Hurá! WPA3 slibuje konečně bezpečnou Wi-Fi. Začíná certifikace prvních zařízení

  • Dlouhých 14 tu bylo WPA2
  • Nejvyšší forma zabezpečení na běžných domácích routerech
  • Teď by jej konečně mělo začít nahrazovat moderní WPA3
Hurá! WPA3 slibuje konečně bezpečnou Wi-Fi. Začíná certifikace prvních zařízení

Ještě před deseti-patnácti lety byla drtivá většina domácích bezdrátových sítí zabezpečena děravou technologií WEP. Technologií, kterou dnes s linuxovou distribucí Kali na laptopu prolomí každý teenager, který chce ohromit spolužáky.

WEP byl zranitelný už roky před tím, a tak zastřešující Wi-Fi Alliance urychleně hledala způsob, jak nabídnout něco lepšího. V roce 2003 se na scéně objevilo dočasné WPA (Wi-Fi Protected Access) a o rok později pak jeho dospělejší forma, kterou dnes známe pod zkratkou WPA2.

Ačkoliv od té doby uplynulo už dlouhých 14 let, WPA2 stále není naprostou samozřejmostí, a podle experimentu Wifileaks, v rámci něhož jsme s ostatními nadšenci analyzovali bezmála tři miliony (převážně) českých sítí, tvoří asi 60 % (společně se starším WPA1 pak přes 70 %).

WPA2 sloužilo dobře, ale už opravdu patří do koše

Důvodů relativně zdlouhavého nasazování zabezpečení WPA bude nejspíše hned několik, přičemž jedním z těch nejsilnějších je to, že většina nemá potřebu kupovat domácí Wi-Fi router stále dokola, ale stačí jim ten, který si koupili už před dlouhými lety, respektive ten, který jim nabídl poskytovatel připojení. Přeci jen, Wi-Fi není notebook, a pokud je domácnost k internetu připojená rychlostí nejvýše několika desítek Mb/s, utáhne to i poměrně stará mašinka z dřevních dob Wi-Fi.

Klepněte pro větší obrázek
WPA2 je sice po 14 letech zdaleka nejrozšířenější šifrovací technologií Wi-Fi, stovky tisíc bezdrátových sítí jsou ale stále teoreticky velmi snadno prolomitelné (WEP).

V každém případě, stejně jako WEP a posléze základní verze WPA postupem času zestárl i jeho nástupce WPA2. Ostatně i my jsme na Živě.cz v posledních letech psali hned o několika případech zranitelností jeho poslední verze, přičemž největší medializace se dočkal loňský KRACK.

Experty popsaný způsob útok zneužíval tzv. 4-way handshaku, tedy okamžiku, kdy se třeba váš mobil připojuje k AP a navzájem si podávají ruce (handshake) –vyměňují si autentizační data. KRACK popisoval zneužití třetího kroku, který umožnil teoretickému útočník vstup do lokální sítě, aniž by kdy znal hlavní heslo.

KRACK ukázal na slabiny WPA2:

WPA3 je hotové! Nyní začíná certifikace nových zařízení

KRACK nicméně opravdu nebyl jediný a všichni už tušili, že WPA2 má na kahánku. O pár měsíců poté WI-Fi Alliance oznámila, že se chýlí ke konci vývoj jeho nástupce, třetí generace WPA3, a včera skupina oficiálně spustila certifikační proces.

To v praxi znamená, že nyní budou moci výrobci síťových prvků i koncových zařízení žádat „o razítko,“ že je i jejich elektronika s touto novou specifikací kompatibilní. Bude potřeba vyměnit všechny Wi-Fi čipy a tedy i veškerou elektroniku? Doufejme že ne – ostatně i přechod z WEP na WPA ve většině případů vyžadoval jen nový firmware, respektive podporu ze strany operačního systému. Revoluci na počkání každopádně nečekejme.

Revoluci nečekejte dnes, ale ani zítra. Spíše v příštích letech

Pokud WPA2 potřebovalo celou dekádu k tomu, aby do země zadupalo své předchůdce, s WPA3 to bude dost možná podobné a masivní šíření a hlavně podporu výrobců očekávejme až v příštích letech. Ostatně i oni budou chtít jistě využít nového zájmu o síťové prvky a spíše než aby vydávali firmware pro staré produktové řady, budou vám chtít (zcela logicky) prodat nový kus železa.

Přestože certifikační proces WPA3 už začal, podrobné informace o nové specifikaci jsou zatím spíše docela stručné. K dispozici bude ve dvou podobách. WPA3-Personal pro domácnosti a malé podnikové sítě, a stejně jako u jeho předchůdce ve formě WPA3-Enterprise, kde nové zabezpečení nabídne 192bitové šifrování a některé další prvky – připojení na podnikové autentizační servery aj.

Podstatné je ale to, co budou mít společné. Balík nových funkcí, které se snad na další desetiletí vypořádají se všemi současnými obvyklými útoky. WPA3 tak bude obsahovat třeba protokol Simultaneous Authentication of Equals (SAE), který se stará o otevření šifrovaného spojení mezi dvěma stranami.

Konec brute-force proti Wi-Fi?

Kouzlo SAE spočívá v tom, že by mělo pomoci zamezit ve slovníkových útocích. A to jak těch online, kdy může router zablokovat klienta, který se opakovaně pokouší přihlásit neplatným heslem, tak těch offline.

Právě ty druhé jsou nejčastější. Wi-Fi je rádiový signál jako každý jiný, čili když bude zrovna váš mobil, počítač atp. komunikovat s Wi-Fi routerem a vyměňovat si autentizační data, záškodník v relativní blízkosti (třeba nerudný soused v bytovém domě) tato data může zachytit a pomocí prolamovacích programů z rodiny Aircrack-ng hrubou silou odhadnout skutečné heslo k vaší Wi-Fi.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Prolomení Wi-Fi hesla WPA/WPA2 pomocí reverzního slovníkového offline útoku a programů Wifite a Aircrack-ng. V této ukázce jsem schválně použil velmi jednoduché WPA2 heslo (číselnou řadu), takže jsem jej na svém počítači prolomil prakticky okamžitě.

Protokol SAE přesně na toto myslí, takže i když jeho data záškodník nahraje a pak někde na výkonném počítači nebo na farmě grafik kdesi v cloudu začne zkoušet jedno heslo za druhým, bude mu to k ničemu, protože se vždy dostane nejvýše jen o jeden krok dál. K prolomení hesla jich potřebuje absolvovat několik a naráz.

SAE je totiž navrženo tak, že obě strany musejí být neustále v kontaktu a reagovat. Útočník by tedy musel provádět brute-force naživo – online, což by bylo zaprvé o mnoho řádů pomalejší a za druhé by to měl router vybavený WPA3 diagnostikovat jako útok a klienta zahodit.

Dnešní cracknutý klíč nebude fungovat na zítřejší zachycená data a naopak

Další bezpečností specialitou WPA3 je dopředná bezpečnost. To je technika, která pamatuje na to, že se záškodníkovi přeci jen podaří získat klíč, který by mohl použít na data, která zachytil dříve, ale nedokázal je dešifrovat.

Anebo naopak, útočník získal šifrovací klíč a mohl by je použít na data, která zachytí později. Dopředná bezpečnost (forward secrecy) na toto pamatuje třeba tak, že se interní šifrovací klíče pro každé spojení dostatečně pečlivě mění.

Tyto a další techniky, které přinese WPA3, by měly pomoci výrazně zlepšit zabezpečení domácích i podnikových sítí, jak už jsem ale napsal na začátku, vzhledem k tomu, že teprve začíná certifikační proces a za pár dnů se přehoupneme do druhé poloviny roku 2018, reálně lze očekávat, že se z WPA3 stane norma spíše až v příštím desetiletí.

Krásné růžové bezdrátové zítřky? Uvidíme…

Nelze než doufat, že se do té doby neobjeví nějaká další kritická zranitelnost WPA2 a stejně tak že i samotné WPA3, do kterého aliance Wi-Fi vkládá takové naděje, během několika měsíců nerozcupují bezpečnostní experti, kteří v něm najdou chyby ještě před tím, než se vůbec začne šířit světem.

Ostatně už dnes se začínají ozývat hlasy, které sice nekritizují přímo WPA3, ale jeho příbuznou technologii, s jejíž certifikací Wi-Fi Alliance také začala: Wi-Fi Certified Easy Connect.

Už podle svého názvu se jedná o techniku, která má umožnit snadné připojení nejrůznějších bezdrátových zařízení bez displeje. Jedná se tedy o nástupce techniky WPS, která v posledních letech také trpěla hromadou chyb, a tak se dnes obecně doporučuje, aby tato funkce byla ve výchozím stavu na routeru/AP vypnutá.

Diskuze (9) Další článek: ELONOVINKY: Kdy a jak se Tesla dostane do zisku?

Témata článku: Technologie, Budoucnost, Bezpečnost, Hacking, Wi-Fi, Heslo, TP-Link, Router, KRACK, Netgear, Alliance, Bezdrátová síť, Výchozí stav, Bytový dům, Kali, Masivní šíření, Jednoduché heslo, Příští desetiletí, Příští rok, Data, Skutečné heslo, Snadné připojení, Linuxová distribuce, Česká síť, Dlouhý rok


Určitě si přečtěte

Lenovo přivezlo na IFA 2018 skutečné inovace. Tyto tři notebooky stojí za to

Lenovo přivezlo na IFA 2018 skutečné inovace. Tyto tři notebooky stojí za to

** Yoga C930 nabídne revoluční reproduktor v kloubu displeje ** Yoga Book C930 představuje zdařilý reparát podivného Yoga Booku ** ThinkPad X1 Extreme se může pochlubit extrémní výbavou v tenkém těle

Tomáš Holčík | 16

Pojďme programovat elektroniku: Blikající potvory i legendární displeje starých Nokií

Pojďme programovat elektroniku: Blikající potvory i legendární displeje starých Nokií

** Skoro každý kutil si koupí maličký levný OLED ** A také segmentový a znakový displej ** Pojďme se na některé z nich podívat

Jakub Čížek | 9

Nová americká jaderná puma změní strategii boje

Nová americká jaderná puma změní strategii boje

** Bombardér Northrop Grumman B-2 Spirit amerického letectva nedávno svrhl jadernou pumu ** Šlo o test nové varianty pumy B61-12 ** Ta by měla mít hlavice schopné explodovat se silou 0,3 až 50 kilotun

Stanislav Mihulka | 57

Jak a proč používat alternativní DNS: Zrychlí internet a odblokuje weby

Jak a proč používat alternativní DNS: Zrychlí internet a odblokuje weby

** Alternativní DNS servery mohou zpříjemnit surfování na internetu ** Existuje několik ověřených alternativ, nejen známé DNS od Googlu ** Alternativní DNS však mají i své nevýhody, pozor na ně

Petr Březina | 33

Do kanceláře to nejlepší: Test notebooku HP Elitebook 830 G5

Do kanceláře to nejlepší: Test notebooku HP Elitebook 830 G5

** HP se u nového Elitebooku snaží o nadstandardní výbavu ** Notebook klade důraz na videokonference ve firemním prostředí ** Unikátní displej umí omezit čitelnost z boku

Tomáš Holčík | 57

Kde se bere elektřina v zásuvce? Poznejte 10 tajemství venkovních stožárů s dráty

Kde se bere elektřina v zásuvce? Poznejte 10 tajemství venkovních stožárů s dráty

Elektřina se vyrábí v elektrárnách, ale do zásuvek v našich domovech to pak má ještě hodně daleko. Dnes se na tuhle dlouhou cestu podíváme.

David Polesný | 81

Nová zbraň proti hackerům: obrovské množství chyb v softwaru

Nová zbraň proti hackerům: obrovské množství chyb v softwaru

** Vědci vymysleli nový systém obrany proti hackerům ** Pomocí speciálního systému implementují do softwaru spoustu chyb ** Tyto chyby nejsou zneužitelné, což útočník zjistí až po čase

Karel Javůrek | 28

Na Zemi je nejtepleji za posledních více než 100 tisíc let. Co nám hrozí?

Na Zemi je nejtepleji za posledních více než 100 tisíc let. Co nám hrozí?

** Letošní červenec byl třetím nejteplejším měsícem od roku 1880 ** Teplota naší planety roste raketovým tempem ** Co lidstvu hrozí v období, které v minulosti nemá obdoby?

Karel Kilián | 68

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

Vyzkoušeli jsme eObčanku a přihlásili se s ní na weby úřadů. Vážně to funguje!

** Máme eObčanku, máme čtečku, vyzkoušeli jsme přihlášení na weby úřadů. ** Objevily se drobné problémy, podařilo se nám je vyřešit. ** Používání eObčanky pro online identifikaci je velmi pohodlné.

Marek Lutonský | 35

Externí SSD se může hodit. Je rychlé, malé zvenku, velké uvnitř a cena už se snese

Externí SSD se může hodit. Je rychlé, malé zvenku, velké uvnitř a cena už se snese

** Vyzkoušeli jsme rychlé externí SSD Samsung T5 ** Externí SSD je lepší než flešky i velké plotnové disky, většímu rozšíření doposud bránila především cena ** Samsung T5 zvládne i chytré šifrování a připojení k mobilu

David Polesný | 27


Aktuální číslo časopisu Computer

Megatest: 13 grafických karet

Srovnání 7 dokovacích stanic s USB-C

Jak na perfektní noční fotografie

Kvalitní zdroje informací pro sebevzdělávání