8 января 2018 года организация Wi-Fi Alliance анонсировала выход в 2018 году нового стандарта безопасности – WPA3. 25 июня состоялась официальная публикация стандарта.
Что нового, как готовиться к переходу, на что обратить внимание – посмотрим и разберёмся.
Почему WPA2 нам больше не друг
WPA2 – протокол-долгожитель. Сформировался он полтора десятка лет назад, вобрав в себя все имеющиеся на тот момент наработки по защите от проблем WEP-шифрования, предложения по укреплению защиты management-кадров из 802.11i, а также некоторые другие моменты. С конца 2004 года данный протокол начал внедряться везде, и быстро стал стандартом, закрывшим проблему с безопасностью массовых WiFi-сетей, ранее бывшую нарицательной. Это было банально необходимо, чтобы спасти технологию, т.к. на тот момент работа поверх WiFi расценивалась без VPN/IPsec как что-то несерьёзное, ведь “спокойно кто угодно ломанёт”. Байки про “зачем платить за инет, цепляешься за соседский WiFi и через три минуты сидишь через него на халяву” также с приходом WPA2 куда-то пропали.
Однако технологии не стоят на месте, и у WPA2 со временем тоже обнаружились и накопились проблемы в самом протоколе, не решаемые патчами конкретной реализации WPA2.
Одна из них – атака KRACK.
Атака KRACK (Key Reinstallation Attack)
Подробное описание этой атаки, появившейся осенью 2017 года, есть на отдельном сайте, поэтому ограничимся кратким описанием проблемы.
Атака KRACK эксплуатирует то, что для защиты каждой новой сессии к конкретной точке доступа нет полноценной перегенерации ключевого материала. Соответственно, была найдена возможность повторно использовать nonce, а это дало возможность расшифровки трафика без доступа к PSK. Список систем, подпадающих под KRACK, содержит практически всё, что бывает в природе.
В реальности атака, кстати, если используется WPA-TKIP / GCMP, будет ещё серьёзнее по возможностям, т.к. можно будет ещё и “на лету” подделывать пакеты в сессии.
Защита проста – установить обновления ПО, не допускающие повторное использование nonce. И на точку доступа, и на клиентское устройство – иначе возможность атаки сохранится. Ну и, безусловно, переставать использовать наследие до-WPA2-времён – TKIP; он менее надёжен, чем стандартный вариант с AES-CCMP.
Несмотря на то, что прошли месяцы, часть производителей оборудования не озаботилась обновлениями, а многие пользователи не применили их. Поэтому KRACK до сих пор актуальна.
Другой проблемой является отсутствие PFS, а ещё одной – использование актуальных 15 лет назад криптоалгоритмов, и тому подобное. Что же предлагает WPA3?
Нововведения WPA3
В изначальном официальном анонсе рамочно упоминаются четыре нововведения, декларируемые так:
… configuration, authentication, and encryption enhancements
Two of the features will deliver robust protections even when users choose passwords that fall short of typical complexity recommendations, and will simplify the process of configuring security for devices that have limited or no display interface. Another feature will strengthen user privacy in open networks through individualized data encryption. Finally, a 192-bit security suite, aligned with the Commercial National Security Algorithm (CNSA) Suite from the Committee on National Security Systems, will further protect Wi-Fi networks with higher security requirements such as government, defense, and industrial.
– давайте разберёмся, что получилось по факту.
192х битовый security suite WPA3
Отсылка к Commercial National Security Algorithm (CNSA) Suite значительно упрощает ситуацию, потому что с тем, что именно представляет из себя CNSA, мы уже разобрались. По факту речь, видимо, будет идти о том, что “минимальный” AES-128 будет убран в пользу вариантов “только AES-192 или AES-256”, притом та же судьба может постигнуть режим CBC. Это сделает реализацию более стойкой как к далёким призрачным атакам на брутфорс AES-128, так и к более реальным проблемам CBC-режима. И да, такой WPA3 будет востребован, т.к. будет выполнять все требования по защите информации для американских гос.структур, а следовательно – и для связанных с ними структур НАТО и других стран, что даст американским компаниям, производящим WiFi-оборудование, новый прекрасный рынок массового полупринудительного апгрейда старого небезопасного WiFi на новый и безопасный. Данное предположение усиливается тем, что первыми WPA3-сертификацию с гарантией получат американские вендоры, а остальных будут тормозить до последнего.
Схема эта древняя и проверенная ещё на 802.11n – когда новый стандарт только утверждается, “своим” вендорам сливается точная инфа “что именно войдёт в финальный вариант”, после чего они разрабатывают кремний с известными характеристиками, а все остальные гадают, что точно устаканят в новом стандарте – и в результате в момент объявления “Всё, финальный вариант выглядит так” у одних вендоров уже готовы и чипы и линейки продукции, а у других – только начало. Это называется “рыночек порешает” и в данном случае с WPA3, скорее всего, будет та же схема.
WPA3-Enterprise 192-bit mode
В новом стандарте WPA3 – два варианта работы. “Обычный” WPA3-SAE (SAE – это протокол Simultaneous Authentication of Equals, напоминающий Enhanced FIREFLY из Suite A) и “Корпоративный” WPA3-Enterprise. Криптографические нововведения касаются в первую очередь именно WPA3-Enterprise – т.е. говоря проще, WPA3-SAE – это улучшенный WPA2-PSK, а WPA3-Enterprise – это действительно более криптографически стойкий и переработанный стандарт.
В список разрешённых для использования WPA3-Enterprise cipher suites – для работы при EAP-аутентификации, т.е. не в сценарии “домашний пользователь и точка доступа” и “открытый wifi в публичных местах”! – входят:
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 – притом EC у DH/DSA должна быть условно-безопасная NIST P-384;
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 – с теми же требованиями по EC, плюс RSA от 3072 бит;
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 – специальный “ослабленный” режим, без EC – RSA от 3072 бит, DH-группа 15-я;
Individualized data encryption в WPA3
Под этой рамочной терминологией скрывается давняя проблема 802.11 – отсутствие обязательного Perfect Forward Secrecy. С ним мы тоже разобрались в статье про PFS, поэтому, во избежание дублирования, повторяться про то “что это и зачем” не будем.
Добавление mandatory PFS в WiFi, безусловно, улучшит безопасность. На данный момент в WPA2-PSK – самом популярном домашнем и не только варианте – работа PFS на уровне протокола технически невозможна. Причина этого проста – PFS требует, по определению, чтобы “ключ каждой сессии было нельзя ни украсть, ни повторно сгенерить из чего-то, хранящегося на постоянной основе”. То есть ключ должен генериться “на лету” и для генерации не использовать ничего из хранимых локально величин и значений. А у WPA2 всё чётко – главный стартовый ключ у сессии, который pairwise master key, использует пароль от PSK, 2^12 раз обработанный PBDKF2. Это, кстати, обозначает неочевидную неприятность – кто-то может снифить ваш трафик, а потом как-то раз всё же сможет украсть пароль от WiFi и у вас будут проблемы. И отсюда же следует большой привет тем, кто предполагает, что общественный WiFi с общим паролем – это безопасно, ибо WPA2. Нет, это безопаснее, чем WEP, но не безопасно.
Так что PFS в “самых простых домашних режимах работы 802.11” нужен, и это не “просто так гайки закручивают чтобы лишний раз на апгрейд развести”.
Конкретная реализация принципов PFS, вполне возможно, будет согласно новому RFC 8110 - Opportunistic Wireless Encryption.
Упрощение настройки подключения WPA3
Для тех, кому совсем лень набивать пароль от точки доступа, уже давно существует функция WPS – Wi-Fi Protected Setup. Для неё нужен минимум настроек и разовое нажатие кнопки на устройстве. Впрочем, данный механизм послужил причиной проблем с безопасностью, поэтому его использование не особо полезно.
В современном мире, где куча домашних устройств соединяются в сеть, образуя IoT – “интернет вещей” – процедура быстрого и безопасного подключения к общей беспроводной сети, притом не требующая от конечного устройства наличия экрана и клавиатуры, весьма востребована. В WPA3 обещают улучшения в этом направлении – что ж, будем посмотреть.
Защита нестойких паролей в WPA3
Сколько пользователю не объясняй про безопасность, а комфорт первичнее. В последнее время это приобрело фактически характер эпидемии – если вендор A выпустит удручающий по безопасности агрегат, который будет воровать деньги пользователя, подслушивать его, без разрешения сканировать окружающее пространство всеми способами – от видеокамер до поиска WiFi-устройств – но при этом агрегат будет позволять запостить фоточку в инстаграм не за 4 тыка пальцем, а за 3, то будет давка, крики про “Новый уровень доступной роскоши! Как же шикарно, божечки, уииии, дожили до счастья! Новый этап жизни, новый рывок, революция и счастье! А какие особо престижно закруглённые белые уголки!” и прочее.
Это в принципе везде так – здесь, в Гонконге, в 90% баров и ресторанов пароль или 12345678 или номер телефона заведения (они восьмизначные, очень удобно).
Соответственно, решение проблемы использования слабых паролей должно быть чисто техническим – никак не зависящим от того, насколько умён и расторопен пользователь.
Для этого предполагается использование схемы Password Authenticated Key Exchange (PAKE), в частности реализованной протоколом Dragonfly. Несмотря на то, что данный протокол имеет вопросы относительно безопасности, гарантируемый им уровень безопасности ощутимо лучше, чем существующий сейчас в типовом WPA2-PSK. Более детальная информация о доработанном варианте, Enhanced Dragonfly, есть вот здесь.
Что делать, готовясь к появлению WPA3?
Учитывая современные скорости WiFi, внедрение WPA3 будет связано с выпуском новой линейки чипов, занимающихся криптографическими операциями с трафиком. Если бы WPA3 усиливал только, допустим, разовые операции с генерацией/обменом ключевым материалом, то была бы возможность выпустить патч, добавляющий нужное на уровне ПО сетевого оборудования. Однако задача “на лету без задержек шифровать и проверять целостность кадров на гигабитных скоростях” решается только новыми ASIC’ами – поэтому с покупкой оборудования для беспроводных сетей – например, с обновлением домашнего роутера – лучше чуток подождать до появления на рынке массовых решений с WPA3.
Безусловно, где-то будет возможен и вариант “делать WPA3 на CPU”, однако он будет предсказуемо хуже по всем параметрам. Для мобильных устройств, например, это будет чревато очень нехарактерным расходом батареи и общими “тормозами” при перекачке больших объёмов трафика – но в случае, когда есть задача “чтобы безопасно в мессенджерах и соц.сетях сидеть” – почему бы и нет.
После наличия WPA3 на всех устройствах и последующего включения и тестирования WPA2 надо будет отключить, убрав таким образом все потенциальные проблемы с downgrade-атаками.
Впрочем, когда стандарт будет окончательно опубликован, про всё это будет добавлено в данную статью.
Удач!
