Объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, опубликовало (https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-in... спецификацию WPA3 (Wi-Fi Protected Access), при разработке которой предпринята попытка устранения концептуальных недоработок, выявленных авторами атаки KRACK (https://www.opennet.ru/opennews/art.shtml?num=47392) против WPA2. WPA3 продолжает основываться на базовых технологиях WPA2, дополняя их современными средствами обеспечения безопасности. Поддержка WPA2 пока остаётся обязательной для сертифицированных WiFi-устройств, но со временем после появление повсеместной поддержки WPA3, для всех WiFi-устройств в разряд обязательных будут переведены новые требования к безопасности.
Предусмотрено два режима работы WPA3: WPA3-Personal и WPA3-Enterprise:
- В WPA3-Personal обеспечена надёжная защита даже при установке пользователем ненадёжного пароля доступа, легко подбираемого в результате словарных атак (https://www.opennet.ru/tips/3025_wpa_wpa2_wifi_aircrackng_ha.... Для защиты от атак по подбору пароля (brute-force) введено ограничение на число попыток аутентификации в рамках одного handshake (ограничение не позволит подбирать пароль в offline-режиме). Вместо PSK (Pre-Shared Key) ключа в WPA3 реализован процесс согласования ключей на базе технологии SAE (http://ieeexplore.ieee.org/document/4622764/) (Simultaneous Authentication of Equals), уже применяемой в mesh-сетях и описанной в стандарте IEEE 802.11s. SAE базируется на протоколе обмена ключами Диффи — Хеллмана с использованием конечных цикличных групп. Результирующий сессионный ключ, который получает каждая сторона соединения для аутентификации сеанса, вырабатывается на основе информации из разделяемого ключа (pre-shared key) и MAC-адресов обеих сторон;- В WPA3-Enterprise применяется шифрование на основе 192-разрядных ключей, соответствующих требованиям CNSA (https://www.iad.gov/iad/programs/iad-initiatives/cnsa-suite.... (Commercial National Security Algorithm), выработанным комитетом NSS (https://en.wikipedia.org/wiki/Committee_on_National_Security... для защиты правительственных, военных и промышленных сетей;
Дополнительно предложена программа "Wi-Fi Easy Connect (https://www.wi-fi.org/discover-wi-fi/wi-fi-easy-connect)" с реализацией возможности упрощённой настройки устройств без экранного интерфейса. Настройка осуществляется с использованием другого более продвинутого устройства, уже подключенного к беспроводной сети. Например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе. Wi-Fi Easy Connect основывается на применении аутентификации по открытым ключам (в QR-коде передаётся открытый ключ) и может использоваться в сетях с WPA2 и WPA3. Особенностью Wi-Fi Easy Connect также является возможность замены точки доступа без необходимости переконфигурирования клиентских устройств.
Для создания общедоступных публичных беспроводных сетей представлена программа Wi-Fi CERTIFIED Enhanced Open (https://www.wi-fi.org/news-events/newsroom/wi-fi-certified-e... подразумевающая шифрвоание всех потоков данных между клиентом и точкой доступа, что позволит защитить приватность пользователя в общедоступных открытых сетях не требующих аутентификации.
URL: https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-in...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48854
Новая технология позволит оттянуть момент получения такого неотъемлимого права человека, как право на Халявный Соседский Вайфай.
> Для создaния общeдостyпных пyбличных бecпроводных сетeй прeдстaвлена пpoграмма Wi-Fi Enhanced Open, подpaзумeвающая шифрoвание всeх потoков дaнных междy клиeнтом и тoчкой дocтупа, что позволит зaщитить привaтность пoльзoвателя в общeдоступных oткрытых сeтях не требyющих аyтентификaции. Для гeнерaции ключeй шифpoвания в oткрытыx сeтяx примeняeтся пpoцесс соглaсoвания сoeдинения, рeaлизуeмый рacширением Opportunistic Wireless Encryption.В Pоcсии запpетят законодaтeльно. Инфa 100500%. РКH нe дaст сoврaть.
Ага, провайдеров, чьи клиенты незащитили свои домашние роутеры, РКН будет штрафовать :)
У меня это право уже есть, осталось только приёмник получше купить
> У меня это право уже есть, осталось только приёмник получше купить"Баночную" антенну делай.
Доступ к соседскому WiFi, обычно, производится по паролю на стикере, наклееном на роутер. И в эпоху безлимитного интернета востребована очень редко )
Покупка нового роутера? Не нужно.
в нормальные прилетит обновление.
Как альтернатива - раздача своего интернета всем проходящим желающим )
И можно гадать на какой день за тобой приедет [s]черный воронок[/s] серый автозак. На первый или на второй...
А если он не превысит максимально допустимую без получения частотного разрешения мошность 100 мВт?
Это же Россия, тут виновным и Иисуса сделают и закроют за экстремизм и незаконные собрания.
> Это же Россия, тут виновным и Иисуса сделают и закроют за экстремизм
> и незаконные собрания.За оскорбление чувств верующих же
Чего не смеётесь? Не поняли? Это РОССИЯ!!!
> А если он не превысит максимально допустимую без получения частотного разрешения мошность
> 100 мВт?Этого ограничения уже нет. Сейчас можно городить радиомосты между офисами/зданиями и это не требует каких-либо согласований и разрешений. Главно не мешать тем кто уже сделал мост раньше тебя.
Зато есть ограничение запрещающе создавать общедоступные точки доступа без аутентификации клиентов по слепку ануса.
нормативно-правовые документы приведете в защиту своих слов ? рчц вам в помощь
Было бы здорово, если бы производители смартфонов выпустят обновления с поддержкой WPA3
Хотя о чем это я, они же думают, что я каждые пол года покупаю новый смартфон
Отрутуешь мобилу и обновишь супликант или ещё чего.
Покупаешь телефон с официальной поддержкой lineage OS и сорцами 4.4-4.14 ядра. И не переживаешь о том, что там выпустит производитель.
То же вариант. Жаль от CopperheadOS теперь непонятно чего ждать.
Правильный совет выглядит так:Покупаешь Librem 5 и не паришься.
> Правильный совет выглядит так:
> Покупаешь Librem 5 и не паришься.
> https://puri.sm/Зачем ограничивать себя одной моделью?
Одной моделью современного смартфона на нормальном полноценном линуксе? И правда, зачем...
> нормальном полноценном линуксе
> линукс
> нормальныйКак тонко...
У них в команда не одного негра, и только одна баба у которой самая хреновая фотка из всех. Не долго эта конторка протянет в современном мире.
Было бы. Но выпустит как всегда только Google.
> на основе 192-разрядных ключейЭто шутка? он же нефига не безопасен.
Это же для СИММЕТРИЧНОГО алгоритма шифрования, 128-битного ключа вполне достаточно. Все, что больше уже не так эффективно.
> Это же для СИММЕТРИЧНОГО алгоритма шифрования, 128-битного ключа вполне достаточно. Все,
> что больше уже не так эффективно.Надо сказать, зависит от алгоритма. У 3DES ключ вроде как тоже 168-битный...
Ну понятно, что нечто современное, а не сия древность
Все нормально анон. Там знают как надо.
> соответствующих требованиям CNSA (Commercial National Security Algorithm)Злоумышленники могут пытаться похитить ваши данные с сайта www.iad.gov (например, пароли, сообщения или номера банковских карт).
NET::ERR_CERT_AUTHORITY_INVALID
> подразумевающая шифрвоание
> шифрвоаниеКуда торопитесь, граждане?
Ну и дурацкий вопрос - это только на уровне производителей девайсов можно внедрить или в том же LEDE на базе существующих аппаратов реализуемо, хотя бы теоретически?
Тут ещё вопрос в том, что и клиенты должны уметь. То есть, огромная масса всяких андроидов - в пролёте.
это вроде должно патчится обновлением пакета Google Connectivity Services
Нет. Это не про то.
Вообще уже есть KRACK и большая масса Androidовских устройств патчи никогда не получит.
Всем плевать на крак.
А кому не плевать те или рутанут и зальют обновление или сразу кастомную прошивку зальют.
https://www.wi-fi.org/file/wpa3-specification-v10 Нужно скачать эту спеку и посмотреть, но там регу просят.
https://www.wi-fi.org/downloads-public/WPA3_Specification_v2...
LEDE больше нет. Весной он влился обратно в OpenWRT.
И как только он влился опять тишина в разработке. В прошлом году LEDE 4 раза выпустили обновления.
Разработка openwrt идет очень активно. В транке добавили soft offloading для програмного ната, добавили поддержку аппаратного ната на mt7621. Перепиливают все роутеры на Device Tree и 4.14 ядро. C ramips этот процес уже завершен.Длают все то, о чем долгое время просили. А релизы подтянутся это не столь важно сейчас. Тем более, что обновления безопасности приходят прямо в текущем релизе.
Они со дня на день выпустят 18.06 (обещают 30.06.2018)
Уже RC появились с Luci и полноценными образами.
> Они со дня на день выпустят 18.06 (обещают 30.06.2018)
> Уже RC появились с Luci и полноценными образами.на главной что-то тихо. а где появились эти рц?
HMAC-SHA384 - плохо. Лучше бы 256, оно уже есть и в железе и вообще код вылизан, а увеличение длины в данном случае вообще ничего не даёт.ECDSA - тоже не хорошо, видимо secp384r1 будет. Тут и железки будут дохнуть на всей этой крипте с элиптике запросто, те можно будет легко досить просто засыпая хэндшейками с мусором, и атаки по сторонним каналам в полный рост.
Лучше бы RSA4096 + sha2-256, был бы приличный задел на будущее, а так только и будут латать то тайминг атаки то ECDSA станет публично дырявым.
Надеюсь будет достаточно обновить каконить wpa_suplicant для этого.
>HMAC-SHA384 - плохо. Лучше бы 256, оно уже есть и в железе и вообще код вылизан, а увеличение длины в данном случае вообще ничего не даёт.Разница не только в длине
sha256 уязвима для
https://ru.wikipedia.org/wiki/Атака_удлинением_сообщения
а sha384 - нет за счет редукции внутреннего состояния.
>Лучше бы RSA4096 + sha2-256, был бы приличный задел на будущее,
>RSA4096Большой оверхед, плюс уязвимость к квантовым алгоритмам.
Это не применимо к HMAC, там можно было и md5 заюзать, это же подпись пакетов, смысл в отсеве левых пакетов.У RSA больше ключи но к квантовым алгоритмам ECDSA намного более чувствительна, поскольку у неё меньше кубитов нужно, а брутфорсом вроде даже 2048 рса не сломали.
Плюс слухи про элиптику научились ломать по новому...
Агент Смит, у вас произошла утечка мыслей по стороннему каналу «опернет». Ошибка сегментации. Процесс уничтожен.
Может быть
> Особенностью Wi-Fi Easy Connect также является возможность подмены точки доступа без необходимости переконфигурирования клиентских устройствGjabrcbk
это теперь не поперебирать пароли станет через видушку ? :(
пичаль-бида.
WPA4 бы сразу придумали, несовместимый ни с WPA2,ни с WPA3 , но более безопасный и реализовывали в устройствах оба стандарта. Единственный стандарт - это плохо -во вскрылись проблемы с WPA2 и фактически все беспроводные устройства Wi-Fi превратились в кучу бесполезного железа!
> WPA4 бы сразу придумали, несовместимый ни с WPA2,ни с WPA3 , но
> более безопасный и реализовывали в устройствах оба стандарта. Единственный стандарт -
> это плохо -во вскрылись проблемы с WPA2 и фактически все беспроводные
> устройства Wi-Fi превратились в кучу бесполезного железа!Нет! Им на следующее лето тоже необходимо съездить в отпуск! А для этого необходимы новые средства (без грубостей ;). Так что "Э нет, торопиться не надо, торопиться не надо... Важно вернуть обществу полноценного человека!".
Источник: https://quote-citation.com/topic/kavkazskaya-plennica
https://www.youtube.com/watch?v=qNDAk9o9hcM