Добро пожаловать обратно, начинающие кибервоины!
25 июня 2018 года альянс Wi-Fi Alliance официально представил WPA3, открыв новую эру беспроводной безопасности. Хотя WPA2 доминировал на рынке более десяти лет, мир изменился, угрозы эволюционировали, а вместе с ними и потребность в более надёжной аутентификации. В основе улучшений WPA3 лежит протокол Dragonfly, также известный как «одновременная аутентификация равных» (SAE).
Давайте приоткроем завесу тайны и посмотрим, что же такое «Стрекоза».
Эта уязвимость сделала сети WPA2-PSK мишенью для злоумышленников, специалистов по тестированию на проникновение и всех, кто хотел проверить свои навыки взлома паролей. Альянс Wi-Fi понимал, что эту проблему необходимо решить, особенно учитывая, что Wi-Fi становится основой всего: от умных домов до промышленных систем.
Dragonfly построен на математических основах криптографии на эллиптических кривых (ECC) или криптографии с конечным полем (FFC). В основе его безопасности лежит задача дискретного логарифмирования — задача настолько сложная в вычислительном плане, что даже самые обеспеченные злоумышленники не могут её решить.
Вместо хеширования пароля и его передачи по радиоканалу обе стороны используют пароль для генерации уникального математического элемента — либо точки на эллиптической кривой, либо элемента в конечном поле. Здесь вступает в действие так называемый алгоритм «охоты и клевания». Цель — гарантировать, что один и тот же пароль всегда будет давать один и тот же математический элемент, но при этом обратный процесс и восстановление пароля только по этому элементу будет вычислительно нецелесообразным.
После создания этого общего элемента протокол переходит в фазу фиксации. Обе стороны генерируют случайные приватные значения и вычисляют соответствующие публичные значения. Эти публичные значения затем объединяются с элементом, полученным из пароля, для создания сообщений фиксации, которыми происходит обмен.
Фаза подтверждения — это больше, чем просто рукопожатие. Она устанавливает криптографические параметры сеанса, гарантирует, что обе стороны действительно знают пароль, и запускает процесс получения сеансовых ключей, которые будут защищать весь последующий обмен данными.
После завершения обмена протокол переходит в фазу подтверждения. Здесь обе стороны вычисляют значения подтверждения на основе переданных сообщений и полученного общего секретного ключа. Эти значения служат доказательством того, что обе стороны успешно завершили процесс аутентификации и имеют правильный пароль. Если всё прошло успешно, аутентификация завершается, и устанавливается новый сеансовый ключ.
Рукопожатие Dragonfly WPA3
Реализации на основе эллиптических кривых обычно предпочтительны благодаря сочетанию безопасности и эффективности. Широко используются такие известные кривые, как P-256, P-384 или P-521, которые обеспечивают надежную защиту без чрезмерной нагрузки на ресурсы устройства. Даже устройства с ограниченными ресурсами могут выполнять необходимые операции в приемлемые сроки.
Для тех, кто выбирает криптографию с конечными полями, Dragonfly использует модульную арифметику над тщательно подобранными простыми полями. Выбор этих полей соответствует установленным криптографическим стандартам, что гарантирует, что задача дискретного логарифмирования останется труднорешаемой даже для злоумышленников, использующих специализированное оборудование или распределенные вычислительные мощности.
Ещё одним важным нововведением Dragonfly является устойчивость к офлайн-атакам по словарю. В традиционных схемах злоумышленник, перехвативший сообщения аутентификации, может перебирать пароли сколько угодно раз, не оповещая сеть. Dragonfly меняет правила: проверка правильности пароля требует активного участия обеих сторон. Одних только перехваченных сообщений недостаточно для самостоятельной проверки злоумышленником своих попыток. Это кардинально меняет ландшафт угроз для беспроводных сетей.
Взаимная аутентификация — ещё одно ключевое преимущество. И клиент, и точка доступа должны подтвердить знание общего пароля. Это предотвращает использование мошеннических точек доступа и выдачу себя за других клиентов, предотвращая широкий спектр атак, которые годами преследовали сети Wi-Fi.
Протокол также включает в себя надёжные механизмы формирования ключей. Сеансовые ключи генерируются с использованием общего секретного ключа, установленного при аутентификации, в сочетании со случайными значениями и параметрами протокола для обеспечения уникальности и непредсказуемости. Эти ключи подходят для использования с различными алгоритмами шифрования, обеспечивая надёжную защиту всех последующих коммуникаций.
Требования к памяти также невелики. Устройствам необходимо хранить криптографические параметры, временные значения для вычислений и буферы для сообщений протокола. Для большинства современных устройств это не проблема. Даже в мире Интернета вещей, где ресурсы ограничены, Dragonfly может быть реализован при тщательной оптимизации.
Совместимость имеет решающее значение. Dragonfly описан в нескольких стандартах, включая IEEE 802.11, RFC 7664 и документы Wi-Fi Alliance. Разработчики должны строго соблюдать эти стандарты, чтобы обеспечить безопасное взаимодействие устройств разных производителей. Это включает в себя согласование криптографических групп, форматов сообщений, обработки ошибок и выбора параметров безопасности.
Ещё одной проблемой является так называемый «переходный режим» в WPA3, когда сети поддерживают как WPA2, так и WPA3 для совместимости. Это может открыть путь для атак с понижением уровня безопасности, когда злоумышленник заставляет клиента использовать менее надёжный протокол WPA2, а затем взламывает пароль офлайн, как и раньше. Лучшая защита — использовать режим «только WPA3» везде, где это возможно.
Атака по словарю на WPA3-SAE, работающую в переходном режиме, путем попытки понизить уровень безопасности клиента до уровня, непосредственно использующего четырехэтапное рукопожатие WPA2.
Ошибки реализации представляют собой ещё один риск. Как и в случае с любым сложным протоколом, ошибки в кодировании или настройке могут привести к уязвимостям. Регулярные обновления, тщательное тестирование и соблюдение передовых практик крайне важны для поддержания безопасности.
25 июня 2018 года альянс Wi-Fi Alliance официально представил WPA3, открыв новую эру беспроводной безопасности. Хотя WPA2 доминировал на рынке более десяти лет, мир изменился, угрозы эволюционировали, а вместе с ними и потребность в более надёжной аутентификации. В основе улучшений WPA3 лежит протокол Dragonfly, также известный как «одновременная аутентификация равных» (SAE).
Давайте приоткроем завесу тайны и посмотрим, что же такое «Стрекоза».
Проблема с WPA2 и PSK
Если вы работали в полевых условиях, то знаете, что WPA2 использует метод аутентификации Pre-Shared Key (PSK). Всё просто: все участники сети используют один и тот же пароль. Но за простоту приходится платить. Злоумышленники могут перехватить рукопожатие между клиентом и точкой доступа и запустить атаку методом подбора пароля в автономном режиме. Благодаря современным графическим процессорам и даже облачным ресурсам этот процесс стал быстрее и проще, чем когда-либо, особенно если пароль слабый или используется повторно. Чтобы узнать больше о взломе WPA2-PSK, ознакомьтесь с этой статьей .Эта уязвимость сделала сети WPA2-PSK мишенью для злоумышленников, специалистов по тестированию на проникновение и всех, кто хотел проверить свои навыки взлома паролей. Альянс Wi-Fi понимал, что эту проблему необходимо решить, особенно учитывая, что Wi-Fi становится основой всего: от умных домов до промышленных систем.
Встречайте Стрекозу: Новый Защитник
Ответом WPA3 стал протокол Dragonfly. В отличие от WPA2, Dragonfly не позволяет злоумышленникам просто перехватывать рукопожатие и перебирать его в своё удовольствие. Вместо этого он заставляет каждый подбор пароля выполняться в режиме реального времени с помощью точки доступа. Это означает, что злоумышленники не могут просто пассивно собирать рукопожатия и взламывать их позже на своём оборудовании. Каждая попытка подбора пароля требует прямого взаимодействия с целевой сетью, что делает крупномасштабные атаки шумными, медленными и гораздо более лёгкими для обнаружения.Dragonfly построен на математических основах криптографии на эллиптических кривых (ECC) или криптографии с конечным полем (FFC). В основе его безопасности лежит задача дискретного логарифмирования — задача настолько сложная в вычислительном плане, что даже самые обеспеченные злоумышленники не могут её решить.
Как работает Dragonfly: протокол в действии
Чтобы понять работу Dragonfly, нужно рассмотреть, как он превращает простой пароль в крепость криптографической защиты. Процесс начинается с того, что клиент и точка доступа обмениваются паролем — как и в случае с WPA2. Но дальше всё происходит иначе.Вместо хеширования пароля и его передачи по радиоканалу обе стороны используют пароль для генерации уникального математического элемента — либо точки на эллиптической кривой, либо элемента в конечном поле. Здесь вступает в действие так называемый алгоритм «охоты и клевания». Цель — гарантировать, что один и тот же пароль всегда будет давать один и тот же математический элемент, но при этом обратный процесс и восстановление пароля только по этому элементу будет вычислительно нецелесообразным.
После создания этого общего элемента протокол переходит в фазу фиксации. Обе стороны генерируют случайные приватные значения и вычисляют соответствующие публичные значения. Эти публичные значения затем объединяются с элементом, полученным из пароля, для создания сообщений фиксации, которыми происходит обмен.
Фаза подтверждения — это больше, чем просто рукопожатие. Она устанавливает криптографические параметры сеанса, гарантирует, что обе стороны действительно знают пароль, и запускает процесс получения сеансовых ключей, которые будут защищать весь последующий обмен данными.
После завершения обмена протокол переходит в фазу подтверждения. Здесь обе стороны вычисляют значения подтверждения на основе переданных сообщений и полученного общего секретного ключа. Эти значения служат доказательством того, что обе стороны успешно завершили процесс аутентификации и имеют правильный пароль. Если всё прошло успешно, аутентификация завершается, и устанавливается новый сеансовый ключ.
Рукопожатие Dragonfly WPA3
Криптография, лежащая в основе Dragonfly
Криптографические операции Dragonfly разработаны для обеспечения высокой устойчивости к широкому спектру атак, оставаясь при этом достаточно эффективными для работы на любых устройствах — от ноутбуков до датчиков Интернета вещей. Протокол поддерживает как эллиптические кривые, так и конечные группы полей, предоставляя разработчикам гибкость в выборе наиболее подходящего решения для своих устройств и моделей угроз.Реализации на основе эллиптических кривых обычно предпочтительны благодаря сочетанию безопасности и эффективности. Широко используются такие известные кривые, как P-256, P-384 или P-521, которые обеспечивают надежную защиту без чрезмерной нагрузки на ресурсы устройства. Даже устройства с ограниченными ресурсами могут выполнять необходимые операции в приемлемые сроки.
Для тех, кто выбирает криптографию с конечными полями, Dragonfly использует модульную арифметику над тщательно подобранными простыми полями. Выбор этих полей соответствует установленным криптографическим стандартам, что гарантирует, что задача дискретного логарифмирования останется труднорешаемой даже для злоумышленников, использующих специализированное оборудование или распределенные вычислительные мощности.
Свойства безопасности, которые имеют значение
Одной из выдающихся особенностей Dragonfly является совершенная прямая секретность (PFS). Это означает, что даже если кому-то удастся скомпрометировать общий пароль в будущем, все предыдущие сеансы связи останутся в безопасности. Это достигается за счёт генерации эфемерных ключей для каждого сеанса аутентификации, которые формируются на основе случайных значений, генерируемых при каждом запуске протокола. Это критически важное свойство, особенно в средах, где пароли могут использоваться многими пользователями или оставаться неизменными в течение длительного времени.Ещё одним важным нововведением Dragonfly является устойчивость к офлайн-атакам по словарю. В традиционных схемах злоумышленник, перехвативший сообщения аутентификации, может перебирать пароли сколько угодно раз, не оповещая сеть. Dragonfly меняет правила: проверка правильности пароля требует активного участия обеих сторон. Одних только перехваченных сообщений недостаточно для самостоятельной проверки злоумышленником своих попыток. Это кардинально меняет ландшафт угроз для беспроводных сетей.
Взаимная аутентификация — ещё одно ключевое преимущество. И клиент, и точка доступа должны подтвердить знание общего пароля. Это предотвращает использование мошеннических точек доступа и выдачу себя за других клиентов, предотвращая широкий спектр атак, которые годами преследовали сети Wi-Fi.
Протокол также включает в себя надёжные механизмы формирования ключей. Сеансовые ключи генерируются с использованием общего секретного ключа, установленного при аутентификации, в сочетании со случайными значениями и параметрами протокола для обеспечения уникальности и непредсказуемости. Эти ключи подходят для использования с различными алгоритмами шифрования, обеспечивая надёжную защиту всех последующих коммуникаций.
Реализация в реальном мире: что это значит для устройств
Реализация Dragonfly требует больших вычислительных затрат, чем WPA2-PSK, но современное оборудование справляется с этой задачей. В частности, операции на эллиптических кривых эффективны и хорошо поддерживаются современными беспроводными чипсетами. Даже устройства с питанием от аккумуляторов могут справиться с нагрузкой Dragonfly без заметного влияния на производительность или удобство использования.Требования к памяти также невелики. Устройствам необходимо хранить криптографические параметры, временные значения для вычислений и буферы для сообщений протокола. Для большинства современных устройств это не проблема. Даже в мире Интернета вещей, где ресурсы ограничены, Dragonfly может быть реализован при тщательной оптимизации.
Совместимость имеет решающее значение. Dragonfly описан в нескольких стандартах, включая IEEE 802.11, RFC 7664 и документы Wi-Fi Alliance. Разработчики должны строго соблюдать эти стандарты, чтобы обеспечить безопасное взаимодействие устройств разных производителей. Это включает в себя согласование криптографических групп, форматов сообщений, обработки ошибок и выбора параметров безопасности.
Известные ограничения и текущие исследования
Хотя Dragonfly — это огромный шаг вперёд, он не является неуязвимым. Исследователи выявили потенциальные уязвимости сторонних каналов в некоторых реализациях, где атаки по времени или кэшированию могут привести к утечке информации об элементе пароля. Эти атаки сложны и требуют непосредственного взаимодействия или расширенных возможностей, но они напоминают, что реализация важна не меньше, чем дизайн протокола.Ещё одной проблемой является так называемый «переходный режим» в WPA3, когда сети поддерживают как WPA2, так и WPA3 для совместимости. Это может открыть путь для атак с понижением уровня безопасности, когда злоумышленник заставляет клиента использовать менее надёжный протокол WPA2, а затем взламывает пароль офлайн, как и раньше. Лучшая защита — использовать режим «только WPA3» везде, где это возможно.
Атака по словарю на WPA3-SAE, работающую в переходном режиме, путем попытки понизить уровень безопасности клиента до уровня, непосредственно использующего четырехэтапное рукопожатие WPA2.
Ошибки реализации представляют собой ещё один риск. Как и в случае с любым сложным протоколом, ошибки в кодировании или настройке могут привести к уязвимостям. Регулярные обновления, тщательное тестирование и соблюдение передовых практик крайне важны для поддержания безопасности.
