WPA3來了 帶你第一時間了解新Wi-Fi加密方式
6月25日,Wi-Fi聯盟正式推出Wi-Fi連接用戶身份驗證技術的最新版本,即WPA3加密方式。與當今普遍使用的WPA2相比,WPA3在安全性能方面有明顯的提升。根據Wi-Fi聯盟的工作計劃,將在2019年底開始推動加密方式的升級工作。
一、攻與防的對弈:Wi-Fi加密方式的變革
1999年9月,IEEE 802.11標準獲得通過,在其中定義了一種使用RC4加密算法和CRC-32校驗機制的無線傳輸數據加密方式,稱為有線等效保密(Wired Equivalent Privacy)協議,即WEP。
2001年8月,Fluhrer團隊利用RC4加解密和IV使用方式的特性,發現只需要在網絡中進行幾個小時的監聽,就能破解RC4的密鑰,從而破解WEP加密方式。在這一研究成果發表后,針對WEP協議的自動化破解工具也應運而生,正式宣告WEP協議不再安全。
面對這一現狀,IEEE于2004年6月通過了802.11i標準,其中提出了Wi-Fi網絡安全接入(Wi-Fi Protected Access)協議,即WPA。WPA協議在WEP基礎上加強了生成加密密鑰的算法,同時還加入了防止數據中途被篡改的特性和認證功能。
隨著安全研究人員針對WPA協議的不斷研究,陸續又發現了該協議的一些弱點,并對該加密方式進行了升級。升級后的協議稱為WPA2,主要以AES加密方式替換了原有的RC4,并以當時公認最為安全的CCMP訊息認證碼取代此前的MIC。
2006年3月,WPA2成為無線網絡的強制標準。目前,我們所使用的絕大多數Wi-Fi連接,都是基于WPA2加密方式。
2009年,日本兩位安全專家宣布能在1分鐘內利用無線路由器攻破WPA加密系統,該攻擊證明了WPA的脆弱性。
2017年10月,比利時安全研究團隊發現可以通過對WPA和WPA2協議操縱重放加密握手消息(通俗來說,就是在手機和Wi-Fi的通信過程中,偷偷記錄特定數據,然后重新發送出去),可以讓已經使用過的密鑰被再次使用。該攻擊方法稱為KRACK,盡管借助此方法并不能破譯出Wi-Fi密碼,但可以非法獲取到Wi-Fi通信的內容,并能夠對通信內容進行篡改。
最后,總結上述內容,可以歸納出如下三條結論:
- 三種加密方式按照安全性排序分別是WEP < WPA < WPA2;
- 目前WPA2被廣泛使用;
- WPA2同樣存在通信內容泄露、通信內容篡改等安全風險。
二、更安全的協議:WPA3亮點大揭秘
亮點1:防范字典暴破攻擊
WPA3加密方式使用等值同時認證(Simultaneous Authentication of Equals,簡稱SAE)算法,取代了WPA2中的PSK算法。在對Wi-Fi的攻擊場景中,通常攻擊者會借助自動化工具,快速連續嘗試各種密碼,從而猜測Wi-Fi網絡的密碼。而SAE算法可以有效防范這種暴力破解方式,在多次嘗試驗證失敗后阻斷認證請求。
亮點2:防范流量監聽帶來的信息泄露風險
在此前版本的加密方式中,攻擊者實際上可以通過中間人攻擊的方式,獲取通信內容,并實現內容的篡改。而在新版本的加密方式中,加入了被稱為“前向保密”(Forward Secrecy)的機制。該機制保證會話密鑰的獨立,確保攻擊者即使已經獲得Wi-Fi密碼,也無法解密網絡中其他用戶的通信流量。這意味著,即使服務器的私鑰被泄露,也不會對會話的保密性造成威脅。
亮點3:IoT設備的Wi-Fi配置
我們知道,一些物聯網設備的體積較小,甚至它們往往不需要鍵盤、顯示屏的存在。但針對這些設備,如何配置Wi-Fi網絡就成為了一個棘手的問題。在WPA3中,新加入了一項獨立的功能,被稱為“Wi-Fi輕松連接”(Wi-Fi Easy Connect)。借助這一功能,用戶在手機或平板電腦上,就能輕松為小型物聯網設備配置網絡。
根據Wi-Fi聯盟發布的信息,此項功能在WPA3中首次加入,后續將支持使用WPA2的設備,以此盡可能覆蓋更多的設備。
亮點4:保障公共場所中無密碼Wi-Fi網絡的安全
隨著無線網絡的日益普及,越來越多的商場、餐廳、機場、火車站都部署了Wi-Fi網絡,提供給所有顧客或旅客使用。這些無線網絡如果設置密碼,就要有一個途徑將密碼通知到用戶;如果不設置密碼,網絡的安全性就存在較大風險。為應對這一問題,Wi-Fi聯盟提出了“Wi-Fi增強開放”(Wi-Fi Enhanced Open)技術,該技術使用“機會無線加密”(Opportunistic Wireless Encryption)的算法,將每個用戶與路由器之間的連接進行加密,并各自產生一個密鑰。通過這一技術,公共場所中無線網絡的安全性將大幅提高,接入網絡后的攻擊者將無法竊聽到其他用戶的通信流量。
三、依靠時間:版本更新與脆弱性測試
正如前面所說,現在絕大多數的網絡設備都默認采用WPA2協議,因此要推動協議的更新還需要經歷一段漫長的時間,并且可能需要強制標準的助力,同時需要所有網絡設備廠商的支持。
回顧無線網絡協議的發展史,我們發現,正是由于安全團隊不斷進行的脆弱性研究和測試,才發現了之前協議的一個又一個安全問題,并直接推動了協議和版本的迭代更新。因此,WPA3的安全性需要經過一段時間的驗證才能得到可靠的結論。目前,曾發現WPA2協議KRACK攻擊方式的比利時團隊已經開始對WPA3加密方式的研究。究竟這一新加密方式的安全性如何、能維持多久,我們還要拭目以待。
【本文是51CTO專欄作者“綠盟科技博客”的原創稿件,轉載請通過51CTO聯系原作者獲取授權】
