Differkinome

WPA2 vs WPA3

Teknologi
Share

Dirilis pada 2018, WPA3 adalah versi terbaru dan lebih aman dari protokol Wi-Fi Protected Access untuk mengamankan jaringan nirkabel. Seperti yang kami jelaskan di WPA2WPA3Berdiri untuk Wi-Fi Protected Access 2 Akses Terlindungi Wi-Fi 3 Apa itu? Protokol keamanan yang dikembangkan oleh Wi-Fi Alliance pada tahun 2004 untuk digunakan dalam mengamankan jaringan nirkabel; dirancang untuk menggantikan protokol WEP dan WPA. Dirilis pada 2018, WPA3 adalah generasi WPA berikutnya dan memiliki fitur keamanan yang lebih baik. Ini melindungi terhadap kata sandi yang lemah yang dapat di-crack dengan mudah melalui tebakan. Metode Tidak seperti WEP dan WPA, WPA2 menggunakan standar AES sebagai ganti cipher aliran RC4. CCMP menggantikan TKIP WPA. Enkripsi 128-bit dalam mode WPA3-Personal (192-bit dalam WPA3-Enterprise) dan meneruskan kerahasiaan. WPA3 juga menggantikan pertukaran Pre-Shared Key (PSK) dengan Authentication of Equals Simultan, cara yang lebih aman untuk melakukan pertukaran kunci awal. Aman dan Disarankan? WPA2 direkomendasikan daripada WEP dan WPA, dan lebih aman ketika Wi-Fi Protected Setup (WPS) dinonaktifkan. Ini tidak direkomendasikan untuk WPA3. Ya, WPA3 lebih aman daripada WPA2 dengan cara yang dibahas dalam esai di bawah ini. Frame Manajemen Terlindungi (PMF) WPA2 mengamanatkan dukungan PMF sejak awal 2018. Router yang lebih lama dengan firmware yang belum ditambal mungkin tidak mendukung PMF. WPA3 mengamanatkan penggunaan Frame Manajemen Terlindungi (PMF)

Isi: WPA2 vs WPA3

  • 1 Jabat Tangan Baru: Otentikasi Serentak Serentak (SAE)
    • 1.1 Tahan terhadap Dekripsi Offline
    • 1.2 Maju Kerahasiaan
  • 2 Enkripsi Nirkabel Opportunistik (OWE)
  • 3 Device Provisioning Protocol (DPP)
  • 4 Kunci Enkripsi yang Lebih Panjang
  • 5 Keamanan
  • 6 Dukungan untuk WPA3
  • 7 Rekomendasi
  • 8 Referensi

Jabat Tangan Baru: Otentikasi Serentak Serentak (SAE)

Ketika suatu perangkat mencoba masuk ke jaringan Wi-Fi yang dilindungi kata sandi, langkah-langkah penyediaan dan verifikasi kata sandi diambil melalui jabat tangan 4 arah. Di WPA2, bagian protokol ini rentan terhadap serangan KRACK:

Dalam serangan instalasi ulang kunci [KRACK], musuh mengelabui korban agar memasang kembali kunci yang sudah digunakan. Ini dicapai dengan memanipulasi dan memutar ulang pesan jabat tangan kriptografis. Ketika korban menginstal ulang kunci, parameter terkait seperti jumlah paket transmisi tambahan (mis. Nonce) dan menerima nomor paket (mis. Penghitung ulangan) diatur ulang ke nilai awalnya. Intinya, untuk menjamin keamanan, kunci hanya boleh dipasang dan digunakan satu kali.

Bahkan dengan pembaruan WPA2 untuk mengurangi kerentanan KRACK, WPA2-PSK masih dapat di-crack. Bahkan ada panduan cara untuk meretas kata sandi WPA2-PSK.

WPA3 memperbaiki kerentanan ini dan memitigasi masalah lain dengan menggunakan mekanisme jabat tangan yang berbeda untuk mengautentikasi ke jaringan Wi-Fi-Otentikasi Serentak Serempak, juga dikenal sebagai Dragonfly Key Exchange.

Rincian teknis tentang bagaimana WPA3 menggunakan pertukaran kunci Dragonfly - yang merupakan variasi dari SPEKE (Simple Password Exponential Key Exchange) - dijelaskan dalam video ini.

Keuntungan dari pertukaran kunci Dragonfly adalah kerahasiaan maju dan ketahanan terhadap dekripsi offline.

Tahan terhadap Dekripsi Offline

Kerentanan protokol WPA2 adalah bahwa penyerang tidak harus tetap terhubung ke jaringan untuk menebak kata sandi. Penyerang dapat mengendus dan menangkap jabat tangan 4 arah koneksi awal berbasis WPA2 ketika berada di dekat jaringan. Lalu lintas yang ditangkap ini kemudian dapat digunakan secara offline dalam serangan berbasis kamus untuk menebak kata sandi. Ini berarti bahwa jika kata sandi lemah, mudah dipecahkan. Bahkan, kata sandi alfanumerik hingga 16 karakter dapat dipecahkan dengan cepat untuk jaringan WPA2.

WPA3 menggunakan sistem Dragonfly Key Exchange sehingga tahan terhadap serangan kamus. Ini didefinisikan sebagai berikut:

Perlawanan terhadap serangan kamus berarti bahwa setiap keuntungan yang dapat diperoleh musuh harus secara langsung berkaitan dengan jumlah interaksi yang ia lakukan dengan peserta protokol yang jujur ​​dan tidak melalui perhitungan. Musuh tidak akan dapat memperoleh informasi tentang kata sandi kecuali apakah tebakan tunggal dari suatu protokol berjalan benar atau salah.

Fitur WPA3 ini melindungi jaringan di mana kata sandi jaringan - yaitu, kunci yang dibagikan sebelumnya (PSDK) - lebih lemah dari kompleksitas yang disarankan.

Maju Kerahasiaan

Jaringan nirkabel menggunakan sinyal radio untuk mengirimkan informasi (paket data) antara perangkat klien (mis. Telepon atau laptop) dan titik akses nirkabel (router). Sinyal radio ini disiarkan secara terbuka dan dapat dicegat atau "diterima" oleh siapa pun di sekitarnya. Ketika jaringan nirkabel dilindungi melalui kata sandi - apakah WPA2 atau WPA3 - sinyal dienkripsi sehingga pihak ketiga menyadap sinyal tidak akan dapat memahami data.

Namun, penyerang dapat merekam semua data yang mereka sadap. Dan jika mereka dapat menebak kata sandi di masa depan (yang dimungkinkan melalui serangan kamus pada WPA2, seperti yang telah kita lihat di atas), mereka dapat menggunakan kunci untuk mendekripsi lalu lintas data yang direkam di masa lalu di jaringan itu.

WPA3 memberikan kerahasiaan ke depan. Protokol dirancang sedemikian rupa sehingga bahkan dengan kata sandi jaringan, tidak mungkin bagi seorang penyadap mengintai lalu lintas antara titik akses dan perangkat klien yang berbeda..

Enkripsi Nirkabel Opportunistik (OWE)

Dijelaskan dalam whitepaper ini (RFC 8110), Opportunistic Wireless Encryption (OWE) adalah fitur baru dalam WPA3 yang menggantikan otentikasi 802,11 "terbuka" yang banyak digunakan di hotspot dan jaringan publik.

Video YouTube ini menyediakan ikhtisar teknis OWE. Gagasan utamanya adalah menggunakan mekanisme pertukaran kunci Diffie-Hellman untuk mengenkripsi semua komunikasi antara perangkat dan titik akses (router). Kunci dekripsi untuk komunikasi berbeda untuk setiap klien yang terhubung ke titik akses. Jadi tidak ada perangkat lain di jaringan yang dapat mendekripsi komunikasi ini, bahkan jika mereka mendengarkannya (yang disebut sniffing). Manfaat ini disebut Perlindungan Data Individual-lalu lintas data antara klien dan titik akses "individual"; jadi sementara klien lain dapat mengendus dan mencatat lalu lintas ini, mereka tidak dapat mendekripsi itu.

Keuntungan besar OWE adalah tidak hanya melindungi jaringan yang memerlukan kata sandi untuk terhubung; itu juga melindungi jaringan "tidak aman" terbuka yang tidak memiliki persyaratan kata sandi, mis. jaringan nirkabel di perpustakaan. OWE menyediakan jaringan-jaringan ini dengan enkripsi tanpa otentikasi. Tidak ada ketentuan, tidak ada negosiasi, dan tidak ada kredensial diperlukan - itu hanya berfungsi tanpa pengguna harus melakukan apa pun atau bahkan mengetahui bahwa penjelajahannya sekarang lebih aman.

Peringatan: OWE tidak melindungi terhadap titik akses "jahat" (AP) seperti AP honeypot atau kembar jahat yang mencoba menipu pengguna agar terhubung dengan mereka dan mencuri informasi.

Peringatan lain adalah bahwa WPA3 mendukung - tetapi tidak mandat - enkripsi yang tidak diautentikasi. Ada kemungkinan bahwa pabrikan mendapatkan label WPA3 tanpa menerapkan enkripsi yang tidak diautentikasi. Fitur ini sekarang disebut Wi-Fi CERTIFIED Enhanced Open sehingga pembeli harus mencari label ini selain label WPA3 untuk memastikan perangkat yang mereka beli mendukung enkripsi yang tidak diautentikasi.

Protokol Penyediaan Perangkat (DPP)

Wi-Fi Device Provisioning Protocol (DPP) menggantikan Wi-Fi Protected Setup (WPS) yang kurang aman. Banyak perangkat di otomatisasi rumah - atau Internet of Things (IoT) - tidak memiliki antarmuka untuk entri kata sandi dan harus bergantung pada telepon pintar untuk memadukan pengaturan Wi-Fi mereka..

Peringatan di sini sekali lagi adalah bahwa Wi-Fi Alliance tidak mengamanatkan fitur ini digunakan untuk mendapatkan sertifikasi WPA3. Jadi itu bukan bagian teknis dari WPA3. Sebaliknya, fitur ini sekarang menjadi bagian dari program Wi-Fi CERTIFIED Easy Connect mereka. Jadi cari label itu sebelum membeli perangkat keras bersertifikasi WPA3.

DPP memungkinkan perangkat untuk diautentikasi ke jaringan Wi-Fi tanpa kata sandi, baik menggunakan kode QR atau NFC (Near-field communication, teknologi yang sama yang memberi daya transaksi nirkabel pada tag Apple Pay atau Android Pay).

Dengan Wi-Fi Protected Setup (WPS), kata sandi dikomunikasikan dari telepon Anda ke perangkat IoT, yang kemudian menggunakan kata sandi untuk mengautentikasi ke jaringan Wi-Fi. Tetapi dengan Device Provisioning Protocol (DPP) yang baru, perangkat melakukan otentikasi bersama tanpa kata sandi.

Kunci Enkripsi yang Lebih Panjang

Sebagian besar implementasi WPA2 menggunakan kunci enkripsi AES 128-bit. Standar IEEE 802.11i juga mendukung kunci enkripsi 256-bit. Di WPA3, ukuran kunci yang lebih panjang - setara dengan keamanan 192-bit - hanya diamanatkan untuk WPA3-Enterprise.

WPA3-Enterprise mengacu pada otentikasi perusahaan, yang menggunakan nama pengguna dan kata sandi untuk menyambung ke jaringan nirkabel, bukan hanya kata sandi (alias kunci yang dibagikan sebelumnya) yang khas untuk jaringan rumah.

Untuk aplikasi konsumen, standar sertifikasi untuk WPA3 telah membuat ukuran kunci lebih panjang opsional. Beberapa produsen akan menggunakan ukuran kunci yang lebih panjang karena mereka sekarang didukung oleh protokol, tetapi tanggung jawab akan berada pada konsumen untuk memilih router / jalur akses yang tidak.

Keamanan

Seperti yang dijelaskan di atas, selama bertahun-tahun WPA2 telah menjadi rentan terhadap berbagai bentuk serangan, termasuk teknik KRACK yang terkenal di mana tambalan tersedia tetapi tidak untuk semua router dan tidak digunakan secara luas oleh pengguna karena membutuhkan peningkatan firmware..

Pada bulan Agustus 2018, vektor serangan lain untuk WPA2 ditemukan.[1] Ini memudahkan penyerang yang mengendus jabat tangan WPA2 untuk mendapatkan hash dari kunci yang dibagikan sebelumnya (kata sandi). Penyerang kemudian dapat menggunakan teknik brute force untuk membandingkan hash ini dengan hash dari daftar kata sandi yang umum digunakan, atau daftar tebakan yang mencoba setiap variasi huruf dan jumlah panjang yang bervariasi. Menggunakan sumber daya komputasi awan, sangat mudah untuk menebak kata sandi yang panjangnya kurang dari 16 karakter.

Singkatnya, keamanan WPA2 sebagus rusak, tetapi hanya untuk WPA2-Pribadi. WPA2-Enterprise jauh lebih tahan. Sampai WPA3 tersedia secara luas, gunakan kata sandi yang kuat untuk jaringan WPA2 Anda.

Dukungan untuk WPA3

Setelah diperkenalkan pada 2018, dibutuhkan waktu 12-18 bulan untuk dukungan untuk menjadi arus utama. Bahkan jika Anda memiliki router nirkabel yang mendukung WPA3, ponsel atau tablet lama Anda mungkin tidak menerima pemutakhiran perangkat lunak yang diperlukan untuk WPA3. Dalam hal ini, titik akses akan kembali ke WPA2 sehingga Anda masih dapat terhubung ke router-tetapi tanpa keunggulan WPA3.

Dalam 2-3 tahun, WPA3 akan menjadi arus utama dan jika Anda membeli perangkat keras router sekarang disarankan untuk membuktikan pembelian Anda di masa depan.

Rekomendasi

  1. Jika memungkinkan, pilih WPA3 daripada WPA2.
  2. Saat membeli perangkat keras bersertifikasi WPA3, cari juga sertifikasi Wi-Fi Enhanced Open dan Wi-Fi Easy Connect. Seperti dijelaskan di atas, fitur-fitur ini meningkatkan keamanan jaringan.
  3. Pilih kata sandi yang panjang dan rumit (kunci yang dibagikan sebelumnya):
    1. gunakan angka, huruf besar dan kecil, spasi, dan bahkan karakter "khusus" dalam kata sandi Anda.
    2. Buat lulusfrasa alih-alih satu kata.
    3. Jadikan panjang 20 karakter atau lebih.
  4. Jika Anda membeli router nirkabel atau titik akses, pilih salah satu yang mendukung WPA3 atau berencana untuk meluncurkan pembaruan perangkat lunak yang akan mendukung WPA3 di masa depan. Vendor router nirkabel secara berkala merilis pembaruan firmware untuk produk mereka. Bergantung pada seberapa bagus vendornya, mereka merilis upgrade lebih sering. misalnya setelah kerentanan KRACK, TP-LINK adalah salah satu vendor pertama yang merilis patch untuk router mereka. Mereka juga merilis patch untuk router yang lebih lama. Jadi jika Anda mencari router yang akan dibeli, lihatlah sejarah versi firmware yang dirilis oleh pabrikan itu. Pilih perusahaan yang rajin melakukan upgrade.
  5. Gunakan VPN saat menggunakan hotspot Wi-Fi publik seperti kafe atau perpustakaan, terlepas dari apakah jaringan nirkabel dilindungi kata sandi (mis., Aman) atau tidak.

Referensi

  • Serangan KRACK pada WPA2
  • Dragonfly Key Exchange - kertas putih IEEE
  • Siaran Pers Wi-Fi Alliance untuk fitur WPA3 dan peningkatan WPA2
  • Peningkatan Keamanan WPA3 - Youtube
  • Enkripsi Nirkabel Opportunistik: RFC 1180
  • WPA3 - Peluang yang Terlewatkan
  • Detail Teknis WPA3
  • Awal dari Akhir WPA-2: Retak WPA-2 Baru Saja Lebih Mudah Banyak
Teknologi
×