Κλειδί WPA, WPA2, WPA3 και κλειδί WEP: Επεξήγηση ασφάλειας Wi-Fi

Ρύθμιση νέου Wi-Fi; Η επιλογή του τύπου κωδικού πρόσβασης που χρειάζεστε μπορεί να φαίνεται ως αυθαίρετη επιλογή. Μετά από όλα, τα WEP, WPA, WPA2 και WPA3 έχουν όλα τα ίδια γράμματα σε αυτά.

Ο κωδικός πρόσβασης είναι κωδικός πρόσβασης, οπότε ποια είναι η διαφορά; Περίπου 60 δευτερόλεπτα έως δισεκατομμύρια χρόνια, όπως αποδεικνύεται.

Όλη η κρυπτογράφηση Wi-Fi δεν δημιουργείται ίσα. Ας διερευνήσουμε τι κάνει αυτά τα τέσσερα ακρωνύμια τόσο διαφορετικά, και πώς μπορείτε να προστατεύσετε καλύτερα το σπίτι και τον οργανισμό σας Wi-Fi.

Ενσύρματο ισοδύναμο απόρρητο (WEP)

Στην αρχή, υπήρχε WEP.

Εικονογράφηση WEP

Το Wired Equivalent Privacy είναι ένας αλγόριθμος ασφαλείας που έχει καταργηθεί από το 1997 και προοριζόταν να παρέχει ισοδύναμη ασφάλεια σε μια ενσύρματη σύνδεση. «Καταργημένο» σημαίνει, «Ας μην το κάνουμε άλλο».

Ακόμα και όταν πρωτοεμφανίστηκε, ήταν γνωστό ότι δεν ήταν τόσο ισχυρό όσο θα μπορούσε, για δύο λόγους:

  • τον υποκείμενο μηχανισμό κρυπτογράφησής του, και
  • ΔΕΥΤΕΡΟΣ ΠΑΓΚΟΣΜΙΟΣ ΠΟΛΕΜΟΣ.

Κατά τη διάρκεια του Β 'Παγκοσμίου Πολέμου, η επίδραση της παραβίασης κώδικα (ή της κρυπτοανάλυσης) ήταν τεράστια. Οι κυβερνήσεις αντέδρασαν προσπαθώντας να διατηρήσουν τις καλύτερες συνταγές μυστικής σάλτσας στο σπίτι τους.

Περίπου το WEP, οι περιορισμοί της κυβέρνησης των ΗΠΑ στην εξαγωγή κρυπτογραφικής τεχνολογίας προκάλεσαν στους κατασκευαστές σημείων πρόσβασης να περιορίσουν τις συσκευές τους σε κρυπτογράφηση 64-bit. Αν και αργότερα αυξήθηκε στα 128-bit, ακόμη και αυτή η μορφή κρυπτογράφησης πρόσφερε ένα πολύ περιορισμένο πιθανό μέγεθος κλειδιού.

Αυτό αποδείχθηκε προβληματικό για το WEP. Το μικρό μέγεθος του κλειδιού είχε ως αποτέλεσμα ευκολότερη τη brute-force, ειδικά όταν αυτό το κλειδί δεν αλλάζει συχνά.

Ο υποκείμενος μηχανισμός κρυπτογράφησης του WEP είναι η κρυπτογράφηση ροής RC4. Αυτός ο κρυπτογράφος κέρδισε δημοτικότητα λόγω της ταχύτητας και της απλότητάς του, αλλά αυτό είχε κόστος.

Δεν είναι ο πιο ισχυρός αλγόριθμος. Το WEP χρησιμοποιεί ένα κοινό κοινόχρηστο κλειδί μεταξύ των χρηστών του που πρέπει να εισαχθεί χειροκίνητα σε μια συσκευή σημείου πρόσβασης. (Πότε είναι η τελευταία φορά που αλλάξατε τον κωδικό πρόσβασης Wi-Fi; Σωστά.)

Το WEP δεν βοήθησε τα ζητήματα ούτε με τη συνένωση του κλειδιού με τον φορέα αρχικοποίησης - δηλαδή, έσπασε ένα κομμάτι μυστικής σάλτσας και ελπίζει για το καλύτερο.

Διάνυσμα αρχικοποίησης (IV): εισαγωγή σταθερού μεγέθους σε κρυπτογραφικό αλγόριθμο χαμηλού επιπέδου, συνήθως τυχαίο.

Σε συνδυασμό με τη χρήση του RC4, αυτό το αριστερό WEP είναι ιδιαίτερα ευαίσθητο σε σχετιζόμενη-επίθεση. Στην περίπτωση του WEP 128-bit, ο κωδικός πρόσβασης Wi-Fi μπορεί να σπάσει με διαθέσιμα στο κοινό εργαλεία σε περίπου 60 δευτερόλεπτα έως τρία λεπτά.

Ενώ ορισμένες συσκευές ήρθαν να προσφέρουν παραλλαγές WEP 152-bit ή 256-bit, αυτό απέτυχε να λύσει τα θεμελιώδη προβλήματα του υποκείμενου μηχανισμού κρυπτογράφησης του WEP.

Λοιπόν ναι. Ας μην το κάνουμε πια.

Προστατευμένη πρόσβαση Wi-Fi (WPA)

Εικονογράφηση WPA

Ένα νέο, προσωρινό πρότυπο επιδίωξε να «διορθώσει» προσωρινά το πρόβλημα της ασφάλειας (έλλειψη) του WEP. Το όνομα Wi-Fi Protected Access (WPA) σίγουρα ακούγεται πιο ασφαλές, οπότε αυτή είναι μια καλή αρχή. Ωστόσο, το WPA ξεκίνησε αρχικά με ένα άλλο, πιο περιγραφικό όνομα.

Επικυρωμένο σε ένα πρότυπο IEEE του 2004, το Temporal Key Integrity Protocol (TKIP) χρησιμοποιεί ένα δυναμικό κλειδί ανά πακέτο. Κάθε πακέτο που αποστέλλεται έχει ένα μοναδικό χρονικό κλειδί 128-bit, (Βλέπε; Περιγραφικό!) Που επιλύει την ευαισθησία σε επιθέσεις σχετικών-κλειδιών που προκαλούνται από το κοινόχρηστο κλειδί του WEP.

Το TKIP εφαρμόζει επίσης άλλα μέτρα, όπως έναν κωδικό ελέγχου ταυτότητας μηνυμάτων (MAC). Μερικές φορές είναι γνωστό ως άθροισμα ελέγχου, ένα MAC παρέχει έναν κρυπτογραφικό τρόπο για να επαληθεύσει ότι τα μηνύματα δεν έχουν αλλάξει.

Στο TKIP, ένα μη έγκυρο MAC μπορεί επίσης να προκαλέσει την εκ νέου ενεργοποίηση του κλειδιού συνεδρίας. Εάν το σημείο πρόσβασης λάβει μη έγκυρο MAC δύο φορές μέσα σε ένα λεπτό, η απόπειρα εισβολής μπορεί να αντιμετωπιστεί αλλάζοντας το κλειδί που ένας εισβολέας προσπαθεί να σπάσει.

Δυστυχώς, προκειμένου να διατηρηθεί η συμβατότητα με το υπάρχον υλικό που προοριζόταν να «διορθώσει» το WPA, το TKIP διατήρησε τη χρήση του ίδιου υποκείμενου μηχανισμού κρυπτογράφησης με το WEP - το κρυπτογράφηση ροής RC4.

Αν και σίγουρα βελτιώθηκε στις αδυναμίες του WEP, το TKIP τελικά αποδείχθηκε ευάλωτο σε νέες επιθέσεις που επέκτειναν προηγούμενες επιθέσεις στο WEP.

Αυτές οι επιθέσεις χρειάζονται λίγο περισσότερο για να εκτελεστούν συγκριτικά: για παράδειγμα, δώδεκα λεπτά στην περίπτωση μιας και 52 ώρες σε άλλη. Αυτό είναι κάτι παραπάνω από επαρκές, ωστόσο, για να θεωρηθεί ότι το TKIP δεν είναι πλέον ασφαλές.

Το WPA ή το TKIP έκτοτε έχει καταργηθεί. Ας μην το κάνουμε λοιπόν πια.

Αυτό μας φέρνει σε…

Wi-Fi Protected Access II (WPA2)

Εικονογράφηση WPA2

Αντί να ξοδεύουμε την προσπάθεια να βρούμε ένα εντελώς νέο όνομα, το βελτιωμένο πρότυπο Wi-Fi Protected Access II (WPA2) επικεντρώνεται στη χρήση ενός νέου υποκείμενου κρυπτογράφου.

Αντί για την κρυπτογράφηση ροής RC4, το WPA2 χρησιμοποιεί ένα κρυπτογραφημένο μπλοκ που ονομάζεται Advanced Encryption Standard (AES) για να αποτελέσει τη βάση του πρωτοκόλλου κρυπτογράφησής του.

Το ίδιο το πρωτόκολλο, συντομευμένο CCMP, αντλεί το μεγαλύτερο μέρος της ασφάλειάς του από το μήκος του μάλλον μεγάλου ονόματός του (αστειεύομαι): Counter Mode Cipher Block Chaining Message Authentication Code Protocol, το οποίο συντομεύει σε Counter Mode CBC-MAC Protocol ή CCM mode Πρωτόκολλο ή CCMP. ;

Η λειτουργία CCM είναι ουσιαστικά ένας συνδυασμός μερικών καλών ιδεών. Παρέχει εμπιστευτικότητα δεδομένων μέσω λειτουργίας CTR ή μετρητή. Για την υπερβολική απλοποίηση, αυτό προσθέτει πολυπλοκότητα στα δεδομένα απλού κειμένου κρυπτογραφώντας τις διαδοχικές τιμές μιας ακολουθίας μέτρησης που δεν επαναλαμβάνεται.

Το CCM ενσωματώνει επίσης CBC-MAC, μια μέθοδο κρυπτογράφησης μπλοκ για την κατασκευή MAC.

Η ίδια η AES βρίσκεται σε καλή βάση. Η προδιαγραφή AES καθορίστηκε το 2001 από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των ΗΠΑ (NIST). Έκαναν την επιλογή τους μετά από μια πενταετή ανταγωνιστική διαδικασία επιλογής κατά την οποία αξιολογήθηκαν δεκαπέντε προτάσεις για αλγόριθμους.

Ως αποτέλεσμα αυτής της διαδικασίας, επιλέχθηκε μια οικογένεια κρυπτογράφησης που ονομάζεται Rijndael (Ολλανδικά) και ένα υποσύνολο αυτών έγινε AES.

Για το μεγαλύτερο μέρος των δύο δεκαετιών, το AES έχει χρησιμοποιηθεί για την προστασία της καθημερινής κίνησης στο Διαδίκτυο, καθώς και για ορισμένα επίπεδα διαβαθμισμένων πληροφοριών στην κυβέρνηση των ΗΠΑ.

Ενώ έχουν περιγραφεί πιθανές επιθέσεις εναντίον του AES, καμία δεν έχει αποδειχθεί ακόμη ότι είναι πρακτική στην πραγματική χρήση. Η ταχύτερη επίθεση εναντίον του AES στη γνώση του κοινού είναι μια επίθεση ανάκτησης κλειδιών που βελτιώθηκε στο AES με ωμή βία κατά παράγοντα περίπου 4. Πόσο καιρό θα χρειαζόταν; Περίπου δισεκατομμύρια χρόνια.

Wi-Fi Protected Access III (WPA3)

Εικονογράφηση WPA3

Η επόμενη δόση της τριλογίας WPA απαιτείται για νέες συσκευές από την 1η Ιουλίου 2020. Αναμένεται να βελτιώσει περαιτέρω την ασφάλεια του WPA2, το πρότυπο WPA3 επιδιώκει να βελτιώσει την ασφάλεια κωδικού πρόσβασης με μεγαλύτερη ανθεκτικότητα σε επιθέσεις λιστών λέξεων ή λεξικών.

Σε αντίθεση με τους προκατόχους του, το WPA3 θα προσφέρει επίσης εμπιστευτικότητα. Αυτό προσθέτει το σημαντικό όφελος της προστασίας των πληροφοριών που είχαν ανταλλαχθεί προηγουμένως, ακόμη και αν διακυβεύεται ένα μακροπρόθεσμο μυστικό κλειδί.

Η εμπιστευτικότητα προς τα εμπρός παρέχεται ήδη από πρωτόκολλα όπως το TLS χρησιμοποιώντας ασύμμετρα πλήκτρα για τη δημιουργία κοινών κλειδιών. Μπορείτε να μάθετε περισσότερα για το TLS σε αυτήν την ανάρτηση.

Καθώς το WPA2 δεν έχει καταργηθεί, έτσι και τα δύο WPA2 και WPA3 παραμένουν οι κορυφαίες επιλογές σας για ασφάλεια Wi-Fi.

Εάν οι άλλοι δεν είναι καλοί, γιατί είναι ακόμα γύρω;

Ίσως αναρωτιέστε γιατί το σημείο πρόσβασής σας σάς επιτρέπει ακόμη και να επιλέξετε μια άλλη επιλογή εκτός από το WPA2 ή το WPA3. Ο πιθανός λόγος είναι ότι χρησιμοποιείτε υλικό παλαιού τύπου, αυτό είναι που οι τεχνικοί ονομάζουν δρομολογητές της μητέρας σας

Δεδομένου ότι η κατάργηση του WEP και του WPA συνέβη αρκετά πρόσφατα, είναι δυνατό σε μεγάλους οργανισμούς καθώς και στο σπίτι του γονέα σας να βρουν παλαιότερο υλικό που εξακολουθεί να χρησιμοποιεί αυτά τα πρωτόκολλα. Ακόμη και νεότερο υλικό μπορεί να έχει ανάγκη από επιχειρήσεις να υποστηρίζει αυτά τα παλαιότερα πρωτόκολλα.

Παρόλο που ίσως μπορώ να σας πείσω να επενδύσετε σε μια νέα γυαλιστερή συσκευή Wi-Fi κορυφαίας γραμμής, οι περισσότεροι οργανισμοί είναι μια διαφορετική ιστορία. Δυστυχώς, πολλοί απλώς δεν γνωρίζουν τον σημαντικό ρόλο που διαδραματίζει η ασφάλεια στον κυβερνοχώρο στην κάλυψη των αναγκών των πελατών και στην ενίσχυση αυτής της κατώτατης γραμμής.

Επιπλέον, η μετάβαση σε νεότερα πρωτόκολλα ενδέχεται να απαιτεί νέες εσωτερικές αναβαθμίσεις υλικού ή υλικολογισμικού. Ειδικά σε πολύπλοκα συστήματα σε μεγάλους οργανισμούς, η αναβάθμιση συσκευών μπορεί να είναι οικονομικά ή στρατηγικά δύσκολη.

Ενισχύστε την ασφάλεια Wi-Fi

Εάν είναι μια επιλογή, επιλέξτε WPA2 ή WPA3. Η ασφάλεια στον κυβερνοχώρο είναι ένα πεδίο που εξελίσσεται καθημερινά και το να κολλάς στο παρελθόν μπορεί να έχει τρομερές συνέπειες.

Εάν δεν μπορείτε να χρησιμοποιήσετε το WPA2 ή το WPA3, κάντε το καλύτερο δυνατό για να λάβετε επιπλέον μέτρα ασφαλείας.

Το καλύτερο πλεονέκτημα είναι να χρησιμοποιήσετε ένα εικονικό ιδιωτικό δίκτυο (VPN). Η χρήση ενός VPN είναι καλή ιδέα ανεξάρτητα από τον τύπο κρυπτογράφησης Wi-Fi που διαθέτετε. Σε ανοιχτό Wi-Fi (καφετέριες) και χρησιμοποιώντας το WEP, είναι σαφές ανεύθυνο να πηγαίνεις χωρίς VPN.

Είναι σαν να φωνάζεις τα τραπεζικά σου στοιχεία καθώς παραγγέλνεις το δεύτερο καπουτσίνο σου.

Ένα γελοιογραφία φωνάζοντας τα στοιχεία της τράπεζάς σας σε ένα καφέ.

Επιλέξτε έναν πάροχο VPN που προσφέρει μια λειτουργία όπως ένας διακόπτης kill που αποκλείει την κίνηση του δικτύου σας εάν το VPN σας αποσυνδεθεί. Αυτό σας εμποδίζει να μεταδώσετε κατά λάθος πληροφορίες σχετικά με μια ανασφαλή σύνδεση, όπως ανοιχτό Wi-Fi ή WEP. Έγραψα περισσότερα για τις τρεις πρώτες σκέψεις μου για την επιλογή του VPN μου σε αυτήν την ανάρτηση.

Όταν είναι δυνατόν, βεβαιωθείτε ότι συνδέεστε μόνο σε γνωστά δίκτυα που ελέγχετε εσείς ή ο οργανισμός σας.

Πολλές επιθέσεις ασφάλειας στον κυβερνοχώρο εκτελούνται όταν τα θύματα συνδέονται σε ένα απομιμητικό δημόσιο σημείο πρόσβασης Wi-Fi, που ονομάζεται επίσης κακό δίδυμη επίθεση ή Wi-Fi phishing.

Αυτά τα ψεύτικα hotspot δημιουργούνται εύκολα χρησιμοποιώντας δημόσια προσβάσιμα προγράμματα και εργαλεία. Ένα VPN μπορεί να βοηθήσει στην άμβλυνση των ζημιών από αυτές τις επιθέσεις, αλλά είναι πάντα καλύτερο να μην ρισκάρετε.

Εάν ταξιδεύετε συχνά, σκεφτείτε να αγοράσετε ένα φορητό σημείο πρόσβασης που χρησιμοποιεί ένα πρόγραμμα δεδομένων κινητής τηλεφωνίας ή να χρησιμοποιήσετε κάρτες SIM δεδομένων για όλες τις συσκευές σας.

Πολύ περισσότερο από απλά ακρωνύμια

Τα WEP, WPA, WPA2 και WPA3 σημαίνουν πολύ περισσότερα από μια δέσμη παρόμοιων γραμμάτων - σε ορισμένες περιπτώσεις, είναι μια διαφορά δισεκατομμυρίων ετών μείον περίπου 60 δευτερόλεπτα.

Σε μεγαλύτερο χρονικό διάστημα, ελπίζω να σας έχω διδάξει κάτι νέο σχετικά με την ασφάλεια του Wi-Fi και πώς μπορείτε να το βελτιώσετε!

Αν σας άρεσε αυτή η ανάρτηση, θα ήθελα πολύ να μάθω. Γίνετε μέλος των χιλιάδων ανθρώπων που μαθαίνουν μαζί μου στο victoria.dev! Επισκεφτείτε ή εγγραφείτε μέσω RSS για περισσότερο προγραμματισμό, ασφάλεια στον κυβερνοχώρο και αστεία μπαμπάς κινουμένων σχεδίων