W sieci WLAN WPA3 było ważną aktualizacją metody uwierzytelniania i szyfrowania. WPA3 jest teraz dostępny na wielu urządzeniach i jest częścią codziennego życia - także w systemach Linux, w zależności od sprzętu.

Do tej pory WPA2 było powszechną metodą ochrony sieci WLAN za pomocą uwierzytelniania i zabezpieczania jej za pomocą szyfrowania. Jego następca, WPA3, jest zatwierdzony przez konsorcjum przemysłowe Wi-Fi Alliance od 2018 roku. Od 1 lipca 2020 r. nowe urządzenia WLAN również muszą być w stanie współpracować z WPA3, aby móc nosić pieczęć Wi-Fi. Systemy Linux zasadniczo wspierały WPA3 od jądra 3.8 i "wpa_supplicant" 2.9, które obsługują szyfrowanie. Jednak dopiero teraz punkty dostępowe, routery i wreszcie układy sieciowe wymagające aktualizacji sterownika są tak rozpowszechnione, że stopniowa zmiana ma sens. Artykuł pokazuje, na co należy zwrócić uwagę pod Linuksem.

W połowie października 2017 r. dwóch ekspertów ds. kryptografii z Uniwersytetu w Leuven w Belgii opublikowało wyniki projektu badawczego pokazującego praktyczny atak na WPA2. Analitycy bezpieczeństwa pracują nad praktyczną implementacją tego ataku od 2016 roku, któremu nadano chwytliwą nazwę „Krack”, skrót od „Key Reinstallation Attack”. Znaleziona luka dotyczy wielopoziomowej wymiany kluczy podczas nawiązywania połączenia w sieci WLAN między stacją bazową a klientami. Podobnie jak w innych procesach, do wymiany kluczy używany jest jednorazowy klucz, który w rzeczywistości nie może być już używany w tym połączeniu. Jednak osoba atakująca zakłóca wymianę jednorazowego klucza, tak że ten sam klucz, zwany „Nonce” (skrót od „Number Used Once”), jest wysyłany w kółko. Po pewnym czasie atakujący zebrał wystarczającą ilość zaszyfrowanych pakietów WPA2 o różnej zawartości. Dzięki dużej mocy obliczeniowej analiza kryptograficzna może zrekonstruować cały klucz połączenia WPA2.

Systemy Linux zostały jeszcze bardziej dotknięte: moduł jądra "wpa_supplicant" z Linuksa, który działa również w Androidzie i większości systemów wbudowanych na routerach, modemach i punktach dostępowych, jest nawet nieco bardziej podatny na złamanie. Twórcy jądra uznali, że dobrym pomysłem jest zastąpienie jednorazowego klucza w pamięci zerami po pierwszym użyciu. Nie spodziewali się jednak, że ten ciąg będzie wysyłany częściej w niezmienionej postaci - w konsekwencji powtarzające się klucze składają się tylko z zer. To sprawia, że ​​analiza kryptograficzna jest szczególnie łatwa.

In Linux-Distributionen kamen die ersten Patches für WPA2 schon einen Tag nach der Veröffentlichung der Angriffsmethode, damit sich die Lücke nicht mehr ganz so einfach ausnutzen lässt. Und auch ältere WPA2-Geräte, weiterhin zuhauf in den meisten Drahtlosnetzwerken vorhanden, können mit aktueller Software und starkem Passwort weiterhin ausreichend sicher betrieben werden, wie der Kasten „WPA2: Środki ostrożności“ zeigt.

W wielu wymianach router i klient używają hasła WLAN do tworzenia wspólnego klucza, który ma chronić dalszą transmisję danych. WPA3 nie używa już wrażliwej procedury PSK (Pre Shared Key), ale SAE (Simultaneous Authentication of Equals), która używa hasła do obliczenia bardziej złożonego klucza niż PSK. Sekretny klucz nie jest już przesyłany drogą radiową, jak w przypadku WPA2, a jedynie wynik obliczenia (wartość skrótu). Nie można go już odgadnąć w rozsądnym czasie, nawet jeśli podstawowe hasło WiFi powinno być bardzo proste.

Ponadto WPA3 nie pozwala na późniejsze odszyfrowanie zarejestrowanych pakietów danych przy użyciu „Perfect Forward Secrecy”, nawet jeśli klucz powinien zostać utracony z powodu innych luk w zabezpieczeniach.

Pierwszym spojrzeniem na komputer z systemem Linux, który ma uczestniczyć w sieci WLAN, jest jego wyposażenie. Ponieważ nawet jeśli systemy Linux mają wymagania programowe dla WPA3, oprogramowanie układowe układu WLAN również musi grać. Decyduje tu nie wiek, ale wsparcie producenta. Na przykład w naszych testach sprawdził się układ Intel 7265 (dwuzakresowy bezprzewodowy AC) w starszym ThinkPadzie T450 z 2015 roku oraz układ Wi-Fi w Raspberry Pi 3 B z WPA3. Wstępowanie

pokazuje, czy chip obsługuje metodę SAE. Jeśli tak, są duże szanse, że WPA3 zadziała. Następnie lista poleceń

Wszystkie sieci Wi-Fi i pokazuje w tabeli w sekcji „Zabezpieczenia”, czy WPA3 jest włączone. Jeśli sieć docelowa oferuje WPA3, powinieneś najpierw połączyć się przez menedżera sieci środowiska pulpitu. KDE Plasma 5.2 wygodnie wyświetla szyfrowanie w szczegółach połączenia. Sprawdzone na innych komputerach stacjonarnych

połączenie na WPA3, gdzie symbol zastępczy „[WLAN]” oznacza nazwę sieci bezprzewodowej.

Jeśli nie otrzymasz odpowiedzi z tym poleceniem, połączenie przez WPA3 nie działało. Wtedy nadal można wymusić WPA3 - za pośrednictwem powłoki menedżera sieci, którą wywołanie nmtui uruchamia w terminalu.

W obszarze „Edytuj połączenie” i „Edytuj” sieci WLAN znajduje się pole „Zabezpieczenia” w tekstowym oknie dialogowym, które umożliwia określenie „WPA3 Personal”. Konieczne jest wtedy ponowne uruchomienie. Jeśli połączenie z WPA3 powiedzie się, to ustawienie jest trwałe.

Ogólnie rzecz biorąc, większość punktów dostępowych i routerów oferuje WPA3 po aktualizacji oprogramowania układowego, zwykle w trybie mieszanym z WPA2. W przypadku urządzeń WPA3 może się zdarzyć, że pomimo aktywowanej metody mieszanej WPA3/WPA2, nadal używają one tylko WPA2 do szyfrowania. W takim przypadku musisz usunąć wpis dla tej sieci WLAN na kliencie WLAN, ponieważ klient woli użyć zapisanych ustawień zamiast renegocjować szyfrowanie z routerem. Hasło należy wprowadzić ręcznie, ponieważ WPS nie jest już opcją z WPA3 i ponownie aktywuje WPA2 w trybie mieszanym.

Starsze skrzynki Fritz firmy AVM: Ogólnie rzecz biorąc, WPA3 jest dostępne z oprogramowania układowego Fritz-OS 7.20 na routerach i wzmacniaczach. Niektóre modele, takie jak AVM Fritzbox 7560, nie otrzymały (jeszcze) tego oprogramowania. Warto jednak zajrzeć do oprogramowania lab tego producenta na https://avm.de/fritz-labor.

W ten sposób mogliśmy nauczyć Fritzbox 7560 z zaawansowanym oprogramowaniem WPA3.

Zobacz też:

Szyfrowanie WPA3: Czy Twoje urządzenia są gotowe na nowy standard?

Czyste WPA3 nie jest obecnie realistyczną opcją w sieci, ponieważ starsze urządzenia WLAN, zwłaszcza drukarki WLAN i dekodery, nie obsługują tej technologii. W związku z tym nie ma prawie żadnego sposobu na obejście mieszanego działania routera lub punktu dostępowego z WPA3 i WPA2. Nadal możesz wykonać następujące czynności, aby zapewnić bezpieczeństwo ruchu sieciowego:

Używaj szyfrowanych protokołów, takich jak SSH i HTTPS, także w lokalnej sieci WLAN

Konsekwentnie importuj aktualizacje oprogramowania układowego.

Zaktualizuj urządzenia z Androidem za pomocą niestandardowych ROM-ów, jeśli to możliwe

Podłącz urządzenia WPA2, takie jak drukarki, przez Ethernet