WPA3 міг би бути і безпечніше: думка експертів

Нові плани альянсу Wi-Fi роблять наголос на безпеці, але незалежні дослідники знаходять в них втрачені можливості

Wi-Fi Protected Access 2, або WPA2, успішно і довго працював. Але після 14 років у якості основного бездротового протоколу безпеки неминуче почали з’являтися діри. Тому Wi-Fi Alliance і оголосив плани на наступника цього протоколу, WPA3, з початку року потроху видаючи інформацію про прийдешні зміни.

Але Wi-Fi Alliance – організація, відповідальна за сертифікацію продуктів, що використовують Wi-Fi, можливо, зробила не все, що могла, для того, щоб зробити бездротову безпека істинно сучасної – принаймні, так вважає сторонній дослідник безпеки. Меті Ванхоф, дослідник з Левенского католицького університету в Бельгії, в 2016-му виявив атаку KRACK, що дозволяє зламати WPA2, вважає, що Wi-Fi Alliance міг би спрацювати і краще, вивчивши альтернативні протоколи безпеки та їх сертифікати.

Серйозне відмінність між WPA2 і WPA3 полягає в способі, яким пристрою вітають маршрутизатор або інші точки доступу, до яких вони намагаються приєднатися. WPA3 вводить привітання, або хэндшейк, під назвою одночасна аутентифікація рівних [Simultaneous Authentication of Equals, SAE]. Його перевага в тому, що воно запобігає такі атаки, як KRACK, що переривають привітання WPA2. Воно гарантує, що обмін ключами, доводять ідентичність обох пристроїв, не можна перервати. Для цього воно прирівнює в правах пристрій і маршрутизатор. До цього в такому обмін привітаннями брали участь опрашивающее пристрій (намагається підключитися до мережі) і авторизующее пристрій (маршрутизатор).

SAE вирішує великі проблеми з вразливістю WPA2 – це важливий крок, але, можливо, недостатньо великий. Ванхоф стверджує, що, за чутками, що поширюються в співтоваристві фахівців з безпеки, хоча таке вітання і запобігає шкідливі атаки типу KRACK, залишаються питання про те, чи здатна вона на щось більше.

Ванхов каже, що математичний аналіз привітання начебто підтверджує його безпеку. «З іншого боку, лунають коментарі і критика, з яких зрозуміло, що існують і інші варіанти, — каже він. – Ймовірність виникнення невеликих проблем вище, ніж у інших типів привітань».

Одне з побоювань полягає в ймовірності атаки по іншим каналам, зокрема, атака по часу. Хоча SAE стійкий до атак, перериває привітання безпосередньо, він може виявитися уразливим до більш пасивних атак, що спостерігає за часом авторизації і витягувати на цій підставі деяку інформацію про паролі.

У 2013 році дослідники з Університету Ньюкасла під час криптоаналізу SAE виявили, що привітання вразливе до т. зв. атак малих підгруп. Такі атаки зводять ключі, якими обмінюються маршрутизатор і подсоединяющееся пристрій, до дрібної, обмеженою підгрупі варіантів, яку легше зламати, ніж зазвичай доступний набір з безлічі варіантів. Щоб усунути цю уразливість, дослідники пропонують доповнити SAE ще одним етапом перевірки ключів, пожертвувавши певною ефективністю привітання.

Однак SAE захищає від атак, які використовували недоліки WPA2. Кевін Робінсон, віце-президент з маркетингу Wi-Fi Alliance, говорить, що він робить неможливими офлайн-атаки по словнику. Такі атаки можна проводити, коли атакуючий здатний перевірити тисячі і сотні тисяч можливих паролів поспіль, не порушуючи підозр у мережі. SAE пропонує і пряму секретність – якщо атакуючий отримав доступ до мережі, всі дані, відправлені по ній до цього, залишаться в безпеці – у випадку з WPA2 це було не так.

Коли Wi-Fi Alliance вперше оголосив про вихід WPA3 в прес-релізі в січні, він згадав «набір властивостей для покращення безпеки. У релізі містився натяк на чотири конкретні властивості. Одне з них, SAE, стало основою WPA3. Друге, 192-бітове шифрування, можливо використовувати у великих корпораціях або фінансових установах, які переходять на WPA3. А два інші властивості так і не потрапили в WPA3.

Туди не потрапили властивості, що існують в окремих сертифікаційних програмах. Перше, Easy Connect, спрощує процедуру з’єднання пристроїв з інтернету речей з домашньою мережею. Друге, Enhanced Open, сильніше захищає відкриті мережі – такі, як мережі в аеропортах та кафе.

«Я думаю, що Wi-Fi Alliance спеціально сформулював січневий прес-реліз так туманно, — каже Ванхоф. – Вони не обіцяли, що все це буде включено в WPA3. Були міркування про те, що всі ці властивості стануть обов’язковими. Проте обов’язковим стало тільки привітання – і це, я вважаю, погано».

Ванхоф турбується, що три окремі програми сертифікації, WPA3, Easy Connect і Enhanced Open, будуть плутати користувачів, а не накривати їх парасолькою WPA3. «Доведеться говорити звичайним користувачам, щоб вони використовували Easy Connect і Enhanced Open», — говорить він.

Wi-Fi Alliance вважає, що окремі програми сертифікації зменшать плутанину користувачів. «Важливо, щоб користувач розумів різницю між WPA3 і протоколом Enhanced Open, призначеним для відкритої мережі», — говорить Робінсон. Точно так же, каже він, представники індустрії, що входять до Wi-Fi Alliance, вважали дуже важливим зробити так, щоб протокол Easy Connect пропонував безпроблемний метод під’єднання пристроїв, все ще використовують WPA2, а не обмежував цю можливість тільки для нових пристроїв.

І все ж, незалежно від того, чи будуть користувачі нових сертифікаційних програм від Wi-Fi Alliance заплутані або заспокоєні, Ванхоф вважає, що Wi-Fi Alliance міг би більш відкрито висвітлювати свій процес вибору протоколів. «Вони працювали в закритому режимі, — каже він. – З-за цього експертів з безпеки і шифровальщикам було важко коментувати цей процес», із-за чого виникають побоювання з приводу потенційних вразливостей SAE і декількох програм сертифікації.

Ванхоф також вказує на те, що відкритий процес міг би привести до створення більш надійного протоколу WPA3. «Ми часто стикаємося з секретністю, — говорить він. – А потім ми виявляємо, що в результаті безпека виявилася слабкою. Загалом, ми зрозуміли, що завжди краще працювати відкрито».