Ang bagong protocol para sa proteksyon ng mga Wi-Fi network na inihayag ng Wi-Fi Alliance noong Enero 2018. WPA3, ano ang inaasahan maipakalat nang malawak bago ang katapusan ng taong ito.
Ito ay na binuo sa mga pangunahing bahagi ng WPA2 at magdadala ng mga karagdagang tampok upang gawing simple ang pag-setup ng seguridad ng Wi-Fi para sa mga gumagamit at service provider, habang pinahuhusay ang mga proteksyon sa seguridad.
Kasama rito ang apat na bagong tampok para sa mga personal na Wi-Fi network.
Ayon sa Wi-Fi Alliance, dalawa sa mga tampok na ito ay mag-aalok ng matatag na proteksyon kahit na pumili ang mga gumagamit ng mga password na hindi nakakatugon sa mga karaniwang rekomendasyon sa pagiging kumplikado.
Sa ibang salita, Maaaring gawing mas ligtas ng WPA3 ang mga pampublikong network ng Wi-Fi, na ginagawang mahirap para sa isang tao sa isang bukas na network na hadlangan ang data na ipinadala ng iba pang mga aparato sa parehong network.
Ngunit isang bagong ulat ang na-publish ng dalawang mananaliksik mula sa New York University at Tel Aviv University, parang may sinabi silang ibatulad ng ilan sa mga pamamaraan ng seguridad na ginamit sa bagong protocol sa pamamagitan ng pagha-highlight ng ilan sa mga problemang nauugnay sa kanila.
Ang WPA3 ay hindi pa naipatupad at maraming surot
Ang iyong pagtatasa, inilarawan Nakatuon ang artikulo sa SAE Handshake WPA3 na protokol. Ang pagsusuri na ito ipinakita na ang WPA3 ay apektado ng iba't ibang mga depekto sa disenyo at higit na partikular, ito ay magiging mahina laban sa "pag-atake ng paghiwalay ng password".
Gayunpaman, ang isa sa pinakamahalagang pagbabago na ipinakilala ng WPA3 na protocol ay ang mekanismo ng pagpapatotoo ng SAE (Kasabay na Peer Authentication).
Ito ay isang mekanismo na higit na binibigyang diin ang pagpapatotoo, isang sensitibong panahon kung saan ang pagsubaybay sa sistema ng seguridad ay dapat na pagpapatakbo upang makilala ang pagitan ng mga normal na koneksyon at pagpasok.
Ang bago, mas matatag na mekanismo na ito ay pumapalit sa pamamaraan ng PSK (Pre-Shared Key) mula nang mailabas ang WPA2 noong 2004.
Ang huling pamamaraan na ito ay natuklasan ng diskarteng KRACK. Nilalabanan ni SAE ang mga pag-atake na ito, pati na rin ang mga pag-atake sa diksyonaryo na ginamit sa cryptanalysis upang makahanap ng isang password, ayon sa IEEE Spectrum.
Sa ibang salita, ayon sa ulat ng dalawang mananaliksik na ito mula sa New York University Mathy Vanhoef, Nilalayon ng sertipikasyon ng WPA3 na ma-secure ang mga Wi-Fi network at nag-aalok ito ng maraming mga kalamangan kaysa sa hinalinhan na WPA2, tulad ng proteksyon laban sa mga pag-atake ng offline na diksyonaryo.
Gayunman, ayon kina Vanhoef at Ronen, WPA3 ay may mga seryosong kamalian, lalo na sa mga term ng mekanismo SAE pagpapatotoo, kilala rin bilang Dragonfly.
Ayon sa kanila, Ang Dragonfly ay maaapektuhan ng mga pag-atake na tinawag "Pag-atake ng pagkahati ng password".
Ipinaliliwanag nila na ito ang pag-atake ay mukhang pag-atake sa diksyonaryo at payagan ang isang kalaban na kunin ang password sa pamamagitan ng pang-aabuso sa gilid o pangalawang paglabas ng channel.
Bilang karagdagan dito, nagpakita sila ng isang kumpleto at may-sariling paglalarawan ng WPA3 at naniniwala na ang mga mekanismo laban sa kasikipan ng SAE ay hindi pinipigilan ang pagtanggi ng mga pag-atake ng serbisyo.
Paano gumagana ang pag-atake ng empleyado?
Sa partikular sa pamamagitan ng sobrang paggamit ng overhead ng mga panlaban sa SAE Handshake laban sa dating kilalang mga pangalawang channel, isang aparato na may limitadong mapagkukunan maaaring mag-overload ng isang processor ng access point propesyonal.
Bilang karagdagan, natupad nila isang malaking bilang ng mga pag-atake sa iba't ibang mga mekanismo na bumubuo sa WPA3 na protokol, tulad ng isang pag-atake sa diksyunaryo laban sa WPA3 kapag nagpapatakbo sa mode na paglipat, isang pag-atake sa microarchitecture na batay sa cache laban sa SAE Handshake, at kinuha ang pagkakataong ipakita kung paano magagamit ang nakuhang oras at ang impormasyon ng cache upang magsagawa ng isang "pag-atake ng paghiwalay ng password" offline.
Pinapayagan nitong makuha ng isang umaatake ang password na ginamit ng biktima.
Sa wakas, ipinaliwanag nila na pinag-aralan ang pagiging posible ng mga oras na pag-atake laban sa pagkakamay ng WPA3 SAE.
Ayon sa kanila, Kinukumpirma nito na posible ang pag-atake ng pag-sync at nawala ang impormasyon sa password. Detalye ng ulat ang iba't ibang mga pag-atake nina Vanhoef at Ronen at nagmumungkahi ng mga diskarte sa solusyon upang gawing mas ligtas ang pamantayan.
Ayon sa kanilang konklusyon, kulang sa WPA3 ang seguridad na kinakailangan upang maituring na isang modernong pamantayan sa seguridad at kakailanganing paunlarin bago pa ito malawakang gamitin.