Die WPA3-Gerätezertifizierung beginnt: Schwache Passwörter sind sicherer geworden

Published on June 27, 2018

Die WPA3-Gerätezertifizierung beginnt: Schwache Passwörter sind sicherer geworden

    Am 25. Juni 2018 führte die Wi-Fi Alliance das Wi-Fi CERTIFIED WPA3-Zertifizierungsprogramm offiziell ein . Dies ist das erste Update der Wi-Fi-Sicherheitsprotokolle seit 14 Jahren. Der Allianz zufolge fügt WPA3 (Wi-Fi Protected Access 3) "neue Funktionen hinzu, um die Wi-Fi-Sicherheit zu vereinfachen, eine zuverlässigere Authentifizierung bereitzustellen, die kryptografische Sicherheit für hochsensible Datenmärkte zu erhöhen und die Ausfallsicherheit kritischer Netzwerke sicherzustellen." In allen WPA3-Netzwerken:



    • Verwendet neueste Sicherheitstechniken.
    • Veraltete Protokolle sind verboten.
    • Obligatorische Funktion zum Schutz von Kontrollrahmen vor PMF-Schutz (Protected Management Frames)

    Da Wi-Fi-Netzwerke unterschiedliche Verwendungs- und Sicherheitsanforderungen haben, bietet WPA3 wie WPA2 zwei Standardprofile für persönliche Netzwerke und Unternehmensnetzwerke: WPA3-Personal und WPA3-Enterprise. WPA3-Personal-

    Benutzer erhalten eine stärkere Kennwortauthentifizierung und einen Brute-Force-Schutz, selbst wenn sie ein zu kurzes oder einfaches Kennwort auswählen. Dies wird implementiert, indem das alte PSK-Protokoll (Pre-Shared Key) durch das SAE- Protokoll ( Simultaneous Authentication of Equals ) von Dan Perkins ersetzt wird. SAE bezieht sich auf Protokolle wie PAKE (Passwort-Authentified Key Agreement): Eine interaktive Methode, bei der zwei oder mehr Parteien kryptografische Schlüssel auf der Grundlage der Kenntnis eines oder mehrerer Parteien eines Passworts einrichten.

    Das Hauptmerkmal von PAKE - eine Person in der Mitte kann nicht genug Informationen erhalten, um im passiven Modus eine vollständige Offline-Brute-Force durchzuführen. Er erfordert zwingend eine Interaktion mit den Parteien, um jede Option zu überprüfen. Dies bedeutet, dass auch bei schwachen Passwörtern eine wesentlich höhere Sicherheit als zuvor geboten wird.

    WPA3-Personal ist mehr auf Benutzerfreundlichkeit ausgerichtet. Benutzer können weiterhin beliebige Passwörter auswählen.

    WPA3-Enterprisebietet weitaus höhere Sicherheitsanforderungen und erlaubt jetzt die Verwendung von hochsicheren Sicherheitsprotokollen für sensible Datennetze. Es werden kryptografische Protokolle mit mindestens 192-Bit-Schlüsseln und die folgenden kryptographischen Tools zum Datenschutz angeboten:

    • Authentifizierte Verschlüsselung : 256-Bit-Galois / Counter-Modus-Protokoll (GCMP-256)
    • Schlüsselgenerierung und Bestätigung : 384-Bit-Hashed-Message-Authentication-Modus (HMAC) mit Hash-Verfahren des sicheren Hash-Algorithmus (HMAC-SHA384)
    • Schlüsselaustausch und Authentifizierung : Elliptic Curve Diffie-Hellman (ECDH) -Protokollaustausch und Elliptic Curve Digital Signature Algorithm (ECDSA) digitale Signatur auf einer 384-Bit-Ellipsenkurve
    • Zuverlässiges Management des Verkehrsschutzes : 256-Bit-Broadcast / Multicast-Integritätsprotokoll (Galois Message Authentication Code, BIP-GMAC-256)

    Es wird davon ausgegangen, dass bei der Auswahl des 192-Bit-Modus alle aufgelisteten Tools verwendet werden, was die korrekte Kombination von Protokollen als grundlegende Sicherheitsplattform innerhalb des WPA3-Netzwerks garantiert.

    WPA3 behält die Abwärtskompatibilität mit WPA2-Geräten bei und ist derzeit eine optionale zusätzliche Zertifizierung für Wi-Fi-CERTIFIED-Geräte.

    WPA3 basiert auf dem simultanen SAE- Protokoll (Authentication of Equals) von Dan Harkins. Dieser Spezialist ist auch der Autor des berühmten Dragonfly- Protokolls (RFC 7664) . Das RFC 7664-Genehmigungsverfahren bei der IETF war von einer hitzigen Debatte begleitet.. Der Vorsitzende der CFRG-Crypto-Standards, in dem behauptet wird, dass Dragonfly, Kevin Igoe, angeblich ein Mitarbeiter der NSA ist . Im globalen Sinne ist es daher unmöglich, mit aller Sicherheit über die kryptographische Stärke und die Zuverlässigkeit des SAE-Protokolls und des gesamten WPA3-Standards zu sprechen.

    Die Wi-Fi Alliance erwartet, dass WPA3-fähige Geräte ab 2019 auf dem Markt verfügbar sein werden, zusammen mit Geräten, die eine neue, schnellere Version von Wi-Fi selbst unterstützen - 802.11ax . Danach kann die WPA3-Unterstützung eine Voraussetzung für die Zertifizierung eines Wi-Fi-Geräts sein.