WPA3來了 帶你第一時(shí)間了解新Wi-Fi加密方式
6月25日,Wi-Fi聯(lián)盟正式推出Wi-Fi連接用戶身份驗(yàn)證技術(shù)的最新版本,即WPA3加密方式。與當(dāng)今普遍使用的WPA2相比,WPA3在安全性能方面有明顯的提升。根據(jù)Wi-Fi聯(lián)盟的工作計(jì)劃,將在2019年底開始推動(dòng)加密方式的升級(jí)工作。
一、攻與防的對(duì)弈:Wi-Fi加密方式的變革
1999年9月,IEEE 802.11標(biāo)準(zhǔn)獲得通過,在其中定義了一種使用RC4加密算法和CRC-32校驗(yàn)機(jī)制的無線傳輸數(shù)據(jù)加密方式,稱為有線等效保密(Wired Equivalent Privacy)協(xié)議,即WEP。
2001年8月,F(xiàn)luhrer團(tuán)隊(duì)利用RC4加解密和IV使用方式的特性,發(fā)現(xiàn)只需要在網(wǎng)絡(luò)中進(jìn)行幾個(gè)小時(shí)的監(jiān)聽,就能破解RC4的密鑰,從而破解WEP加密方式。在這一研究成果發(fā)表后,針對(duì)WEP協(xié)議的自動(dòng)化破解工具也應(yīng)運(yùn)而生,正式宣告WEP協(xié)議不再安全。
面對(duì)這一現(xiàn)狀,IEEE于2004年6月通過了802.11i標(biāo)準(zhǔn),其中提出了Wi-Fi網(wǎng)絡(luò)安全接入(Wi-Fi Protected Access)協(xié)議,即WPA。WPA協(xié)議在WEP基礎(chǔ)上加強(qiáng)了生成加密密鑰的算法,同時(shí)還加入了防止數(shù)據(jù)中途被篡改的特性和認(rèn)證功能。
隨著安全研究人員針對(duì)WPA協(xié)議的不斷研究,陸續(xù)又發(fā)現(xiàn)了該協(xié)議的一些弱點(diǎn),并對(duì)該加密方式進(jìn)行了升級(jí)。升級(jí)后的協(xié)議稱為WPA2,主要以AES加密方式替換了原有的RC4,并以當(dāng)時(shí)公認(rèn)最為安全的CCMP訊息認(rèn)證碼取代此前的MIC。
2006年3月,WPA2成為無線網(wǎng)絡(luò)的強(qiáng)制標(biāo)準(zhǔn)。目前,我們所使用的絕大多數(shù)Wi-Fi連接,都是基于WPA2加密方式。
2009年,日本兩位安全專家宣布能在1分鐘內(nèi)利用無線路由器攻破WPA加密系統(tǒng),該攻擊證明了WPA的脆弱性。
2017年10月,比利時(shí)安全研究團(tuán)隊(duì)發(fā)現(xiàn)可以通過對(duì)WPA和WPA2協(xié)議操縱重放加密握手消息(通俗來說,就是在手機(jī)和Wi-Fi的通信過程中,偷偷記錄特定數(shù)據(jù),然后重新發(fā)送出去),可以讓已經(jīng)使用過的密鑰被再次使用。該攻擊方法稱為KRACK,盡管借助此方法并不能破譯出Wi-Fi密碼,但可以非法獲取到Wi-Fi通信的內(nèi)容,并能夠?qū)νㄐ艃?nèi)容進(jìn)行篡改。
最后,總結(jié)上述內(nèi)容,可以歸納出如下三條結(jié)論:
- 三種加密方式按照安全性排序分別是WEP < WPA < WPA2;
- 目前WPA2被廣泛使用;
- WPA2同樣存在通信內(nèi)容泄露、通信內(nèi)容篡改等安全風(fēng)險(xiǎn)。
二、更安全的協(xié)議:WPA3亮點(diǎn)大揭秘
亮點(diǎn)1:防范字典暴破攻擊
WPA3加密方式使用等值同時(shí)認(rèn)證(Simultaneous Authentication of Equals,簡(jiǎn)稱SAE)算法,取代了WPA2中的PSK算法。在對(duì)Wi-Fi的攻擊場(chǎng)景中,通常攻擊者會(huì)借助自動(dòng)化工具,快速連續(xù)嘗試各種密碼,從而猜測(cè)Wi-Fi網(wǎng)絡(luò)的密碼。而SAE算法可以有效防范這種暴力破解方式,在多次嘗試驗(yàn)證失敗后阻斷認(rèn)證請(qǐng)求。
亮點(diǎn)2:防范流量監(jiān)聽?zhēng)淼男畔⑿孤讹L(fēng)險(xiǎn)
在此前版本的加密方式中,攻擊者實(shí)際上可以通過中間人攻擊的方式,獲取通信內(nèi)容,并實(shí)現(xiàn)內(nèi)容的篡改。而在新版本的加密方式中,加入了被稱為“前向保密”(Forward Secrecy)的機(jī)制。該機(jī)制保證會(huì)話密鑰的獨(dú)立,確保攻擊者即使已經(jīng)獲得Wi-Fi密碼,也無法解密網(wǎng)絡(luò)中其他用戶的通信流量。這意味著,即使服務(wù)器的私鑰被泄露,也不會(huì)對(duì)會(huì)話的保密性造成威脅。
亮點(diǎn)3:IoT設(shè)備的Wi-Fi配置
我們知道,一些物聯(lián)網(wǎng)設(shè)備的體積較小,甚至它們往往不需要鍵盤、顯示屏的存在。但針對(duì)這些設(shè)備,如何配置Wi-Fi網(wǎng)絡(luò)就成為了一個(gè)棘手的問題。在WPA3中,新加入了一項(xiàng)獨(dú)立的功能,被稱為“Wi-Fi輕松連接”(Wi-Fi Easy Connect)。借助這一功能,用戶在手機(jī)或平板電腦上,就能輕松為小型物聯(lián)網(wǎng)設(shè)備配置網(wǎng)絡(luò)。
根據(jù)Wi-Fi聯(lián)盟發(fā)布的信息,此項(xiàng)功能在WPA3中首次加入,后續(xù)將支持使用WPA2的設(shè)備,以此盡可能覆蓋更多的設(shè)備。
亮點(diǎn)4:保障公共場(chǎng)所中無密碼Wi-Fi網(wǎng)絡(luò)的安全
隨著無線網(wǎng)絡(luò)的日益普及,越來越多的商場(chǎng)、餐廳、機(jī)場(chǎng)、火車站都部署了Wi-Fi網(wǎng)絡(luò),提供給所有顧客或旅客使用。這些無線網(wǎng)絡(luò)如果設(shè)置密碼,就要有一個(gè)途徑將密碼通知到用戶;如果不設(shè)置密碼,網(wǎng)絡(luò)的安全性就存在較大風(fēng)險(xiǎn)。為應(yīng)對(duì)這一問題,Wi-Fi聯(lián)盟提出了“Wi-Fi增強(qiáng)開放”(Wi-Fi Enhanced Open)技術(shù),該技術(shù)使用“機(jī)會(huì)無線加密”(Opportunistic Wireless Encryption)的算法,將每個(gè)用戶與路由器之間的連接進(jìn)行加密,并各自產(chǎn)生一個(gè)密鑰。通過這一技術(shù),公共場(chǎng)所中無線網(wǎng)絡(luò)的安全性將大幅提高,接入網(wǎng)絡(luò)后的攻擊者將無法竊聽到其他用戶的通信流量。
三、依靠時(shí)間:版本更新與脆弱性測(cè)試
正如前面所說,現(xiàn)在絕大多數(shù)的網(wǎng)絡(luò)設(shè)備都默認(rèn)采用WPA2協(xié)議,因此要推動(dòng)協(xié)議的更新還需要經(jīng)歷一段漫長(zhǎng)的時(shí)間,并且可能需要強(qiáng)制標(biāo)準(zhǔn)的助力,同時(shí)需要所有網(wǎng)絡(luò)設(shè)備廠商的支持。
回顧無線網(wǎng)絡(luò)協(xié)議的發(fā)展史,我們發(fā)現(xiàn),正是由于安全團(tuán)隊(duì)不斷進(jìn)行的脆弱性研究和測(cè)試,才發(fā)現(xiàn)了之前協(xié)議的一個(gè)又一個(gè)安全問題,并直接推動(dòng)了協(xié)議和版本的迭代更新。因此,WPA3的安全性需要經(jīng)過一段時(shí)間的驗(yàn)證才能得到可靠的結(jié)論。目前,曾發(fā)現(xiàn)WPA2協(xié)議KRACK攻擊方式的比利時(shí)團(tuán)隊(duì)已經(jīng)開始對(duì)WPA3加密方式的研究。究竟這一新加密方式的安全性如何、能維持多久,我們還要拭目以待。
【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)通過51CTO聯(lián)系原作者獲取授權(quán)】
