Nowy standard już w tym roku zwiększy bezpieczeństwo sieci Wi‑Fi

WPA2, powszechnie wykorzystywany dziś standard zabezpieczeńsieci bezprzewodowych, jest w zasadzie bezpieczny. To prawda, znamypewneataki (na czele z KRACK-iem)pozwalające zabezpieczenia w określonych okolicznościachprzełamać, ale na pewno nie ma powtórki sytuacji ze starego WEP,gdzie każdy w kilka minut jest w stanie pozyskać hasło do Wi-Fi. Ajednak stowarzyszenie branżowe WiFi Alliance uznało, że czaszrobić krok naprzód w dziedzinie zabezpieczeń. Zapowiedziało nowystandard, WPA3. Jego pełna specyfikacja będzie dostępna później,ale już teraz poznaliśmy cztery główne zmiany, jakie wprowadza.

Koniec z atakami, które wykorzystując słownikinajpopularniejszych haseł po prostu próbowały je jedne po drugim.A że hasła sieci Wi-Fi są nierzadkosłabe (szczególnie w wypadku publicznych hotspotów, np. nalotniskach czy w restauracjach), to po kilku dniach takiego ataku wkońcu uzyskamy dostęp. Ale nie z WPA3. Proces uwierzytelnianiabędzie tu blokowany po kilku nieudanych próbach, podobnie jak tosię dzieje w wypadku wielu portali webowych.

Skonfigurowanie ustawień sieci bezprzewodowej nie jest trudne –pod jednym warunkiem, posiadania ekranu i klawiatury. A co zurządzeniami, które klawiatury i ekranu nie mają? Wymyślono w tymcelu kiedyś technologię Wireless Protected Setup (WPS), ale szybkookazało się, że jest ona tylnąfurtką dla włamywaczy. WiFi Alliance chce, by teraz można byłoskonfigurować ustawienia sieciowe sprzętu pozbawionego interfejsuużytkownika za pomocą smartfonu czy tabletu – ułatwi tostosowanie wszelkiego rodzaju smarttzamków, smartżarówek czysmartgwoździ (ok, to ostatnie to póki co nasza fantazja).

Wreszcie skończy się problem z publicznymi sieciami Wi-Fi –WPA3 pozwoli na indywidualne szyfrowanie połączeń między routerema klientem, dzięki czemu inne połączone urządzenia nie będąmogły podsłuchiwać ruchu, a nawet wstrzykiwać w niego własnepakiety.

Prawdopodobnie chodzi tu o nową technologię szyfrowaniaoportunistycznego (Opportunistic Wireless Encryption). Zamiastkorzystać z publicznie udostępnianego klucza w procesie 4-wayhandshake, wykorzystywany jest tu proces wymiany kluczaDiffie-Hellmana, by następnie sekretny klucz wykorzystać podczasuwierzytelniania. Ułatwi to wszystkim życie – nie trzeba siębędzie przejmować zarządzaniem publicznymi kluczami.

Szyfrowanie sieci Wi-Fi ulegnie wzmocnieniu za sprawąwprowadzenia czegoś, co określono 192-bitowym pakietembezpieczeństwa, zgodnym z pakietem algorytmów bezpieczeństwanarodowego (CNSA). Ma onpodnieść bezpieczeństwo sieci bezprzewodowych do poziomuwymaganego przez władze, wojsko i duży biznes. Nic więcej niepowiedziano, ale z oficjalnych politykCNSA wynika, że może chodzić o wykorzystanie funkcji skrótuSHA-384 w funkcji wyprowadzania klucza z hasła (PBKDF2).

Nie wiadomo póki co, czy WPA3 będzie wymagał zupełnie nowegosprzętu, czy będzie mógł zostać wprowadzony poprzez aktualizacjefirmware. Szczerze mówiąc, nie widać tu niczego, co nie mogłobyzostać zrobione na drodze software’owej.

Już jednak w tym roku należy spodziewać się pierwszychurządzeń, które od początku będą miały certyfikat WPA3Certified. Co najważniejsze, wykorzystanie ich nie będzie wymagałood razu przebudowywania całej sieci – urządzenia wspierająceWPA3 będą działały w trybie kompatybilności z urządzeniamiWPA2.