WPA3来了 带你第一时间了解新Wi-Fi加密方式

阅读： 10

6月25日，Wi-Fi联盟正式推出Wi-Fi连接用户身份验证技术的最新版本，即WPA3加密方式。与当今普遍使用的WPA2相比，WPA3在安全性能方面有明显的提升。根据Wi-Fi联盟的工作计划，将在2019年底开始推动加密方式的升级工作。

攻与防的对弈：Wi-Fi加密方式的变革

1999年9月，IEEE 802.11标准获得通过，在其中定义了一种使用RC4加密算法和CRC-32校验机制的无线传输数据加密方式，称为有线等效保密（Wired Equivalent Privacy）协议，即WEP。

2001年8月，Fluhrer团队利用RC4加解密和IV使用方式的特性，发现只需要在网络中进行几个小时的监听，就能破解RC4的密钥，从而破解WEP加密方式。在这一研究成果发表后，针对WEP协议的自动化破解工具也应运而生，正式宣告WEP协议不再安全。

面对这一现状，IEEE于2004年6月通过了802.11i标准，其中提出了Wi-Fi网络安全接入（Wi-Fi Protected Access）协议，即WPA。WPA协议在WEP基础上加强了生成加密密钥的算法，同时还加入了防止数据中途被篡改的特性和认证功能。

随着安全研究人员针对WPA协议的不断研究，陆续又发现了该协议的一些弱点，并对该加密方式进行了升级。升级后的协议称为WPA2，主要以AES加密方式替换了原有的RC4，并以当时公认最为安全的CCMP讯息认证码取代此前的MIC。

2006年3月，WPA2成为无线网络的强制标准。目前，我们所使用的绝大多数Wi-Fi连接，都是基于WPA2加密方式。

2009年，日本两位安全专家宣布能在1分钟内利用无线路由器攻破WPA加密系统，该攻击证明了WPA的脆弱性。

2017年10月，比利时安全研究团队发现可以通过对WPA和WPA2协议操纵重放加密握手消息（通俗来说，就是在手机和Wi-Fi的通信过程中，偷偷记录特定数据，然后重新发送出去），可以让已经使用过的密钥被再次使用。该攻击方法称为KRACK，尽管借助此方法并不能破译出Wi-Fi密码，但可以非法获取到Wi-Fi通信的内容，并能够对通信内容进行篡改。

最后，总结上述内容，可以归纳出如下三条结论：

(1) 三种加密方式按照安全性排序分别是WEP < WPA < WPA2；

• 目前WPA2被广泛使用；
• WPA2同样存在通信内容泄露、通信内容篡改等安全风险。

更安全的协议：WPA3亮点大揭秘

亮点1：防范字典暴破攻击

WPA3加密方式使用等值同时认证（Simultaneous Authentication of Equals，简称SAE）算法，取代了WPA2中的PSK算法。在对Wi-Fi的攻击场景中，通常攻击者会借助自动化工具，快速连续尝试各种密码，从而猜测Wi-Fi网络的密码。而SAE算法可以有效防范这种暴力破解方式，在多次尝试验证失败后阻断认证请求。

亮点2：防范流量监听带来的信息泄露风险

在此前版本的加密方式中，攻击者实际上可以通过中间人攻击的方式，获取通信内容，并实现内容的篡改。而在新版本的加密方式中，加入了被称为“前向保密”（Forward Secrecy）的机制。该机制保证会话密钥的独立，确保攻击者即使已经获得Wi-Fi密码，也无法解密网络中其他用户的通信流量。这意味着，即使服务器的私钥被泄露，也不会对会话的保密性造成威胁。

亮点3：IoT设备的Wi-Fi配置

我们知道，一些物联网设备的体积较小，甚至它们往往不需要键盘、显示屏的存在。但针对这些设备，如何配置Wi-Fi网络就成为了一个棘手的问题。在WPA3中，新加入了一项独立的功能，被称为“Wi-Fi轻松连接”（Wi-Fi Easy Connect）。借助这一功能，用户在手机或平板电脑上，就能轻松为小型物联网设备配置网络。

根据Wi-Fi联盟发布的信息，此项功能在WPA3中首次加入，后续将支持使用WPA2的设备，以此尽可能覆盖更多的设备。

亮点4：保障公共场所中无密码Wi-Fi网络的安全

随着无线网络的日益普及，越来越多的商场、餐厅、机场、火车站都部署了Wi-Fi网络，提供给所有顾客或旅客使用。这些无线网络如果设置密码，就要有一个途径将密码通知到用户；如果不设置密码，网络的安全性就存在较大风险。为应对这一问题，Wi-Fi联盟提出了“Wi-Fi增强开放”（Wi-Fi Enhanced Open）技术，该技术使用“机会无线加密”（Opportunistic Wireless Encryption）的算法，将每个用户与路由器之间的连接进行加密，并各自产生一个密钥。通过这一技术，公共场所中无线网络的安全性将大幅提高，接入网络后的攻击者将无法窃听到其他用户的通信流量。

依靠时间：版本更新与脆弱性测试

正如前面所说，现在绝大多数的网络设备都默认采用WPA2协议，因此要推动协议的更新还需要经历一段漫长的时间，并且可能需要强制标准的助力，同时需要所有网络设备厂商的支持。

回顾无线网络协议的发展史，我们发现，正是由于安全团队不断进行的脆弱性研究和测试，才发现了之前协议的一个又一个安全问题，并直接推动了协议和版本的迭代更新。因此，WPA3的安全性需要经过一段时间的验证才能得到可靠的结论。目前，曾发现WPA2协议KRACK攻击方式的比利时团队已经开始对WPA3加密方式的研究。究竟这一新加密方式的安全性如何、能维持多久，我们还要拭目以待。

声 明

==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技

============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com