SLUTET FÖR WPA

Datormagazin - - I DETTA NUMMER - AV PA­TRIK HERMANSSON

E•er 14 år i tjänst är det nu dags att av­tac­ka WPA2. Ba­kom dör­ren står WPA3 med skärpt sä­ker­het på ™era plan, och det ska bli enkla­re att an­slu­ta IoT-pry­lar. Stan­dar­den har även ut­veck­lats på en rad and­ra sätt.

Ef­ter 14 år i tjänst är det nu dags att av­tac­ka WPA2. Ba­kom dör­ren står WPA3 med skärpt sä­ker­het på fle­ra plan, och det ska bli enkla­re att an­slu­ta IoT-pry­lar. Stan­dar­den har även ut­veck­lats på en rad and­ra sätt.

Det är lätt att tro att in­ter­net, epost och lik­nan­de är nya upp­fin­ning­ar, men så är egent­li­gen in­te fal­let. Gans­ka snart ef­ter att de förs­ta da­to­rer­na bör­ja­de an­vän­das i mit­ten av det för­ra år­hund­ra­det, kom be­ho­vet av att kopp­la ihop dem i nät­verk. Re­dan i slutet av 1950-ta­let var det förs­ta da­tornät­ver­ket igång. Det­ta nät­verk ba­se­ra­des på kab­lar, men re­dan 1971 fanns det även ett tråd­löst nät­verk.

Det ti­di­ga tråd­lö­sa sy­ste­met var ing­et som van­ligt folk kun­de kö­pa. Istället var det ett spe­ci­al­byggt nät­verk som möj­lig­gjor­de kom­mu­ni­ka­tion mel­lan öar­na i ögrup­pen Ha­waii. Pla­ce­ring­en gav upp­hov till nam­net ”ALOHANet”, och även till pro­to­kol­let som an­vän­des som kort och gott kal­la­des ”ALOHA”. Det­ta är ett ex­em­pel på ett ti­digt tråd­löst nät­verk, men det var först mot slutet av 1980-ta­let som ut­veck­ling­en tog rik­tig fart. År 1988 släpp­te fö­re­ta­gen NCR, AT&T och Lu­cent ett sy­stem kal­lat Wa­veLAN. Det­ta kom att ut­gö­ra grun­den för bildan­det av ar­bets­grup­pen IEEE 802.11, vil­ket i sin tur led­de fram till de stan­dar­der vi i dag­ligt tal kal­lar WiFi. Det sy­ste­met fun­ge­ra­de med van­li­ga da­to­rer ge­nom tilläggs­kort som för da­torn såg ut som ett van­ligt nät­verkskort, men som skic­ka­de sig­na­ler­na via ra­di­ovå­gor. Den max­i­ma­la över­fö­rings­has­tig­he­ten var två me­ga­bit per se­kund och sä­ker­he­ten be­stod av att en­he­ter­na ha­de ett unikt ID­num­mer (NWID) samt fri­vil­lig kryp­te­ring med 56-bi­tars DES.

Det var dock först i slutet av 1990-ta­let som Wi-Fi fick ett stör­re ge­nom­slag. Del­vis be­rod­de det­ta på att många fler ha­de da­to­rer, och de bär­ba­ra da­to­rer­na ha­de ock­så bli­vit van­li­ga. Den tråd­lö­sa tek­ni­ken ha­de dess­utom bli­vit bätt­re och mer över­kom­lig för kon­su­men­ter­na.

FRÅN A TILL AC

De stan­dar­der som var ak­tu­el­la vid den­na tid var 802.11A och -B. A-stan­dar­den fick ald­rig nå­got stör­re ge­nom­slag på grund av höga pri­ser och tek­nis­ka pro­blem, men B blev å and­ra si­dan re­la­tivt po­pu­lär.

Tek­ni­ken ut­veck­la­des se­dan snabbt och det kom nya stan­dar­der i takt med att kra­ven på has­tig­het, räck­vidd och sä­ker­het öka­de.

År 2003 kom G med cir­ka fem gång­er hög­re has­tig­het (54 me­ga­bit per se­kund), 2009 kom N (600 me­ga­bit per se­kund) och 2013 fick vi AC som kan top­pa över 3 000 me­ga­bit per se­kund.

En pro­dukt med stöd för AC har även en siff­ra som in­di­ke­rar dess max­i­ma­la nät­verks­has­tig­het. AC3200 be­ty­der till ex­em­pel att den max­i­ma­la över­fö­rings­has­tig­he­ten är 3 200 me­ga­bit per se­kund. Som alltid ska siff­ror av den­na typ tas med en ny­pa salt, i prak­ti­ken är ka­pa­ci­te­ten upp­de­lad på fle­ra ka­na­ler. Den är ock­så upp­mätt i la­bo­ra­to­ri­e­mil­jö un­der op­ti­ma­la om­stän­dig­he­ter, men den ger än­då en in­di­ke­ring.

Sam­ti­digt som till­ver­kar­na har ar­be­tat med att möj­lig­gö­ra hög­re has­tig­he­ter, har även an­tenn­tek­ni­ken ut­veck­lats för att för­bätt­ra täck­ning­en. Den tek­nik som an­vänds idag är kom­pli­ce­rad med fle­ra an­ten­ner och al­go­rit­mer som rik­tar sig­na­ler­na för op­ti­mal sig­nal­styr­ka. Det är långt ifrån den gam­la tek­ni­ken där sig­na­len ba­ra sän­des rakt ut ut­an ef­ter­tan­ke.

ÄVEN SÄ­KER­HE­TEN FÖR­BÄTT­RAS

Även sä­ker­hets­funk­tio­ner­na har ut­veck­lats. Wa­veLAN an­vän­de allt­så DES-kryp­te­ring. Den an­ses se­dan länge som osä­ker och har där­för er­satts i fle­ra steg. Först kom WEP, Wi­red Equi­va­lent Pri­va­cy, 1997. Den er­sat­tes 2003 av WPA, som i och med stan­dar­den 802.11i år 2004 fick det namn vi kän­ner idag: WPA2.

Den­na kryp­te­rings­stan­dard an­sågs un­der många år va­ra sä­ker, men för ett år se­dan upp­täck­tes en sår­bar­het som kal­la­des KRACK.

Sår­bar­he­ten kan un­der vis­sa om­stän­dig­he­ter gö­ra det möj­ligt att av­lyss­na tra­fi­ken i det tråd­lö­sa nät­ver­ket ut­an till­gång till dess lö­senord. En an­gri­pa­re kan dess­utom ka­pa an­slut­ning­ar och mo­di­fi­e­ra da­ta som skic­kas. Man ska dock in­te va­ra allt­för oro­lig. Den som an­gri­per mås­te va­ra in­om räck­vid­den för det ak­tu­el­la tråd­lö­sa nät­ver­ket, och de fles­ta till­ver­ka­re har ock­så skic­kat ut upp­da­te­ring­ar till si­na mjuk­va­ror för att täp­pa igen hå­let. Sam­ti­digt an­ses än­då WPA2 va­ra knäckt och för­bru­kat, och det är nu dags för WPA3.

VÄL­KOM­MEN, WPA3

WPA3 (Wi-Fi Pro­tec­ted Ac­cess III) pre­sen­te­ra­des av Wi-Fi Al­li­an­ce i som­ras. De har ock­så bör­jat cer­ti­fi­e­ra pro­duk­ter som an­vän­der den­na stan­dard. En pro­dukt som är cer­ti­fi­e­rad har kon­trol­le­rats så att den har de nöd­vän­di­ga funk­tio­ner­na för att upp­fyl­la stan­dar­den. Där­med får den mär­kas med ”Wi-Fi CERTIFIED WPA2/3”, el­ler ba­ra ”Wi-Fi CERTIFIED”.

En ny­het i WPA3 är att stan­dar­den är upp­de­lad i två de­lar, WPA3-Per­so­nal och WPA3-En­ter­pri­se. Per­so­nal är av­sedd för kon­su­men­ter och er­bju­der bätt­re sä­ker­het jäm­fört med WPA2 ge­nom en tek­nik som kal­las Si­mul­ta­ne­ous Authen­ti­ca­tion of Equals. Den­na tek­nik gör det svå­ra­re att hac­ka nät­ver­ket ge­nom att gis­sa lö­senord.

En­ter­pri­se ut­mär­ker sig i sin tur ge­nom att an­vän­da 192-bi­tars kryp­te­ring för att yt­ter­li­ga­re för­svå­ra att tra­fi­ken av­lyss­nas.

Ge­nom att kryp­te­rings­verk­ty­gen är stan­dar­di­se­ra­de sä­ker­ställs ock­så att sä­ker­he­ten upp­rätt­hålls i he­la nät­ver­ket. WPA3-En­ter­pri­se-stan­dar­den rik­tar sig främst till myn­dig­he­ter, fö­re­tag och or­ga­ni­sa­tio­ner och är en sorts ex­tra sä­ker­hets­la­ger som kan an­vän­das i sär­skilt ut­sat­ta nät­verk och i nät­verk där ex­tra skydd be­hövs.

WPA3-Per­so­nal är allt­så den del av stan­dar­den som kom­mer att an­vän­das i kon­su­ment­pro­duk­ter. Den störs­ta för­bätt­ring­en här gäl­ler an­slut­ning­en till nät­ver­ket. De har näm­li­gen ska­pat en upp­kopp­lings­me­tod som är säk­ra­re än den i WPA2 och som i prin­cip omöj­lig­gör at­tac­ker lik­nan­de KRACK.

När WPA3 an­vänds sker in­logg­ning i nät­ver­ket med nå­got som kal­las SAE, Si­mul­ta­ne­ous Authen­ti­ca­tion of Equals. Lös­ning­en byg­ger i sin tur på nå­got som kal­las för IETF Dra­gon­fly.

Dra­gon­fly är en me­tod för nyc­kel­ut­byte som är säk­ra­re än många av de ti­di­ga­re an­vän­da. När en kli­ent log­gar in med and­ra sy­stem ut­byts da­ta som ba­se­ras på lö­senor­det som en form av ”proof-of-know­led­ge”, så att bå­da si­dor får ve­ta att den and­ra kän­ner till rätt lö­senord. Det­ta gör att en an­gri­pa­re kan kö­ra en bru­te for­ce-at­tack, där en rad möj­li­ga lö­senord gås ige­nom. Så är in­te fal­let med SAE/WPA3, ef­tersom handskak­ning­en görs på ett an­nat sätt. Den här au­ten­ti­se­ring­en görs näm­li­gen in­nan nyck­lar­na ska­pas, en­ligt en me­tod som omöj­lig­gör at­tac­ker som lik­nar KRACK. Och med WPA3 sker allt i re­al­tid, en kli­ent kan ba­ra tes­ta ett lö­senord en gång. Ska ett nytt lö­senord tes­tas mås­te kli­en­ten åter­i­gen kom­mu­ni­ce­ra med nät­ver­ket och rou­tern kan stäl­las in till att be­grän­sa an­ta­let möj­li­ga för­sök och hur tätt de får ske.

På pap­pe­ret ser det bra ut och även om full­stän­dig sä­ker­het ald­rig kan ut­lo­vas bör det­ta va­ra ett bätt­re sy­stem än det som an­vänds med WPA2.

SÄK­RA­RE PUB­LI­KA NÄT­VERK

En an­nan ny­het i WPA3 är det som kal­las En­han­ced Open, vil­ket ska ge bätt­re sä­ker­het i pub­li­ka nät­verk. Det är van­ligt att kafé­er, ho­tell och lik­nan­de er­bju­der gratis Wi-Fi till si­na be­sö­ka­re, en of­ta upp­skat­tad tjänst. Det finns dock ris­ker med da­gens pub­li­ka nät­verk. För­vis­so mås­te man of­ta log­ga in på en por­tal för att få till­gång till nät­ver­ket, men det in­ne­bär ing­en trygg­het. Den tra­fik som skic­kas i nät­ver­ket är helt oskyd­dad. Där­med är den ock­så re­la­tivt en­kel att av­lyss­na och man bör tän­ka sig för när man an­vän­der nät­verk av den­na typ.

Un­der se­na­re år har si­tu­a­tio­nen bli­vit bätt­re, i och med att allt fler webb­plat­ser an­vän­der HTTPS som kryp­te­rar de da­ta som skic­kas. Det går dock fort­fa­ran­de att se vil­ka si­dor som be­söks och många webb­plat­ser an­vän­der fort­fa­ran­de oskyd­dad tra­fik. Lägg så till att HTTPS ba­ra är en lös­ning för webben, den skyd­dar in­te an­nan kom­mu­ni­ka­tion.

För att und­vi­ka den­na typ av sä­ker­hets­ris­ker an­vän­der WPA3 en form av kryp­te­ring även för ”öpp­na nät­verk”. Lös­ning­en kal­las En­han­ced Open och in­ne­bär att da­ta­tra­fi­ken kryp­te­ras trots att man in­te

be­hö­ver log­ga in som med ett van­ligt kryp­te­rat nät­verk. Tek­ni­ken ba­se­ras på nå­got som kal­las Op­por­tu­nistic Wi­re­less Encryp­tion och fun­ge­rar osyn­ligt för an­vän­da­ren på ett sätt som gör att de pub­li­ka nät­ver­ken blir li­ka enk­la att an­vän­da som ti­di­ga­re trots att de nu är kryp­te­ra­de.

ENKLA­RE MED IOT PRY­LAR

Den nu­va­ran­de stan­dar­den WPA2 lan­se­ra­des år 2004. Då var IoT, In­ter­net of Things, ett i det när­mas­te okänt be­grepp. Det­ta med att allt och al­la skul­le va­ra upp­kopp­la­de var på sin höjd en fram­tids­vi­sion. Nu­me­ra är det ing­en vi­sion, ut­an vår var­dag.

I det mo­der­na sam­häl­let är det in­te ba­ra mo­bil­te­le­fo­ner och da­to­rer som är upp­kopp­la­de, många har även bå­de TV­ap­pa­ra­ter, frys­skåp och brand­var­na­re som är an­slut­na till in­ter­net. Även des­sa upp­kopp­ling­ar be­hö­ver na­tur­ligt­vis skyd­das, nå­got som är lite kne­pigt med da­gens tek­nik.

När det gäl­ler en da­tor el­ler TV är det inga stör­re pro­blem, de har in­mat­nings­en­he­ter och en skärm som kan an­vän­das för att skri­va in och kon­trol­le­ra ett lö­senord. Dä­re­mot blir det kne­pi­ga­re med till ex­em­pel ett kyl­skåp, även om det går att lö­sa med WPS (Wi-Fi Pro­tect Se­tup). Det­ta sy­stem fun­ge­rar i prak­ti­ken bra, nack­de­len är att det be­hövs en fy­sisk knapp på bå­de rou­tern och på den pro­dukt som ska kopp­las upp.

Nå­gon så­dan knapp be­hövs in­te med den nya me­tod för au­ten­ti­se­ring som är en del av WPA3. Där finns näm­li­gen vad som kal­las Wi-Fi Ea­sy Con­nect. Istället för en fy­sisk knapp an­vänds en QR-kod el­ler en sif­ferkod som skic­kas med den pryl som ska kopp­las upp. Den­na kod lä­ses in via en enhet med skärm och in­mat­nings­en­het. Det är in­te ba­ra mo­bil­te­le­fo­ner och da­torplat­tor som kan an­vän­das för det­ta, det kan va­ra i prin­cip vad som helst som kan han­te­ra det spe­ci­el­la pro­to­koll som an­vänds (De­vice Pro­vi­sio­ning Pro­tocol, DPP).

Den enhet som an­vänds blir nät­ver­kets cen­tra­la kon­fi­gu­ra­tions­en­het (con­fi­gu­ra­tor), de öv­ri­ga en­he­ter­na blir del­ta­ga­re (en­rol­le­es). När ko­den lä­ses in el­ler skrivs in upp­rät­tas en kryp­te­rad an­slut­ning till den enhet som ska kopp­las upp. Ge­nom den­na an­slut­ning över­förs se­dan de upp­gif­ter som en­he­ten be­hö­ver för att an­slu­ta till det tråd­lö­sa nät­ver­ket.

För­de­len med det­ta sy­stem är dels att man slip­per knap­pen, dels att det blir en­kelt och in­tui­tivt att an­vän­da lös­ning­en. Inga krång­li­ga lö­senord be­hö­ver skri­vas in i de en­he­ter som an­sluts, allt sköts istället ge­nom att ta en bild el­ler skri­va in en en­kel kod i en kon­trol­len­het. Ge­nom att me­to­den in­går i stan­dar­den blir dess­utom an­slut­nings­me­to­den kon­se­kvent och in­te be­ro­en­de av till­ver­ka­re. Yt­ter­li­ga­re en för­del är att an­slut­ning­ar­na in­te är be­ro­en­de av nät­ver­kets ac­ces­s­punkt. Den­na kan där­för by­tas ut ut­an att de ex­ter­na en­he­ter­na be­hö­ver kon­fi­gu­re­ras på nytt.

Wi-Fi Certified Ea­sy Con­nect är en fri­vil­lig del av stan­dar­den. Där­med är den­na del in­te ett krav för att en pro­dukt ska kun­na cer­ti­fie­ras för WPA3.

SNART NÄ­RA DIG

När kan vi då få nyt­ta av al­la des­sa nya fi­nes­ser? På ett sätt kan man sä­ga att du som van­lig an­vän­da­re in­te kom­mer att se dem alls. In­logg­ning­en på tråd­lö­sa nät­verk kom­mer att ske på sam­ma sätt som ti­di­ga­re, men sä­ker­he­ten kom­mer att va­ra hög­re. Den som an­vän­der upp­kopp­la­de pro­duk­ter kom­mer dock att mär­ka av WPA3 och pry­lar med så­dant stöd kom­mer snart att lan­se­ras.

Till­ver­ka­ren Qu­al­comm är en av dem som re­dan är igång med pro­duk­tion av kret­sar som stö­der den nya stan­dar­den. För­vis­so krä­ver WPA3 i prin­cip in­te ny hårdvara, men det är sä­ker­li­gen in­te många till­ver­ka­re som kom­mer att upp­da­te­ra si­na pro­duk­ter med stöd för WPA3 även om det är tek­niskt möj­ligt. Dock, att sam­ma hårdvara kan an­vän­das in­ne­bär ock­så att den nya stan­dar­den är bak­åt­kom­pa­ti­bel. En­he­ter som stö­der WPA3 kan an­slu­ta till så­da­na som an­vän­der WPA2. Det kom­mer där­för att ske en grad­vis av­veck­ling av den gam­la stan­dar­den.

När det­ta skrivs är in­fö­ran­det av WPA3 i full gång. Det drö­jer sä­ker­li­gen in­te länge för­rän du ser den nya log­gan på en pro­dukt nä­ra dig.

Pre­cis som med myc­ket an­nan da­tor­tek­nik har de tråd­lö­sa nät­verkskor­ten bli­vit bå­de mind­re, snab­ba­re och bil­li­ga­re. Här syns ett in­stickskort för Wa­veLAN, fö­re­gång­a­ren till da­gens Wi-Fi.

En be­kant syn för många, en ac­ces­s­punkt från Link­sys som var, och fort­fa­ran­de är, po­pu­lär. Den som vi­sas på bil­den har stöd för 802.11A, B och G. Det finns även ny­a­re mo­del­ler med mo­der­na­re tek­nik som har sam­ma form­språk.

Illustration: Mikm, Wi­ki­pe­dia, Pub­lic Domain

Au­ten­ti­se­ring­en med WPA2 sker via en ”fyr­vägs” handskak­ning. Me­to­den an­sågs sä­ker un­der många år men är se­dan nå­got år klas­sad som osä­ker och er­sätts där­för i WPA3.

Newspapers in Swedish

Newspapers from Sweden

© PressReader. All rights reserved.