Защищенный доступ Wi-Fi ( WPA ), Защищенный доступ Wi-Fi 2 ( WPA2 ) и Защищенный доступ Wi-Fi 3 ( WPA3 ) — это три программы сертификации безопасности, разработанные после 2000 года Альянсом Wi-Fi для защиты беспроводных компьютерных сетей. Альянс определил их в ответ на серьезные недостатки, обнаруженные исследователями в предыдущей системе Wired Equiвалентная конфиденциальность (WEP). [1]
WPA (иногда называемый стандартом TKIP) стал доступен в 2003 году. Альянс Wi-Fi рассматривал его как промежуточную меру в ожидании доступности более безопасного и сложного WPA2, который стал доступен в 2004 году и является общепринятым сокращением для WPA2. полный стандарт IEEE 802.11i (или IEEE 802.11i-2004 ).
В январе 2018 года Wi-Fi Alliance объявил о выпуске WPA3, который имеет несколько улучшений безопасности по сравнению с WPA2. [2]
По состоянию на 2023 год большинство компьютеров, подключающихся к беспроводной сети, поддерживают использование WPA, WPA2 или WPA3.
WEP (Wired Equiвалентная конфиденциальность) был одним из первых протоколов шифрования для беспроводных сетей, предназначенных для защиты соединений WLAN. Он поддерживал 64-битные и 128-битные ключи, сочетая биты, настраиваемые пользователем и установленные на заводе. WEP использовал алгоритм RC4 для шифрования данных, создавая уникальный ключ для каждого пакета путем объединения нового вектора инициализации (IV) с общим ключом (он имеет 40 бит векторного ключа и 24 бита случайных чисел). Дешифрование включало обратный процесс с использованием IV и общего ключа для создания потока ключей и расшифровки полезных данных. Несмотря на первоначальное использование, значительные уязвимости WEP привели к принятию более безопасных протоколов. [3]
Альянс Wi-Fi рассматривал WPA в качестве промежуточной меры, которая заменит WEP до появления полного стандарта IEEE 802.11i . WPA можно реализовать путем обновления встроенного ПО на картах беспроводного сетевого интерфейса , разработанных для WEP , поставки которых начались еще в 1999 году. Точки доступа до 2003 года не могли быть обновлены для поддержки WPA.
Протокол WPA реализует протокол целостности временного ключа (TKIP). В WEP используется 64-битный или 128-битный ключ шифрования, который необходимо вводить вручную на точках беспроводного доступа и устройствах и который не меняется. TKIP использует пакетный ключ, что означает, что он динамически генерирует новый 128-битный ключ для каждого пакета и, таким образом, предотвращает типы атак, которые скомпрометировали WEP. [4]
WPA также включает проверку целостности сообщений , которая предназначена для предотвращения изменения и повторной отправки пакетов данных злоумышленником. Это заменяет проверку циклическим избыточным кодом (CRC), которая использовалась стандартом WEP. Главный недостаток CRC заключался в том, что он не обеспечивал достаточно надежной гарантии целостности данных для обрабатываемых пакетов. [5] Для решения этих проблем существовали хорошо проверенные коды аутентификации сообщений , но они требовали слишком большого количества вычислений, чтобы их можно было использовать на старых сетевых картах. WPA использует алгоритм проверки целостности сообщений, называемый TKIP, для проверки целостности пакетов. TKIP намного надежнее, чем CRC, но не так надежен, как алгоритм, используемый в WPA2. С тех пор исследователи обнаружили уязвимость в WPA, которая основывалась на старых недостатках WEP и ограничениях хеш-функции кода целостности сообщений, названной Michael , для извлечения потока ключей из коротких пакетов для использования для повторного внедрения и подмены . [6] [7]
WPA2, ратифицированная в 2004 году, заменила WPA. WPA2, требующий тестирования и сертификации Wi-Fi Alliance, реализует обязательные элементы IEEE 802.11i. В частности, он включает поддержку CCMP , режима шифрования на основе AES . [8] [9] [10] Сертификация началась в сентябре 2004 г. С 13 марта 2006 г. по 30 июня 2020 г. сертификация WPA2 была обязательной для всех новых устройств, имеющих торговую марку Wi-Fi. [11] В сетях WLAN, защищенных WPA2, безопасная связь устанавливается посредством многоэтапного процесса. Первоначально устройства связываются с точкой доступа (AP) посредством запроса на ассоциацию. За этим следует четырехстороннее рукопожатие — важный шаг, гарантирующий, что и клиент, и точка доступа имеют правильный предварительный общий ключ (PSK) без фактической его передачи. Во время этого рукопожатия генерируется парный переходный ключ (PTK) для безопасного обмена данными. [12]
WPA2 использует расширенный стандарт шифрования AES со 128-битным ключом, повышая безопасность за счет протокола Counter-Mode/CBC-Mac CCMP . Этот протокол обеспечивает надежное шифрование и целостность данных, используя различные векторы инициализации (IV) для целей шифрования и аутентификации. [13]
Четырехстороннее рукопожатие включает в себя:
После установления связи установленный PTK используется для шифрования одноадресного трафика, а групповой временной ключ (GTK) используется для широковещательного трафика. Этот комплексный механизм аутентификации и шифрования делает WPA2 надежным стандартом безопасности для беспроводных сетей. [15]
В январе 2018 года Wi-Fi Alliance объявил WPA3 заменой WPA2. [16] [17] Сертификация началась в июне 2018 года, [18] а с июля 2020 года поддержка WPA3 стала обязательной для устройств с логотипом Wi-Fi CERTIFIED™. [19]
Новый стандарт использует эквивалентную 192-битную криптографическую стойкость в режиме WPA3-Enterprise [20] ( AES-256 в режиме GCM с SHA-384 в качестве HMAC ) и по-прежнему требует использования CCMP-128 ( AES-128 в режиме CCM). ) в качестве минимального алгоритма шифрования в режиме WPA3-Personal. TKIP не разрешен в WPA3.
Стандарт WPA3 также заменяет обмен предварительным общим ключом (PSK) обменом с одновременной аутентификацией равных (SAE), методом, первоначально представленным в IEEE 802.11s , что приводит к более безопасному первоначальному обмену ключами в личном режиме [21] [22] и передовая секретность . [23] Альянс Wi-Fi также заявляет, что WPA3 уменьшит проблемы безопасности, возникающие из-за слабых паролей, и упростит процесс настройки устройств без интерфейса дисплея. [2] [24] WPA3 также поддерживает оппортунистическое беспроводное шифрование (OWE) для открытых сетей Wi-Fi, не имеющих паролей.
Защита кадров управления, как указано в поправке к IEEE 802.11w, также обеспечивается спецификациями WPA3.
WPA был разработан специально для работы с беспроводным оборудованием, выпущенным до появления протокола WPA, [25] который обеспечивает недостаточную безопасность посредством WEP . Некоторые из этих устройств поддерживают WPA только после установки обновлений прошивки, которые недоступны для некоторых устаревших устройств. [25]
Устройства Wi-Fi, сертифицированные с 2006 года, поддерживают протоколы безопасности WPA и WPA2. WPA3 требуется с 1 июля 2020 г. [19]
Различные версии WPA и механизмы защиты можно различать в зависимости от целевого конечного пользователя (например, WEP, WPA, WPA2, WPA3) и метода распределения ключей аутентификации, а также используемого протокола шифрования. По состоянию на июль 2020 года WPA3 является последней версией стандарта WPA, обеспечивающей расширенные функции безопасности и устраняющей уязвимости, обнаруженные в WPA2. WPA3 улучшает методы аутентификации и использует более надежные протоколы шифрования, что делает его рекомендуемым выбором для защиты сетей Wi-Fi. [26]
В этом режиме предприятия для аутентификации используется сервер 802.1X , обеспечивающий более высокий уровень безопасности за счет замены уязвимого WEP более совершенным шифрованием TKIP. TKIP обеспечивает постоянное обновление ключей шифрования, снижая риски безопасности. Аутентификация осуществляется через сервер RADIUS , обеспечивая надежную безопасность, что особенно важно в корпоративных условиях. Эта настройка обеспечивает интеграцию с процессами входа в Windows и поддерживает различные методы аутентификации, такие как Extensible Authentication Protocol , который использует сертификаты для безопасной аутентификации, и PEAP, создавая защищенную среду для аутентификации без необходимости клиентских сертификатов [31].
Первоначально альянсом Wi-Fi был сертифицирован только EAP-TLS ( Extensible Authentication Protocol — Transport Layer Security ). В апреле 2010 года Wi-Fi Alliance объявил о включении дополнительных типов EAP [33] в свои программы сертификации WPA и WPA2-Enterprise. [34] Это было сделано для того, чтобы продукты, сертифицированные WPA-Enterprise, могли взаимодействовать друг с другом.
По состоянию на 2010 год [обновлять]программа сертификации включает следующие типы EAP:
Клиенты и серверы 802.1X, разработанные конкретными фирмами, могут поддерживать другие типы EAP. Эта сертификация является попыткой взаимодействия популярных типов EAP; их неспособность сделать это по состоянию на 2013 год [обновлять]является одной из основных проблем, препятствующих внедрению 802.1X в гетерогенных сетях.
Коммерческие серверы 802.1X включают сервер Microsoft Network Policy Server и Juniper Networks Steelbelted RADIUS, а также сервер Aradial Radius. [36] FreeRADIUS — это сервер 802.1X с открытым исходным кодом.
Предварительные общие ключи WPA и WPA2 остаются уязвимыми для атак со взломом паролей , если пользователи полагаются на слабый пароль или парольную фразу . Хэши парольной фразы WPA формируются из имени SSID и его длины; существуют радужные таблицы для 1000 крупнейших сетевых SSID и множества распространенных паролей, требующих лишь быстрого поиска для ускорения взлома WPA-PSK. [37]
С помощью Aircrack Suite можно попытаться подобрать простые пароли, начиная с четырехстороннего рукопожатия аутентификации, которым обмениваются во время ассоциации или периодической повторной аутентификации. [38] [39] [40] [41] [42]
WPA3 заменяет криптографические протоколы, допускающие автономный анализ, протоколами, которые требуют взаимодействия с инфраструктурой для каждого угаданного пароля, предположительно накладывая временные ограничения на количество попыток. [16] Однако конструктивные недостатки WPA3 позволяют злоумышленникам проводить атаки методом перебора (см. атаку Dragonblood).
WPA и WPA2 не обеспечивают прямую секретность . Это означает, что как только злоумышленник обнаружит предварительно общий ключ, он потенциально сможет расшифровать все пакеты, зашифрованные с использованием этого PSK, передаваемые в будущем и даже в прошлом, которые могут быть пассивно и незаметно собраны злоумышленником. . Это также означает, что злоумышленник может незаметно перехватывать и расшифровывать чужие пакеты, если точка доступа, защищенная WPA, предоставляется бесплатно в публичном месте, поскольку ее пароль обычно известен всем, кто находится в этом месте. Другими словами, WPA защищает только от злоумышленников, у которых нет доступа к паролю. По этой причине безопаснее использовать протокол Transport Layer Security (TLS) или аналогичный для передачи любых конфиденциальных данных. Однако, начиная с WPA3, эта проблема решена. [23]
В 2013 году Мэти Ванхуф и Фрэнк Писсенс [43] значительно усовершенствовали атаки WPA-TKIP Эрика Тьюса и Мартина Бека. [44] [45] Они продемонстрировали, как внедрить произвольное количество пакетов, каждый из которых содержит не более 112 байт полезной нагрузки. Это было продемонстрировано путем реализации сканера портов , который можно выполнить против любого клиента, использующего WPA-TKIP . Кроме того, они показали, как расшифровать произвольные пакеты, отправленные клиенту. Они упомянули, что это можно использовать для перехвата TCP-соединения , что позволит злоумышленнику внедрить вредоносный код JavaScript, когда жертва посещает веб-сайт. Напротив, атака Бека-Тьюса могла расшифровать только короткие пакеты с преимущественно известным содержимым, например сообщения ARP , и позволяла внедрить только от 3 до 7 пакетов размером не более 28 байт. Атака Beck-Tews также требует включения качества обслуживания (как определено в 802.11e ), тогда как атака Vanhoef-Piessens этого не требует. Ни одна из атак не приводит к восстановлению общего сеансового ключа между клиентом и точкой доступа . Авторы говорят, что использование короткого интервала смены ключей может предотвратить некоторые атаки, но не все, и настоятельно рекомендуют переключиться с TKIP на CCMP на основе AES .
Халворсен и другие показывают, как модифицировать атаку Бека-Тьюса, чтобы обеспечить внедрение от 3 до 7 пакетов размером не более 596 байт. [46] Обратной стороной является то, что их атака требует значительно больше времени для выполнения: примерно 18 минут и 25 секунд. В другой работе Ванхуф и Писсенс показали, что когда WPA используется для шифрования широковещательных пакетов, их первоначальная атака также может быть выполнена. [47] Это важное расширение, поскольку гораздо больше сетей используют WPA для защиты широковещательных пакетов , чем для защиты одноадресных пакетов . Время выполнения этой атаки составляет в среднем около 7 минут по сравнению с 14 минутами оригинальной атаки Ванхуфа-Писсенса и Бека-Тьюса.
Уязвимости TKIP значительны, поскольку раньше считалось, что WPA-TKIP является чрезвычайно безопасной комбинацией; действительно, WPA-TKIP по-прежнему является вариантом конфигурации для широкого спектра устройств беспроводной маршрутизации, предоставляемых многими поставщиками оборудования. Опрос 2013 года показал, что 71% по-прежнему разрешают использование TKIP, а 19% поддерживают исключительно TKIP. [43]
Более серьезная уязвимость безопасности была обнаружена в декабре 2011 года Стефаном Фибеком, которая затрагивает беспроводные маршрутизаторы с функцией защищенной настройки Wi-Fi (WPS), независимо от того, какой метод шифрования они используют. Большинство последних моделей имеют эту функцию и включают ее по умолчанию. Многие производители потребительских устройств Wi-Fi предприняли шаги, чтобы исключить возможность выбора слабой парольной фразы, продвигая альтернативные методы автоматического создания и распространения надежных ключей, когда пользователи добавляют в сеть новый беспроводной адаптер или устройство. Эти методы включают нажатие кнопок на устройствах или ввод 8-значного PIN-кода .
Wi-Fi Alliance стандартизировал эти методы как защищенную настройку Wi-Fi; однако широко реализованная функция PIN-кода привела к новому серьезному недостатку безопасности. Уязвимость позволяет удаленному злоумышленнику восстановить PIN-код WPS, а вместе с ним и пароль WPA/WPA2 маршрутизатора, за несколько часов. [48] Пользователям настоятельно рекомендуется отключить функцию WPS, [49] хотя на некоторых моделях маршрутизаторов это может быть невозможно. Кроме того, на большинстве маршрутизаторов Wi-Fi с WPS PIN-код указан на этикетке, и в случае взлома его невозможно изменить.
В 2018 году Wi-Fi Alliance представил Wi-Fi Easy Connect [50] в качестве новой альтернативы для настройки устройств, которым не хватает достаточных возможностей пользовательского интерфейса, позволяя соседним устройствам служить адекватным пользовательским интерфейсом для целей подготовки сети, тем самым уменьшая нужен WPS. [51]
В MS-CHAPv 2 было обнаружено несколько слабых мест , некоторые из которых значительно снижают сложность атак методом перебора, делая их возможными на современном оборудовании. В 2012 году сложность взлома MS-CHAPv2 свелась к взлому одного ключа DES (работа Мокси Марлинспайка и Марша Рэя). Мокси посоветовал: «Предприятиям, которые зависят от свойств взаимной аутентификации MS-CHAPv2 при подключении к своим серверам WPA2 Radius, следует немедленно начать переход на что-то другое». [52]
Туннельные методы EAP с использованием TTLS или PEAP, которые шифруют обмен MSCHAPv2, широко используются для защиты от использования этой уязвимости. Однако преобладающие реализации клиентов WPA2 в начале 2000-х годов были склонны к неправильной настройке конечными пользователями или в некоторых случаях (например, Android ) не имели какого-либо доступного пользователю способа правильной настройки проверки CN сертификатов сервера AAA. Это расширило актуальность первоначальной слабости MSCHAPv2 в сценариях атак MiTM . [53] В рамках более строгих тестов на соответствие WPA2, объявленных одновременно с WPA3, сертифицированное клиентское программное обеспечение должно будет соответствовать определенным правилам, связанным с проверкой сертификата AAA. [16]
Hole196 — это уязвимость в протоколе WPA2, которая злоупотребляет общим временным ключом группы (GTK). Его можно использовать для проведения атак «человек посередине» и «отказ в обслуживании» . Однако предполагается, что злоумышленник уже прошел аутентификацию в точке доступа и, следовательно, владеет GTK. [54] [55]
В 2016 году было показано, что стандарты WPA и WPA2 содержат небезопасный описательный генератор случайных чисел (ГСЧ). Исследователи показали, что если поставщики реализуют предложенный RNG, злоумышленник сможет предсказать групповой ключ (GTK), который должен быть случайным образом сгенерирован точкой доступа (AP). Кроме того, они показали, что обладание GTK позволяет злоумышленнику вводить в сеть любой трафик, а также позволяет злоумышленнику расшифровывать одноадресный интернет-трафик, передаваемый по беспроводной сети. Они продемонстрировали свою атаку на маршрутизатор Asus RT-AC51U, который использует внешние драйверы MediaTek , которые сами генерируют GTK, и показали, что GTK можно восстановить в течение двух минут или меньше. Аналогичным образом они продемонстрировали, что ключи, сгенерированные демонами доступа Broadcom, работающими на VxWorks 5 и более поздних версиях, можно восстановить за четыре минуты или меньше, что касается, например, определенных версий Linksys WRT54G и некоторых моделей Apple AirPort Extreme. Продавцы могут защититься от этой атаки, используя безопасный ГСЧ. Таким образом, Hostapd , работающий на ядрах Linux, не уязвим перед этой атакой, и, следовательно, маршрутизаторы, на которых установлены типичные установки OpenWrt или LEDE, не проявляют этой проблемы. [56]
В октябре 2017 года были опубликованы подробности атаки KRACK (Key Reinstallation Attack) на WPA2. [57] [58] Считается, что атака KRACK затрагивает все варианты WPA и WPA2; однако последствия для безопасности различаются в зависимости от реализации и зависят от того, как отдельные разработчики интерпретировали плохо определенную часть стандарта. Программные исправления могут устранить уязвимость, но доступны не для всех устройств. [59] KRACK использует уязвимость в 4-стороннем рукопожатии WPA2, важном процессе генерации ключей шифрования. Злоумышленники могут принудительно выполнить несколько рукопожатий, манипулируя сбросом ключей. Перехватив рукопожатие, они смогли расшифровать сетевой трафик, не взламывая шифрование напрямую. Это представляет риск, особенно при передаче конфиденциальных данных. [60]
В ответ производители выпустили патчи, но не все устройства получили обновления. Пользователям рекомендуется регулярно обновлять свои устройства, чтобы снизить такие риски безопасности. Регулярные обновления имеют решающее значение для поддержания сетевой безопасности от развивающихся угроз. [60]
Атаки Dragonblood выявили значительные уязвимости в протоколе рукопожатия Dragonfly, используемом в WPA3 и EAP-pwd. К ним относятся атаки по побочным каналам, потенциально раскрывающие конфиденциальную информацию пользователя, а также недостатки реализации EAP-pwd и SAE. Также были высказаны опасения по поводу недостаточной безопасности в переходных режимах, поддерживающих как WPA2, так и WPA3. В ответ на это в WPA3 и EAP-pwd интегрируются обновления безопасности и изменения протоколов для устранения этих уязвимостей и повышения общей безопасности Wi-Fi [61].
11 мая 2021 года был обнаружен набор новых уязвимостей безопасности FragAttacks, которые затрагивают устройства Wi-Fi и позволяют злоумышленникам в пределах досягаемости красть информацию или атаковать устройства. К ним относятся недостатки конструкции стандарта Wi-Fi, затрагивающие большинство устройств, и ошибки программирования в продуктах Wi-Fi, что делает уязвимыми почти все продукты Wi-Fi. Уязвимости затрагивают все протоколы безопасности Wi-Fi, включая WPA3 и WEP. Эксплуатировать эти недостатки сложно, но ошибки программирования в продуктах Wi-Fi использовать проще. Несмотря на улучшения в безопасности Wi-Fi, эти результаты подчеркивают необходимость постоянного анализа безопасности и обновлений. В ответ были разработаны исправления безопасности, а пользователям рекомендуется использовать HTTPS и устанавливать доступные обновления для защиты. [62]
WPA совместим как с прямой, так и с обратной совместимостью и предназначен для работы на существующих устройствах Wi-Fi при загрузке программного обеспечения.