Simovits

Om WPA3

I början av 2018 deklarerade Wifi Alliance att WPA3 ska efterträda WPA2 [1], vilket skulle medföra ett antal nya säkerhetsfunktioner för trådlösa nätverk. Det var emellertid sparsamt med information om den bakomliggande teknikern vid det tillfället, men det ordinarie pressmeddelandet har kompletterats med officiella krav [2]. Det ska förtydligas att WPA3 är ett certifieringsprogram, alltså en specifikation av vilka krav en enhet skall uppfylla för att få marknadsföras med begreppet WPA3. Nedan tittar vi på de säkerhetsfunktioner som presenterades vid årets början, samt vilka av dessa som blivit certifieringskrav.

Protected Management Frames

Protected Management Frames (PMF) är en benämningen för 802.11w[5] som säkerställer integriteten av management frames. Alla WPA3 enheter ska stödja PMF, men WPA3 kräver inte att PMF skall användas. För WPA2 försvårar PMF den vanligaste attacken för WPA2-PSK nätverk, vilket en angripare skickar ett deautentiseringpaket till en klient [6] för att avlyssna handskakningen då klienten återautentiseras. Med PMF går detta inte att genomföra, eftersom klienten inte kommer att deautentiseras om det inte först verifieras deautentiseringpaket kommaer från accesspunkten. Angriparen måste istället vänta, för att passivt avlyssna när en klient ansluter sig till nätverket.

Emellertid är den ovan beskriva attacken inte tillämpbar för den nya SAE handskakningen. Dessutom har [7] visat att det enkelt går att samla in den informations som behövs för offline knäckning av WPA2 lösenord, utan att först behöva avlyssna en 4-vägs handskakning. Därför innebär PMF inte någon signifikant höjning av säkerhetsnivån för varken WPA2 eller WPA3.

Handskakning i WPA3-private

Den enda förändringen som är ett krav för alla WPA3 enheter är att autentiseringen till WPA3 private nätverk sker med en ny handskakning. Därför tittar vi lite mer noggrant på vad konsekvenserna kommer att vara med denna förändring och försöker förtydliga hur denna handskakning skiljer sig från handskakningen som används vid WPA2 private.

Handskakningen inom WPA3, består av två delhandskakningar. En variant av Diffie-Hellman utbyte [4], följd av samma 4-vägs handskakning som används i WPA2-private. Syftet med den första delhandskakningen är att etablera en gemensam PMK(Pairwise Master Key) av hög komplexitet, som används vid den andra delhandskakningen. Låt oss anta att ECC (Eliptic Curve Crypthography) gruppen [14] används vid den första sekvensen. För enkelhetsskull ignorerar vi oftast parametrar som är fritt tillgängliga för en angripare.

1. Den första delhandskakningen, består av följande steg:
a). Två parter kommer överens om ett lösenord (Pre Shared Key (PSK)), denna kan vara av låg komplexitet.
b). Varje part mappar denna PSK till ett Password Element (PE), vilket är element i den överenskomna gruppen. Exempelvis en punkt på en överenskommen elliptisk kurva.
c). En Commit Exchange utförs där parterna genererar varsitt gruppelement Ei=Inv[siPE]=Inv[(mi+pi)PE], där mi och pi är slumpmässiga skalärer. I princip är Ei summan av si additioner av PE med sig själv, följt av en spegling i y-axeln.
d). Parterna utbyter Ei och si.
e). En Shared Secret (SS) beräknas hos vardera part, låt FX beteckna funktionen som mappar ett element till sin x-koordinat. Då är SS=FX[pi(sjPE×Inv[mjPE])] = FX[pi((pj+mj)PE×mjInv[PE])]= pipjPE.
f). Parterna beräknar och utbyter en Confirm = Confirm (SS,s1,s2,E1,E2), för att bekräfta att de beräknat samma SS.
g). Separat beräknas en PMK = PMK(SS).
2. Ovannämnd PMK används sedan i en likadan 4-vägshandskakning som WPA2-private använde, som exempelvis beskrivs av [3].

För ett exempel av hela SAE handskakningen, se [13].

Fördelar med SAE

Problemen med WPA2-private var främst att offline-knäckning mot PSK med ordlista var möjlig. Dessutom kan en angriparen som avlyssnat en 4-vägs handskakning spara ned krypterad data som överförs, för senare dekryptering lång i efterhand, ifall PSK blir känd. Fördelarna med SAE är främst:
1. Eftersom PMKn inte längre går att beräkna från PSKn kommer offline knäckning mot ordlista inte längre vara ett alternativ.
2. Eftersom p är ett slumpmässigt tal som ej kan avlyssnas, så går det ej att beräkna SS, även om PSK blir känd. Detta innebär att data inte kan dekrypteras i efterhand, ifall PSK röjs.

Opportunistic Wireless Encryption

Kryptering för öppna nätverk, som syftade till OWE [8][9], framställdes som en stor nyhet för WPA3. Emellertid är stöd för OWE inte någonting som krävs för WPA3 enheter[2]. OWE hade varit en välkommen förbättring från helt öppna WPA2-nätverk, eftersom detta förhindrar den enklaste typerna av avlyssning. Det är dock nämnvärt att, eftersom detta innebär kryptering utan autentisering så är den sårbar för Man in The Middle attacker.

WPA3-Enterprise 192-bit Mode

WPA3 kommer kravställa stöd för nycklar med komplexitet motsvarande 192-bitar [8]. Men i praktiken så är det potentiellt av större betydelse att EAP protokoll som ej är baserade på TLS, helt förbjuds. Därtill ska WPA3 enheter alltid ska kräva att RADIUS serverns certifikat valideras, i de fall certifikat används.

Wi-Fi Easy Connect

En välkommen ersättare till det osäkra standarden WPS var Wi-Fi Easy Connect, baserad på Device Provisioning Protocol (DPP) [10]. För mer om svagheterna hos WPS, se [11][12]. I slutändan har stöd för DPP inte blivit ett krav för WPA3 enheter.

Avslutande tankar

Övergången till SAE handskakningen kommer att innebära en höjning av säkerhetsnivån för ett stort antal individer eftersom de vanligaste attackerna mot WPA2-personal blir obrukbara, åtminstone i närtid. Det hade varit vågat, men väldigt effektivt att förbjuda stöd av äldre osäkra protokoll för WPA3 enheter, till exempel om stöd för äldre, sårbara implementationer av WPA-Enterpise inte längre hade tillåtits så hade det kunnat leda till en signifikant höjning av säkerheten för ännu fler användare. Här har ser det ut som att Wifi alliance prioriterat kompatibilitet. Trots detta så innebär WPA3, helt klart ett försiktigt kliv i en säkrare riktning.

Referenser

[1]:https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-wi-fi-certified-wpa3-security, WPA3 release.
[2]:https://www.wi-fi.org/file/wpa3-specification-v10, WPA3 specification.
[3]:https://www.ins1gn1a.com/understanding-wpa-psk-cracking/, Om WPA2 handskakning.
[4]:https://tools.ietf.org/html/rfc7664, RFC för Dragonfly Handshake
[5]:https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/5700/software/release/ios_xe_33/11rkw_DeploymentGuide
/_802point11rkw_deployment_guide_cisco_ios_xe_release33/b_802point11rkw_deployment_guide_cisco_ios_xe_release33_chapter
_0100.html#topic_610CA575275E44A6A09F214761A13144, Om 802.11w (PMF).
[6]:https://www.aircrack-ng.org/doku.php?id=deauthentication, Om death för WPA2 crack
[7]:https://simovits.com/nu-har-tradlosa-nat-blivit-annu-osakrare/, Om WPA2 hack utan deauth.
[8]: https://www.wi-fi.org/file/wi-fi-certified-wpa3-technology-overview, WPA3 technology Overview
[9]:https://tools.ietf.org/html/rfc8110, RFC Opportunistic Wireless Encryption
[10]: Device Provisioning Protocol Specification Version 1.0
[11]:https://simovits.com/wps-weakly-protected-setup-del-1/, WPS sårbart 1
[12]:https://simovits.com/wps-weakly-protected-setup-del-2/, WPS sårbart 2
[13]:https://www.cloudshark.org/captures/3638626f4551, Exempel SAE
[14]:https://en.wikipedia.org/wiki/Elliptic_curve#The_group_law, Om ECC