WPA

WPA (англ. Wi-Fi Protected Access, также WPA2, англ. Wi-Fi Protected Access 2 и WPA3, англ. Wi-Fi Protected Access 3) — три программы сертификации безопасности, разработанные после 2000 года организацией Wi-Fi Alliance для защиты беспроводных компьютерных сетей. Эти стандарты появились в ответ на серьёзные уязвимости, выявленные исследователями в предыдущей системе Wired Equivalent Privacy (WEP)[1].

Стандарт WPA, иногда называемый стандартом TKIP, был представлен в 2003 году как временное решение, предшествующее появлению более надёжного и сложного WPA2 (доступного с 2004 года) — реализации полного стандарта IEEE 802.11i (IEEE 802.11i-2004).

В январе 2018 года Wi-Fi Alliance анонсировала WPA3, который предлагает ряд улучшений по сравнению с WPA2[2].

По состоянию на 2023 год большинство компьютеров с поддержкой беспроводных сетей могут использовать WPA, WPA2 или WPA3. Однако все версии протоколов, по меньшей мере до мая 2021 года, уязвимы для различных способов взлома[3].

Версии

WEP

WEP (англ. Wired Equivalent Privacy) — один из первых протоколов шифрования для беспроводных сетей, предназначенный для защиты соединений WLAN. В протоколе используются 64- и 128-битовые ключи, включающие части, настраиваемые пользователем и установленные на заводе. WEP применяет алгоритм RC4 для шифрования данных, формируя уникальный ключ для каждого пакета путём сочетания нового вектора инициализации (IV) с общим ключом (40 бит — векторный ключ, 24 бита — случайные числа). Для дешифровки применяется обратная процедура с использованием IV и общего ключа для формирования потока и расшифровки полезных данных. Значительные уязвимости WEP обусловили появление более современных и безопасных протоколов[4].

WPA

WPA задумывался Wi-Fi Alliance как промежуточное решение, заменяющее Wired Equivalent Privacy до выхода полноценного стандарта IEEE 802.11. WPA мог быть внедрён через обновление прошивки в сетевых картах, поддерживающих WEP, выпускавшихся с 1999 года. Однако для большинства точек доступа, произведённых до 2003 года, требуемые изменения были значительными, а обновления от производителей зачастую не выпускались.

WPA реализует протокол Temporal Key Integrity Protocol (TKIP). В отличие от статичных 64- или 128-битных ключей WEP, вводимых вручную, TKIP динамически генерирует для каждого пакета новый 128-битный ключ, что препятствует атакам, типичным для WEP[5].

WPA также использует контроль целостности сообщений, который предотвращает подмену/повторную отправку пакетов злоумышленником. Эта система заменила циклический избыточный код CRC, применявшийся в WEP и не обеспечивавший достаточной целостности данных[6]. Хотя известны надёжные методы аутентификации, их вычисления были слишком ресурсоёмкими для старых сетевых карт. Позднее был обнаружен ряд уязвимостей WPA, связанных как со старыми проблемами WEP, так и с ограничениями хэш-функции целостности Michael, которые позволяли злоумышленнику получить поток ключей из коротких пакетов и использовать их для повторной отправки и подделки пакетов[7][8].

WPA2

Стандарт WPA2 был принят и введён в 2004 году, заменив WPA. Сертификация WPA2, требуемая Wi-Fi Alliance, подразумевает реализацию обязательных элементов стандарта IEEE 802.11i, включая поддержку CCMP, реализующего режим шифрования на основе AES.[9][10][11] Сертификация стала обязательной с сентября 2004 года, с 13 марта 2006 по 30 июня 2020 года — для получения логотипа Wi-Fi[12].

В WPA2-сетях между устройством и точкой доступа (AP) устанавливается защищённое соединение через многошаговую процедуру: после ассоциации следует четырёхстадийное рукопожатие, подтверждающее наличие корректного общего ключа (PSK) без его передачи в открытом виде. В ходе процесса генерируется PTK (Pairwise Transient Key), необходимый для шифрования данных. WPA2 использует алгоритм AES с 128-битным ключом в режиме CCMP, что обеспечивает высокую степень защиты и целостность данных[13].

Процесс четырёхстадийного рукопожатия включает:

  • отправку AP случайного значения (ANonce) клиенту;
  • возврат клиентом собственного случайного значения (SNonce);
  • вычисление PTK точкой доступа по этим двум значениям и передача клиенту зашифрованного сообщения;
  • дешифровка клиентом сообщения с помощью PTK и подтверждение успешной аутентификации[14].

После рукопожатия PTK используется для шифрования индивидуальных сообщений (unicast), а Group Temporal Key (GTK) — для широковещательных. Это комплексная схема реализует основной уровень криптографической аутентификации и шифрования WPA2[14].

WPA3

В январе 2018 года Wi-Fi Alliance анонсировала WPA3 как смену WPA2[15][16]. Сертификация устройств стартовала в июне 2018 года[17], с 1 июля 2020 года поддержка WPA3 обязательна для всех новых устройств с логотипом Wi-Fi CERTIFIED™[18].

В режиме WPA3-Enterprise новый стандарт использует эквивалентную 192-битную криптостойкость[19] (AES-256 в GCM, SHA-384 в HMAC), а в режиме WPA3-Personal обязательным является CCMP-128 (AES-128/CCM). Использование TKIP в WPA3 не допускается.

WPA3 заменяет схемы на основе общего пароля (PSK) на метод Simultaneous Authentication of Equals (SAE), впервые предложенный в IEEE 802.11s, что обеспечивает более надёжный первичный обмен ключами и прямая секретность[20]. Кроме того, внедрён OWE для открытых сетей Wi-Fi без пароля, а защита управляющих кадров реализована согласно стандарту IEEE 802.11w-2009.

Аппаратная поддержка

WPA разрабатывался специально для совместимости со старым оборудованием Wi-Fi, использовавшим WEP, хотя ряд устройств требует обновления прошивки (что для некоторых моделей недоступно)[21].

Устройства с сертификацией с 2006 года поддерживают и WPA, и WPA2. С июля 2020 года сертификация предполагает обязательную поддержку WPA3[18].

Терминология WPA

Различные версии WPA и механизмы защиты различаются по целевой аудитории (WEP, WPA, WPA2, WPA3), способу распределения ключей аутентификации и протоколу шифрования. С июля 2020 года самой актуальной версией стандарта является WPA3, который устраняет уязвимости WPA2 и предлагает улучшенные методы аутентификации и более сильные алгоритмы шифрования[22].

WPA-Personal

Также известен как WPA-PSK (режим общего ключа); ориентирован на домашнее и малое офисное использование без необходимости отдельного сервера аутентификации[23]. Каждое устройство вычисляет 128-битный ключ шифрования на основе 256-битного общего ключа, который может вводиться либо в виде строки из 64 шестнадцатеричных цифр, либо как пароль длиной от 8 до 63 печатных ASCII-символов[24]. Эта процедура не является строго определяющей, согласно пояснительной части стандарта 802.11[25]. Если пароль задан в ASCII, 256-битный ключ вычисляется по функции PBKDF2 с SSID в качестве соли и 4096 итерациями HMAC-SHA1[26]. Режим WPA-Personal возможен во всех трёх версиях стандарта WPA.

WPA-Enterprise

В корпоративном режиме для аутентификации применяется сервер 802.1X, что обеспечивает повышенный уровень контроля и безопасности по сравнению с WEP и позволяет использовать непрерывную смену ключей через TKIP. Аутентификация проводится с помощью сервера RADIUS, возможна интеграция с механизмом входа Windows и различными схемами проверки, включая Extensible Authentication Protocol и PEAP[27].

Протоколы шифрования

TKIP (Temporal Key Integrity Protocol)
Использует потоковый шифр RC4 с уникальным 128-битным ключом для каждого пакета, применяется в WPA.
CCMP
Построен на основе AES с режимами CTR и CBC-MAC, применяется в WPA2. Этот протокол значительно эффективнее против атак, чем TKIP. Для получения высокой скорости в стандарте IEEE 802.11n-2009 требуется использование именно этого алгоритма, иначе скорость ограничивается 54 Мбит/с[28].

EAP-расширения для WPA и WPA2 Enterprise

Изначально сертификация Wi-Fi Alliance охватывала только EAP-TLS. В апреле 2010 года были добавлены другие типы EAP[29][30], что обеспечило совместимость устройств от разных производителей.

По состоянию на 2010 год сертифицируемые типы EAP:

  • EAP-TLS
  • EAP-TTLS/MSCHAPv2 (с апреля 2005)
  • PEAPv0/EAP-MSCHAPv2 (с апреля 2005)
  • PEAPv1/EAP-GTC (с апреля 2005)
  • PEAP-TLS
  • EAP-SIM (с апреля 2005)
  • EAP-AKA (с апреля 2009)[31]
  • EAP-FAST (с апреля 2009)

Клиенты и серверы 802.1X от конкретных производителей могут поддерживать дополнительные типы EAP. Среди коммерческих серверов можно выделить Microsoft Network Policy Server, Juniper Steelbelted RADIUS и Aradial Radius Server[32], среди открытых — FreeRADIUS.

Проблемы и уязвимости

Слабые пароли

Режимы WPA-Personal и WPA2-Personal уязвимы к подбору паролей при использовании предсказуемых или слабых паролей. Хэши паролей WPA-PSK рассчитываются с учётом имени SSID — существуют радужные таблицы для популярных SSID и сочетаний паролей, что ускоряет взлом[33].

Для перебора простых паролей применяется пакет Aircrack Suite, начиная с захваченного четырёхстороннего рукопожатия.[34][35][36][37][38]

В WPA3 для предотвращения атак офлайн-подбора реализованы протоколы, требующие взаимодействия с оборудованием для каждой попытки перебора[15], однако выявленные ошибки в реализации WPA3 также допускают возможность брутфорс-атак.

Отсутствие прямой секретности

WPA и WPA2 не поддерживают прямую секретность, поэтому, если злоумышленник узнает общий ключ, он сможет расшифровать все соответствующие пакеты, перехваченные как в прошлом, так и в дальнейшем. Особенно это опасно в публичных сетях, где пароль может знать каждый посетитель. Для передачи чувствительной информации в таких сетях предпочтительно шифрование на более высоком уровне (например, TLS). В протоколе WPA3 данная проблема решена[20].

Подмена и расшифровка пакетов WPA

В 2013 году Матий Ванхоеф и Франк Писсенс[39] показали возможность внедрения и расшифровки пакетов в сетях WPA-TKIP. По сравнению с предыдущей атакой Бека-Тьюса, новый способ позволяет внедрять большее количество и больший объём данных. Также возможно захватить и расшифровать широковещательные и индивидуальные пакеты. Уязвимость TKIP продолжает использоваться в устройcтвах с поддержкой WPA-TKIP[39].

Атаки через WPS PIN

В декабре 2011 года было выявлено, что функция WPS, реализованная во многих маршрутизаторах, позволяет атакующему восстановить PIN WPS и пароль WPA всего за несколько часов[40]. Рекомендуется отключить WPS на устройствах, на которых это возможно[41]. В 2018 году вместо WPS предложена технология Wi-Fi Easy Connect для простого подключения устройств без полноценного интерфейса[42][43].

MS-CHAPv2 и валидация AAA-серверов

Алгоритм MS-CHAPv2, используемый в ряде реализаций WPA2, имеет существенные уязвимости, позволяющие провести перебор с помощью современных вычислительных средств. В 2012 году сложность атаки на MS-CHAPv2 была эквивалентна взлому одного DES-ключа, что критично для организаций, полагающихся на эту технологию[44]. Дополнительным фактором риска является неправильная настройка проверки сертификатов AAA-серверов со стороны клиентов[45]. В WPA3 вводятся более строгие правила проверки соответствующих сертификатов[15].

Уязвимость Hole196

Уязвимость Hole196 связана с использованием группового ключа GTK и позволяет атакующему, уже аутентифицированному в сети, проводить атаки типа «человек посередине» и отказ в обслуживании[46][47].

Предсказуемый групповой ключ (GTK)

В 2016 году показано, что стандарты WPA и WPA2 содержат небезопасный генератор случайных чисел; при его использовании атакующий может заранее вычислить групповой ключ GTK, что позволяет внедрять и расшифровывать трафик в сети. Пример — маршрутизатор Asus RT-AC51U и устройства на чипах Broadcom[48]. Рекомендация — применять надёжный ГПСЧ. Так, маршрутизаторы OpenWrt/LEDE неуязвимы для этой атаки.

KRACK (Key Reinstallation Attack)

В октябре 2017 года был опубликован метод атаки KRACK, критичный для WPA2 и затрагивающий все его варианты[49][50]. KRACK использует ослабленную спецификацию четырёхстадийного рукопожатия, позволяя злоумышленнику повторно инициировать рукопожатие и расшифровывать данные. Для устранения уязвимости необходимы программные обновления, которые недоступны для ряда устройств[51]. Пользователям рекомендуется своевременно обновлять устройства[52].

Dragonblood

В апреле 2019 года атаки Dragonblood выявили уязвимости в handshake-протоколе Dragonfly, используемом в WPA3 и EAP-pwd[53]. Были обнаружены атаки через побочные каналы и уязвимости реализации EAP-pwd и SAE. Проблемы имеются и при переходе между WPA2 и WPA3. Ведётся работа по исправлению стандарта и обновлению устройств[54].

FragAttacks

11 мая 2021 года были обнародованы уязвимости класса FragAttacks, позволяющие атакующим в радиусе действия перехватывать данные пользователей. Уязвимости связаны как с ошибками стандарта, так и программной реализации устройств; затрагивают все версии протоколов безопасности Wi-Fi — включая WPA3 и WEP. Многие уязвимости сложны для эксплуатации, однако ошибки производителей позволяют их реализовать быстрее. Для защиты рекомендуется использовать HTTPS и обновлять ПО устройств.

Примечания

  1. Understanding WEP Weaknesses. Wiley Publishing. Дата обращения: 10 января 2010. Архивировано 18 марта 2010 года.
  2. Wi-Fi Alliance® introduces security enhancements (англ.). www.wi-fi.org. Дата обращения: 9 января 2018.
  3. Vanhoef, Mathy (2021). “Fragment and Forge: Breaking Wi-Fi Through Frame Aggregation and Fragmentation”. USENIX [англ.]: 161—178. ISBN 978-1-939133-24-3.
  4. Lashkari, Arash Habibi; Danesh, Mir Mohammad Seyed; Samadi, Behrang (2009). A survey on wireless security protocols (wep, wpa and wpa2/802.11i). 2009 2nd IEEE International Conference on Computer Science and Information Technology. pp. 48—52.
  5. Meyers, Mike. Mike Meyers' Network+ Guide to Managing and Troubleshooting Networks. — McGraw Hill, 2004. — ISBN 978-0-07-225665-9.
  6. Ciampa, Mark. CWNA Guide to Wireless LANS. — Thomson, 2006.
  7. Huang, Jianyong; Seberry, Jennifer; Susilo, Willy; Bunder, Martin (2005). “Security analysis of Michael: the IEEE 802.11i message integrity code”. International Conference on Embedded and Ubiquitous Computing: 423—432. Дата обращения 2017-02-26.
  8. Battered, but not broken: understanding the WPA crack. Ars Technica (6 ноября 2008).
  9. Dragomir, D. A Survey on Secure Communication Protocols for IoT Systems // 2016 International Workshop on Secure Internet of Things (SIoT) / D. Dragomir, L. Gheorghe, S. Costea … [и др.]. — 2016. — P. 47–62. — ISBN 978-1-5090-5091-8. — doi:10.1109/siot.2016.012.
  10. Jonsson, Jakob On the Security of CTR + CBC-MAC. NIST. Дата обращения: 15 мая 2010.
  11. Jonsson, Jakob. On the Security of CTR + CBC-MAC // Selected Areas in Cryptography. — 2003. — Vol. 2595. — P. 76–93. — ISBN 978-3-540-00622-0. — doi:10.1007/3-540-36492-7_7.
  12. WPA2 Security Now Mandatory for Wi-Fi CERTIFIED Products. Wi-Fi Alliance. Дата обращения: 28 февраля 2013.
  13. Radivilova, Tamara; Hassan, Hassan Ali (2017). Test for penetration in Wi-Fi network: Attacks on WPA2-PSK and WPA2-Enterprise. 2017 International Conference on Information and Telecommunication Technologies and Radio Electronics (UkrMiCo). pp. 1—4.
  14. 1 2 Abo-Soliman, Mohamed A.; Azer, Marianne A. (2017). A study in WPA2 enterprise recent attacks. 2017 13th International Computer Engineering Conference (ICENCO). pp. 323—330.
  15. 1 2 3 Dawn Kawamoto. Wi-Fi Alliance Launches WPA2 Enhancements and Debuts WPA3. DARKReading (8 января 2018).
  16. WPA3 protocol will make public Wi-Fi hotspots a lot more secure. Techspot (9 января 2018).
  17. Wi-Fi Alliance® introduces Wi-Fi CERTIFIED WPA3™ security. www.wi-fi.org. Дата обращения: 20 июня 2020.
  18. 1 2 File Download. www.wi-fi.org. Дата обращения: 20 июня 2020.
  19. Wi-Fi Alliance introduces Wi-Fi Certified WPA3 security (англ.). www.wi-fi.org. Дата обращения: 26 июня 2018.
  20. 1 2 “The Next Generation of Wi-Fi Security Will Save You From Yourself”. Wired [англ.]. Дата обращения 2018-06-26.
  21. Wi-Fi Protected Access White Paper. Wi-Fi Alliance. Дата обращения: 15 августа 2008. Архивировано 14 сентября 2008 года.
  22. WPA3 Will Enhance Wi-Fi Security. U.S. National Security Agency, Cybersecurity Report (июнь 2018).
  23. Wi-Fi Alliance: Glossary. Дата обращения: 1 марта 2010. Архивировано 4 марта 2010 года.
  24. В стандарте IEEE 802.11i-2004, Приложение H.4.1 указано, что каждый символ пароля должен иметь кодировку от 32 до 126 (десятичное). Пробел входит в этот диапазон.
  25. IEEE SA - IEEE 802.11-2020 (англ.). SA Main Site. Дата обращения: 6 февраля 2022. Архивировано 6 февраля 2022 года.
  26. van Rantwijk, Joris WPA key calculation — From passphrase to hexadecimal key (6 декабря 2006). Дата обращения: 24 декабря 2011.
  27. Monga, Kashish; Arora, Vishal; Kumar, Ashish (2015). Analyzing the behavior of WPA with modification. 2015 International Conference on Communication Networks (ICCN). pp. 53—56.
  28. Data rate will not exceed 54 Mbps when WEP or TKIP encryption is configured.
  29. Wi-Fi Alliance: Definition of EAP (Extensible Authentication Protocol). Wi-Fi Alliance Featured Topics. Дата обращения: 12 марта 2011. Архивировано 26 июля 2011 года.
  30. Wi-Fi Alliance expands Wi-Fi Protected Access Certification Program for Enterprise and Government Users. Wi-Fi Alliance Press Release. Дата обращения: 20 января 2011. Архивировано 19 августа 2010 года.
  31. Wi-Fi CERTIFIED™ expanded to support EAP-AKA and EAP-FAST authentication mechanisms. Wi-Fi Alliance Featured Topics.
  32. Radius Server software and AAA RADIUS billing systems - Aradial. Aradial.com. Дата обращения: 16 октября 2017.
  33. Church of Wifi WPA-PSK Rainbow Tables. The Renderlab. Дата обращения: 2 января 2019.
  34. “WPA2 wireless security cracked”. ScienceDaily. DOI:10.1504/IJICS.2014.059797. Дата обращения 2014-04-30.
  35. Exposing WPA2 security protocol vulnerabilities. Inderscience.metapress.com. International Journal of Information and Computer Security (13 марта 2014). Дата обращения: 30 апреля 2014. Архивировано 22 марта 2014 года.
  36. Researchers Outline How to Crack WPA2 Security. SecurityWeek.Com (24 марта 2014). Дата обращения: 30 апреля 2014.
  37. WPA2 wireless security cracked, Phys.org (20 марта 2014). Дата обращения: 16 мая 2014.
  38. Exposing WPA2 Paper. InfoSec Community (2 мая 2014). Дата обращения: 16 мая 2014.
  39. 1 2 Vanhoef, Mathy. Practical verification of WPA-TKIP vulnerabilities // Proceedings of the 8th ACM SIGSAC symposium on Information, computer and communications security / Mathy Vanhoef, Frank Piessens. — 2013-05. — P. 427–436. — ISBN 9781450317672. — doi:10.1145/2484313.2484368.
  40. Viehbock, Stefan Brute forcing Wi-Fi Protected Setup (26 декабря 2011).
  41. Vulnerability Note VU#723755 - WiFi Protected Setup (WPS) PIN brute force vulnerability. Kb.cert.org. Дата обращения: 16 октября 2017.
  42. "Wi-Fi Easy Connect". wi-fi.org. Дата обращения: 31 января 2024.
  43. Wi-Fi Alliance introduces WPA3 and Wi-Fi Easy Connect (26 июня 2018). Дата обращения: 31 января 2024.
  44. Divide and Conquer: Cracking MS-CHAPv2 with a 100% success rate. Moxie Marlinspike. Дата обращения: 3 августа 2012. Архивировано 16 марта 2016 года.
  45. Is WPA2 Security Broken Due to Defcon MS-CHAPv2 Cracking? (31 июля 2012).
  46. Mojo Networks Scalable Secure Cloud Managed WiFi WPA2 Hole196 Vulnerability. Airtightnetworks.com. Дата обращения: 16 октября 2017. Архивировано 13 ноября 2015 года.
  47. Tangent, The Dark DEF CON® Hacking Conference - DEF CON 18 Archive. Defcon.org. Дата обращения: 16 октября 2017.
  48. Vanhoef, Mathy; Piessens, Frank (2016-08). “Predicting, Decrypting, and Abusing WPA2/802.11 Group Keys” (PDF). Proceedings of the 25th USENIX Security Symposium: 673—688. Проверьте дату в |date= (справка на английском)
  49. KRACK Attacks: Breaking WPA2. Krackattacks.com. Дата обращения: 16 октября 2017.
  50. Severe flaw in WPA2 protocol leaves Wi-Fi traffic open to eavesdropping. Arstechnica.com (16 октября 2017). Дата обращения: 16 октября 2017.
  51. KRACK Wi-Fi attack threatens all networks: How to stay safe and what you need to know (англ.), PCWorld. Дата обращения: 6 февраля 2018.
  52. Alhamry, Mohamed; Elmedany, Wael (2022). “Exploring Wi-Fi WPA2 KRACK Vulnerability: A Review Paper”. 2022 International Conference on Data Analytics for Business and Industry (ICDABI). pp. 766—772.
  53. Vanhoef, Mathy; Ronen, Eyal (2020). Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd. 2020 IEEE Symposium on Security and Privacy (SP). pp. 517—533.
  54. Vanhoef, Mathy; Ronen, Eyal Dragonblood - Analysing WPA3's Dragonfly Handshake.

Литература