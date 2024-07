После двух с половиной лет разработки опубликован выпуск hostapd/wpa_supplicant 2.11, набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2, WPA3 и EAP. В состав набора входит приложение wpa_supplicant для подключения к беспроводной сети в роли клиента и фоновый процесс hostapd для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD. Основные изменения в новых выпусках hostapd и wpa_supplicant: Добавлена начальная поддержка Wi-Fi 7 (EHT/IEEE 802.11be) и улучшена поддержка Wi-Fi 6 (HE/IEEE 802.11ax).

Добавлена поддержка третьей версии протокола DPP (Device Provisioning Protocol), в обиходе известного как "Wi-Fi Easy Connect", а также предоставлена возможность передачи параметров с настройками Wi-Fi при помощи DPP. Протокол DPP предоставляет возможность упрощённой настройки беспроводных устройств без экранного интерфейса, используя другое более продвинутое устройство, уже подключенное к беспроводной сети. DPP основывается на применении аутентификации по открытым ключам, например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе и кодирующего открытый ключ.

Добавлена поддержка изменений API, предложенных в ветке криптографической библиотеки OpenSSL 3.0.

В реализации протоколов аутентификации EAP-SIM (Extensible Authentication Protocol - Subscriber Identity Module) и EAP-AKA (Extensible Authentication Protocol - Authentication and Key Agreement), появилась поддержка механизма обеспечения конфиденциальности идентификатора абонента мобильной сети, исключающего раскрытие IMSI при подключении к точке доступа.

Добавлена поддержка режимов работы SAE AKM (Simultaneous Authentication of Equals - Authentication and Key Management) с переменным размером ключей.

Добавлена поддержка варианта AKM (Authentication and Key Management) на базе хэшей SHA384.

В реализации механизма PASN (Pre Association Security Negotiation), применяемого для установки защищённого соединения и защиты обмена управляющими кадрами на ранней стадии подключения, обеспечена поддержка технологии "secure ranging" для безопасного определения расстояния между двумя Wi-Fi устройствами.

Добавлена поддержка механизма USD (Unsynchronized Service Discovery), упрощающего обнаружение сервисов беспроводными устройствами.

Добавлена поддержка явной защиты SSID при четырёхэтапном согласовании подключения. Защита включается при помощи опции "ssid_protection=1" и блокирует уязвимость CVE-2023-52424, позволяющую организовать подключение к менее защищённой беспроводной сети.

Изменения, специфичные для hostapd: Добавлена поддержка фонового обнаружения помех от радарных систем, работающих в тех же частотных диапазонах (при обнаружении осуществляется переключение на другие частоты). Также добавлена поддержка механизма CAC (Channel Availability Check), предназначенного для прослушивания канала перед использованием с целью проверки его занятости радарной системой. В реализации метода согласования соединений SAE (Simultaneous Authentication of Equals) появилась возможность запроса пароля у RADIUS-сервера. Добавлена поддержка проверок ACL (Access-Control List) и PSK (Pre-Shared Key) с использованием протокола RADIUS во время согласования соединения (wpa_psk_radius=3). В реализации механизма ACS (Automatic Channel Selection) при выборе используемого канала обеспечен учёт пропускной способности и типов каналов. Расширена поддержка использования на одной точке доступа нескольких идентификаторов BSSID (Basic Service Set Identifier) для обеспечения работы виртуальных беспроводных сетей. Добавлена начальная поддержка использования TLS для шифрования обращений по протоколу RADIUS.

Изменения, специфичные для wpa_supplicant: В реализации стандарта MACsec (IEEE 802.1AE), предоставляющего средства для защиты канала передачи данных, предоставлена возможность использования набора шифров GCM-AES-256 и добавлена поддержка аппаратного ускорения через вынос операций на сторону сетевого адаптера. Для TLSv1.3 улучшена поддержка EAP-TLS. Усилена защита от DoS-атак при использовании PMF (Protected Management Frames). Улучшен роуминг между AKM (Authentication and Key Management) при выборе SME/BSS (Service Management Entity/Basic Service Set) -драйвером. Предоставлена возможность использования механизма PASN (Protected Access Secure Negotiation) с внешними программами. Добавлена поддержка использования заранее сгенерированных MAC-адресов (mac_addr=3) вместо генерации случайного MAC для каждой сети. Включено по умолчанию использовании второй фазы аутентификации (phase2_auth=1) для протокола EAP-PEAP, подразумевающей аутентификацию клиента внутри защищённого туннеля. Расширена поддержка технологии MSCS (Multi-Streaming Channel Switching), позволяющей устройству переключаться между несколькими каналами. Расширена поддержка технологии SCS (Spatial Channel Switching) для приоритетной обработки важного трафика при использовании QoS.