais forte e proteção contra força bruta, mesmo que escolham uma senha muito curta ou simples. Isso é feito substituindo o antigo protocolo PSK (Pre-shared Key) pelo protocolo de
autenticação simultânea de iguais (SAE) de Dan Perkins. SAE refere-se a protocolos como
PAKE (acordo de chave autenticado por senha): um método interativo em que duas ou mais partes estabelecem chaves criptográficas com base no conhecimento de um ou mais lados da senha.
A principal propriedade do PAKE é que uma pessoa no meio
não pode obter informações suficientes para realizar uma força bruta "offline" completa no modo passivo. Ele definitivamente precisa de interação com as partes para verificar cada opção. Isso significa que, mesmo com senhas fracas, é fornecida uma segurança muito melhor do que antes.
O WPA3-Personal está mais focado na facilidade de uso. Os usuários ainda podem escolher senhas arbitrárias.
O WPA3-Enterprise fornece requisitos de segurança muito mais altos e agora permite o uso de protocolos de segurança altamente robustos para redes de dados confidenciais. São oferecidos protocolos criptográficos usando um mínimo de chaves de 192 bits e as seguintes ferramentas criptográficas para proteção de dados:
- Criptografia autêntica : Galois de 256 bits / Protocol Mode Protocol (GCMP-256)
- Geração e confirmação de chave : HMAC (Hashed Message Authentication Mode) de 384 bits com hash de algoritmo de hash seguro (HMAC-SHA384)
- Troca e autenticação de chaves : troca de protocolo Elliptic Curve Diffie-Hellman (ECDH) e assinatura digital do algoritmo de assinatura digital Elliptic Curve (ECDSA) em uma curva elíptica de 384 bits
- Gerenciamento robusto de proteção de tráfego : Código de autenticação de mensagens Galois do protocolo de integridade de difusão / multicast de 256 bits (BIP-GMAC-256)
Supõe-se que, ao escolher o modo de 192 bits, todas as ferramentas acima serão usadas, o que garante a combinação correta de protocolos como a plataforma de segurança básica na rede WPA3.
O WPA3 mantém compatibilidade retroativa com dispositivos WPA2 e atualmente é uma certificação adicional opcional para dispositivos Wi-Fi CERTIFIED.
O WPA3 é baseado no protocolo criptográfico Dan Harkins,
autenticação simultânea de iguais (SAE ). Esse especialista também é o autor do
infame protocolo
Dragonfly (RFC 7664) . Devo dizer que o processo de aprovação da RFC 7664 na IETF foi
acompanhado por um debate acalorado . Kevin Igoe, presidente do grupo de trabalho de padrões de criptografia do CFRG que reivindicou o Dragonfly,
é supostamente
um membro da NSA . Como resultado, no entanto, em um sentido global, não se pode falar com total confiança sobre a força criptográfica e a confiabilidade geral do protocolo SAE e do padrão WPA3 como um todo.
A Wi-Fi Alliance espera que os dispositivos habilitados para WPA3 cheguem ao mercado em 2019, juntamente com dispositivos que suportem a nova versão mais rápida do próprio Wi-Fi - o
802.11ax . Depois disso, o suporte ao WPA3 pode ser um pré-requisito para a certificação de qualquer dispositivo Wi-Fi.
