2018年6月25日,Wi-Fi联盟
正式推出了
Wi-Fi CERTIFIED WPA3认证计划 。 这是14年以来的首次Wi-Fi安全协议更新。
该联盟表示,WPA3(Wi-Fi保护访问3)“增加了新功能,以简化Wi-Fi安全性,提供更可靠的身份验证,增强高敏感数据市场的加密强度并确保关键任务网络的弹性。” 在所有WPA3网络中:
- 使用了最新的安全性方法。
- 禁止过时的协议
- 强制性功能,可保护控制框架免受损坏的PMF(受保护的管理框架)
由于Wi-Fi网络在使用和安全需求方面有所不同,因此WPA3与WPA2一样,为个人和公司网络提供了两个标准配置文件:WPA3-Personal和WPA3-Enterprise。
WPA3个人用户即使选择的密码太短或太简单,也可以获得更强的密码身份验证和暴力保护。 这可以通过用Dan Perkins的
同时认证平等 (SAE)协议替换旧的预共享密钥(PSK)协议来实现。 SAE指的是类似
PAKE (密码认证的密钥协议)这样的协议:一种交互式方法,其中两个或多个参与者根据密码的一个或多个侧面的知识来建立加密密钥。
PAKE的关键特性是,中间人
无法获取足够的信息以被动方式进行完整的“离线”暴力破解。 他绝对需要与当事方进行互动以验证每个选项。 这意味着即使密码较弱,也可以提供比以前更好的安全性。
WPA3-Personal更加注重易用性。 用户仍然可以选择任意密码。
WPA3-Enterprise提供了更高的安全性要求,现在允许对敏感数据网络使用高度鲁棒的安全性协议。 提供了使用最少192位密钥的加密协议以及以下用于数据保护的加密工具:
- 可靠加密 :256位Galois /计数器模式协议(GCMP-256)
- 密钥生成和确认 :具有安全哈希算法哈希(HMAC-SHA384)的384位哈希消息身份验证模式(HMAC)
- 密钥交换和认证 :384位椭圆曲线上的椭圆曲线Diffie-Hellman(ECDH)协议交换和椭圆曲线数字签名算法(ECDSA)数字签名
- 强大的流量保护管理 :256位广播/组播完整性协议Galois消息认证代码(BIP-GMAC-256)
假定选择192位模式时,将使用上述所有工具,从而保证将协议正确组合为WPA3网络中的基本安全平台。
WPA3保持与WPA2设备的向后兼容性,目前是CERTIFIED Wi-Fi设备的可选附加认证。
WPA3是基于Dan Harkins加密协议的等值
同时认证(SAE )。 该专家还是
臭名昭著的 蜻蜓协议
(RFC 7664)的作者 。 我必须说,IETF的RFC 7664批准过程
伴随着 激烈的 辩论 。 声称蜻蜓的CFRG加密标准工作组主席Kevin Igoe据称
是NSA的成员 。 结果,尽管如此,从全球的角度来看,人们不能完全自信地谈论SAE协议和整个WPA3标准的加密强度和整体可靠性。
Wi-Fi联盟预计启用WPA3的设备以及支持新的,更快版本的Wi-Fi本身的设备802.11ax将于2019年投放市场。 之后,WPA3支持可以成为任何Wi-Fi设备认证的先决条件。
