WPA-võti, WPA2, WPA3 ja WEP-võti: Wi-Fi turvalisuse selgitus

Kas seadistate uue WiFi? Vajaliku parooli tüübi valimine võib tunduda meelevaldne valik. Lõppude lõpuks on WEP, WPA, WPA2 ja WPA3 kõigis enamasti ühesugused tähed.

Parool on parool, mis siis vahet on? Umbes 60 sekundit kuni miljardeid aastaid, nagu selgub.

Kogu WiFi krüptimine pole võrdne. Uurime, mis teeb need neli akronüümi nii erinevaks ja kuidas saate oma kodu ja organisatsiooni WiFi-d kõige paremini kaitsta.

Juhtmega samaväärne privaatsus (WEP)

Alguses oli WEP.

WEP illustratsioon

Traadiga samaväärne privaatsus on 1997. aastast aegunud turvaalgoritm, mille eesmärk oli pakkuda traadiga ühendusele samaväärset turvalisust. "Katkestatud" tähendab: "Ärgem tehkem seda enam."

Isegi selle esmakordsel kasutuselevõtul oli teada, et see pole nii tugev kui oleks võinud kahel põhjusel:

  • selle aluseks olev krüptimismehhanism ja
  • Teine maailmasõda.

Teise maailmasõja ajal oli koodide purustamise (või krüptanalüüsi) mõju tohutu. Valitsused reageerisid sellega, püüdes hoida oma parimaid salakastme retsepte kodus.

Umbes WEPi ajal panid USA valitsuse krüptotehnoloogia ekspordi piirangud pöörduspunktide tootjad piirama oma seadmeid 64-bitise krüptimisega. Ehkki see tõsteti hiljem 128-bitiseks, pakkus isegi see krüptimisvorm võtme võimalikku väga piiratud mahtu.

See osutus WEP-i jaoks problemaatiliseks. Väikese võtme suuruse tõttu oli toore jõu kasutamine lihtsam, eriti kui see võti ei muutu sageli.

WEP-i krüptimismehhanism on RC4 voo šifr. See salakiri kogus populaarsust tänu oma kiirusele ja lihtsusele, kuid see tuli maksma.

See pole kõige kindlam algoritm. WEP kasutab kasutajate seas ühte jagatud võtit, mis tuleb pöörduspunktiseadmesse käsitsi sisestada. (Millal olete viimati oma Wi-Fi parooli muutnud? Eks.)

WEP ei aidanud ka seda, kui liita lihtsalt võti initsialiseerimisvektoriga - see tähendab, et ta pudistas oma salajase kastme bitti kokku ja lootis parimat.

Initsialiseerimisvektor (IV): fikseeritud suurusega sisend madalama taseme krüptograafiaalgoritmi, tavaliselt juhuslik.

Koos RC4 kasutamisega jättis see WEP-i eriti vastuvõtlik seotud võtmete rünnakule. 128-bitise WEP-i korral saab avalikult kättesaadavate tööriistadega teie WiFi-parooli murda umbes 60 sekundi kuni kolme minuti jooksul.

Kuigi mõned seadmed pakkusid 152- või 256-bitiseid WEP-variante, ei suutnud see lahendada WEP-i krüptimismehhanismi põhiprobleeme.

Nii, jah. Ärgem tehkem seda enam.

Wi-Fi kaitstud juurdepääs (WPA)

WPA illustratsioon

Uue ajutise standardiga püüti ajutiselt „lappida“ WEP-i (puuduliku) turvalisuse probleem. Nimi Wi-Fi Protected Access (WPA) kõlab kindlasti turvalisemalt, nii et see on hea algus. Kuid WPA alustas esmalt teise kirjeldavama nimega.

2004. aasta IEEE standardis ratifitseeritud Temporal Key Integrity Protocol (TKIP) kasutab dünaamiliselt loodud paketipõhist võtit. Igal saadetud paketil on ainulaadne ajutine 128-bitine võti (vt? Kirjeldav!), Mis lahendab vastuvõtlikkuse seotud võtmete rünnakutele, mille põhjustas WEP-i jagatud võtmete masseerimine.

TKIP rakendab ka muid meetmeid, näiteks sõnumi autentimiskoodi (MAC). Mõnikord tuntakse kontrollsummana MAC-i krüptograafilise viisiga kontrollida, kas sõnumeid pole muudetud.

TKIP-s võib vale MAC käivitada ka seansivõtme uuesti. Kui pöörduspunkt saab kehtetu MAC-i kaks korda minuti jooksul, saab sissetungikatsele vastuse saada, muutes võtit, mida ründaja üritab lõhkuda.

Kahjuks säilitas TKIP ühilduvuse olemasoleva riistvaraga, mida WPA pidi "lappima", sama WP-ga krüptimismehhanismi - RC4 voo šifri - kasutamist.

Ehkki see parandas kindlasti WEPi nõrkusi, osutus TKIP lõpuks haavatavaks uute rünnakute suhtes, mis pikendasid varasemaid rünnakuid WEP-i vastu.

Nende rünnakute elluviimine võtab võrdluseks veidi kauem aega: näiteks ühe puhul kaksteist minutit ja teises 52 tundi. See on siiski enam kui piisav, et pidada TKIP-i enam turvaliseks.

Sellest ajast alates on ka WPA või TKIP aegunud. Nii et ärme ka enam seda teeme.

Mis viib meid…

Wi-Fi kaitstud juurdepääs II (WPA2)

WPA2 illustratsioon

Selle asemel, et kulutada jõupingutusi täiesti uue nime väljatöötamiseks, keskendub täiustatud Wi-Fi Protected Access II (WPA2) standard hoopis uue aluseks oleva šifri kasutamisele.

RC4 voo šifri asemel kasutab WPA2 oma krüptimisprotokolli aluseks plokkšifrit nimega Advanced Encryption Standard (AES).

Protokoll ise, lühendatult CCMP, ammutab suurema osa oma turvalisusest oma üsna pika nime pikkusest (nalja viskan): Counter Mode Cipher Block Chaining Message Authentication Code Protocol, mis lühendab Counter Mode CBC-MAC Protocol või CCM režiimi Või CCMP. ?

CCM-režiim on sisuliselt mõne hea idee kombinatsioon. See tagab andmete konfidentsiaalsuse CTR-režiimi või loenduri režiimi kaudu. Tohutult lihtsustamiseks lisab see tavalise tekstiga andmetele keerukust, krüpteerides kordumatu loenduse järjestuse järjestikused väärtused.

CCM integreerib ka CBC-MAC-i, plokišifrimeetodi MAC-i koostamiseks.

AES ise on headel alustel. AES-i spetsifikatsiooni kehtestas 2001. aastal USA Riiklik Standardite ja Tehnoloogia Instituut (NIST). Nad tegid oma valiku pärast viieaastast võistlevat valimisprotsessi, mille käigus hinnati viisteist algoritmikujunduse ettepanekut.

Selle protsessi tulemusena valiti välja salakoodide perekond Rijndael (hollandi keel) ja nende alamhulgaks sai AES.

Kahe aastakümne suurema osa jooksul on AES-i kasutatud USA valitsuse igapäevase Interneti-liikluse ja teatud taseme salastatud teabe kaitsmiseks.

Ehkki võimalikke rünnakuid AES-i vastu on kirjeldatud, pole ükski neist veel reaalses kasutuses otstarbekas. Kiireim rünnak AES-i vastu on üldsuse teadmisel võtmete taastamise rünnak, mis parandas AES-i jõhkralt sundimist umbes neli korda. Kui kaua see aega võtaks? Mõned miljardid aastad.

Wi-Fi kaitstud juurdepääs III (WPA3)

WPA3 illustratsioon

Uute seadmete jaoks on WPA-triloogia järgmine osa olnud nõutav alates 1. juulist 2020. Eeldatavalt WPA2 turvalisuse täiendavaks parandamiseks püüab WPA3 standard parandada parooliturvalisust, olles sõnade loendi- või sõnastikurünnakute suhtes vastupidavam.

Erinevalt oma eelkäijatest pakub WPA3 ka edastussaladust. See lisab märkimisväärset kasu varem vahetatud teabe kaitsmisest, isegi kui pikaajaline salajane võti on ohus.

Edasisaladust pakuvad juba sellised protokollid nagu TLS, kasutades asümmeetrilisi võtmeid jagatud võtmete loomiseks. Sellest postitusest saate lisateavet TLS-i kohta.

Kuna WPA2 pole katkestatud, jäävad nii WPA2 kui ka WPA3 teie Wi-Fi turvalisuse jaoks teie peamisteks valikuteks.

Kui teised pole head, siis miks nad ikkagi läheduses on?

Teil võib tekkida küsimus, miks lubab teie pöörduspunkt isegi valida mõne muu võimaluse kui WPA2 või WPA3. Tõenäoline põhjus on see, et kasutate pärandatud riistvara, mida tehnikad kutsuvad teie ema ruuteriks.

Kuna WEP-i ja WPA-i aegumine toimus üsna hiljuti, on nii suurtes organisatsioonides kui ka teie vanemate majas võimalik leida vanemat riistvara, mis neid protokolle endiselt kasutab. Isegi uuemal riistvaral võib olla äriline vajadus neid vanemaid protokolle toetada.

Ehkki suudan teid veenda investeerima uude tipptasemel WiFi-seadmesse, on enamus organisatsioone teist lugu. Kahjuks pole paljud veel teadlikud küberturvalisuse olulisest rollist klientide vajaduste rahuldamisel ja selle alumise rida suurendamisel.

Lisaks võib uuematele protokollidele üleminek vajada uusi sisemisi riist- või püsivara uuendusi. Eriti keerulistes süsteemides suurtes organisatsioonides võib seadmete uuendamine olla rahaliselt või strateegiliselt keeruline.

Suurendage oma WiFi turvalisust

Kui see on valik, valige WPA2 või WPA3. Küberturvalisus on valdkond, mis areneb iga päevaga ja minevikku kinnijäämisel võivad olla kohutavad tagajärjed.

Kui te ei saa WPA2 või WPA3 kasutada, tehke endast parim, et võtta täiendavaid turvameetmeid.

Parim pauk on teie jaoks virtuaalse privaatvõrgu (VPN) kasutamine. VPN-i kasutamine on hea mõte, olenemata sellest, mis tüüpi WiFi-krüptimine teil on. Avatud WiFi-ühenduse (kohvikud) ja WEP-i kasutamisel on ilma VPN-iga minek täiesti vastutustundetu.

See on umbes nagu karjuks oma pangaandmed välja, kui tellite oma teise cappuccino.

Koomiks, kus pangaandmed välja hõigatakse kohvikus.

Valige VPN-teenuse pakkuja, mis pakub sellist funktsiooni nagu tapmislüliti, mis blokeerib teie võrguliikluse, kui teie VPN katkestatakse. See hoiab ära teabe juhusliku edastamise ebaturvalisel ühendusel, nagu avatud WiFi või WEP. Kirjutasin sellest postitusest lähemalt oma VPN-i valimise kolme peamise kaalutluse kohta.

Võimaluse korral veenduge, et ühendate ainult teadaolevate võrkudega, mida teie või teie organisatsioon kontrollib.

Paljud küberturvalisuse rünnakud viiakse läbi siis, kui ohvrid loovad ühenduse imitatsiooniga avaliku WiFi-pöörduspunktiga, mida nimetatakse ka kurjaks kaksikrünnakuks või WiFi-andmepüügiks.

Need võltspunktid on hõlpsasti loodud avalikkusele ligipääsetavate programmide ja tööriistade abil. VPN võib aidata leevendada ka nende rünnakute tekitatud kahju, kuid alati on parem mitte riskida.

Kui reisite sageli, kaaluge mobiilse andmesidepaketti kasutava kaasaskantava leviala ostmist või kõigi seadmete jaoks andmete SIM-kaartide kasutamist.

Palju muud kui ainult akronüümid

WEP, WPA, WPA2 ja WPA3 tähendavad palju enamat kui hunnik sarnaseid kirju - mõnel juhul on see miljardite aastate vahe umbes 60 sekundit.

Loodan, et olen nüüdsel ajalises plaanis õpetanud teile midagi uut teie WiFi turvalisuse ja selle parandamise kohta!

Kui teile see postitus meeldis, siis tahaksin sellest teada. Liituge tuhandete inimestega, kes õpivad minuga koos lehel victoria.dev! Lisateavet programmeerimise, küberturvalisuse ja koomiksist isa naljade kohta külastage RSS-i või tellige see.