WPA3, Open Enhanced, Easy Connect: Três novos protocolos da Wi-Fi Alliance
A Wi-Fi Alliance
lançou recentemente
a maior atualização de segurança Wi-Fi em 14 anos. O Protocolo de Segurança Wi-Fi do Acesso Protegido 3 (WPA3) introduz atualizações muito necessárias ao protocolo WPA2 de 2004. Em vez de redesenhar completamente a segurança Wi-Fi, o WPA3 se concentra em novas tecnologias que devem fechar as lacunas que começaram a aparecer no WPA2.
A Wi-Fi Alliance também anunciou dois protocolos adicionais de certificação separados que estão sendo implantados em paralelo com o WPA3. Os protocolos Enhanced Open e Easy Connect são independentes do WPA3, mas melhoram a segurança de certos tipos de redes e situações.
Todos os protocolos estão disponíveis para implementação pelos fabricantes em seus dispositivos. Se o WPA2 puder ser considerado um indicador, esses protocolos serão adotados universalmente, mas a Wi-Fi Alliance não fornece nenhum cronograma de acordo com o qual isso deve acontecer. Provavelmente, com a introdução de novos dispositivos no mercado, chegaremos ao estágio após o qual WPA3, Enhanced Open e Easy Connect se tornarão novos pilares de segurança.
O que todos esses novos protocolos fazem? Há muitos detalhes e, como a maioria deles está relacionada à criptografia sem fio, também são encontradas matemáticas complexas - mas aqui está uma descrição aproximada das quatro principais mudanças que eles trarão consigo para a questão da segurança sem fio.
Autenticação simultânea de iguais, SAE
A maior mudança que o
WPA3 trará. O ponto mais importante na proteção de rede ocorre quando um novo dispositivo tenta estabelecer uma conexão. O inimigo deve permanecer atrás dos portões, para que o WPA2 e o WPA3 prestem muita atenção na autenticação de novas conexões e na garantia de que não sejam tentativas do hacker de obter acesso.
O SAE é um novo método de autenticação para um dispositivo que tenta se conectar a uma rede. SAE é uma variante do chamado
handshake de libélula , que usa criptografia para impedir que um invasor adivinhe a senha. Ele fala sobre como exatamente um novo dispositivo, ou usuário, deve "cumprimentar" um roteador de rede ao trocar chaves criptográficas.
O SAE está substituindo o método PSK (Chave Pré-Compartilhada) [chave pré-distribuída] usada desde que o WPA2 foi introduzido em 2004. O PSK também é conhecido como comunicação em quatro etapas, pois muitas mensagens ou "handshakes" bidirecionais precisam ser transmitidas entre o roteador e o dispositivo de conexão para confirmar que eles concordaram com uma senha, enquanto nenhum dos lados informa o outro . Até 2016, o PSK parecia seguro e, em seguida
, foi
lançado um
ataque com o Key Reinstallation Attacks (
KRACK ).
O KRACK interrompe uma série de apertos de mão, fingindo estar temporariamente desconectado do roteador. De fato, ele usa conectividade repetitiva para analisar os apertos de mão até descobrir qual era a senha. O SAE bloqueia a possibilidade de um ataque assim, bem como os ataques de dicionário offline mais comuns, quando um computador passa por milhões de senhas para determinar qual deles corresponde às informações recebidas durante as conexões PSK.
Como o nome indica, o SAE trabalha com a suposição de que os dispositivos são iguais, em vez de tratar um dispositivo como enviando solicitações e o segundo como estabelecendo o direito de conexão (tradicionalmente, era um dispositivo tentando conectar-se e um roteador, respectivamente). Qualquer uma das partes pode enviar uma solicitação de conexão e, em seguida, começa a enviar independentemente suas informações de identificação, em vez de trocar mensagens sucessivamente. E sem essa troca, o ataque do KRACK não será capaz de "inserir um pé entre a porta e o batente", e os ataques do dicionário se tornarão inúteis.
O SAE oferece um aprimoramento de segurança adicional que o PSK não possuía: sigilo direto. Suponha que um invasor obtenha acesso a dados criptografados que um roteador envia e recebe da Internet. Anteriormente, o invasor podia salvar esses dados e, em caso de tentativa de senha bem-sucedida, descriptografá-los. Usando o SAE, a cada nova conexão, uma nova senha de criptografia é definida; portanto, mesmo que o invasor em algum momento penetre na rede, ele poderá roubar apenas a senha dos dados transmitidos após esse momento.
O SAE é descrito no
padrão IEEE 802.11-2016 , que
abrange mais de 3.500 páginas.
Protocolos de segurança de 192 bits
O WPA3-Enterprise , uma versão do WPA3 projetada para uso em instituições governamentais e financeiras, bem como em um ambiente corporativo, possui criptografia de 192 bits. Esse nível de criptografia para o roteador doméstico será excessivo, mas faz sentido usá-lo em redes que trabalham com informações particularmente sensíveis.
Agora, o Wi-Fi funciona com segurança de 128 bits. A segurança em 192 bits não será obrigatória - será uma opção de configuração para as organizações cujas redes precisarão dela. A Wi-Fi Alliance também enfatiza que as redes industriais precisam fortalecer a segurança em todas as frentes: a resiliência de um sistema é determinada pela resiliência do elo mais fraco.
Para garantir um nível adequado de segurança para toda a rede, do início ao fim, o WPA3-Enterprise usará o protocolo Galois / Modo de contador de 256 bits para criptografia, o Modo de autenticação de mensagens em hash de 384 bits para geração e confirmação de chaves e os algoritmos Elliptic Curve Diffie-Hellman troca, algoritmo de assinatura digital de curva elíptica para autenticação de chave. Eles têm muita matemática complexa, mas a vantagem é que a criptografia de 192 bits será suportada a cada etapa.
Conexão fácil
O Easy Connect é um reconhecimento do grande número de dispositivos conectados à rede no mundo. E embora, talvez, nem todas as pessoas desejem ter casas inteligentes, a pessoa comum provavelmente tem mais dispositivos conectados ao seu roteador doméstico hoje do que em 2004. Conexão Fácil - uma tentativa da aliança Wi-Fi de tornar a conexão de todos esses dispositivos mais intuitiva.
Em vez de digitar uma senha toda vez que você adicionar um dispositivo, os dispositivos terão códigos QR exclusivos - e cada código funcionará como uma chave pública. Para adicionar um dispositivo, você pode digitalizar o código usando um smartphone já conectado à rede.
Após a digitalização, o dispositivo trocará chaves de autenticação com a rede para estabelecer a comunicação subsequente. O protocolo Easy Connect não está associado ao WPA3 - os dispositivos certificados para ele devem ter um certificado para WPA2, mas não necessariamente um certificado para WPA3.
Abertura aprimorada
O Enhanced Open é outro protocolo separado, projetado para proteger um usuário em uma rede aberta. As redes abertas - aquelas que você usa em um café ou aeroporto - apresentam uma série de problemas que geralmente não lhe interessam quando você estabelece uma conexão em casa ou no trabalho.
Muitos ataques que ocorrem em uma rede aberta são passivos. Quando várias pessoas se conectam à rede, um invasor pode coletar muitos dados simplesmente filtrando as informações que passam.
O Enhanced Open usa a Criptografia sem fio oportunista (OWE), definida na
Força-tarefa de Engenharia da Internet RFC 8110 , para proteger contra a interceptação passiva. O OWE não requer proteção adicional de autenticação - ele se concentra em melhorar a criptografia de dados transmitidos pelas redes públicas, a fim de impedir seu roubo. Também impede que os chamados Uma injeção de pacote simples [injeção de pacote não sofisticada] na qual um invasor tenta interromper a rede criando e transmitindo pacotes de dados especiais que parecem parte da operação normal da rede.
O Enhanced Open não fornece proteção de autenticação devido à natureza da organização de rede aberta - eles são, por definição, destinados ao uso geral. O Enhanced Open foi desenvolvido para melhorar a proteção de redes abertas contra ataques passivos, para não exigir que os usuários insiram senhas adicionais ou passem por etapas adicionais.
Passará pelo menos alguns anos até que o WPA3, o Easy Connect e o Enhanced Open se tornem a norma. O WPA3 generalizado ocorrerá somente após a substituição ou atualização de roteadores. No entanto, se você estiver preocupado com a segurança da sua rede pessoal, poderá substituir seu roteador atual por outro que suporte WPA3 assim que os fabricantes começarem a vendê-los, o que pode acontecer em alguns meses.