Ключ WPA, WPA2, WPA3 та WEP: Пояснення безпеки Wi-Fi

Налаштування нового Wi-Fi? Вибір типу пароля, який вам потрібен, може здатися довільним вибором. Зрештою, у WEP, WPA, WPA2 та WPA3 в основному однакові букви.

Пароль - це пароль, то яка різниця? Як виявляється, приблизно від 60 секунд до мільярдів років.

Все шифрування Wi-Fi не створено рівним. Давайте розберемося, чим ці чотири абревіатури настільки різними, і як найкраще захистити свій дім та організацію Wi-Fi.

Конфіденційність дротового еквівалента (WEP)

На початку існував WEP.

WEP ілюстрація

Wired Equivalent Privacy - застарілий алгоритм безпеки з 1997 року, який мав на меті забезпечити рівноцінний захист дротового з'єднання. "Застаріле" означає: "Не будемо більше цього робити".

Навіть коли він був вперше представлений, було відомо, що він був не таким сильним, як міг бути, з двох причин:

  • його основний механізм шифрування, і
  • Друга Світова війна.

Під час Другої світової війни вплив злому коду (або криптоаналізу) був величезним. Уряди відреагували, намагаючись зберігати вдома свої найкращі рецепти таємних соусів.

Приблизно за часів WEP обмеження уряду США щодо експорту криптографічної технології змусили виробників точок доступу обмежити свої пристрої 64-розрядним шифруванням. Хоча це пізніше було піднято до 128-бітового, навіть ця форма шифрування пропонувала дуже обмежений можливий розмір ключа.

Це виявилося проблематичним для WEP. Невеликий розмір клавіш привів до того, що було легше застосувати грубу силу, особливо коли цей ключ часто не змінюється.

Основним механізмом шифрування WEP є потоковий шифр RC4. Цей шифр набув популярності завдяки своїй швидкості та простоті, але це мало свою ціну.

Це не найнадійніший алгоритм. WEP використовує єдиний спільний ключ серед своїх користувачів, який потрібно вводити вручну на пристрої точки доступу. (Коли ви востаннє змінювали пароль Wi-Fi? Так.)

WEP також не допоміг, просто об'єднавши ключ з вектором ініціалізації - тобто, він начебто змішав свої біти таємного соусу і сподівався на краще.

Вектор ініціалізації (IV): введення фіксованого розміру в криптографічний алгоритм низького рівня, зазвичай випадковий.

У поєднанні з використанням RC4 це залишило WEP особливо сприйнятливим до атак пов'язаних ключів. У випадку 128-розрядного WEP ваш пароль Wi-Fi може бути зламаний загальнодоступними інструментами протягом приблизно 60 секунд до трьох хвилин.

Хоча деякі пристрої пропонували 152-розрядні або 256-розрядні варіанти WEP, це не змогло вирішити основні проблеми основного механізму шифрування WEP.

Отже, так. Не будемо більше цього робити.

Захищений доступ до Wi-Fi (WPA)

Ілюстрація WPA

Новий, тимчасовий стандарт прагнув тимчасово «виправити» проблему безпеки (відсутність) WEP. Назва Wi-Fi Protected Access (WPA), безумовно, звучить безпечніше, тому це хороший початок. Однак WPA спочатку розпочався з іншої, більш описової назви.

Протокол цілісності часового ключа (TKIP), затверджений стандартом IEEE 2004 року, використовує динамічно генерований ключ для кожного пакета. Кожен надісланий пакет має унікальний тимчасовий 128-бітний ключ (див.? Описовий!), Який вирішує сприйнятливість до атак пов'язаних ключів, викликаних спільним змішуванням ключів WEP.

TKIP також реалізує інші заходи, такі як код автентифікації повідомлень (MAC). Іноді відомий як контрольна сума, MAC забезпечує криптографічний спосіб перевірити, що повідомлення не були змінені.

У TKIP недійсний MAC може також викликати повторне введення ключа сеансу. Якщо точка доступу отримує недійсний MAC двічі протягом хвилини, спробі вторгнення можна протидіяти, змінивши ключ, який зловмисник намагається зламати.

На жаль, для збереження сумісності з існуючим обладнанням, яке WPA малося «виправити», TKIP зберіг використання того самого основного механізму шифрування, що і WEP - потоковий шифр RC4.

Хоча це, безумовно, покращило слабкі сторони WEP, TKIP врешті виявилося вразливим до нових атак, що розширили попередні атаки на WEP.

Для порівняння виконуються ці атаки трохи довше: наприклад, дванадцять хвилин у випадку з одним, а 52 години в іншому. Однак цього більш ніж достатньо, щоб визнати TKIP більше не безпечним.

З тих пір WPA, або TKIP, також не підтримується. Тож давайте також більше цього не робити.

Що підводить нас до ...

Wi-Fi Protected Access II (WPA2)

Ілюстрація WPA2

Замість того, щоб витрачати зусилля, щоб придумати абсолютно нову назву, вдосконалений стандарт Wi-Fi Protected Access II (WPA2) замість цього зосереджується на використанні нового базового шифру.

Замість потокового шифру RC4, WPA2 використовує блок-шифр, який називається Advanced Encryption Standard (AES), щоб створити основу свого протоколу шифрування.

Сам протокол, скорочений CCMP, більшу частину своєї безпеки черпає з довжини свого досить довгого імені (я жартую): Протокол коду автентифікації ланцюжка шифрування лічильника в режимі лічильника, який скорочується до режиму лічильника CBC-MAC або режиму CCM Протокол, або CCMP. ?

Режим CCM - це, по суті, поєднання кількох хороших ідей. Він забезпечує конфіденційність даних через режим CTR або режим лічильника. Щоб значно спростити, це додає складності даним відкритого тексту, шифруючи послідовні значення послідовності підрахунку, яка не повторюється.

CCM також інтегрує CBC-MAC, метод блок-шифру для побудови MAC.

Сама AES знаходиться на хороших ногах. Специфікація AES була створена в 2001 році Національним інститутом стандартів і технологій США (NIST). Вони зробили свій вибір після п’ятирічного конкурсного відбору, протягом якого було оцінено п’ятнадцять пропозицій щодо розробки алгоритмів.

В результаті цього процесу було відібрано сімейство шифрів під назвою Rijndael (голландська), і їх підмножина стала AES.

Більшу частину двох десятиліть AES використовувався для захисту повсякденного Інтернет-трафіку, а також певного рівня секретної інформації в уряді США.

Хоча описані можливі атаки на AES, досі не доведено, що вони практичні в реальному використанні. Найшвидша атака на AES у загальновідомому значенні - це атака на відновлення ключів, яка покращила примусовий AES приблизно в чотири рази. Скільки часу це займе? Деякі мільярди років.

Wi-Fi Protected Access III (WPA3)

Ілюстрація WPA3

Наступна частина трилогії WPA потрібна для нових пристроїв з 1 липня 2020 р. Очікується, що для подальшого підвищення безпеки WPA2 стандарт WPA3 прагне поліпшити захист паролем, будучи більш стійким до атак списку слів або словників.

На відміну від своїх попередників, WPA3 також пропонуватиме пряму секретність. Це додає значну вигоду від захисту раніше обміненої інформації, навіть якщо довгостроковий секретний ключ порушено.

Таємність прямої передачі вже забезпечується такими протоколами, як TLS, за допомогою асиметричних ключів для встановлення спільних ключів. Ви можете дізнатись більше про TLS у цій публікації.

Оскільки WPA2 не застаріла, тому як WPA2, так і WPA3 залишаються вашим найкращим вибором для безпеки Wi-Fi.

Якщо інші не корисні, чому вони все ще поруч?

Можливо, вам цікаво, чому ваша точка доступу дозволяє вам вибрати інший варіант, ніж WPA2 або WPA3. Ймовірна причина полягає в тому, що ви використовуєте застаріле обладнання, яке люди, що називають технологією, називають маршрутизатором вашої мами.

Оскільки припинення використання WEP та WPA відбулося нещодавно, у великих організаціях, а також у батьківському будинку можливо знайти застаріле обладнання, яке все ще використовує ці протоколи. Навіть нове обладнання може мати бізнес-потребу для підтримки цих старих протоколів.

Незважаючи на те, що я можу переконати вас інвестувати в новий блискучий пристрій Wi-Fi, більшість організацій - це інша історія. На жаль, багато хто ще не усвідомлює тієї важливої ​​ролі, яку відіграє кібербезпека у задоволенні потреб споживачів та підвищенні цього результату.

Крім того, для переходу на новіші протоколи може знадобитися оновлення внутрішнього обладнання та прошивки. Особливо на складних системах у великих організаціях оновлення пристроїв може бути фінансово чи стратегічно складним.

Підвищте безпеку Wi-Fi

Якщо це варіант, виберіть WPA2 або WPA3. Кібербезпека - це сфера, яка розвивається щодня, і застрявання в минулому може мати жахливі наслідки.

Якщо ви не можете використовувати WPA2 або WPA3, зробіть все можливе, щоб вжити додаткових заходів безпеки.

Найкращий виграш - використовувати віртуальну приватну мережу (VPN). Використання VPN - це гарна ідея, незалежно від того, який тип шифрування Wi-Fi у вас є. У відкритих Wi-Fi (кав'ярнях) та за допомогою WEP просто безвідповідально йти без VPN.

Це як вигук своїх банківських реквізитів, коли ви замовляєте друге капучино.

Мультфільм кричати свої банківські реквізити в кав’ярні.

Виберіть постачальника VPN, який пропонує таку функцію, як перемикач вбивства, який блокує ваш мережевий трафік, якщо ваша VPN переривається. Це запобігає випадковій передачі інформації по незахищеному з’єднанню, такому як відкритий Wi-Fi або WEP. У цій публікації я писав більше про свої три головні міркування щодо вибору моєї VPN.

По можливості переконайтеся, що ви підключаєтесь лише до відомих мереж, якими керуєте ви або ваша організація.

Багато атак кібербезпеки виконуються, коли жертви підключаються до імітації загальнодоступної точки доступу Wi-Fi, яку також називають злісною атакою близнюків або фішингу Wi-Fi.

Ці підроблені точки доступу легко створювати за допомогою загальнодоступних програм та інструментів. VPN також може допомогти зменшити шкоду від цих атак, але завжди краще не ризикувати.

Якщо ви часто подорожуєте, розгляньте можливість придбання портативної точки доступу, яка використовує тарифний план стільникового зв'язку, або використання SIM-карт даних для всіх ваших пристроїв.

Набагато більше, ніж просто скорочення

WEP, WPA, WPA2 та WPA3 означають набагато більше, ніж купу подібних листів - в деяких випадках це різниця у мільярди років мінус близько 60 секунд.

Я маю надію, що навчившись теперішнього часу, я навчив вас чомусь новому щодо безпеки вашого Wi-Fi та того, як ви можете його покращити!

Якщо вам сподобався цей пост, я б хотів про це знати. Приєднуйтесь до тисяч людей, які навчаються разом зі мною на victoria.dev! Відвідайте або підпишіться через RSS, щоб дізнатись більше про програмування, кібербезпеку та жарти з мультфільмів.