新闻来源:
https://www.techbang.com/posts/56197
Wi-Fi Alliance 宣布推出 WPA3 协议,今年将开始启用
去年资安界最大的一个新闻就是一名资安人员推出了KRACKs概念性验证攻
击,证明了现在普遍被用在Wi-Fi安全协议的WPA2加密的多个漏洞。当时就
有人在问,这是不是代表WPA3该要推出了?虽然当时就连KRACKs的作者都说
没必要,因为这个漏洞可以透过安全性更新来补强,不过,现在Wi-Fi联盟
(Wi-Fi Alliance)准备真的要推出WPA3 了。
KRACKs攻击的原理
KRACKs攻击主要攻击的其实是目前加密协议中的4路握手协议的漏洞,由于
现行的握手协议并没有办法确保金钥只能被安装一次。它只能确保金钥维持
隐密性,以及握手过程中传递的讯息并不会被伪造。
KRACKs攻击并不是去破解了加密金钥,而4路握手协议的理论在安全上也没
有问题,只是现今的实际过程中,并没有定义何时终端装置要安装加密金
钥,这就是研究者找到的漏洞,因此,这也就意味着金钥可以被重复安装很
多次。当装置多次重复安装相同的加密金钥,就会使得初始向量被重置,透
过比对使得传输封包的解密变为可能,因此称之为 Key Reinstallation
Attacks。
不过,要实现KRACKs攻击,攻击者必须要距离路由器的讯号非常近,近到可
以连接到这台路由器上。也就是说,这个攻击者必须要在你家无线网络的有
效覆蓋范围内。
严格说起来,WPA2还是安全的,因为金钥在过程中还是无法被破解。不过,
KRACKs攻击也还是提醒了大家,已使用近二十年的 WPA2 安全协议也快到不
够安全的时候了。
WPA3的改进
根据Wi-Fi联盟的说明,WPA3将采用新的握手协议方式,以取代目前的4路握
手协议。
而针对目前如果你使用公共Wi-Fi网络的时候,由于所有人都在同一个区网
内,很容易将自己的电脑暴露在区网之下,造成其他人可以从公共网络中拦
截你的资料,让你的资讯曝光。而现在WPA3将会针对每一台电脑、笔电到路
由器之间传输的资料也需要加密,确保你的资料在局域网路中也是安全的,
不会被人趁虚而入。
另外,现在的WPA3最高支援到192位元加密的安全等级,符合了商业用国家
安全算法(Commercial National Security Algorithm,CNSA)等级的安
全,对于政府以及需要保密的重要产业,可以用这种方式来保障资料的安
全。
Wi-Fi联盟表示,他们还没有淘汰WPA2的计画。目前全球已经有数十亿的装
置采用WPA2来保护自己的安全。Wi-Fi联盟表示透过安全更新,这些装置依
然还是安全的。不过,如果你正计画在今年之内要买一个新的路由器,而且
希望这台路由器能够使用WPA3安全协议的话,那你可能还是需要等一等。因
为由于WPA3可能无法透过韧体更新的方式,来让现有的路由器可以直接支援
到这个新的加密协定。也就是说,你可需要购买新的硬件才能支援。