A Wi-Fi Alliance, a Wi-Fi technológiát népszerűsítő és az ezt használó eszközöket hitelesítő nonprofit társaság, még januárban jelentette be egy új biztonsági protokoll, a WPA3 létrehozását.

Ez a manapság széleskörűen elterjedt Wi-Fi-s azonosítási eljárást, a WPA2-t hivatott továbbfejleszteni és leváltani. A szervezet néhány napja, június 25-én véglegesítette a WPA3 specifikációját, és hivatalosan is kiadta azt. Emellett a Wi-Fi Alliance mostantól lehetőséget nyújt WPA3-at támogató készülékek tesztelésére és annak sikere esetén a “Wi-Fi Certified” tanúsítvány kiadására. Milyen újdonságokat is hoz pontosan az új protokoll?

A WPA3 elődjéhez képest két fontos előnnyel is rendelkezik.

Az első különbség, hogy a WPA3 jelentősen megnehezíti (szinte lehetetlenné teszi) az úgynevezett offline támadásokat a hálózat jelszava ellen. A WPA2-t használó hálózatok esetében egy támadónak lehetősége volt arra, hogy elkapjon és rögzítsen valamennyi, a hálózaton forgalmazott adatot, majd ez alapján például egy nagyteljesítményű számítógépen megpróbálja kitalálni az áldozat jelszavát. A WPA3 esetében a jelszó ellenőrzése leegyszerűsítve olyan módon történik, hogy a “levegőből” felvett adatok is szinte teljesen használhatatlanok lesznek az ilyesfajta találgatás céljára, a támadónak tehát folyamatosan figyelnie kellene a hálózatot, ami sokkal lassabbá és körülményesebbé tenné a feltörési kísérletet.

A második biztonsági javítás azzal kapcsolatos, hogyha esetleg egy jelszó mégis kompromittálódik, akkor a múltbeli adataink mennyire maradnak biztonságban. WPA2 esetén a jelszó feltörése vagy kikerülése előtt rögzített – titkosított – adatok a jelszó ismeretében utólag is visszafejthetők voltak. A WPA3 esetén erre nincs lehetőség, ha valaki egy jelszót kitalál, attól még az ez előtti forgalmazás adatai biztonságban maradnak. Az információbiztonsági szakzsargon ezt emlegeti “forward secrecy” néven.

(A Synology routerekről itt és itt írtunk korábban.)

A WPA3-nak elődjéhez hasonlóan két variánsa lesz majd elérhető. Az új protokollból is készült egy “personal” (személyes) és egy “enterprise” (ipari) változat, amely még a személyesnél is erősebb védelmet (egészen pontosan 192 bitnyi entrópiát) biztosít.

Az új rendszer egy kényelmi újítást is bevezet, ami az Easy Connect nevet kapta. Ennek a célja, hogy olyan eszközöket is könnyen és biztonságosan tudjunk egy Wi-Fi hálózatra csatlakoztatni, amelyeknek nincs vagy nagyon limitált a felhasználói felületük, például nem rendelkeznek kijelzővel. Ehhez egy másik, gazdagabb felülettel bíró készülékre lesz szükségünk, amelyen egyszerűen egy QR-kód beolvasásával hozzáadhatjuk a másik, hardveresen gyengébb eszközt.

A WPA3 várhatóan a jövő év folytán kezd majd jelentősen elterjedni, kérdés persze az, hogy mely jelenlegi készülékek kapják meg a támogatást, egy frissítés formájában. A Wi-Fi Alliance egyébként a WPA2-t továbbra is támogatni fogja, és biztonsági funkcióit is folyamatosan fejleszti majd.

Arról jelenleg nincs információ, hogy az Apple készülékek mikor támogathatják ezt, de elképzelhető, hogy a szoftverek idén ősszel megjelenő változataiba az Apple ezt már beleteszi.