Wi-Fi聯(lián)盟最近公布了14年來最重磅的Wi-Fi安全升級

Wi-Fi聯(lián)盟最近公布了14年來最重磅的Wi-Fi安全升級。Wi-Fi保護(hù)訪問3（簡稱WPA3）安全認(rèn)證協(xié)議為2004年推出的WPA2協(xié)議提供了一些迫切需要的更新。WPA3并沒有對Wi-Fi安全進(jìn)行全面改造，而是專注于引入新技術(shù)來應(yīng)對已經(jīng)顯現(xiàn)在WPA2中的漏洞。

除WPA3之外，Wi-Fi聯(lián)盟還公布了另外兩個(gè)獨(dú)立的認(rèn)證協(xié)議：Enhanced Open（增強(qiáng)開放）協(xié)議和Easy Connect（簡單連接）協(xié)議。它們不依賴于WPA3，但它們確實(shí)提高了特定類型網(wǎng)絡(luò)和特定情況下的安全性。

所有這些協(xié)議現(xiàn)在都可供制造商整合到他們的設(shè)備中。如果WPA2將要走下歷史舞臺(tái)，那么這些協(xié)議最終會(huì)被普遍采用，但Wi-Fi聯(lián)盟尚未就此設(shè)定任何時(shí)間表。最有可能的是，隨著新設(shè)備進(jìn)入市場，我們最終會(huì)看到一個(gè)轉(zhuǎn)折點(diǎn)，那之后WPA3、Enhanced Open和Easy Connect就成了新的主流。

那么，所有這些新的認(rèn)證協(xié)議能做些什么呢？由于大多數(shù)都與無線加密有關(guān)，還有很多復(fù)雜的數(shù)學(xué)計(jì)算，這就有些說來話長。不過，本文將只是概要地談?wù)勥@些協(xié)議會(huì)為無線安全帶來的四個(gè)主要變化。

同時(shí)對等身份認(rèn)證（SAE）

這是WPA3帶來的最大變化。任何網(wǎng)絡(luò)防御中最重要的時(shí)刻都是一個(gè)新設(shè)備或新用戶試圖連接進(jìn)來時(shí)。把敵人攔截在門外才最安全，這就是WPA2和如今的WPA3都非常強(qiáng)調(diào)對新連接進(jìn)行身份驗(yàn)證并確保它們不是攻擊者獲取訪問權(quán)限的嘗試的原因。

SAE是一種對嘗試連接到網(wǎng)絡(luò)的設(shè)備進(jìn)行身份驗(yàn)證的新方法。SAE是使用加密技術(shù)來防止竊聽者猜測密碼的所謂“蜻蜓握手”（dragonfly handshake）的一種變體，它確切地指明了一個(gè)新設(shè)備或用戶在交換加密密鑰時(shí)應(yīng)該如何向網(wǎng)絡(luò)路由器“打招呼”。

SAE取代了自2004年WPA2推出以來一直在使用的預(yù)共享密鑰（PSK）方法。PSK也被稱為“四次握手”(four-way handshake)，這是指在路由器和連接設(shè)備之間來回握手或傳遞消息四次，四次握手后雙方都要在沒有任何一方直接透露事先商定的密碼的情況下證明自己知道這密碼。直到2016年，PSK似乎都是安全的，直到“密匙重裝攻擊”（KRACK）被發(fā)現(xiàn)。

一個(gè)KRACK通過假裝暫時(shí)失去與路由器的連接來中斷一系列的握手。實(shí)際上，它使用重復(fù)連接的機(jī)會(huì)來分析握手，直到將正確的密碼拼湊出來為止。SAE阻止這種攻擊以及更常見的離線字典攻擊。在離線字典攻擊中，一臺(tái)計(jì)算機(jī)會(huì)用數(shù)百、數(shù)千或數(shù)百萬個(gè)密碼來做嘗試，以確定其中哪個(gè)密碼與PSK握手提供的驗(yàn)證信息相匹配。

顧名思義，SAE的工作方式是將設(shè)備視為平等的，而不是將一方視為顯式請求者而將另一方視為認(rèn)證者（傳統(tǒng)上分別是連接設(shè)備和路由器）。任何一方都可以發(fā)起握手，然后它們繼續(xù)獨(dú)立發(fā)送它們的認(rèn)證信息，而不是作為來回交換的一部分。如果沒有來回交換，KRACK無處可進(jìn)，而字典攻擊也毫無用處。

SAE提供了PSK沒有的額外安全特性：前向保密性。假設(shè)攻擊者可以訪問路由器從更廣泛的因特網(wǎng)上發(fā)送和接收的加密數(shù)據(jù)。以前，攻擊者可以保留這些數(shù)據(jù)，然后，如果它們成功地獲得了一個(gè)密碼，它們就可以解密先前存儲(chǔ)的數(shù)據(jù)。使用SAE，每次建立連接時(shí)都會(huì)更改加密密碼，因此即使攻擊者通過欺騙的方式進(jìn)入網(wǎng)絡(luò)，他們也只能竊取密碼來解密之后傳輸?shù)臄?shù)據(jù)。

標(biāo)準(zhǔn)IEEE 802.11-2016中對SAE進(jìn)行了定義。順便說一下，該標(biāo)準(zhǔn)的長度超過3,500頁。

192位安全協(xié)議

WPA3- Enterprise是面向金融機(jī)構(gòu)、政府和企業(yè)的一個(gè)WPA3認(rèn)證版本，具有192位加密功能。對于家庭網(wǎng)絡(luò)上的路由器來說，這是一種過度的安全級別，但對于處理特別敏感信息的網(wǎng)絡(luò)來說，這是有意義的。

Wi-Fi目前提供128位安全協(xié)議的安全性。192位的安全協(xié)議不是強(qiáng)制性的，對于那些希望或需要將其用于其網(wǎng)絡(luò)的機(jī)構(gòu)來說，它是一個(gè)可選的設(shè)置。Wi-Fi聯(lián)盟還強(qiáng)調(diào)，企業(yè)網(wǎng)絡(luò)應(yīng)該擁有強(qiáng)大的加密能力：系統(tǒng)安全的整體強(qiáng)度取決于其最薄弱的環(huán)節(jié)。

為了確保一個(gè)網(wǎng)絡(luò)的整體安全性從頭到尾地達(dá)到一致性，WPA3-Enterprise將使用256位伽羅瓦/計(jì)數(shù)器模式協(xié)議（Galois/Counter Mode Protocol）進(jìn)行加密，使用384位的散列消息認(rèn)證模式（Hashed Message Authentication Mode）來創(chuàng)建和確認(rèn)密鑰，以及使用橢圓曲線Diffie-Hellman（Elliptic Curve Diffie-Hellman）交換和橢圓曲線數(shù)字簽名算法（Elliptic Curve Digital Signature Algorithm）來認(rèn)證密鑰。這是一個(gè)很復(fù)雜的數(shù)學(xué)問題，但其結(jié)果是，這個(gè)過程的每一步都將為需要它的組織保持一個(gè)192位的加密和安全最小值。

簡單連接

Easy Connect是對當(dāng)今世界上連接設(shè)備數(shù)量之巨的一種承認(rèn)。雖然并不是每個(gè)人都在追趕智能家居的潮流，但與2004年相比，如今的普通人連接到家庭路由器上的設(shè)備至少多了幾件。Wi-Fi聯(lián)盟正努力使所有這些設(shè)備連接上來之事變得更直觀。與你每次想向你的網(wǎng)絡(luò)中添加?xùn)|西時(shí)輸入密碼不同，設(shè)備將具有唯一的QR碼——每個(gè)設(shè)備的QR碼將作為一種公鑰來使用。要添加設(shè)備，你可以使用已經(jīng)連接到網(wǎng)絡(luò)的智能手機(jī)掃描其QR碼。

在掃描QR碼之后，網(wǎng)絡(luò)和設(shè)備交換并驗(yàn)證密鑰以進(jìn)行后續(xù)連接。Easy Connect是WPA3的一個(gè)單獨(dú)協(xié)議：Easy Connect認(rèn)證的設(shè)備必須是經(jīng)過WPA2認(rèn)證的，但不必非要經(jīng)過WPA3認(rèn)證。

增強(qiáng)開放

Enhanced Open是另一個(gè)單獨(dú)的協(xié)議，其設(shè)計(jì)目的是為了在開放網(wǎng)絡(luò)上保護(hù)你。開放網(wǎng)絡(luò)——即你在咖啡店和機(jī)場連接的網(wǎng)絡(luò)——帶來了一系列問題，當(dāng)你連接到家庭或工作網(wǎng)絡(luò)時(shí)，你通常不必?fù)?dān)心這些問題。

在開放網(wǎng)絡(luò)上發(fā)生的許多攻擊都是被動(dòng)攻擊。由于有大量的人連接到網(wǎng)絡(luò)，攻擊者可以通過坐下來對進(jìn)出的數(shù)據(jù)進(jìn)行篩選來獲取大量數(shù)據(jù)。

Enhanced Open使用“機(jī)會(huì)性無線加密”（Opportunistic Wireless Encryption，簡稱OWE）來防止這種被動(dòng)竊聽。在Internet Engineering Task Force RFC 8110標(biāo)準(zhǔn)中定義了OWE。OWE不需要任何額外的身份驗(yàn)證保護(hù)，而是專注于改進(jìn)通過公共網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)的加密，使竊聽者無法竊取它。它還可以防止所謂的簡單數(shù)據(jù)包注入（unsophisticated packet injection），在這種攻擊中，攻擊者試圖通過構(gòu)建和傳輸看起來像是網(wǎng)絡(luò)正常運(yùn)作的一部分的數(shù)據(jù)包來破壞網(wǎng)絡(luò)的運(yùn)作。

Enhanced Open不提供任何身份驗(yàn)證保護(hù)的原因是由于開放網(wǎng)絡(luò)的性質(zhì)——按照設(shè)計(jì)，它們可用于一般用途。Enhanced Open旨在提高開放網(wǎng)絡(luò)對被動(dòng)攻擊的防御，而無需普通用戶輸入額外密碼或執(zhí)行額外步驟。

Easy Connect和Enhanced Open成為常態(tài)之后，至少要過幾年WPA3才會(huì)普及。隨著路由器被替換或升級，WPA3的公開采用將會(huì)發(fā)生。如果你擔(dān)心個(gè)人網(wǎng)絡(luò)的安全性，那么你應(yīng)該可以用WPA3認(rèn)證的路由器替換當(dāng)前的路由器，因?yàn)橹圃焐虝?huì)在接下來的幾個(gè)月內(nèi)會(huì)開始銷售這樣的路由器。