WiFi 联盟发布新标准 WPA3

翻译：360代码卫士团队

本周一，负责管理 WiFi 技术的WiFi 联盟官方发布 WPA3。

WPA3 是最新版本的 WiFi 受保护访问 (WPA)，它是 WiFi连接的用户认证技术。1月份，有消息爆料称 WiFi 联盟正在着手推出 WPA3。一名研究员披露了 WPA2 WiFi 协议中存在的 KRACK 漏洞后，该联盟开始着手推出 WPA3。该漏洞可导致攻击者获取受 WPA2 保护的 WiFi 传输的访问权限。

目前，所有新生产的设备均可选择使用 WPA3，但在未来几年 WiFi 认证标准才能成为所有能用 WiFi 的设备标准。虽然具体日期尚未确定，但 WPA3 将仍然可用于老旧的 WPA2 设备以便在过渡至 WPA3时产生尽可能少的摩擦情况。

和 WPA1 以及 WPA2一样，WPA3 也存在两种“安全模式”：WPA3 个人模式和 WPA3 企业模式。这两种安全模式的主要区别在于认证阶段。

WPA3 使用对等实体的同步认证 (SAE) 算法，它替代了 WPA2 个人模式中的 PSK，而 WPA3 企业模式使用了更为复杂的功能，替代了 WPA2企业模式中的 IEEE 802.1X，如下：

• 认证加密：256位 Galois/CounterMode Protocol (GCMP-256)

• 密钥派生和确认：安全哈希算法的384位哈希信息认证模式 (HMAC-SHA384)

• 密钥建立和认证：使用384位椭圆曲线的 ECDH 交换和椭圆曲线数字签名算法 (ECDSA)

• 强大的管理框架保护：256 位广播/多播完整性协议 Galois 信息认证码 (BIP-GMAC-256)

WPA3 企业安全模式建议用于企业、政府和金融网络中的设备。而 WPA3 个人安全模式是多数人更换旧设备后将经常使用的标准。

WiFi 联盟表示，WPA 3 的 SAE 能抵御离线字典攻击，即攻击者快速尝试多种密码以猜测 WiFi 网络密码的攻击。

安全专家分析 WPA3 标准指出，WPA3 在几次尝试失败后将拦截认证请求，从而限制了此类暴力攻击的影响。

此外，WPA3 SAE 还执行了名为“正向加密 (forward secrecy)”的加密方法。该加密方法是密钥交换认证协议的一个特征，其中会话密钥是独立的而且即使在服务器私钥遭攻陷的情况下也不会受攻陷。这就使得攻击者即使发现了 WiFi 网络的密码也无法解密其它参与人员在该网络中发送的旧流量捕获。

WPA3 还单独发布了一个 WiFi 功能即“WiFi 便捷连接 (WiFi Easy Connect)”。该功能旨在服务不带屏幕的智能物联网设备，用户借此可配置 WiFi 网络设置。

例如，用户能能够使用自己的手机或平板电脑配置另外一台不带屏幕的设备的 WiFi WPA3 选项，如小型物联网设备如智能锁、智能灯泡等。

WiFi 联盟表示将为运行 WPA2 和 WPA3 的设备发布该功能，而并非 WPA3 所独有。

本月初，WiFi 联盟还公布 WiFi 增强开放 (Wi-Fi Enhanced Open) 专有技术，旨在部署在机场、商场、酒吧或互联网咖啡店的“开放 WiFi 网络”中。

该技术通过机会性无线加密 (OWE) 为 WiFi 用户和带有自定义加密密钥的路由器/访问点之间的连接加密。

这种为每个用户加密的机制阻止本地攻击者窥探其他用户的流量，即使在无需密码便可访问网络的情况下也不例外。

KRACK 漏洞披露后，WiFi 联盟就发布了加固安全的技术，设备供应商应尽早将这些技术集成到自己的新产品中。

另外，发现 KRACK 漏洞的安全研究员也发布了对 WPA3 标准的分析报告。

原文链接

https://www.bleepingcomputer.com/news/security/new-wpa3-wi-fi-standard-released/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。