WPA ключ, WPA2, WPA3 и WEP ключ: Обяснена защита на Wi-Fi

Настройване на нов Wi-Fi? Изборът на типа парола, от който се нуждаете, може да изглежда като произволен избор. В крайна сметка, WEP, WPA, WPA2 и WPA3 имат предимно едни и същи букви в себе си.

Паролата е парола, така че каква е разликата? Оказа се около 60 секунди до милиарди години.

Цялото Wi-Fi криптиране не е създадено равно. Нека да проучим какво прави тези четири съкращения толкова различни и как най-добре можете да защитите дома и организацията си Wi-Fi.

Поверителност с кабелен еквивалент (WEP)

В началото имаше WEP.

WEP илюстрация

Поверителността на проводни еквиваленти е остарял алгоритъм за сигурност от 1997 г., който е предназначен да осигури еквивалентна защита на кабелна връзка. „Оттеглено“ означава „Нека не правим това повече“.

Дори когато беше представен за първи път, беше известно, че не е толкова силен, колкото би могъл да бъде, поради две причини:

  • неговия основен механизъм за криптиране и
  • Втората световна война.

По време на Втората световна война въздействието от разбиването на кода (или криптоанализа) беше огромно. Правителствата реагираха, опитвайки се да запазят най-добрите си рецепти с тайни сосове у дома.

По времето на WEP ограниченията на правителството на САЩ за износ на криптографска технология накараха производителите на точки за достъп да ограничат своите устройства до 64-битово криптиране. Въпреки че по-късно това беше повишено до 128-битово, дори тази форма на криптиране предлагаше много ограничен възможен размер на ключа.

Това се оказа проблематично за WEP. Малкият размер на ключа доведе до по-лесно груба сила, особено когато този ключ не се променя често.

Основният механизъм за криптиране на WEP е поточният шифър RC4. Този шифър придоби популярност поради скоростта и простотата си, но това си струваше.

Това не е най-надеждният алгоритъм. WEP използва един споделен ключ сред своите потребители, който трябва да бъде въведен ръчно на устройство за точка за достъп. (Кога за последен път сменихте паролата си за Wi-Fi? Нали.)

WEP не помогна и на въпросите, като просто обедини ключа с инициализационния вектор - което ще рече, че някак си намачка битовете си с тайни сосове и се надяваше на най-доброто.

Инициализационен вектор (IV): вход с фиксиран размер към криптографски алгоритъм от ниско ниво, обикновено произволен.

В комбинация с използването на RC4, това остави WEP особено податлив на атака на свързани ключове. В случай на 128-битов WEP, вашата парола за Wi-Fi може да бъде разбита от публично достъпни инструменти за около 60 секунди до три минути.

Докато някои устройства предлагат 152-битови или 256-битови варианти на WEP, това не успява да реши основните проблеми на основния механизъм за криптиране на WEP.

Така че, да. Нека не правим това повече.

Wi-Fi защитен достъп (WPA)

WPA илюстрация

Нов, временен стандарт се стреми временно да „закърпи“ проблема с WEP (липсата на) сигурност. Името Wi-Fi Protected Access (WPA) със сигурност звучи по-сигурно, така че това е добро начало. WPA обаче първо започна с друго, по-описателно име.

Ратифициран в стандарт IEEE от 2004 г., Temporal Key Integrity Protocol (TKIP) използва динамично генериран ключ за всеки пакет. Всеки изпратен пакет има уникален временен 128-битов ключ (Вижте? Описателен!), Който решава податливостта към атаки на свързани ключове, предизвикани от споделеното смесване на ключове на WEP.

TKIP прилага и други мерки, като например код за удостоверяване на съобщение (MAC). Понякога известен като контролна сума, MAC предоставя криптографски начин за проверка, че съобщенията не са променени.

В TKIP невалиден MAC може също да задейства повторно въвеждане на ключа на сесията. Ако точката за достъп получи невалиден MAC два пъти в рамките на минута, опитът за проникване може да бъде противодействан чрез промяна на ключа, който атакуващият се опитва да пробие.

За съжаление, за да се запази съвместимостта със съществуващия хардуер, който WPA е трябвало да „закърпи“, TKIP запазва използването на същия механизъм за криптиране като WEP - RC4 поточен шифър.

Въпреки че със сигурност подобри слабостите на WEP, TKIP в крайна сметка се оказа уязвим за нови атаки, които разшириха предишните атаки срещу WEP.

Изпълнението на тези атаки отнема малко повече време за сравнение: например дванадесет минути в случай на една и 52 часа в друга. Това обаче е повече от достатъчно, за да се счита, че TKIP вече не е защитен.

Оттогава WPA или TKIP също е остарял. Така че нека също не правим това повече.

Което ни води до ...

Wi-Fi защитен достъп II (WPA2)

WPA2 илюстрация

Вместо да полага усилия за измислянето на изцяло ново име, подобреният стандарт Wi-Fi Protected Access II (WPA2) се фокусира върху използването на нов основен шифър.

Вместо RC4 поточен шифър, WPA2 използва блоков шифър, наречен Advanced Encryption Standard (AES), за да формира основата на своя протокол за криптиране.

Самият протокол, съкратено CCMP, черпи по-голямата част от сигурността си от дължината на доста дългото си име (шегувам се): Counter Mode Cipher Block Chaining Message Authentication Code Protocol, който се съкращава на Counter Mode CBC-MAC Protocol или CCM mode Протокол или CCMP. ?

Режимът CCM по същество е комбинация от няколко добри идеи. Той осигурява поверителност на данните чрез режим CTR или режим брояч. За да се опрости значително, това добавя сложност към данните от обикновения текст чрез криптиране на последователните стойности на последователност от преброяване, която не се повтаря.

CCM също така интегрира CBC-MAC, метод на блоков шифър за изграждане на MAC.

Самият AES е на добра основа. Спецификацията AES е създадена през 2001 г. от Националния институт за стандарти и технологии на САЩ (NIST). Те направиха своя избор след петгодишен процес на състезателен подбор, по време на който бяха оценени петнадесет предложения за проектиране на алгоритми.

В резултат на този процес беше избрано семейство шифри, наречени Rijndael (холандски), и подмножество от тях стана AES.

По-голямата част от две десетилетия AES се използва за защита на ежедневния интернет трафик, както и на определени нива на класифицирана информация в правителството на САЩ.

Въпреки че са описани възможни атаки срещу AES, все още не е доказано, че са практични в реалния свят. Най-бързата атака срещу AES в публичното познание е атака за възстановяване на ключове, която подобри AES с форсиране на грубост с фактор от около четири. Колко време ще отнеме? Няколко милиарди години.

Wi-Fi защитен достъп III (WPA3)

WPA3 илюстрация

Следващата част от трилогията WPA се изисква за нови устройства от 1 юли 2020 г. Очаква се да подобри допълнително сигурността на WPA2, стандартът WPA3 се стреми да подобри защитата на паролата, като е по-устойчив на атаки в списъка с думи или речника.

За разлика от своите предшественици, WPA3 ще предлага и пряка тайна. Това добавя значителната полза от защитата на предварително обменяната информация, дори ако дългосрочен таен ключ е компрометиран.

Предоставената тайна вече се осигурява от протоколи като TLS чрез използване на асиметрични ключове за установяване на споделени ключове. Можете да научите повече за TLS в тази публикация.

Тъй като WPA2 не е остарял, така WPA2 и WPA3 остават вашият най-добър избор за Wi-Fi сигурност.

Ако другите не са добри, защо все още са наоколо?

Може би се чудите защо вашата точка за достъп дори ви позволява да изберете опция, различна от WPA2 или WPA3. Вероятната причина е, че използвате наследен хардуер, който хората от технологията наричат ​​рутера на майка ви.

Тъй като отпадането на WEP и WPA настъпи съвсем наскоро, възможно е в големи организации, както и в дома на родителя ви, да намерите по-стар хардуер, който все още използва тези протоколи. Дори по-новият хардуер може да има бизнес нужда да поддържа тези по-стари протоколи.

Въпреки че може да успея да ви убедя да инвестирате в лъскав нов Wi-Fi уред от най-висок клас, повечето организации са различна история. За съжаление, много от тях все още не осъзнават важната роля, която играе киберсигурността за задоволяване на нуждите на клиентите и засилване на тази дънна линия.

Освен това преминаването към по-нови протоколи може да изисква нов ъпгрейд на вътрешен хардуер или фърмуер. Особено при сложни системи в големи организации, надстройването на устройства може да бъде финансово или стратегически трудно.

Подобрете своята Wi-Fi сигурност

Ако е опция, изберете WPA2 или WPA3. Киберсигурността е поле, което се развива всеки ден и затъването в миналото може да има ужасни последици.

Ако не можете да използвате WPA2 или WPA3, направете всичко възможно, за да предприемете допълнителни мерки за сигурност.

Най-добрият удар за парите е да използвате виртуална частна мрежа (VPN). Използването на VPN е добра идея, без значение какъв тип Wi-Fi криптиране имате. При отворен Wi-Fi (кафенета) и използване на WEP е просто безотговорно да отидете без VPN.

Това е нещо като да извикате банковите си данни, докато поръчвате второто си капучино.

Карикатура на извикване на банковите ви данни в кафене.

Изберете доставчик на VPN, който предлага функция като превключвател за убиване, който блокира мрежовия ви трафик, ако вашата VPN прекъсне връзката. Това ви предпазва от случайно предаване на информация по несигурна връзка като отворена Wi-Fi или WEP. В тази публикация написах повече за трите си най-важни съображения за избор на моя VPN.

Когато е възможно, уверете се, че се свързвате само с известни мрежи, които вие или вашата организация контролирате.

Много атаки за киберсигурност се изпълняват, когато жертвите се свързват с имитираща обществена точка за достъп до Wi-Fi, наричана още зъл близнак атака или Wi-Fi фишинг.

Тези фалшиви горещи точки се създават лесно с помощта на публично достъпни програми и инструменти. VPN също може да помогне за смекчаване на щетите от тези атаки, но винаги е по-добре да не поемате риска.

Ако пътувате често, помислете за закупуване на преносима точка за достъп, която използва клетъчен план за данни, или за използване на SIM карти за данни за всички ваши устройства.

Много повече от просто съкращения

WEP, WPA, WPA2 и WPA3 означават много повече от куп подобни букви - в някои случаи това е разлика от милиарди години минус около 60 секунди.

Надявам се, че в по-скорошният времеви мащаб съм ви научил нещо ново за сигурността на вашия Wi-Fi и как можете да го подобрите!

Ако ви хареса тази публикация, бих се радвал да знам. Присъединете се към хилядите хора, които учат заедно с мен на victoria.dev! Посетете или се абонирайте чрез RSS за повече програмиране, киберсигурност и анимационни шеги на татко.