WPA3: Wi-Fi bude znovu bezpečné

Příchod protokolu WPA3 můžeme zcela jistě považovat za běžnou evoluci bezpečnostního síťového protokolu poplatnou vývoji a rostoucím požadavkům dnešní doby. Do jaké míry jeho nástup uspíšily objevené závažné bezpečnostní mezery v protokolu WPA2 můžeme jen spekulovat. Jisté je, že po mnoha letech přichází nový protokol, který svými vlastnostmi podstatně lépe odpovídá požadavkům moderní doby. Vyřešen by měla být také rizika s používáním veřejných Wi-Fi sítí.

Nástupce protokolu WPA2 přichází s příslibem robustnější autentifikace, silnějšího šifrování i větší uživatelské přívětivosti. Všechny WPA3 sítě tak přinesou nejnovější bezpečnostní metody, vyřadí původní zastaralé protokoly a budou vyžadovat Protected Management Frames (PMF).

Zahrnuta bude ochrana proti útokům využívajícím k prolomení sítí tzv. hrubou sílu, kdy by autentizace na základě několika proběhnutých pokusů o přihlášení měla být zablokována.

Ve dvou variantách

WPA3 bude dostupné ve variantách WPA3-Personel a WPA3-Enterprise. Varianta Personal je určena pro osobní, individuální použití například v domácnostech nebo menších firemních sítí a přinese odolnější ověřování i v případě, kdy si uživatelé nenastaví silné heslo v souladu se všeobecnými doporučeními. Pro komunikaci mezi jednotlivými zařízeními se využívá protokol Simultaneous Authentication of Equals (SAE), který slibuje silnější ochranu proti odposlechnutí a prolomení hesla nežádoucími stranami.

Klíčové vlastnosti WPA3-Personal:

• umožňuje volit snadno zapamatovatelná hesla;
• snadno se obsluhuje;
• Chrání přenos dat i v případě, že je heslo po přenesení dat kompromitováno.

Varianta Enterprise nabízí 192bitové šifrování a přidává další pokročilé funkce pro zabezpečení síťových přenosů. Uplatní se při nasazení u organizací, jako jsou velké podniky, vládní a finanční instituce, zdravotnické subjekty apod.

Klíčové vlastnosti WPA3-Enterprise:

• autentifikace chráněná 256bitovým Galois/Counter Mode Protocol (GCMP-256);
• odvozování klíčů 384bitovým HMAC systémem se Secure Hash Algorithm (HMAC-SHA384);
• zřízení a autentizace klíčů;
• robustní management rámcové ochrany.

Kdy WPA3 dorazí?

Zařízení s podporou WPA3 začnou na trh postupně přicházet v dalších měsících. Mezi první vlaštovky patří mesh router Synology MR2200ac.

Wi-Fi Easy Connect

Pod označením Wi-Fi Easy Connect přichází na svět systém určený pro jednodušší (avšak stále velmi dobře zabezpečené) připojování zařízení, kterým chybí displej a klávesnice, nebo dokonce kompletně bez jakéhokoli uživatelského prostředí, pomocí jiného přístroje (typicky tabletu nebo telefonu). Který jím naopak disponuje. Příkladem takto obsluhovaných zařízení mohou být různá čidla, IoT zařízení, prvky chytré domácnosti a další drobná elektronika. Systém Wi-Fi Easy Connect je založený na standardizovaných mechanismech pro jednoduchou obsluhu propojovaných zařízených za pomoci pouhého naskenování QR kódu. Pro bezpečnou autentizaci se používá silná kryptografie s veřejnými klíči a technologie bude kompatibilní s WPA3 i WPA2.

Open Wi-Fi networks

K Wi-Fi sítím se dnes uživatelé připojují doslova všude, často však jde o sítě veřejné a nezabezpečené, s čímž souvisí značná rizika. Jak ale všichni víme, uživatelé jsou v tomto ohledu nepoužitelní a s vidinou bezplatného připojení k internetu klidně riskují svá data. Právě na takovéto situace reaguje Wi-Fi Alliance, organizace která stojí za vývojem a certifikací Wi-Fi sítí, iniciativou Wi‑Fi Enhanced Open, což je certifikace slibující zachování výhod otevřených Wi-Fi sítí a současným snížením rizik s jejich používáním. Sítě Wi‑Fi Enhanced Open poskytují šifrování dat i neověřeným uživatelům, což je oproti tradičním otevřeným sítím bez jakékoli ochrany důležitý posun. Ochrana je transparentní a je založena protokolu OWE (Opportunistic Wireless Encryption) definovaném ve specifikaci Internet Engineering Task Force (IETF) RFC8110. Technologie bude kompatibilní i se stávajícími sítěmi, a to včetně těch vybavených přihlašovacím portálem.