Konečně opět bezpečná Wi-Fi

Šifrování WPA2 bylo dlouhou dobu odborníky považováno za bezpečné. To se však na podzim minulého roku změnilo s objevením bezpečnostní díry KRACK, která odhalila strukturální bezpečnostní problémy tohoto standardu. Přes všechny nepříjemnosti se lze ale proti tomuto bezpečnostnímu riziku ochránit instalací nejnovějších aktualizací. Ani správně nastavená Wi-Fi síť s dostatečně silným heslem a WPA2 šifrováním však nemusí být bezpečná. Řada výrobců bohužel stále od té doby nevydala pro své produkty potřebné opravy a aktualizace WPA2. Wi-Fi Alliance (WFA), která certifikuje WPA standardy, si je tohoto faktu vědoma a již v polovině roku 2018 připravila specifikaci WPA3. V tomto případě se dala inspirovat doporučeními, které odborníci na šifrování zveřejnili ve zprávě NSA Suite-B.

Bezpečnější spojení

Bezpečnostní mezery standardu WPA2 urychlily přípravu nové verze WPA3. Toto zrychlení bohužel zároveň znamenalo, že z celé řady vynikajících nápadů se do povinné výbavy finální verze WPA3 dostaly jen dvě zásadní inovace. První z nich vlastně není zas tak velkou novinkou a není také exkluzivní vlastností WPA3. Metodu zabezpečení rámců s informacemi pro management pomocí doplňku Protected Management Frames (PMF) používají jako volitelnou možnost někteří vývojáři, jako AVM nebo Lancom, i ve svých Wi-Fi routerech, které pracují jen s WPA2.

PMF využívá následující zranitelnost: informace pro správu přenášené v rámci Wi-Fi, které se starají o strukturu a provoz datových spojení, se posílají nezašifrované. Následkem toho mohou potenciální odposlechy v rámci Wi-Fi buňky přijímat a hodnotit informace i v případě, kdy do ní není útočník přihlášen. Ačkoli šifrované datové spojení nemůže být odposloucháno, může být narušeno falešnými informacemi o správě. PMF pracuje se standardem IEEE 802.11w a kóduje informace o správě tak, aby k rušení Wi-Fi sítě již nemohlo docházet.

Základem WPA3 a hlavním důvodem, proč nové šifrování skutečně přináší větší bezpečnost, je vylepšená autentizace s poněkud těžkopádným názvem Simultaneous Authentication of Equals (SAE). Doposud fungovalo spojení klienta a Wi-Fi routeru tak, že notebook nebo smartphone se identifikovaly na Wi-Fi routeru, ale router se již nemusel představit klientovi. V případě SAE již tomu tak není a autorizace musí proběhnout oběma směry. Při komunikaci navíc není přenášeno sdílené heslo. Ve WPA2 tomu tak bylo, takže bylo možné jej zachytit a záznam handshaku mezi klientem a přístupovým bodem posléze hrubou výpočetní silou prolomit. Slabě zabezpečené heslo Wi-Fi tak mohlo být použito i pro útok v off-line režimu.

Zabezpečení proti útoku hrubou silou

S SAE off-line útoky provádět nelze, protože heslo se mezi klientem a Wi-Fi routerem nepřenáší ani v šifrované podobě. Klient a Wi-Fi základna používají stejné heslo a v prvním kroku si jej posílají mezi sebou pomocí různých hašovacích funkcí. WPA3 v tomto ohledu zvyšuje bezpečnost tím, že blokuje některé méně bezpečné, doposud používané haše, jako jsou SHA1 nebo MD5. Pro hašování hesla se nyní používá šifrovací eliptická křivka: klient a Wi-Fi router vyjednají parametry eliptické křivky a pomocí hesla vytvoří bod na této křivce. Obě strany pak vyberou náhodné číslo; klient používá náhodné číslo u, Wi-Fi router zvolí číslo v. Klient vypočítá uR, což je násobek R na eliptické křivce, a odešle jej do směrovače, který zase vypočítá a odešle vR. Obě strany vypočítají a poté porovnávají jako klíč celkový výsledek uvR. To představuje značný problém pro potenciální útočníky. Ti sice mohou zachytit hodnoty R a uR nebo vR, ale nedokážou z nich již zpětně odvodit u a v, protože by museli umět vypočítat diskrétní logaritmus, což představuje dosud neřešitelný matematický problém. Další výhodou ověřování pomocí SAE je, že i pokud by cizí strana dokázala zachytit přenášený kód, nemohla by později zachycené zprávy dešifrovat. Tento princip se nazývá Perfect Forward Secrecy (PFS).

Chybí důležitá funkce

Wi-Fi Alliance se zapomněla zaměřit na jeden důležitý aspekt. Plánovala zavést bezpečnostní funkci oportunistického šifrování (Opportunistic Wireless Encryption, OWE), která by měla za úkol uzavírat nezabezpečené Wi-Fi sítě. Uživatelé by se mohli k routeru šifrovaně přihlásit i bez předchozího zadání hesla. Data by mohla putovat bez autentizace, ale neměla by podobu prostého textu. Důvodem pro vynechání OWE je pravděpodobně příliš náročná implementace. Na druhou stranu ve specifikaci WPA3 zůstala volitelná certifikace s označením Wi-Fi Enhanced Open. Spolu se specifikací WPA3 vydala Wi-Fi Alliance i specifikaci Wi-Fi Easy Connect, která bude sloužit například pro snadné připojení periferií, jako jsou tiskárny, prostřednictvím skenování QR kódu (viz vpravo).

***

Srovnání standardů

WPA WPA WPA2 WPA3
Uvedení na trh 2002 2004 2018
Šifrování RC4 AES AES
Délka klíče/ iniciační vektor 128 Bit/ 48 Bit 128 Bit/ 48 Bit až 192 Bit/ 48 Bit
Šifrování metadat ne Protected Management Frames (volitelně) Protected Management Frames (povinně)
Autentizace TKIP, 802.1x & EAP CCMP, 802.1x & EAP

***

Simultaneous Authentication of Equals (SAE)

Slovník RC4 Šifrování považované od roku 2015 za nebezpečné.
AES Blokové šifrování považované za bezpečné.
TKIP Temporal Key Integrity Protocol se považuje za nebezpečný již od roku 2009.
CCMP Counter-Mode/CBC-MAC Protocol umožňuje kombinování různých šifrovacích procedur.
EAP Extensive Authentication Protocol nedokáže blokovat MITM (Man In the Middle) útoky na Wi-Fi klíče.

***

WPA3: Přijde na trh do dvou let

V současnosti probíhá certifikace prvních zařízení. WPA3 musí ještě projít následujícími etapami:

leden 2018 oznámení WPA3 na CES
červen 2018 dokončení specifikace WPA3
červenec 2018 začátek certifikace produktů na WPA3
Q3 2018 aktualizace firmwaru Wi-Fi routerů
Q3 2018 příchod prvních nových modelů routerů s WPA3 na trh
pololetí 2020 podpora WPA3 je povinná pro nově certifikovaná zařízení

Foto popis| WPA3: Bezpečnostní update Na počátku roku 2018 byl zveřejněn záměr vytvořit standard WPA3, který vznikl jako reakce na zjištění bezpečnostních děr WPA2. Dokončení specifikace se WPA3 dočkalo v polovině letošního roku. V současnosti pracují vývojáři na začlenění WPA3 do svých produktů.
Foto popis| Povinnou součástí WPA3 je šifrování metadat. Někteří výrobci již podporují Protected Management Frames v beta-verzích svých firmwarů.
Foto popis| Autentizace mezi rovnými Technologie SAE pracuje v několika krocích. Nejprve je heslo zadané do klienta a Wi-Fi routeru transformováno pomocí různých hašovacích funkcí 1 . Posléze se klient a router dohodnou na parametrech matematické eliptické křivky 2 . Výsledkem kroků 1 a 2 je hodnota R, kterou je určitý bod na eliptické křivce. Poté ve stejný čas vytvoří klient náhodné číslo u a router náhodné číslo v 3 . Následně proběhne výměna hodnot uR a vR 4 . Obě strany si z hodnoty uvR 5 vytvoří společný klíč a nakonec jej mezi sebou porovnají pomocí kontrolního součtu 6 .
Foto popis| Wi-Fi Easy Connect: Připojení periferií do domácí sítě
Foto popis| Wi-Fi router odešle do smartphonu přihlašovací údaje v podobě QR kódu.
Foto popis| Uživatel vyfotografuje QR kódy zobrazené na periferním zařízení.
Foto popis| Wi-Fi Easy Connect připojí na základě informací z QR kódů periferie do zabezpečené Wi-Fi sítě.

O autorovi| JÖRG GEIGER, autor@chip.cz