Объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, опубликовало (https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-in... спецификацию WPA3 (Wi-Fi Protected Access), при разработке которой предпринята попытка устранения концептуальных недоработок, выявленных авторами атаки KRACK (https://www.opennet.ru/opennews/art.shtml?num=47392) против WPA2. WPA3 продолжает основываться на базовых технологиях WPA2, дополняя их современными средствами обеспечения безопасности. Поддержка WPA2 пока остаётся обязательной для сертифицированных WiFi-устройств, но со временем после появление повсеместной поддержки WPA3, для всех WiFi-устройств в разряд обязательных будут переведены новые требования к безопасности.
Предусмотрено два режима работы WPA3: WPA3-Personal и WPA3-Enterprise:
- В WPA3-Personal обеспечена надёжная защита даже при установке пользователем ненадёжного пароля доступа, легко подбираемого в результате словарных атак (https://www.opennet.ru/tips/3025_wpa_wpa2_wifi_aircrackng_ha.... Для защиты от атак по подбору пароля (brute-force) введено ограничение на число попыток аутентификации в рамках одного handshake (ограничение не позволит подбирать пароль в offline-режиме). Вместо PSK (Pre-Shared Key) ключа в WPA3 реализован процесс согласования ключей на базе технологии SAE (http://ieeexplore.ieee.org/document/4622764/) (Simultaneous Authentication of Equals), уже применяемой в mesh-сетях и описанной в стандарте IEEE 802.11s. SAE базируется на протоколе обмена ключами Диффи — Хеллмана с использованием конечных цикличных групп. Результирующий сессионный ключ, который получает каждая сторона соединения для аутентификации сеанса, вырабатывается на основе информации из разделяемого ключа (pre-shared key) и MAC-адресов обеих сторон;
- В WPA3-Enterprise применяется шифрование на основе 192-разрядных ключей, соответствующих требованиям CNSA (https://www.iad.gov/iad/programs/iad-initiatives/cnsa-suite.... (Commercial National Security Algorithm), выработанным комитетом NSS (https://en.wikipedia.org/wiki/Committee_on_National_Security... для защиты правительственных, военных и промышленных сетей;
Дополнительно предложена программа "Wi-Fi Easy Connect (https://www.wi-fi.org/discover-wi-fi/wi-fi-easy-connect)" с реализацией возможности упрощённой настройки устройств без экранного интерфейса. Настройка осуществляется с использованием другого более продвинутого устройства, уже подключенного к беспроводной сети. Например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе. Wi-Fi Easy Connect основывается на применении аутентификации по открытым ключам (в QR-коде передаётся открытый ключ) и может использоваться в сетях с WPA2 и WPA3. Особенностью Wi-Fi Easy Connect также является возможность замены точки доступа без необходимости переконфигурирования клиентских устройств.
Для создания общедоступных публичных беспроводных сетей представлена программа Wi-Fi CERTIFIED Enhanced Open (https://www.wi-fi.org/news-events/newsroom/wi-fi-certified-e... подразумевающая шифрвоание всех потоков данных между клиентом и точкой доступа, что позволит защитить приватность пользователя в общедоступных открытых сетях не требующих аутентификации.
URL: https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-in...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48854
