ВПА2 вс. ВПА3

Објављен 2018. године, ВПА3 је ажурирана и сигурнија верзија протокола заштићеног приступа Ви-Фи мреже за заштиту бежичних мрежа. Као што смо описали у ВПА2ВПА3Означава Заштићен Ви-Фи приступ 2 Заштићен Ви-Фи приступ 3 Шта је то? Сигурносни протокол који је 2004. године развио Ви-Фи Аллианце за употребу у обезбеђивању бежичних мрежа; дизајниран за замену ВЕП и ВПА протокола. Објављен 2018. године, ВПА3 је нова генерација ВПА и има боље сигурносне карактеристике. Штити од слабих лозинки које се релативно лако могу пробити помоћу нагађања. Методе За разлику од ВЕП и ВПА, ВПА2 користи АЕС стандард уместо шифре тока РЦ4. ЦЦМП замењује ТКИП од ВПА. 128-битна енкрипција у ВПА3-личном режиму (192-битна у ВПА3-Ентерприсе) и тајност унапред. ВПА3 такође замењује размену пре-дељеног кључа (ПСК) са истодобном аутентификацијом једнаких, што је сигурнији начин да се изврши почетна размена кључева. Сигурна и препоручена? ВПА2 се препоручује преко ВЕП-а и ВПА-е и сигурнији је када је Ви-Фи заштићено подешавање (ВПС) онемогућено. Не препоручује се преко ВПА3. Да, ВПА3 је сигурнији од ВПА2 на начине који су описани у доњем есеју. Заштићени оквири за управљање (ПМФ) ВПА2 даје подршку ПМФ-у од почетка 2018. Старији усмјеривачи с непакираним фирмваре-ом можда не подржавају ПМФ. ВПА3 даје употребу заштићених управљачких оквира (ПМФ)

Садржај: ВПА2 вс ВПА3

  • 1 Ново руковање: Истодобна аутентификација једнаких (САЕ)
    • 1.1 Отпорно на дешифровање изван мреже
    • 1.2 Прослеђивање тајности
  • 2 оппортунистичка бежична енкрипција (ОВЕ)
  • 3 протокол за пружање уређаја (ДПП)
  • 4 дужа кључа за шифровање
  • 5 Сигурност
  • 6 Подршка за ВПА3
  • 7 препорука
  • 8 Референце

Ново руковање: истодобна аутентификација једнаких (САЕ)

Када се уређај покушава пријавити на Ви-Фи мрежу заштићену лозинком, кораци испоруке и провјере лозинке се подузимају четверосмјерним руковањем. У ВПА2, овај део протокола је био рањив на КРАЦК нападе:

У кључном нападу поновне инсталације [КРАЦК], противник наговара жртву да поново инсталира кључ који је већ у употреби. То се постиже манипулацијом и репродукцијом криптографских порука о руковању. Када жртва поново инсталира кључ, придружени параметри као што су инкрементални број пакета пријеноса (тј. Не) и примају пакет (тј. Бројач поновне репродукције) враћају се на почетну вредност. У суштини, за гарантовање сигурности, кључ треба инсталирати и користити само једном.

Чак и ако су исправке за ВПА2 ублажене против КРАЦК рањивости, ВПА2-ПСК и даље може да се поквари. Постоје чак и упутства за хакирање ВПА2-ПСК лозинки.

ВПА3 исправља ову рањивост и ублажава друге проблеме користећи другачији механизам руковања за аутентификацију на Ви-Фи мрежу - Истовремена аутентификација једнаких, позната и као Драгонфли Кеи Екцханге.

Технички детаљи о томе како ВПА3 користи Драгонфли размену кључева - која је и сама варијација СПЕКЕ (Симпле Пассворд Екпонентиал Кеи Екцханге) - описани су у овом видеу.

Предности Драгонфли размењивања кључева су тајност унапред и отпорност на дешифровање ван мреже.

Отпоран на дешифровање ван мреже

Рањивост ВПА2 протокола је у томе што нападач не мора остати повезан са мрежом да би погодио лозинку. Нападач може њушкати и хватати четверосмерну стисак руке почетне везе засноване на ВПА2 када је у близини мреже. Овај заробљени саобраћај може се потом користити ван мреже у нападу заснованом на речнику да би погодили лозинку. То значи да ако је лозинка слаба, лако је пробити. У ствари, алфанумеричке лозинке до 16 знакова могу се прилично брзо пробити за ВПА2 мреже.

ВПА3 користи Драгонфли Кеи Екцханге систем тако да је отпоран на нападе у речнику. Ово је дефинисано на следећи начин:

Отпор према нападу на речник значи да свака предност коју противник може стећи мора бити у директној вези са бројем интеракција које оствари са поштеним учесником протокола, а не рачунањем. Противник неће моћи да добије било какве информације о лозинци осим ако је један погодак из протокола исправан или нетачан.

Ова значајка ВПА3 штити мреже у којима је мрежна лозинка - тј. Пре-дељени кључ (ПСДК) - слабија од препоручене сложености.

Напријед тајност

Бежично умрежавање користи радио сигнал за пренос информација (пакета података) између клијентског уређаја (нпр. Телефона или лаптопа) и бежичне приступне тачке (рутера). Ови радио сигнали емитују се отворено и може их пресретнути или „примити“ било ко у близини. Када је бежична мрежа заштићена лозинком - било да је то ВПА2 или ВПА3 - сигнали су шифровани тако да трећа страна која пресреће сигнале неће моћи да разуме податке.

Међутим, нападач може снимити све ове податке које пресрећу. А ако буду у стању да погоди лозинку у будућности (што је могуће путем напада речника на ВПА2, као што смо видели горе), могу да користе кључ за дешифровање података о промету који су у прошлости забележени на тој мрежи.

ВПА3 обезбеђује тајну унапред. Протокол је осмишљен на начин да чак и уз мрежну лозинку није могуће да прислушкивач прескаче саобраћај између приступне тачке и другог клијентског уређаја.

Оппортунистичка бежична енкрипција (ОВЕ)

Описане овим белим листом (РФЦ 8110), Оппортунистичка бежична шифрирање (ОВЕ) је нова функција у ВПА3 која замењује 802.11 „отворену“ аутентификацију која се широко користи у жаришним точкама и јавним мрежама..

Овај ИоуТубе видео садржи технички преглед ОВЕ-а. Кључна идеја је да се користи Диффие-Хеллман механизам за размену кључева како би се шифровала сва комуникација између уређаја и приступне тачке (рутера). Дешифрирајући кључ за комуникацију различит је за сваког клијента који се повезује на приступну тачку. Дакле, ниједан други уређај на мрежи не може да дешифрује ову комуникацију, чак и ако је слушају у њој (што се назива њушкање). Ова корист се назива Индивидуална заштита података-промет података између клијента и приступне тачке је „индивидуализован“; па док остали клијенти могу њушкати и снимати овај саобраћај, они га не могу дешифровати.

Велика предност ОВЕ-а је што штити не само мреже којима је за повезивање потребна лозинка; такође штити отворене „несигурне“ мреже које немају захтеве за лозинком, нпр. бежичне мреже у библиотекама. ОВЕ пружа овим мрежама шифровање без аутентификације. Није потребно обезбеђивање, не преговарање и веродостојности - то једноставно функционира без да корисник мора нешто учинити или чак знати да је њено прегледавање сада сигурније..

Упозорење: ОВЕ не штити од „скитних“ приступних тачака (АП) попут АП-а са медом или злих близанаца који покушавају да преваре корисника да се повеже са њима и краду информације.

Друго упозорење је да ВПА3 подржава - али не налаже неауторификовано шифровање. Могуће је да произвођач добије ВПА3 ознаку без примјене неовлаштене енкрипције. Значајка се сада назива Ви-Фи ЦЕРТИФИЕД Енханцед Опен тако да би купци требало да потраже и ову налепницу поред ВПА3 етикете како би осигурали да уређај који купују подржава неовлашћено шифровање.

Протокол за пружање уређаја (ДПП)

Протокол за обезбеђивање уређаја Ви-Фи уређаја (ДПП) замењује мање безбедно заштићено Ви-Фи подешавање (ВПС). Многи уређаји у кућној аутоматизацији - или Интернет ствари (ИоТ) - немају интерфејс за унос лозинке и морају се ослонити на паметне телефоне како би посредовали у подешавању Ви-Фи-ја..

Још једном упозорење је да Ви-Фи Аллианце није одредио да се ова функција користи за добијање ВПА3 сертификата. Дакле, технички није део ВПА3. Уместо тога, ова функција је сада део њиховог Ви-Фи ЦЕРТИФИЕД Еаси Цоннецт програма. Зато потражите ту налепницу пре куповине хардвера који је сертификован за ВПА3.

ДПП омогућава аутентификацију уређаја на Ви-Фи мрежи без лозинке, користећи КР код или НФЦ (комуникација у близини поља, иста технологија која омогућује бежичне трансакције на Аппле Паи или Андроид Паи) ознакама.

Са заштитном поставком за Ви-Фи (ВПС), лозинка се с вашег телефона шаље на ИоТ уређај који затим лозинку користи за аутентификацију на Ви-Фи мрежи. Али са новим протоколом за пружање уређаја (ДПП), уређаји врше међусобну аутентификацију без лозинке.

Дужи тастери за шифровање

Већина ВПА2 имплементација користи 128-битне АЕС кључеве за шифровање. ИЕЕЕ 802.11и стандард такође подржава 256-битне кључеве за шифровање. У ВПА3, дуже величине кључева - еквивалентне 192-битној сигурности - дате су само за ВПА3-Ентерприсе.

ВПА3-Ентерприсе односи се на аутентификацију предузећа, која користи корисничко име и лозинку за повезивање на бежичну мрежу, а не само лозинку (ака претходно дељени кључ) која је типична за кућне мреже.

За потрошачке апликације, стандард сертификације за ВПА3 учинио је дуље величине кључева факултативним. Неки ће произвођачи користити дуже величине кључева јер су сада подржане протоколом, али потрошачи ће морати да одаберу рутер / приступну тачку.

Сигурност

Као што је горе описано, током година ВПА2 је постао рањив на разне облике напада, укључујући злогласну КРАЦК технику за коју су закрпе доступне, али нису за све рутере и корисници их не користе широко, јер захтева надоградњу управљачког софтвера.

У августу 2018. откривен је још један вектор напада за ВПА2.[1] Ово олакшава нападачу који њушка стисак руке ВПА2 да добије хасх унапред дељеног кључа (лозинке). Нападач може затим употријебити технику грубе силе да упореди овај хеш са хешсом листе најчешће кориштених лозинки или листе нагађања која покушава сваку могућу варијацију слова и бројева различите дужине. Користећи ресурсе за рачунарско коришћење у облаку, небитно је погодити било коју лозинку дужу од 16 знакова.

Укратко, ВПА2 сигурност је једнако добра као и ломљива, али само за ВПА2-Персонал. ВПА2-Ентерприсе је много отпорнији. Док ВПА3 није широко доступан, користите снажну лозинку за своју ВПА2 мрежу.

Подршка за ВПА3

Након његовог представљања 2018. године, очекује се да ће требати 12-18 мјесеци како би се подршка прешла у редовну струју. Чак и ако имате бежични рутер који подржава ВПА3, ваш стари телефон или таблет можда неће добити надоградње софтвера потребне за ВПА3. У том случају приступна тачка ће се вратити на ВПА2 тако да се и даље можете повезати на рутер, али без предности ВПА3.

За 2-3 године, ВПА3 ће постати маинстреам и ако купујете хардвер рутера сада је препоручљиво да буду куповине доказују у будућности..

Препоруке

  1. Гдје је то могуће, одаберите ВПА3 над ВПА2.
  2. Када купујете хардвер који има ВПА3 цертификат, потражите и Ви-Фи Енханцед Опен и Ви-Фи Еаси Цоннецт сертификате. Као што је горе описано, ове карактеристике повећавају сигурност мреже.
  3. Изаберите дугу, сложену лозинку (кључ са заједничким дељењем):
    1. користите бројеве, велика и мала слова, размаке, па чак и "посебне" знакове у својој лозинци.
    2. Нека прођефразу уместо једне речи.
    3. Нека буде дугачак 20 знакова или више.
  4. Ако купујете нови бежични рутер или приступну тачку, одаберите онај који подржава ВПА3 или планирате да уведите ажурирање софтвера који ће подржати ВПА3 у будућности. Добављачи бежичних рутера повремено објављују надоградње управљачког софтвера за своје производе. У зависности од тога колико је добављач добар, пуштају надоградње чешће. на пример. након рањивости КРАЦК-а, ТП-ЛИНК је био међу првим добављачима који су издали закрпе за своје рутере. Такођер су објавили закрпе за старије усмјериваче. Дакле, ако истражујете који рутер желите да купите, погледајте историју верзија фирмвера које је објавио тај произвођач. Изаберите компанију која марљиво води своје надоградње.
  5. Користите ВПН када користите јавну Ви-Фи приступну тачку, попут кафића или библиотеке, без обзира да ли је бежична мрежа заштићена лозинком (тј., Сигурна) или не.

Референце

  • КРАЦК напада на ВПА2
  • Драгонфли Кеи Екцханге - ИЕЕЕ бели папир
  • Изјава за штампу Ви-Фи Аллианце за ВПА3 функције и побољшања ВПА2
  • Побољшања заштите ВПА3 - ЈуТјуб
  • Оппортунистичка бежична енкрипција: РФЦ 1180
  • ВПА3 - Пропуштена прилика
  • ВПА3 Технички детаљи
  • Почетак краја ВПА-2: Кретање ВПА-2 је једноставно лакше