Чтобы закрыть фундаментальную «дыру» в Wi-Fi по всему миру, создается новый протокол WPA3
Wi-Fi Alliance готовит новый стандарт безопасности Wi-Fi-соединений WPA3, который должен будет прийти на смену уязвимому протоколу WPA2.
Уязвимость как повод для разработки нового стандарта
Wi-Fi Alliance, отраслевая группа, ответственная за стандартизацию беспроводных сетевых соединений, анонсировала выпуск нового протокола шифрования - WPA3. Этот шаг предпринят после того, как осенью 2017 г. в протоколе WPA2, используемом в миллиардах устройств по всему миру, была обнаружена критическая уязвимость, получившая название KRACK.
Уязвимость позволяет хакеру перехватывать трафик, проходящий между точкой доступа Wi-Fi и подключенными к ней устройствами. Свое название эта брешь получила от эксплуатирующей ее атаки - Key Reinstallation Attacks, «атаки переустановки ключей».
Четыре функции
Протокол WPA3 должен будет решить ряд проблем, связанных с безопасностью. На данный момент «официальный черновик» WPA3. Его обещают представить ближе к середине 2018 г. Пока же известно, что протокол будет насчитывать четыре новые защитные функции.
Первая позволит заблокировать попытки брутфорса: после нескольких неуспешных попыток залогиниться процесс аутентификации будет заблокирован. Подобные меры давно применяются для защиты веб-приложений от «словарных» атак. Но беспроводные сети до сих пор такой защиты были лишены.
Вторая функция - это возможность использования любого Wi-Fi-устройства в качестве панели настроек для других устройствах. Иными словами, любой смартфон можно будет использовать для того, чтобы настроить располагающиеся в пределах досягаемости IoT-устройства, лишенные собственных экранов, - «умные» замки, осветительные приборы и так далее.
Очевидно, что для этого устройство с экраном должно быть авторизовано для настройки IoT-устройств, но тут возникает вопрос с «заводскими» логинами и паролями и возможностью злоупотребления этой функцией.
Третья функция - «персонализированное шифрование данных» - позволяет шифровать соединения между каждым устройством и роутером (или точкой доступа), в то время как четвертая - это новый криптографический стандарт с 192-битным ключом, аналогичный алгоритму из комплекта CNSA (Commercial National Security Algorithms - Коммерческих алгоритмов для защиты национальной безопасности). Разработкой этого набора занимался Комитет по системам обеспечения национальной безопасности США.
WPA3 должен будет увидеть свет в ближайшие месяцы после принятия чернового варианта, однако пройдет еще какое-то время прежде, чем пользователи смогут купить на открытом рынке устройства с поддержкой WPA3.
Куда больше времени уйдет, прежде чем небезопасные устройства на базе WPA/WPA2 уйдут с рынка.
Последовательность протоколов
WPA — это стандарт сертификации устройств беспроводной связи, заменивший предыдущий протокол того же назначения под названием WEP. По сравнению с другими решениями WPA отличается большей защищенностью данных и усиленным контролем доступа, а также более широкой совместимостью.
WPA2, утвержденный в июне 2004 г., пришел на смену WPA. В нем присутствует протокол шифрования CCMP и шифрование AES, что повышает его безопасность по сравнению с WPA первого поколения. В марте 2006 г. поддержка WPA2 стала стандартом сертификации устройств Wi-Fi. В 2017 г. в нем была найдена фундаментальная уязвимость, поставившая под угрозу беспроводные устройства во всем мире.
Как отметил Мати Ванхеф (Mathy Vanhoef), эксперт по безопасности, который является автором атаки KRACK, стандарты, положенные в основу WPA3, существуют уже длительное время и реализованы на аппаратном уровне, однако слишком редко используются на практике. Теперь, возможно, все изменится, поскольку производители Wi-Fi-устройств будут стремиться получить сертификат совместимости с WPA3 - из коммерческих соображений.