Новые планы альянса Wi-Fi делают упор на безопасности, но независимые исследователи находят в них упущенные возможности
Wi-Fi Protected Access 2, или WPA2, успешно и долго работал. Но после 14 лет в качестве основного беспроводного протокола безопасности неизбежно начали появляться прорехи. Поэтому Wi-Fi Alliance и объявил планы на преемника этого протокола, WPA3, с начала года понемногу выдавая информацию о грядущих переменах.
Но Wi-Fi Alliance – организация, отвечающая за сертификацию продуктов, использующих Wi-Fi, возможно, сделала не всё, что могла, для того, чтобы сделать беспроводную безопасность истинно современной – по крайней мере, так считает сторонний исследователь безопасности. Мэти Ванхоф, исследователь из Лёвенского католического университета в Бельгии, в 2016-м обнаруживший атаку KRACK, позволяющую взломать WPA2, считает, что Wi-Fi Alliance мог бы сработать и лучше, изучив альтернативные протоколы безопасности и их сертификаты.
Серьёзное различие между WPA2 и WPA3 состоит в способе, которым устройства приветствуют маршрутизатор или другие точки доступа, к которым они пытаются присоединиться. WPA3 вводит приветствие, или хэндшейк, под названием одновременная аутентификация равных [Simultaneous Authentication of Equals, SAE]. Его преимущество в том, что оно предотвращает такие атаки, как KRACK, прерывающие приветствие в WPA2. Оно гарантирует, что обмен ключами, доказывающими идентичность обоих устройств, нельзя прервать. Для этого оно приравнивает в правах устройство и маршрутизатор. До этого в таком обмене приветствиями участвовали опрашивающее устройство (пытающееся подключиться к сети) и авторизующее устройство (маршрутизатор).
SAE решает большие проблемы с уязвимостью WPA2 – это важный шаг, но, возможно, недостаточно большой. Ванхоф утверждает, что, по слухам, распространяющимся в сообществе специалистов по безопасности, хотя такое приветствие и предотвратит вредные атаки типа KRACK, остаются вопросы о том, способно ли оно на что-то большее.
Ванхов говорит, что математический анализ приветствия вроде бы подтверждает его безопасность. «С другой стороны, раздаются комментарии и критика, из которых ясно, что существуют и другие варианты, — говорит он. – Вероятность возникновения небольших проблем выше, чем у других типов приветствий».
Одно из опасений состоит в вероятности атаки по сторонним каналам, в частности, атака по времени. Хотя SAE устойчив к атакам, прерывающим приветствие напрямую, он может оказаться уязвимым к более пассивным атакам, наблюдающим за временем авторизации и извлекающим на этом основании некоторую информацию о пароле.
В 2013 году исследователи из Университета Ньюкасла во время криптоанализа SAE обнаружили, что приветствие уязвимо к т.н. атакам малых подгрупп. Такие атаки сводят ключи, которыми обмениваются маршрутизатор и подсоединяющееся устройство, к мелкой, ограниченной подгруппе вариантов, которую легче взломать, чем обычно доступный набор из множества вариантов. Чтобы устранить эту уязвимость, исследователи предлагают дополнить SAE ещё одним этапом проверки ключей, пожертвовав некоторой эффективностью приветствия.
Однако SAE защищает от атак, использовавших недостатки WPA2. Кевин Робинсон, вице-президент по маркетингу Wi-Fi Alliance, говорит, что он делает невозможными офлайн-атаки по словарю. Такие атаки можно проводить, когда атакующий способен проверить тысячи и сотни тысяч возможных паролей подряд, не возбуждая подозрений у сети. SAE предлагает и прямую секретность – если атакующий получил доступ к сети, все данные, отправленные по ней до этого, останутся в безопасности – в случае с WPA2 это было не так.
Когда Wi-Fi Alliance впервые объявил о выходе WPA3 в пресс-релизе в январе, он упомянул «набор свойств» для улучшения безопасности. В релизе содержался намёк на четыре конкретных свойства. Одно из них, SAE, стало основой WPA3. Второе, 192-битное шифрование, возможно использовать в крупных корпорациях или финансовых учреждениях, переходящих на WPA3. А два другие свойства так и не попали в WPA3.
Туда не попали свойства, существующие в отдельных сертификационных программах. Первое, Easy Connect, упрощает процедуру соединения устройств из интернета вещей с домашней сетью. Второе, Enhanced Open, сильнее защищает открытые сети – такие, как сети в аэропортах и кафе.
«Я думаю, что Wi-Fi Alliance специально сформулировал январский пресс-релиз так туманно, — говорит Ванхоф. – Они не обещали, что всё это будет включено в WPA3. Были рассуждения о том, что все эти свойства станут обязательными. Однако обязательным стало только приветствие – и это, я считаю, плохо».
Ванхоф беспокоится, что три отдельных программы сертификации, WPA3, Easy Connect и Enhanced Open, будут путать пользователей, а не накрывать их зонтиком WPA3. «Придётся говорить обычным пользователям, чтобы они использовали Easy Connect и Enhanced Open», — говорит он.
Wi-Fi Alliance считает, что раздельные программы сертификации уменьшат путаницу пользователей. «Важно, чтобы пользователь понимал разницу между WPA3 и протоколом Enhanced Open, предназначенным для открытой сети», — говорит Робинсон. Точно так же, говорит он, представители индустрии, входящие в Wi-Fi Alliance, посчитали очень важным сделать так, чтобы протокол Easy Connect предлагал беспроблемный метод подсоединения устройств, всё ещё использующих WPA2, а не ограничивал эту возможность только для новых устройств".
И всё же, вне зависимости от того, будут ли пользователи новых сертификационных программ от Wi-Fi Alliance запутаны или успокоены, Ванхоф считает, что Wi-Fi Alliance мог бы более открыто освещать свой процесс выбора протоколов. «Они работали в закрытом режиме, — говорит он. – Из-за этого экспертам по безопасности и шифровальщикам было тяжело комментировать этот процесс», из-за чего возникают опасения по поводу потенциальных уязвимостей SAE и нескольких программ сертификации.
Ванхоф также указывает на то, что открытый процесс мог бы привести к созданию более надёжного протокола WPA3. «Мы часто сталкиваемся с секретностью, — говорит он. – А потом мы обнаруживаем, что в результате безопасность оказалась слабой. В общем, мы поняли, что всегда лучше работать открыто».
