Wi-Fi Alliance oznámila dlouho očekávanou novou generaci protokolu pro zabezpečení Wi-Fi sítí – WPA3 (Wi-Fi Protected Access). V budoucnu by měl nahradit současný standard WPA2, který je tu s námi 15 let a používají ho miliardy zařízení včetně notebooků, tabletů, mobilních telefonů a čím dál častěji také různé drobné elektroniky.
V posledních měsících se ale objevilo několik vážných bezpečnostních mezer, včetně chyby KRACK, která umožňuje napadnout úvodní představování obou komunikujících stran a vyměnit šifrovací klíče. Tím může útočník odposlouchávat nebo podvrhovat komunikaci.
Současné Wi-Fi sítě jsou také považovány za velmi nebezpečné, pokud nepoužívají zabezpečení heslem. Klienti se pak připojují k otevřenému prostředí a mohou se vzájemně odposlouchávat či opět podvrhovat části komunikace. Právě na podobné chyby se při novém návrhu myslelo, proto WPA3 přichází s řadou vylepšení.
Nový standard bude výrobcům k dispozici během letošního roku, Alliance tvrdí, že vylepší bezpečnost na mnoha úrovních. Bude prý „velmi robustní“ i v případě použití slabého hesla, zjednoduší konfiguraci zařízení s omezenými (či žádnými) možnostmi zobrazení informací na displeji a ochrání individuálním šifrováním i uživatele nezaheslovaných sítí. To je zřejmě odkaz na oportunistické šifrování bezdrátových sítí popsané v RFC 8110.
To by mělo vyřešit jeden z největších problémů současných otevřených Wi-Fi sítí. Kavárny, restaurace, knihovny i různé organizace chtějí nabídnout pohodlnou cestu k internetu, ale použití nezaheslované sítě přináší řadu problémů: možnost odposlechu mezi uživateli nebo třeba snadný únos konektivity pomocí uložené nezabezpečené sítě se zařízením jako Pineapple. Uvidíme, zda WPA3 tyto problémy uspokojivě vyřeší.
Zajímavou novinkou bude také možnost použít jedno zařízení ke konfiguraci druhého. To se hodí v situaci, kdy jedno ze zařízení nemá displej ani klávesnici – dejme tomu teplotní čidlo ve sklepě. V současné době je nutné k němu třeba kabelem připojit počítač a nastavit mu parametry připojení k síti. Jakákoliv změna je pak velmi nepohodlná. Nově bude stačit použít mobilní telefon nebo tablet a údaje tomuto zařízení předat pomocí WPA3. Zjednoduší se tím nastavování různých IoT zařízení, chytrých hodinek, žárovek a podobných přístrojů.
Protokol by měl být podle oznámení také odolný proti slovníkovému útoku a útoku hrubou silou, kdy zabrání opakovaným pokusům o přihlašování a zkoušení nejběžnějších hesel. Mathy Vanhoef, objevitel slabiny KRACK, se už ovšem nechal slyšet, že ani nový typ handshaku používaný ve WPA3 proti slovníkovým útokům odolný nebude.
Bude mít také možnost použít 192bitový šifrovací algoritmus CNSA (Commercial National Security Algorithm), který je určen pro průmyslové, vládní či vojenské nasazení.
Organizace také oznámila, že v první polovině letošního roku bude vylepšena také bezpečnost staršího protokolu WPA2, který je natolik rozšířený v zařízeních, že tu s námi ještě rozhodně nějakou dobu bude.
Podrobnější informace budou dostupné, jakmile začne program certifikace nových zařízení s WPA3. Už teď víme, že to bude pravděpodobně až v druhé polovině letošního roku, teprve poté se na trhu začnou objevovat první certifikovaná zařízení.
Mathy Vanhoef tvrdí, že teprve po objevení vážných zranitelností WPA2 začal trh požadovat něco nového. Standardy použité ve WPA3 existují už nějakou dobu. Ale teprve nyní přišel požadavek, aby je zařízení skutečně podporovala, jinak nezískají certifikaci pro WPA3.
Dobrou zprávou také je, že Linux už potřebné změny obsahuje. Linuxový open-source Wi-Fi klient i přístupový bod už podporu pro vylepšený handshake obsahuje, jen jsme jej doposud nepoužívali. Doufejme, že se to teď změní.
Členy Wi-Fi Alliance jsou takové společnosti jako Apple, Comcast, Samsung, Sony, LG, Intel, Dell, Broadcom, Cisco, Qualcomm, Motorola, Microsoft, Texas Instruments a T-Mobile. Od roku 2000 organizace certifikovala přes 35 000 různých zařízení s podporou Wi-Fi.
Zdroje: Wi-Fi.org, TheHackerNews, The Verge, Bleeping Computer