WPA3,增强型开放,轻松连接:Wi-Fi联盟的三个新协议
Wi-Fi联盟最近
发布了 14年来最大的Wi-Fi安全更新。 受保护的访问3(WPA3)Wi-Fi安全协议为2004 WPA2协议引入了急需的更新。 WPA3并未完全重新设计Wi-Fi安全性,而是专注于应填补WPA2中开始出现的空白的新技术。
Wi-Fi联盟还宣布了另外两个与WPA3并行部署的独立认证协议。 增强的开放式协议和Easy Connect协议独立于WPA3,但是提高了某些类型的网络和情况的安全性。
制造商可以在其设备中实施所有协议。 如果可以将WPA2视为指标,那么这些协议最终将被普遍采用,但Wi-Fi联盟没有给出应根据其进行调度的时间表。 随着市场上新设备的推出,最有可能的是,我们最终将达到WPA3,Enhanced Open和Easy Connect成为新安全支柱的阶段。
所有这些新协议做什么? 有很多细节,而且由于大多数细节都与无线加密有关,因此还可以找到复杂的数学方法,但这是它们将为无线安全问题带来的四个主要变化的大概描述。
同时认证等于,SAE
WPA3将带来的最大变化。 网络保护中最重要的一点是新设备尝试建立连接时。 敌人必须留在城门后面,因此WPA2和WPA3非常重视身份验证新连接并确保黑客不会试图获取它们。
SAE是用于尝试连接到网络的设备的新身份验证方法。 SAE是所谓的
蜻蜓握手 ,它使用加密技术来防止攻击者猜测密码。 他谈到在交换加密密钥时,新设备或用户应如何“问候”网络路由器。
SAE取代了自2004年引入WPA2以来使用的预共享密钥(PSK)方法[pre-distributed key]。 PSK也称为四步通信,因为需要在路由器和连接设备之间传输如此多的消息或双向“握手”消息,以确认他们已同意密码,而任何一方都不会通知对方。 直到2016年,PSK似乎都很安全,然后
使用“密钥重新安装攻击”(
KRACK )
发起了攻击。
KRACK中断了一系列握手,假装暂时与路由器断开连接。 实际上,他使用重复性连接来分析握手,直到他知道密码是什么为止。 当计算机通过数百万个密码来确定哪个密码与在PSK连接期间接收到的信息相匹配时,SAE会阻止此类攻击以及最常见的脱机字典攻击。
顾名思义,SAE是在设备相等的前提下工作的,而不是考虑一个设备发送请求,第二个设备建立连接权(传统上,这是一个试图连接的设备和一个路由器)。 任何一方都可以发送连接请求,然后他们开始独立发送其标识信息,而不是依次来回交换消息。 如果没有这种交换,KRACK攻击将无法“将脚插入门和门框之间”,而字典攻击将变得毫无用处。
SAE提供了PSK没有的其他安全增强功能:前向保密性。 假设攻击者可以访问路由器从Internet发送和接收的加密数据。 以前,攻击者可以保存此数据,然后在密码猜测成功的情况下将其解密。 使用SAE,为每个新的连接设置一个新的加密密码,因此,即使攻击者在某个时候穿透了网络,他也将只能从此刻之后传输的数据中窃取密码。
SAE在
IEEE 802.11-2016标准中进行了描述,该
标准跨越 3500页。
192位安全协议
WPA3-Enterprise是WPA3的一种版本,设计用于政府和金融机构以及企业环境,具有192位加密。 家用路由器的这种加密级别将过高,但是在处理特别敏感信息的网络中使用它是有意义的。
现在,Wi-Fi具有128位安全性。 192位安全性不是强制性的-对于那些需要网络的组织来说,这将是一个配置选项。 Wi-Fi联盟还强调指出,工业网络需要在各个方面加强安全性:系统的弹性取决于最薄弱环节的弹性。
为了确保整个网络从头到尾都具有足够的安全性,WPA3-Enterprise将使用256位Galois /计数器模式协议进行加密,使用384位哈希消息身份验证模式进行密钥生成和确认,以及椭圆曲线Diffie-Hellman算法交换,用于密钥认证的椭圆曲线数字签名算法。 他们有很多复杂的数学运算,但优点是每一步都将支持192位加密。
轻松连接
Easy Connect是对世界上连接到网络的大量设备的认可。 尽管也许并非所有人都希望拥有智能家居,但与2004年相比,如今普通人最有可能连接到其家庭路由器的设备更多。 轻松连接-Wi-Fi联盟尝试使所有这些设备的连接更加直观。
这些设备将具有唯一的QR码-而不是每次添加设备时都输入密码-并且每个设备代码都将充当公用密钥。 要添加设备,您可以使用已经连接到网络的智能手机扫描代码。
扫描后,设备将与网络交换认证密钥以建立后续通信。 Easy Connect协议不与WPA3关联-经过认证的设备必须具有WPA2证书,但不一定具有WPA3证书。
增强开放
增强开放是另一种单独的协议,旨在保护开放网络上的用户。 开放式网络-您在咖啡馆或机场使用的网络-会带来一系列问题,这些问题通常在您在家中或工作场所建立连接时都不会涉及到您。
在开放网络上发生的许多攻击都是被动的。 当一群人连接到网络时,攻击者可以通过简单过滤经过的信息来收集大量数据。
增强开放使用
Internet工程任务组RFC 8110中定义的机会无线加密(OWE)来防止被动窃听。 OWE不需要额外的身份验证保护-它专注于改进通过公共网络传输的数据的加密,以防止其被盗。 这也防止了所谓的 一种简单的数据包注入[简单的数据包注入],攻击者通过创建和传输看起来像网络正常运行的一部分的特殊数据包来尝试破坏网络。
由于开放网络组织的性质,Enhanced Open不提供身份验证保护-根据定义,它们旨在用于一般用途。 增强开放旨在改善开放网络免受被动攻击的保护,从而不要求用户输入其他密码或执行其他步骤。
WPA3,Easy Connect和Enhanced Open成为规范至少要过几年。 仅当更换或更新路由器后,才会发生WPA3广泛传播。 但是,如果您担心个人网络的安全性,则可以在制造商开始销售后立即用支持WPA3的另一路由器替换当前路由器,这可能会在几个月后发生。