讓WiFi更安全的新協議WPA3，再也不用擔心媽媽的WiFi？

作者 | Michael Koziol

譯者 | 薛命燈

最近，Wi-Fi 聯盟公布了 14 年來最大的 Wi-Fi 安全更新。Wi-Fi Protected Access 3（WPA3）安全認證協議為 2004 年推出的 WPA2 協議帶來了一些重大更新。WPA3 不只是對 Wi-Fi 安全的全面改造，它專註於引入新技術來解決在 WPA2 中出現的安全問題。

除了 WPA3，Wi-Fi 聯盟還宣布了另外兩個獨立的認證協議。Enhanced Open 協議和 Easy Connect 協議不依賴 WPA3，但確實提高了某些特定類型網路和某些情況的安全性。

網路設備廠商現在就可以將這些協議集成到他們的設備中。這些協議最終將被普遍採用，但 Wi-Fi 聯盟尚未設定任何時間表。最有可能的情況是，隨著新設備進入市場，我們最終會看到一個轉折點，WPA3、Enhanced Open 和 Easy Connect 將成為新的主流協議。

那麼，這些新認證協議的作用是什麼？這些協議涉及太多細節，大多數細節與無線加密有關，還有很多複雜的數學問題，不過，我們可以了解這些協議將為無線安全帶來的四個主要變化。

對等同步認證

這是 WPA3 帶來的最大的一個變化。網路防禦中最重要的時間點是新設備或用戶嘗試連接網路的那一時刻。敵人應該被拒之門外，這就是為什麼 WPA2 和現在的 WPA3 非常重視對新連接進行認證，並確保它們不是攻擊者在試圖獲取訪問許可權。

對等同步認證（Simultaneous Authentication of Equals，SAE）是一種認證連接到網路的設備的新方法，是蜻蜓握手的一種變體，使用加密技術來防止竊聽者猜測密碼，SAE 明確規定了新設備或用戶在交換加密密鑰時應該如何向網路路由器發起「問候」。

SAE 取代了自 2004 年引入 WPA2 以來一直使用的 Pre-Shared Key（PSK）方法。PSK 也被稱為四次握手，在經過路由器和連接設備之間多次來回握手（或發送消息）之後，以此來證明它們都知道之前商定的密碼，並且雙方都不會將其透露出來。在 2016 年之前，PSK 似乎是很安全的，直到後來發生了 Key Reinstallation Attacks（KRACK）。

KRACK 假裝暫時與路由器斷開連接，從而中斷一系列握手過程。實際上，它利用重複的連接機會來分析握手消息，直到它找到密碼組合。SAE 阻止了此類攻擊，以及常見的離線字典攻擊（計算機窮舉數百、數千甚至數百萬個密碼，以確定哪個密碼與 PSK 握手提供的驗證信息相匹配）。

顧名思義，SAE 的工作原理是將設備視為對等的，而不是將一方視為顯式請求者而另一方為認證者（傳統上分別對應於連接設備和路由器）。任何一方都可以發起握手，然後它們繼續獨立發送他們的認證信息，而不是作為來回交換消息的一部分。如果沒有來回交換消息，KRACK 就沒有可趁之機，而字典攻擊也毫無用處。

SAE 提供了 PSK 所沒有的安全特性：正向加密（forward secrecy）。我們假設攻擊者可以訪問路由器與 Internet 之間發送和接收的加密數據。之前，攻擊者可以保存這些數據。然後，如果他們成功獲取密碼，就可以解密先前保存的數據。而如果使用了 SAE，每次建立連接時都會更改加密密碼，因此即使攻擊者能夠攻入網路，他們最多也只能通過竊取密碼來解密在那之後傳輸的數據。

標準 IEEE 802.11-2016 對 SAE 進行了定義，順便說一下，它的長度超過 3500 頁。

https://ieeexplore.ieee.org/document/7786995/

192 位安全協議

WPA3-Enterprise 是面向金融機構、政府和企業的 WPA3 版本，具有 192 位加密功能。這個安全級別遠遠超過家用網路路由器來所需的安全級別，但對於需要處理敏感信息的網路來說是很有必要的。

Wi-Fi 目前提供的是 128 位的安全性。192 位安全協議不是強制性的，但可以作為某些有更高級別安全要求的機構的可選設置。不過，Wi-Fi 聯盟強調企業網路應始終具備強大的加密強度：系統的整體安全性取決於系統中最薄弱的環節。

為了確保網路端到端的整體安全性能夠達到這一級別的一致性，WPA3-Enterprise 將使用 256 位 Galois/Counter Mode Protocol 進行加密，使用 384 位 Hashed Message Authentication Mode 來創建和確認密鑰，以及使用 Elliptic Curve Diffie-Hellman 和 Elliptic Curve Digital Signature Algorithm 來認證密鑰。這些涉及非常複雜的數學問題，但總體而言，這一過程的每一步都將為需要它的組織提供 192 位的加密和安全最低等級。

Easy Connect

Easy Connect 是對當今世界大量連接設備增長趨勢的認同。儘管並不是所有人都在追趕智能家居趨勢，但現今普通人的家庭路由器連接設備數量比 2004 年多了很多。Easy Connect 的推出表明了 Wi-Fi 聯盟努力讓所有這些設備的連接變得更直觀。

設備將帶有唯一的 QR 碼，就像某種公鑰一樣，在往網路中添加設備時不需要每次都輸入密碼。要添加設備，只需要使用已連接到網路的智能手機掃描 QR 碼。

在掃描 QR 碼之後，網路和設備將交換並認證密鑰，用於後續的連接。Easy Connect 是獨立於 WPA3 的協議：Easy Connect 認證設備必須也是經過 WPA2 認證的，但不一定是經過 WPA3 認證的。

Enhanced Open

Enhanced Open 是另一個單獨的協議，用於在開放式網路中保護你自己。開放式網路是指你在咖啡店和機場連接的網路，開放式網路帶來了一系列問題，而在家庭或工作網路中你通常不需要擔心這些問題。

在開放式網路上發生的很多攻擊都是被動攻擊。隨著越來越多的人連入網路，攻擊者可以獲取大量數據，並對數據進行篩選分析來提取信息。

Enhanced Open 使用了在 Internet Engineering Task Force RFC 8110（https://tools.ietf.org/html/rfc8110）中定義的 Opportunistic Wireless Encryption（OWE），以防止被動竊聽。OWE 不需要任何其他認證保護——它專註於改進在公共網路上傳輸的數據的加密，因此竊聽者無法竊取它。它還可以防止所謂的不成熟數據包注入，攻擊者試圖通過構建和傳輸看起來像是網路正常操作一部分的數據包來破壞網路的操作。

Enhanced Open 之所以不提供任何認證保護，主要是因為開放式網路的性質——按設計，開放式網路可用於一般用途。Enhanced Open 旨在改善開放式網路對被動攻擊的防禦，無需普通用戶輸入其他密碼或操作額外的步驟。

WPA3、Easy Connect 和 Enhanced Open 的普及可能還需要幾年時間。WPA3 的普遍採用將會在更換或升級路由器時發生。如果你很擔心個人網路安全，可以使用 WPA3 認證的路由器替換當前的路由器，因為網路設備廠商會將接下來的幾個月開始供貨。

英文原文：

https://spectrum.ieee.org/tech-talk/telecom/security/everything-you-need-to-know-about-wpa3

今日薦文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！