В этой статье разбираются технологии, которые отвечают за безопасность Wi-Fi, а именно: WEP, WPA, WPA1, WPA2 и WPA3.

Введение

Wi-Fi это беспроводная сеть, в которой данные передаются с помощью радиоволн. Радиоволны вместе с данными могут быть легко перехвачены и прочитаны. Поэтому с самого возникновения Wi-Fi сетей данные по радиоволнам передавались в зашифрованном виде. Шифрование использовали симметричное, так как оно быстрее и требует меньших вычислительных ресурсов чем ассиметричное.

Шифрование в сети Wi-Fi
Шифрование в сети Wi-Fi

Для защиты сети Wi-Fi поочерёдно были разработаны следующие технологии: WEP, WPA, WPA2 и WPA3. В основном они отличаются алгоритмом шифрования и способом аутентификации.

WEP

Первой технологией, которая была призвана защитить Wi-Fi сеть, была WEP (Wired Equivalent Privacy). Её целью было обеспечить защиту беспроводной сети на уровне проводной. Разработали её в 1997 году.

Для шифрования трафика здесь использовали алгоритм RC4. А в качестве ключа шифрования использовался пароль от Wi-Fi. Такой ключ шифрования использовался на точке доступа и его необходимо было ввести на все подключаемые устройства. Этот ключ назывался – SharedKey, так как он был известен всем участникам сети.

Существовало две разновидности WEP: WEP-40 и WEP-104. Они различались только длинной ключа.

Поддерживалось два типа аутентификации:

  • без пароля – открытая сеть без шифрования;
  • с паролем – защищённая сеть.

Также эта технология обеспечивала целостность данных с помощью алгоритма CRC-32.

В настоящее время технология устарела, так как шифрование RC4 научились легко взламывать. Уже в 2002 году на взлом уходило от 3 до 5 минут.

WPA

Так как технология WEP перестала быть защищённой, то нужно было что-то срочно придумать. При этом, нужно было внедрить придуманное на уже выпущенном оборудовании. Так появилась в 2003 году новая технология – WPA.

Алгоритм шифрования RC4 не заменили, но дополнили его алгоритмом TKIP. TKIP добавил некоторые новые функции безопасности. Основной такой функцией стала поддержка MIC, которая следила за целостностью передаваемых данных. С появлением MIC, алгоритм CRC-32 стал не нужен.

Помимо усиления криптографии изменился метод аутентификации. Теперь парольная фраза не являлась ключом шифрования. Парольная фраза и некоторые другие данные, которыми владел роутер, превращались в предварительный ключ шифрования (PreSharedKey). Дальше, с помощью специального алгоритма обмена ключами (4-way handshake), создавался сессионный ключ шифрования между устройством и точкой доступа.

Теперь каждая сессия шифровалась отдельным ключом шифрования, и даже зная пароль от Wi-Fi кто-то третий не мог расшифровать передаваемые данные.

В итоге – усиление криптографии и улучшение механизма аутентификации позволило продержаться ещё 1 год, до выхода WPA2.

WPA2

Вскоре в алгоритме TKIP тоже были обнаружены проблемы, но уже в 2004 году был выпущен WPA2.

WPA2 использовал уже другой тип шифрованием – AES. Это стандарт шифрования, который широко используется по всему миру и не только в Wi-Fi. Этот алгоритм хорошо проанализирован. Для Wi-Fi его дополнили алгоритмом CCMP (Counter/CBC-MAC), то есть TKIP заменили на CCMP.

В свою очередь алгоритм CCMP заменил алгоритм проверки целостности с MIC на CBC-MAC (Cipher Block Chaining Message Authentication Code). Это ещё более совершенный алгоритм, который обеспечивал защиту сообщений от случайной порчи или от намеренного вмешательства.

Разработчики оставили без изменения метод аутентификации (PreSharedKey) и алгоритм управления ключами (4-way handshake).

Алгоритм шифрования AES считается надёжным и в настоящее время. Но в алгоритме управления ключами (4-way handshake) в 2016 году нашли проблему. Она позволяла произвести атаку, которую назвали Key Reinstallation Attacks. Эта атака позволяет получить ключ шифрования трафика и расшифровать его (прослушать). Изменить же передаваемые данные, если используется AES+CCMP, невозможно. После этого операционные системы выпустили обновления, которые закрыли эту уязвимость, хотя на старых роутерах (которые не обновлялись) она осталась.

Таким образом, в настоящее время можно безопасно использовать WPA2 (AES+CCMP). Но нужно использовать современный Wi-Fi роутер и современный клиент, в которых убрали эту уязвимость.

WPA3

Относительно недавно, в 2018 году, был выпущен WPA3. Он использует всё самое современное, что было придумано в криптографии.

Алгоритм шифрования AES оставили, но заменили CCMP на GCMP-256 (Galois/Counter Mode Protocol) для шифрования передаваемых данных.

Также разработчики изменили процесс аутентификации и управление ключами. Так PreSharedKey заменили на SAE (Simultaneous Authentication of Equals). А SAE, в свою очередь, принёс новый алгоритм управления ключами – ECDH (Elliptic curve Diffie–Hellman) и ECDSA (Elliptic Curve Digital Signature Algorithm).

Всё это (SAE, ECDH, ECDSA) – очень сложные математические алгоритмы, но они в дополнение к алгоритму шифрования AES+GCMP-256 делают Wi-Fi сеть очень безопасной.

Для защиты целостности данных стали использовать ещё более совершенный алгоритм – BIP-GMAC-256.

Для защиты сети от перебора паролей стандарт WPA3 ввёл ограничение на число попыток аутентификации в рамках одного handshake. Это ограничение не даст подбирать пароль в offline-режиме. Также, даже зная пароль, злоумышленник не сможет расшифровать ранее перехваченный трафик.

Суммарная информация

WEP (1997 год)WPA (2003 год)WPA2 (2004 год)WPA3 (2018 год)
ШифрованиеRC4RC4+TKIP AES+CCMPAES+GCMP-256
АутентификацияSharedKeyPSKPSKSAE
Целостность данныхCRC-32MICCBC-MACBIP-GMAC-256
Управление ключамиnone4-way handshake4-way handshakeECDH и ECDSA
Сводная таблица механизмов защиты Wi-Fi (WEP, WPA, WPA2, WPA3)

Итог

В настоящее время вы можете защитить свою сеть Wi-Fi с помощью технологии WPA2, но нужно использовать современное оборудование (роутер и устройство с обновлённой ОС), а также позаботиться о сложном пароле.

Но если вы приобрели роутер с поддержкой WPA3 и у вас современный смартфон (Android 10 и выше, IOS 13 и выше) или ноутбук (Windows 10 и выше), то можете начинать использовать WPA3.

Сводка
Защита Wi-Fi (WEP, WPA, WPA2, WPA3)
Имя статьи
Защита Wi-Fi (WEP, WPA, WPA2, WPA3)
Описание
В этой статье разбираются технологии, которые отвечают за безопасность Wi-Fi, а именно: WEP, WPA, WPA1, WPA2 и WPA3

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *