WPA2 ve WPA3 Karşılaştırması

2018'de piyasaya sürülen WPA3, kablosuz ağları korumak için Wi-Fi Korumalı Erişim protokolünün güncellenmiş ve daha güvenli bir sürümüdür. Tarif ettiğimiz gibi WPA2WPA3Standlar Wi-Fi Korumalı Erişim 2 Wi-Fi Korumalı Erişim 3 Bu ne? Kablosuz ağların güvenliğini sağlamak için 2004 yılında Wi-Fi Alliance tarafından geliştirilen bir güvenlik protokolü; WEP ve WPA protokollerini değiştirmek için tasarlanmıştır. 2018'de piyasaya sürülen WPA3, yeni nesil WPA'dır ve daha iyi güvenlik özelliklerine sahiptir. Tahmin ederek kolayca kırılabilecek zayıf parolalara karşı koruma sağlar. Yöntemler WEP ve WPA'dan farklı olarak WPA2, RC4 akış şifresi yerine AES standardını kullanır. CCMP, WPA'nın TKIP'sinin yerini aldı. WPA3-Kişisel modda 128 bit şifreleme (WPA3-Enterprise'da 192 bit) ve ileri gizlilik. WPA3 ayrıca Ön Paylaşımlı Anahtar (PSK) değişimini, ilk anahtar değişimini yapmanın daha güvenli bir yolu olan Eşzamanlı Eşitlik Doğrulaması ile değiştirir. Güvenli ve Önerilen? WEP ve WPA üzerinden WPA2 önerilir ve Wi-Fi Korumalı Kurulum (WPS) devre dışı bırakıldığında daha güvenlidir. WPA3 üzerinden önerilmez. Evet, WPA3, aşağıdaki makalede tartışılan şekillerde WPA2'den daha güvenlidir. Korumalı Yönetim Çerçeveleri (PMF) WPA2, 2018'in başından bu yana PMF desteğini zorunlu kılar. İşlenmemiş ürün yazılımı bulunan eski yönlendiriciler PMF'yi desteklemeyebilir. WPA3, Korumalı Yönetim Çerçevelerinin (PMF) kullanımını zorunlu kılar

İçindekiler: WPA2 ve WPA3

  • 1 Yeni El Sıkışma: Eşit Eşzamanlı Kimlik Doğrulama (SAE)
    • 1.1 Çevrimdışı Şifre Çözmeye Dayanıklı
    • 1.2 İleri Gizlilik
  • 2 Fırsatçı Kablosuz Şifreleme (OWE)
  • 3 Aygıt Hazırlama Protokolü (DPP)
  • 4 Daha Uzun Şifreleme Anahtarı
  • 5 Güvenlik
  • 6 WPA3 desteği
  • 7 Tavsiye
  • 8 Kaynakça

Yeni El Sıkışma: Eşit Eşzamanlı Kimlik Doğrulama (SAE)

Bir aygıt parola korumalı bir Wi-Fi ağında oturum açmaya çalıştığında, parola sağlama ve doğrulama adımları 4 yönlü bir el sıkışma ile gerçekleştirilir. WPA2'de protokolün bu kısmı KRACK saldırılarına karşı savunmasızdı:

Anahtar yeniden yükleme saldırısında [KRACK], düşman bir kurbanı zaten kullanımda olan bir anahtarı yeniden yüklemeye kandırır. Bu, kriptografik el sıkışma mesajlarını manipüle ederek ve tekrarlayarak elde edilir. Kurban anahtarı yeniden yüklediğinde, artımlı gönderme paket numarası (örn. Nonce) ve alma paket numarası (yani tekrar sayacı) gibi ilişkili parametreler başlangıç ​​değerlerine sıfırlanır. Temel olarak, güvenliği garanti etmek için bir anahtar yalnızca bir kez kurulmalı ve kullanılmalıdır.

KRACK güvenlik açıklarına karşı hafifletmek için WPA2 güncellemelerinde bile, WPA2-PSK yine de kırılabilir. WPA2-PSK şifrelerini hacklemek için nasıl yapılır kılavuzları bile var.

WPA3, bu güvenlik açığını giderir ve Dragonfly Anahtar Değişimi olarak da bilinen bir Wi-Fi ağına eşzamanlı Eşitleme Doğrulaması için farklı bir el sıkışma mekanizması kullanarak diğer sorunları azaltır..

WPA3'ün, kendisi bu videoda açıklanan SPEKE (Basit Şifre Üstel Anahtar Değişimi) varyasyonu olan Yusufçuk anahtar değişimini nasıl kullandığına ilişkin teknik ayrıntılar.

Dragonfly anahtar değişiminin avantajları ileri gizlilik ve çevrimdışı şifre çözmeye karşı direnç.

Çevrimdışı Şifre Çözmeye Dayanıklı

WPA2 protokolünün bir güvenlik açığı, saldırganın parolayı tahmin etmek için ağa bağlı kalması gerekmemesidir. Saldırgan, ağın yakınındayken WPA2 tabanlı bir ilk bağlantının 4 yönlü el sıkışmasını koklayabilir ve yakalayabilir. Bu yakalanan trafik daha sonra şifreyi tahmin etmek için sözlük tabanlı bir saldırıda çevrimdışı olarak kullanılabilir. Bu, şifre zayıfsa kolayca kırılabilir olduğu anlamına gelir. Aslında, WPA2 ağları için 16 karaktere kadar alfasayısal şifreler oldukça hızlı bir şekilde kırılabilir.

WPA3, Dragonfly Key Exchange sistemini kullanır, böylece sözlük saldırılarına karşı dayanıklıdır. Bu, aşağıdaki gibi tanımlanır:

Sözlük saldırısına karşı direniş, bir düşmanın kazanabileceği herhangi bir avantajın, hesaplama yoluyla değil, dürüst bir protokol katılımcısıyla yaptığı etkileşim sayısıyla doğrudan ilişkili olması gerektiği anlamına gelir. Düşman, bir protokol çalışmasından tek bir tahminin doğru veya yanlış olması dışında şifre hakkında herhangi bir bilgi alamaz..

WPA3'ün bu özelliği, ağ şifresinin, yani önceden paylaşılan anahtarın (PSDK) önerilen karmaşıklıktan daha zayıf olduğu ağları korur.

İleri Gizlilik

Kablosuz ağ iletişimi, bir istemci cihaz (örn. Telefon veya dizüstü bilgisayar) ile kablosuz erişim noktası (yönlendirici) arasında bilgi (veri paketleri) iletmek için bir radyo sinyali kullanır. Bu radyo sinyalleri açık bir şekilde yayınlanır ve çevredeki herkes tarafından yakalanabilir veya "alınabilir". Kablosuz ağ WPA2 veya WPA3 olsun bir şifre ile korunuyorsa, sinyaller şifrelenir, böylece sinyalleri yakalayan üçüncü taraf verileri anlayamaz.

Ancak, bir saldırgan yakaladığı tüm bu verileri kaydedebilir. Ve gelecekte şifreyi tahmin edebiliyorlarsa (yukarıda gördüğümüz gibi WPA2'ye bir sözlük saldırısı ile mümkündür), o ağda geçmişte kaydedilen veri trafiğinin şifresini çözmek için anahtarı kullanabilirler.

WPA3 ileri gizlilik sağlar. Protokol, ağ şifresi ile bile, bir dinleyicinin erişim noktası ile farklı bir istemci cihaz arasındaki trafiği gözetlemesinin imkansız olduğu şekilde tasarlanmıştır..

Fırsatçı Kablosuz Şifreleme (OWE)

Bu teknik incelemede (RFC 8110) açıklanan Fırsatçı Kablosuz Şifreleme (OWE), WPA3'te sıcak noktalarda ve genel ağlarda yaygın olarak kullanılan 802.11 “açık” kimlik doğrulamanın yerini alan yeni bir özelliktir.

Bu YouTube videosu OWE hakkında teknik bir genel bakış sunar. Ana fikir, bir cihaz ile bir erişim noktası (yönlendirici) arasındaki tüm iletişimi şifrelemek için bir Diffie-Hellman anahtar değişim mekanizması kullanmaktır. İletişimin şifre çözme anahtarı, erişim noktasına bağlanan her istemci için farklıdır. Böylece ağdaki diğer cihazların hiçbiri, onu dinleseler bile (bu koklama olarak adlandırılır) bu iletişimin şifresini çözemez. Bu faydanın adı Kişiselleştirilmiş Veri Koruması-bir istemci ve erişim noktası arasındaki veri trafiği "bireyselleştirilir"; diğer müşteriler bu trafiği koklayıp kaydedebilirken, şifresini çözemezler.

OWE'nin en büyük avantajı, sadece bağlanmak için şifre gerektiren ağları değil; ayrıca şifre gereksinimi olmayan açık "güvenli olmayan" ağları da korur, ör. kütüphanelerde kablosuz ağlar. OWE, bu ağlara kimlik doğrulama olmadan şifreleme sağlar. Hiçbir provizyon, müzakere ve kimlik bilgisi gerekmez - sadece kullanıcı bir şey yapmak zorunda kalmadan ve hatta göz atmanın artık daha güvenli olduğunu bilmeden çalışır.

Bir uyarı: OWE, kullanıcıyı onlarla bağlantı kurması ve bilgi çalması için kandırmaya çalışan bal küpü AP'ler veya kötü ikizler gibi "haydut" erişim noktalarına (AP'ler) karşı koruma sağlamaz.

Başka bir uyarı, WPA3'ün kimliği doğrulanmamış şifrelemeyi desteklemesi ancak zorunlu kılmamasıdır. Üreticinin WPA3 etiketini kimliği doğrulanmamış şifreleme uygulamadan alması mümkündür. Özellik artık Wi-Fi CERTIFIED Gelişmiş Açık olarak adlandırılıyor, böylece satın aldıkları cihazın kimliği doğrulanmamış şifrelemeyi desteklediğinden emin olmak için alıcıların WPA3 etiketine ek olarak bu etiketi aramaları gerekiyor.

Cihaz Hazırlama Protokolü (DPP)

Wi-Fi Aygıt Hazırlama Protokolü (DPP), daha az güvenli olan Wi-Fi Korumalı Kurulumun (WPS) yerini alır. Ev otomasyonundaki veya Nesnelerin İnterneti (IoT) içindeki birçok cihazın şifre girişi için bir arayüzü yoktur ve Wi-Fi kurulumlarına aracılık etmek için akıllı telefonlara güvenmesi gerekir.

Buradaki uyarı, Wi-Fi Alliance'ın WPA3 sertifikası almak için bu özelliği zorunlu kılmamasıdır. Bu yüzden teknik olarak WPA3'ün bir parçası değildir. Bunun yerine, bu özellik artık Wi-Fi CERTIFIED Easy Connect programının bir parçasıdır. WPA3 sertifikalı donanım satın almadan önce bu etikete bakın.

DPP, cihazların QR kodu veya NFC (Yakın alan iletişimi, Apple Pay veya Android Pay'da kablosuz işlemlere güç veren aynı teknoloji) kullanılarak Wi-Fi ağında şifre olmadan kimlik doğrulamasına izin verir.

Wi-Fi Korumalı Kurulum (WPS) ile, şifre telefonunuzdan IoT cihazına iletilir ve daha sonra Wi-Fi ağında kimlik doğrulaması yapmak için şifreyi kullanır. Ancak yeni Cihaz Hazırlama Protokolü (DPP) ile, cihazlar şifre olmadan karşılıklı kimlik doğrulama gerçekleştirir.

Daha Uzun Şifreleme Anahtarları

Çoğu WPA2 uygulaması 128 bit AES şifreleme anahtarları kullanır. IEEE 802.11i standardı 256 bit şifreleme anahtarlarını da destekler. WPA3'te, daha uzun anahtar boyutları (192 bit güvenlik eşdeğeri) yalnızca WPA3-Enterprise için zorunludur.

WPA3-Enterprise, ev ağları için tipik olan bir parola (önceden paylaşılan anahtar olarak da bilinir) yerine kablosuz ağa bağlanmak için bir kullanıcı adı ve parola kullanan kurumsal kimlik doğrulaması anlamına gelir.

Tüketici uygulamaları için, WPA3 için sertifika standardı daha uzun anahtar boyutlarını isteğe bağlı hale getirmiştir. Bazı üreticiler artık protokol tarafından desteklendikleri için daha uzun anahtar boyutları kullanacaklar, ancak bu, bir yönlendirici / erişim noktası seçmek için tüketicilerin üzerinde olacak.

Güvenlik

Yukarıda açıklandığı gibi, yıllar içinde WPA2, yamaların mevcut olduğu, ancak tüm yönlendiriciler için bulunmayan ve kullanıcılar tarafından yaygın bir şekilde dağıtılamadığı, yazılım güncellemesi gerektirdiği için rezil KRACK tekniği de dahil olmak üzere çeşitli saldırı biçimlerine karşı savunmasız hale gelmiştir..

Ağustos 2018'de, WPA2 için başka bir saldırı vektörü daha keşfedildi.[1] Bu, WPA2 el sıkışmalarını koklayan bir saldırganın önceden paylaşılan anahtarın (parola) karmasını almasını kolaylaştırır. Saldırgan daha sonra bu karmayı, yaygın olarak kullanılan parolaların bir listesinin karmalarıyla veya değişen uzunluktaki harflerin ve sayıların her olası varyasyonunu deneyen tahminlerin bir listesiyle karşılaştırmak için bir kaba kuvvet tekniği kullanabilir. Bulut bilgi işlem kaynaklarını kullanarak, 16 karakterden daha kısa bir parola tahmin etmek önemsizdir.

Kısacası, WPA2 güvenliği kırılmış kadar iyidir, ancak yalnızca WPA2-Kişisel için. WPA2-Enterprise çok daha dayanıklıdır. WPA3 yaygın bir şekilde kullanılabilir olana kadar, WPA2 ağınız için güçlü bir şifre kullanın.

WPA3 desteği

2018'deki tanıtımından sonra, desteğin ana akım haline gelmesi 12-18 ay sürmesi bekleniyor. WPA3'ü destekleyen bir kablosuz yönlendiriciniz olsa bile, eski telefonunuz veya tabletiniz WPA3 için gerekli yazılım yükseltmelerini almayabilir. Bu durumda, erişim noktası WPA2'ye geri döner, böylece yönlendiriciye hala bağlanabilirsiniz - ancak WPA3'ün avantajları olmadan.

2-3 yıl içinde, WPA3 yaygınlaşacak ve şimdi yönlendirici donanımı satın alıyorsanız, satın alımlarınızı geleceğe kanıtlamanız tavsiye edilir.

öneriler

  1. Mümkünse, WPA2 üzerinden WPA3'ü seçin.
  2. WPA3 sertifikalı donanım satın alırken, Wi-Fi Enhanced Open ve Wi-Fi Easy Connect sertifikalarına da bakın. Yukarıda açıklandığı gibi, bu özellikler ağın güvenliğini artırır.
  3. Uzun, karmaşık bir şifre seçin (önceden paylaşılan anahtar):
    1. şifrenizde sayılar, büyük ve küçük harfler, boşluklar ve hatta "özel" karakterler kullanın.
    2. Geçiş yapınifade tek bir kelime yerine.
    3. Uzun 20 veya daha fazla karakter yapın.
  4. Yeni bir kablosuz yönlendirici veya erişim noktası satın alıyorsanız, WPA3'ü destekleyen veya gelecekte WPA3'ü destekleyecek bir yazılım güncellemesi sunmayı planlayan birini seçin. Kablosuz yönlendirici satıcıları, ürünleri için düzenli olarak ürün yazılımı yükseltmeleri yayınlar. Satıcının ne kadar iyi olduğuna bağlı olarak, yükseltmeleri daha sık yayınlarlar. Örneğin. KRACK güvenlik açığından sonra TP-LINK, yönlendiricileri için yamalar yayınlayan ilk sağlayıcılar arasında yer aldı. Ayrıca eski yönlendiriciler için yamalar yayınladılar. Hangi yönlendiriciyi satın alacağınızı araştırıyorsanız, o üretici tarafından yayınlanan ürün yazılımı sürümlerinin geçmişine bakın. Yükseltmeleri konusunda gayretli bir şirket seçin.
  5. Kablosuz ağın parola korumalı (yani güvenli) olmasına bakılmaksızın, kafe veya kütüphane gibi genel bir Wi-Fi etkin noktasını kullanırken bir VPN kullanın.

Referanslar

  • WPA2'ye KRACK saldırıları
  • Dragonfly Key Exchange - IEEE tanıtım belgesi
  • WPA3 özellikleri ve WPA2 geliştirmeleri için Wi-Fi Alliance Basın Bülteni
  • WPA3 Güvenlik Geliştirmeleri - Youtube
  • Fırsatçı Kablosuz Şifreleme: RFC 1180
  • WPA3 - Kaçırılmış Bir Fırsat
  • WPA3 Teknik Detaylar
  • WPA-2'nin Sonunun Başlangıcı: WPA-2'yi Kırmak Çok Daha Kolaylaştı