Wi-Fi 聯盟公佈更安全的WPA3標準
一如今年初的預告周二Wi-Fi聯盟(Wi-Fi Alliance)終於正式公佈最新版Wi-Fi標準WPA(Wi-Fi Protected Access) 3,宣稱比之前標準更安全、更難破解。
前一版WPA2公佈已是2004年的事。Wi-Fi聯盟表示,最新標準是在WPA2基礎之上增加新功能以簡化Wi-Fi安全、使用更安全的驗證,以及強度更高的加密技術。
去年初研究人員揭露WPA2安全協定的10項重大漏洞及名為KRACKs的概念驗證攻擊,影響全球數十億連網裝置安全,駭客得以竊聽通訊內容,引發業界對這個14年未更新的無線網路技術的關切。當時Wi-Fi聯盟承諾將於今年內釋出WPA3。
WPA3分成個人版(Personal)及企業版(Enterprise)。WPA3個人版以SAE(Simultaneous Authentication of Equals,對等實體同步驗證)標準取代之前使用的PSK(Pre-shared Key),更能抵禦離線字典攻擊,防止駭客破解密碼,這表示用戶不再需要設定繁複而難記的密碼。同時提供前向保密(forward secrecy),透過資料加密,資料傳送出去後即使密碼遭破解,通訊內容也不會外洩。
WPA3企業版則升級了加密協定(GCMP-256)、密碼金鑰產出(HMAC-SHA384)、金鑰驗證演算法及訊息安全協定(BIP-GMAC-256),並提供支援192-bit加密的模式。
此外WPA3也加入Easy Connect的簡易連網技術,讓沒有螢幕或螢幕很小的連網裝置,像是智慧鎖、智慧燈泡,也能透過掃條碼等方式連上Wi-Fi網路。不過,Wi-Fi聯盟表示,Easy Connect並非WPA3獨有;同時支援WPA2及WPA3的裝置也會支援這項功能。
WPA3將與現有主流的WPA2相容,因此WiFi聯盟預計WPA3 2019年下半才會透過硬體新品推出逐漸普及。消費者手上的WPA2產品是否會升級WPA3,則需視廠商是否會釋出更新套件。
現在的 Wi-Fi 不夠安全!WPA3 加密協議公布,硬體認證即日起開跑
無線網路的安全性,一直以來都是非常重要的議題,然而用來加密用戶端裝置與路由器之間 Wi-FI 連線的協定標準 WPA 及 WPA2,近年來卻一直出現安全性疑慮,搞得人心惶惶。尤其去年傳出 WPA2 遭比利時大學資安研究員,透過密鑰重安裝攻擊(Key Reinstallation Attacks,KRACKs)成功破解加密協定後,整個 Wi-Fi 網路系統的安全性,可以說是岌岌可危。
為了解決無線網路安全性風雨飄搖的情況,負責 Wi-Fi 認證和授權的 Wi-Fi Alliance,終於在 WPA 標準發展近 20 年後,推出史上最大的一次安全性改進:WPA3,並宣布即日起開始為支援 WPA3 的終端裝置進行認證工作。
WPA3 標準有幾個主要特色,首先是更強大的加密演算法,藉以應對工業、國防和政府領域相關的安全加密應用。其次是 WPA3 可以有效防止暴力破解,包含前面談到的 KRACKs 攻擊等,WPA3 將對於用戶嘗試 Wi-Fi 密碼的次數加以限制,防止用戶不斷透過截取連線、嘗試密碼、截取連線、嘗試密碼這樣的過程,來破解 Wi-Fi。
至於那些不需要密碼進行登錄的公共 Wi-Fi,已經成為了當代極大的安全性隱憂,但透過新推出的 WPA3 標準,由於使用了特殊的加密技術,終端裝置和路由器之間的所建立的連線,將擁有獨特的密鑰,使傳輸數據不至於暴露在開放網絡中。
雖然 WPA3 做出了許多重大的技術性改變,但對於用戶來說,要連線到支援 WPA3 的無線路由器,仍然只要像過去一樣,點選 Wi-Fi 熱點並打上密碼就好。
只不過,WPA3 還不會這麼快走進每位使用者的家中。Wi-Fi Alliance 預計在 2019 時,才會開始有支援 WPA3 的產品上市,並在年底隨著支援 802.11ax 的產品一起大量出台。然而要打造完整的 WPA3 連線環境,從路由器到終端裝置都要更新,對於已經應用 WPA/WPA2 數十年的全世界來說,更新成 WPA3 將會是個曠日廢時的過程。
雖然 WP3 是用來取代 WPA/WPA2 的最新標準,但考量每種裝置過渡期的相容性,短時間內應該還是會看到多種加密協議共存的狀況出現。雖然現在還沒有強制規定,但支援 WPA3 將成為 Wi-Fi 認證設備未來的必備要求。
Wi-Fi 無線裝置將會更安全、更容易上網!Wi-Fi 聯盟正式推出 WPA3 加密與 Wi-Fi Easy Connect
嚴格來說,目前 Wi-Fi 無線網路常用的 WPA2 加密並不能真的算是被破解,只是由於交握協議的瑕疵,使得惡意人士可以從連線認證剛起步的時候就進行破壞。不過 Wi-Fi 聯盟則認為有需要快速進入下一代,近期正式推出 WPA3 加密認證。
自從 WPA2 的交握程序被找出漏洞,能夠利用 KRACK 攻擊手法,在 4 向交握程序當中(用來確認雙方是否擁有共同的預先共享金鑰),攻擊者可以不斷重複發送第三次交握程序的安裝金鑰,致使終端裝置的計數器和向量(nonce)歸零,安裝 1 組全部為 0 的金鑰。
KRACK 攻擊手法可以透過限制 4 向交握當中,第三次交握程序的金鑰安裝時間與次數避免,但是 Wi-Fi 聯盟依然在今年 1 月預告將推出下一代加密--WPA3,不僅加強被攻擊的堅韌性,也會同時保有對一般消費者的易用性。在經過 5 個多月之後,正式宣布推出 Wi-Fi CERTIFIED WPA3,以及讓沒有螢幕或是按鈕的無線產品,更容易加入無線網路的 Wi-Fi CERTIFIED Easy Connect。
WPA3 加入一些新功能簡化無線網路安全,也使用更為強式的認證程序,並剔除過時的加密方式(如 TKIP)不再使用,也強制無線網路管理訊框必須加密(Protected Management Frames、PMF)。按照過去的傳統,WPA3 同樣分為一般家庭消費者適用的 WPA3-Personal,以及適合公司、國防、政府等相當注重機密的 WPA3-Enterprise。
WPA3-Personal 依然使用密碼方式建立,但是以 Simultaneous Authentication of Equals(SAE)取代原本 Pre-Shared Key(PSK),對於字典暴力攻擊的防禦力更佳,並且提供 Natural password selection,讓使用者選擇 1 組比較容易記憶的強式密碼,而且即便密碼洩漏出去,WPA3-Personal 也能夠保護被攔截的無線訊框不被破解。
WPA3-Enterprise 則複雜得多,可以選用最短長度要求 192bit 的安全協議,認證加密採用 256-bit Galois/Counter Mode Protocol (GCMP-256),金鑰推衍與確認使用 384-bit Hashed Message Authentication Mode(HAMC)with Secure Hash Algorithm (HMAC-SHA384),金鑰確立與認證選擇 Elliptic Curve Diffie-Hellman(ECDH)交換和使用 384-bit 橢圓曲線密碼的 Elliptic Curve Digital Signature Algorithm(ECDSA),管理訊框則利用 256-bit Broadcast/Multicast Integrity Protocol Galois Message Authentication Code(BIP-GMAC-256)進行加密。
目前 Wi-Fi 聯盟對於 WPA3 的態度為選用認證項目,且預計今年並不會有太多產品支援,要等到明年 2019 802.11ax 第一波產品陸續上市之後,WPA3 才會逐漸普及,且不排除隨著時間更迭,在將來列為必要認證項目之一。
與此同時,該聯盟也推出簡化無螢幕或是讓沒有互動介面的無線網路產品,更容易連結網路的 Wi-Fi Easy Connect。Wi-Fi Easy Connect 的連線步驟很簡單,只需要啟動AP的 Wi-Fi Alliance Device Provisioning Protocol(透過 AP 管理畫面或是掃描 QR Code),讓其它待連線的裝置能夠找到無線網路,接著再掃描待連線裝置的 QR Code,即可將待連線裝置配對連線至 AP。
依照 Wi-Fi CERTIFIED Easy Connect 技術總覽手冊所描述的步驟,似乎跟按鈕連線的 Wi-Fi Protected Setup(WPS)頗為相似,因此 Wi-Fi Easy Connect 也是列為選配認證項目,製造商可以自由選擇使用舊有的 WPS 或是新款 Wi-Fi Easy Connect。
192-bit加密的模式?
應該很快就會被駭客破解!至少要256-bit加密的模式!![]()
