Czym właściwie jest... WPA3?
In eigener Sache
Co to jest WPA3?
WPA3 to trzecia wersja protokołu Wi-Fi Protected Access (WPA). Została ogłoszona przez Wi-Fi Alliance na początku 2018 roku jako następca powszechnie stosowanego WPA2. Poprzednik i do tej pory uważany za bezpieczny protokół WPA2 został częściowo złamany w październiku 2017 roku przez badaczy z Uniwersytetu w Leuven przy użyciu ataku KRACK.
Jakie zalety oferuje WPA3 w stosunku do WPA2?
Nowy standard WPA został zaprezentowany w lutym 2018 roku na targach technologicznych CES w Las Vegas. WPA3 nie tylko zlikwiduje lukę w zabezpieczeniach standardu WPA2, która została ujawniona przez KRACK, ale także sprawi, że sieci WLAN będą bezpieczniejsze pod innymi względami, a ich konfiguracja będzie bardziej przyjazna dla użytkownika. Wi-Fi Alliance zapewnia również o kompatybilności z urządzeniami pracującymi w standardzie WPA2.
Bezpieczeństwo samych urządzeń WLAN ma być gwarantowane przez zmienione zapytanie o hasło. W przypadku WPA2 możliwe było odgadnięcie słabego hasła dostępu do urządzenia za pomocą prostego ataku. Tutaj atakujący nie musiał być aktywnie połączony z siecią docelową, a jedynie musiał przez krótki czas nagrywać handshake'i wewnątrz sieci i mógł wtedy wykonać atak słownikowy w trybie offline. W protokole WPA3 hasła mogą być teraz pobierane tylko wtedy, gdy urządzenie jest aktywnie połączone. Podobnie jak w przypadku funkcji blokady smartfonu, po wielokrotnym błędnym wpisaniu hasła czas pomiędzy kolejnymi próbami wydłuża się wykładniczo.
Uproszczona ma być konfiguracja urządzeń bez wyświetlacza lub graficznego interfejsu użytkownika, jak ma to miejsce w przypadku większości urządzeń IoT. W tym celu w WPA3 wykorzystywana jest nowa funkcja Easy Connect. Urządzenia IoT obsługujące WPA3 mają być wyposażone w kody QR, które można łatwo zeskanować smartfonem i połączyć z innymi urządzeniami.
Zagwarantowane ma być także bezpieczeństwo sieci rządowych, wojskowych, Industrie W-LAN lub innych sieci krytycznych o najwyższych wymaganiach bezpieczeństwa. Na przykład szyfrowanie lokalnych sieci W-LAN jest podniesione do 192-bitów dzięki WPA Enterprise dla firm. Nie jest to jednak wstecznie kompatybilne z WPA2 i dlatego wymaga zakupu nowych, obsługujących WPA3 urządzeń dla całej infrastruktury W-LAN.
Opportunistic Wireless Encryption (OWE) to innowacja, która już dawno powinna się pojawić. Jest to szyfrowanie transmisji danych pomiędzy urządzeniami WLAN a punktami końcowymi w sieci lokalnej. Powinno to szczególnie zainteresować hotele, lotniska lub innych operatorów publicznych hotspotów, którzy oferują połączenie z internetem bez rejestracji lub uwierzytelniania użytkownika. Pojawienie się publicznych hotspotów sprawiło, że transmisja danych osobowych była narażona na ataki typu man-in-the-middle ze względu na brak szyfrowania w sieci lokalnej, jak i przez Internet. Obecnie jednak większość połączeń jest już szyfrowana za pomocą TLS pomiędzy dwoma punktami końcowymi, dzięki czemu są one bezpiecznie przesyłane nawet w sieciach lokalnych, co nie było normą, gdy 14 lat temu wprowadzano WPA2.
Obecnie jednak nadal nie ma zgody co do tematu OWE. Przeciwnicy innowacji twierdzą, że wdrożenie jednoczesnej obsługi szyfrowanych i "otwartych" sieci W-LAN przez ten sam punkt dostępu jest zbyt trudne. Dlatego wdrożenie OWE będzie opóźnione w nieskończoność.
Kiedy nadejdzie WPA3?
Według Wi-Fi Alliance, pierwsze urządzenia z obsługą WPA3 powinny pojawić się na rynku już na początku 2019 roku. Mimo że producenci urządzeń obsługujących Wi-Fi muszą spełniać wytyczne nowego standardu WPA3, aby zostać zweryfikowanym przez Wi-Fi Alliance, większość użytkowników nie wymieni na razie swojego działającego sprzętu opartego na WPA2. Może zatem minąć jeszcze kilka lat, zanim WPA3 stanie się powszechnym standardem.
Marcel Zimmer ist der Technische Geschäftsführer der EnBITCon. Während seiner Bundeswehrzeit konnte der gelernte IT-Entwickler zahlreiche Projekterfahrung gewinnen. Sein Interesse an der IT-Sicherheit wurde maßgeblich durch seinen Dienst in der Führungsunterstützung geweckt. Auch nach seiner Dienstzeit ist er aktiver Reservist bei der Bundeswehr.
Seine erste Firewall war eine Sophos UTM 120, welche er für ein Kundenprojekt einrichten musste. Seitdem ist das Interesse für IT-Sicherheit stetig gewachsen. Im Laufe der Zeit sind noch diverse Security- und Infrastrukturthemen in seinen Fokus gerückt. Zu seinen interessantesten Projekten gehörte zum Beispiel eine WLAN-Ausleuchtung in einem EX-Schutz Bereich, sowie eine Multi-Standort-WLAN-Lösung für ein großes Logistikunternehmen.