Wi-Fi将变得更加安全:来了解下WPA3
2018-09-18   IEEE电气电子工程师学会

点击

上方“IEEE电气电子工程师学会”即可订阅公众号。网罗全球科技前沿动态,为科研创业打开脑洞。

插图来源:IEEE SPECTRUM

Wi-Fi联盟最近公布14年来最重磅的Wi-Fi安全升级Wi-Fi保护访问3(简称WPA3)安全认证协议为2004年推出的WPA2协议提供了一些迫切需要的更新WPA3并没有对Wi-Fi安全进行全面改造,而是专注于引入新技术来应对已经显现在WPA2中的漏洞。

WPA3之外Wi-Fi联盟还公布另外两个独立认证协议Enhanced Open(增强开放)协议Easy Connect(简单连接)协议。它们不依赖于WPA3,但它们确实提高了特定类型网络和特定情况下的安全性

所有这些协议现在都可供制造商整合到他们的设备中。如果WPA2将要走下历史舞台那么这些协议最终被普遍采用Wi-Fi联盟尚未就此设定任何时间表。最有可能的是,随着新设备进入市场,我们最终会看到一个转折点,那之后WPA3、Enhanced Open和Easy Connect就成了新的主流。

那么,所有这些新认证协议能做些什么?由于大多数都无线加密有关有很多复杂的数学计算,这就有些说来话长。不过,本文将只是概要地谈谈这些协议为无线安全带来的四个主要变化。

同时对等身份认证(SAE

这是WPA3带来的最大变化。任何网络防御中最重要的时刻一个新设备或用户试图连接进来时。敌人拦截在门外才最安全,这就是WPA2和如今的WPA3非常强调对新连接进行身份验证并确保它们不是攻击者获取访问权限的尝试的原因。

SAE是一种尝试连接到网络的设备进行身份验证的新方法。SAE使用加密技术来防止窃听者猜测密码所谓“蜻蜓握手”(dragonfly handshake)的一种变体 ,确切地指明了一个新设备或用户在交换加密密钥时应该如何网络路由器打招呼

SAE取代了自2004年WPA2推出以来一直在使用的预共享密钥PSK方法。PSK也被称为“四握手”(four-way handshake),这是指在路由器和连接设备之间来回握手或传递消息四次,四次握手后双方都要在没有任何一方直接透露事先商定的密码的情况下证明自己知道密码。直到2016年,PSK似乎都是安全的,直到密匙重装攻击”(KRACK)被发现

一个KRACK通过假装暂时失去与路由器的连接中断一系列的握手。实际上,它使用重复连接机会来分析握手,直到将正确的密码拼凑出来为止SAE阻止这种攻击以及更常见的离线字典攻击。在离线字典攻击中,一台计算机会用数百、数千或数百万个密码来做尝试,以确定其中哪个密码与PSK握手提供的验证信息相匹配。

顾名思义,SAE的工作方式是将设备视为平等的,而不是将一视为显式请求者而将另一视为认证者(传统上分别是连接设备和路由器。任何一方都可以发起握手,然后它们继续独立发送它们的认证信息,而不是作为来回交换的一部分。如果没有来回交换KRACK无处可,而字典攻击也毫无用处。

SAE提供了PSK没有的额外安全特性:前向保密。假设攻击者可以访问路由器从更广泛的因特网上发送和接收的加密数据。以前,攻击者可以保留这些数据然后,如果它们成功地获得了一个密码,它们就可以解密先前存储的数据。使用SAE,每次建立连接时都会更改加密密码,因此即使攻击者通过欺骗的方式进入网络,他们也只能窃取密码来解密之后传输的数据。

标准IEEE 802.11-2016中SAE进行了定义顺便说一下,该标准的长度超过3,500页。 

192位安全协议

WPA3- Enterprise是面向金融机构、政府和企业的一个WPA3认证版本,具有192位加密功能。对于家庭网络上的路由器来说,这是一过度的安全级别,但对于处理特别敏感信息的网络来说,这是有意义的。

Wi-Fi目前提供128位安全协议的安全性192位的安全协议不是强制性的,对于那些希望或需要将其用于其网络的机构来说,它是一个可选的设置。Wi-Fi联盟还强调,企业网络应该拥有强大的加密能力系统安全的整体强度取决于其最薄弱的环节。

为了确保一个网络的整体安全性从头到尾地达到一致性WPA3-Enterprise将使用256位伽罗瓦/计数器模式协议Galois/Counter Mode Protocol进行加密,使用384位的散列消息认证模式Hashed Message Authentication Mode来创建和确认密钥,以及使用椭圆曲线Diffie-HellmanElliptic Curve Diffie-Hellman 交换和椭圆曲线数字签名算法Elliptic Curve Digital Signature Algorithm认证密钥。是一个复杂的数学问题,但其结果是,这个过程的每一步都将为需要它的组织保持一个192位的加密和安全最小值。

简单连接

Easy Connect是对当今世界上连接设备数量之巨的一种承认。虽然并不是每个人都在追赶智能家居的潮流,但与2004年相比,如今的普通人连接到家庭路由器上的设备至少多了几件Wi-Fi联盟正努力使所有这些设备连接上来之事变得更直观。

每次你的网络添加东西时输入密码不同,设备将具有唯一的QR——每个设备的QR码将作为一种公钥来使用。要添加设备,可以使用已经连接到网络的智能手机扫描QR

在扫描QR码之后,网络和设备交换并验证密钥以进行后续连接。Easy Connect是WPA3的一个单独协议:Easy Connect认证设备必须是经过WPA2认证,但不必非要经过WPA3认证。

增强开放

Enhanced Open是另一个单独的协议,其设计目的是为了在开放网络上保护 开放网络——在咖啡店和机场连接的网络——带来了一系列问题,当连接到家庭或工作网络时,通常不必担心这些问题。 

在开放网络上发生的许多攻击都是被动攻击。由于有大量的人连接到网络,攻击者可以通过坐下来对进出的数据进行筛选来获取大量数据。

Enhanced Open使用机会无线加密”(Opportunistic Wireless Encryption,简称OWE)来防止这种被动窃听。在Internet Engineering Task Force RFC 8110标准中定义了OWEOWE不需要任何额外的身份验证保护,而是专注于改进通过公共网络发送的数据的加密,使窃听者无法窃取。它还可以防止所谓的简单数据包注入unsophisticated packet injection在这种攻击中,攻击者试图通过构建和传输看起来像是网络正常运作的一部分的数据包来破坏网络的运作

Enhanced Open不提供任何身份验证保护的原因是由于开放网络的性质——按照设计,它们可用于一般用途。Enhanced Open旨在提高开放网络对被动攻击的防御,而无需普通用户输入额外密码或执行额外步骤。

Easy Connect和Enhanced Open成为常态之后,至少要过几年WPA3才会普及。随着路由器被替换或升级WPA3的公开采用将会发生。如果担心个人网络的安全性,那么应该可以WPA3认证的路由器替换当前的路由器,因为制造商会在接下来的几个月内开始销售这样的路由器



点击
阅读原文
了解更多详情
//所有站点 //公用网站