WPA3 soll Drahtlosnetzwerke sicherer machen

  • Allgemein

  • HotPi
  • 1203 Aufrufe 6 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • WPA3 soll Drahtlosnetzwerke sicherer machen

    Neue Schutztechnologie 09.01.2018, 17:11 Uhr
    WPA3 soll Drahtlosnetzwerke sicherer machen
    Die Wi-Fi Alliance kündigt mit WPA3 eine neue Schutztechnologie zur Absicherung von Drahtlosnetzwerken an. Aufbauend auf WPA2 soll der neue Standard dank zusätzlicher Funktionen eine höhere Sicherheit bieten.

    Nachdem die Schutztechnologie WPA2 in jüngster Vergangenheit im Zuge der KRACK-Lücke für Negativschlagzeilen gesorgt hatte, soll nun ein neuer Standard für mehr Sicherheit in WLAN-Umgebungen sorgen. Hierzu hat die Wi-Fi Alliance nun die dritte Generation von WPA (Wi-Fi Protected Access) angekündigt.

    Aufbauend auf dem aktuellen WPA2-Standard werde WPA3 über neue Kernfunktionen die drahtlosen Netzwerke von Unternehmen und Privatnutzern besser absichern. So versprechen die neuen Features unter anderem einen besseren Schutz von Verbindungen, die nur mit schwachen Passwörtern abgesichert sind. Darüber hinaus wolle man die Konfiguration bei WPA3 vereinfachen, damit diese auch bei Geräten ohne Display problemlos möglich ist. Das dürfte speziell vernetzten Geräten im Internet der Dinge zugutekommen.

    Individuelle Verschlüsselung sichert offene Hotspots ab

    Eine weitere Funktion wird in WPA3 die Privatsphäre der Nutzer in offenen Netzwerken durch individualisierte Datenverschlüsselung stärken, wie die Wi-Fi Alliance in einem Blogeintrag mitteilt. Speziell in offenen WLAN-Hotspots sind Nutzer derzeit noch auf VPN-Lösungen angewiesen, um eine sichere Verbindung ins Internet aufzubauen. Die Verschlüsselungstechnik in WPA3 könnte hier für Abhilfe sorgen.

    Drahtlosnetzwerke in kritischen Einrichtungen sollen ausserdem über eine 192-Bit-Sicherheitssuite abgesichert werden, die mit der Commercial National Security Algorithm (CNSA) Suite abgestimmt ist. Von dieser Funktion dürften in erster Linie Regierungsorganisationen, der Verteidigungsapparat und die Industrie profitieren.
    Die Zertifizierung von WPA3 ist für 2018 vorgesehen. Bis die neue Schutztechnologie flächendeckend in Routern, Access Points, Smartphones und anderen Geräten zum Einsatz kommt, wird aber sicher noch einige Zeit vergehen.

    "Wi-Fi-Sicherheitstechnologien können über Jahrzehnte hinweg im Einsatz bleiben. Daher ist es wichtig, sie ständig zu aktualisieren, um sicherzustellen, dass sie den Anforderungen der Branche entsprechen", sagte Joe Hoffman, SAR Insight & Consulting im Rahmen der Ankündigung.

    Autor(in)Stefan Bordel


    Quelle: WPA3 soll Drahtlosnetzwerke sicherer machen - onlinepc.ch
  • leider gibts noch keine konkreten aussagen dazu
    vielleicht gibts bei einigen geräten ein firmeware update

    hier mal eine info von golem

    "Wer sein WLAN auf den neuen Standard umstellt, der wird ein paar Geräte ausschließen und das werden mit hoher Wahrscheinlichkeit Konsolenklassiker sein. Dieses Mal vielleicht sogar stationäre, sollte es kein Update geben. Bisher ist auch unklar, inwiefern sich Alt-Hardware aktualisieren lässt. Das gilt sowohl für Clients als auch für die Infrastruktur wie etwa WLAN-Router. Allgemein sind WLAN-Router allerdings gerade im Massenmarkt als Wegwerfware definiert. Updates sind selten. Ausnahmen wie AVM oder Apple gibt es natürlich."

    hoffe es hilft dir erstmal etwas weiter

    gruß snoppy :read:
  • WPA3 geht an den Start
    Die Wi-Fi Alliance hat die Schutztechnologie WPA3 nun offiziell eingeführt. Aufbauend auf WPA2 soll der neue Standard mehr Sicherheit für Unternehmen und Endanwender bereithalten.
    von Stefan Bordel 26.06.2018

    Bereits zu Beginn des Jahres hatte die Wi-Fi Alliance die Schutztechnologie WPA3 vorgestellt, jetzt wird der neue Standard zur Absicherung von WLAN-Netzwerken offiziell eingeführt. Die Technologie baut auf dem Vorgänger WPA2 auf, zu dem sie auch kompatibel ist, und verspricht mehr Sicherheit für Unternehmen und Endanwender.

    So bietet der Standard für das Enterprise-Umfeld etwa einen optionalen Modus mit 192-Bit-Sicherheitsprotokollen und kryptografischen Tools zum besseren Schutz sensibler Daten, darunter GCMP-256, HMAC, HMAC-SHA384 oder BIP-GMAC-256. Dieser Modus soll eine korrekte Kombination von verschiedenen Technologien sicherstellen und damit eine konsistente Sicherheitsbasis für das Drahtlosnetzwerk im Unternehmen liefern.

    WPA3 vereinfacht das Verbinden für IoT und Smart Home

    Privatanwender profitieren beim Einsatz von WPA3 vor allem von einer komfortableren Nutzung. Unter anderem verspricht der Standard einen besseren Schutz von Verbindungen, die nur mit schwachen Passwörtern abgesichert sind. Diese Funktionalität werde durch Simultaneous Authentication of Equals (SAE) ermöglicht, die den bisherigen Pre-shared Key (PSK) ersetzt. Auch Brute-Force-Attacken sollen dadurch WPA3 nicht überwinden können. Und dank der Easy-Connect-Funktionalität lassen sich Smart-Home- oder IoT-Geräte ohne Display einfach über ein anderes verbundenes Gerät per QR-Code im Netzwerk einwählen.

    Speziell für offene Netzwerke sieht die Wi-Fi Alliance zudem die Zertifizierung Wi-Fi Enhanced Open vor. Diese Technologie nutzt eine individualisierte Datenverschlüsselung auf Basis von Opportunistic Wireless Encryption (OWE) zur Absicherung des Netzwerks. Damit sind auch offene WLAN-Hotspots nicht gänzlich ungesichert.

    Bis erste Geräte mit WPA3-Support an den Start gehen, wird sicherlich noch etwas Zeit vergehen. Dennoch sollte bei Neuanschaffungen im Netzwerkbereich auch auf den neuen Standard geachtet werden.


    Quelle: WPA3 geht an den Start
  • Dragonblood: Schwachstellen in WPA3-Standard veröffentlicht

    Zwei Sicherheitsforscher haben insgesamt fünf Schwachstellen in WPA3 entdeckt. Vier davon können zur Wiederherstellung von Benutzerpasswörtern verwendet werden. Neben WPA3 betreffen die Dragonblood-Schwachstellen auch das Extensible Authentication Protocol (EAP-pwd), das in den bisherigen Wi-Fi-Authentifizierungsstandards WPA und WPA2 unterstützt wird.

    Zwei Sicherheitsforscher haben Details zu einer Gruppe von Schwachstellen veröffentlicht, die gemeinsam als Dragonblood bezeichnet werden und die den kürzlich eingeführten Sicherheits- und Authentifizierungsstandard WPA3 der WiFi Alliance betreffen. Die Schwachstellen ermöglichen es einem Angreifer im Netzwerk eines Opfers, das Wi-Fi-Passwort wiederherzustellen und das Netzwerk des Ziels zu infiltrieren.

    „Derzeit verwenden alle modernen Wi-Fi-Netzwerke WPA2 zum Schutz der übertragenen Daten. Da WPA2 jedoch mehr als 14 Jahre alt ist, hat die Wi-Fi Alliance kürzlich das neue und sicherere WPA3-Protokoll angekündigt. Einer der Hauptvorteile von WPA3 ist, dass es dank des zugrunde liegenden Dragonfly-Handshake fast unmöglich ist, das Passwort eines Netzwerks zu knacken. Leider haben wir festgestellt, dass selbst mit WPA3 ein Angreifer in Reichweite eines Opfers immer noch das Passwort des Wi-Fi-Netzwerks wiederherstellen kann. Konkret können Angreifer dann Informationen lesen, von denen angenommen wurde, dass sie mit WPA3 sicher verschlüsselt wurden. Dies kann missbraucht werden, um sensible übertragene Informationen wie Kreditkartennummern, Passwörter, Chatnachrichten, E-Mails usw. zu stehlen.“ schreiben Mathy Vanhoef und Eyal Ronen in einem Beitrag, der die Schwachstellen erläutert.

    Insgesamt haben die Sicherheitsforscher fünf Schwachstellen entdeckt: Vier davon können zur Wiederherstellung von Benutzerpasswörtern verwendet werden. Neben WPA3 betreffen die Dragonblood-Schwachstellen auch das Extensible Authentication Protocol (EAP-pwd), das in den bisherigen Wi-Fi-Authentifizierungsstandards WPA und WPA2 unterstützt wird.

    Während der Denial-of-Service-Angriff nicht so dramatisch ist, da er nur zum Absturz von WPA3-kompatiblen Access Points führt, können die anderen vier Sicherheitslücken zur Wiederherstellung von Benutzerpasswörtern verwendet werden.
    Sowohl die beiden Downgrade-Angriffe als auch die beiden Seitenkanallecks nutzen Designfehler beim Schlüsseltausch des WPA3-Standards – dem Mechanismus, über den sich Clients an einem WPA3-Router oder Access Point authentifizieren. In einem Downgrade-Angriff können WiFi-WPA3-fähige Netzwerke gezwungen werden, ein älteres und unsichereres Passwort-Austauschsystem mit bekannten Sicherheitslücken zu verwenden, das es Angreifern ermöglichen kann, die Netzwerkpasswörter abzugreifen.

    In einem Seitenkanal-Informationsleckangriff können WPA3-fähige Netzwerke Geräte dazu verleitet werden, schwächere Algorithmen zu verwenden, die kleine Mengen an Informationen über das Netzwerkpasswort enthalten. Bei wiederholten Angriffen kann das vollständige Passwort schließlich wiederhergestellt werden.

    Downgrade auf Dictionary Attack funktioniert in Netzwerken, in denen WPA3 und WPA2 gleichzeitig über einen Kompatibilitätsmodus von WPA3 unterstützt werden. Dieser Angriff wurde auf einem kürzlich veröffentlichten Samsung Galaxy S10 Gerät bestätigt. Die Autoren schreiben dazu folgendes:
    „Wenn ein Client und AP sowohl WPA2 als auch WPA3 unterstützen, kann ein Gegner einen Rogue AP einrichten, der nur WPA2 unterstützt. Dies bewirkt, dass sich der Client (d.h. das Opfer) über den 4-Wege-Handshake von WPA2 verbindet. Obwohl der Client während des 4-Wege-Handshake den Downgrade zu WPA2 erkennt, ist dies zu spät. Die 4-fach Handshake-Meldungen, die ausgetauscht wurden, bevor die Herabstufung erkannt wurde, liefern genügend Informationen, um einen Offline-Wörterbuchangriff zu starten.“
    Group Downgrade Attack – funktioniert, wenn WPA3 konfiguriert ist, um mit mehreren Gruppen von kryptographischen Algorithmen zu arbeiten, anstatt nur mit einem. Einfacher Downgrade-Angriff.
    „Zum Beispiel, wenn ein Kunde die elliptischen Kurven P-521 und P-256 unterstützt und sie lieber in dieser Reihenfolge verwendet. In diesem Fall unterstützt auch der AP die P-521-Kurve, ein Gegner kann den Klienten und den AP zwingen, die schwächere P-256-Kurve zu verwenden. Dies kann erreicht werden, indem man die Nachrichten des Dragonfly-Handshake blockiert und eine Nachricht schmiedet, die anzeigt, dass bestimmte Kurven nicht unterstützt werden. „

    Cache-Based Side-Channel Attack (CVE-2019-949494) – nutzt den Algorithmus des Dragonfly-Protokolls „hunting and pecking“.
    „Wenn ein Gegner bestimmen kann, welcher Zweig des if-then-else-Zweiges genommen wurde, kann er erfahren, ob das Passwortelement in einer bestimmten Iteration dieses Algorithmus gefunden wurde. In der Praxis haben wir festgestellt, dass, wenn ein Gegner unprivilegierten Code auf dem Opfercomputer ausführen kann, wir in der Lage waren, cachebasierte Angriffe zu verwenden, um zu bestimmen, welcher Zweig in der ersten Iteration des Algorithmus zur Passworterzeugung genommen wurde. Diese Informationen können missbraucht werden, um einen Angriff auf die Passwortpartitionierung durchzuführen (dies ist vergleichbar mit einem Offline-Wörterbuchangriff).“

    Timing-Based Side-Channel Attack (CVE-2019-949494) – nutzt die WPA3-Funktion „multiplikative Gruppen“.
    „Wenn der Dragonfly-Handshake bestimmte multiplikative Gruppen verwendet, verwendet der Algorithmus zur Passwortverschlüsselung eine variable Anzahl von Iterationen, um das Passwort zu kodieren. Die genaue Anzahl der Iterationen hängt vom verwendeten Passwort und der MAC-Adresse des AP und des Clients ab. Ein Gegner kann einen Remote-Timing-Angriff auf den Passwortverschlüsselungsalgorithmus durchführen, um festzustellen, wie viele Iterationen erforderlich waren, um das Passwort zu kodieren. Die wiederhergestellten Informationen können missbraucht werden, um einen Angriff auf die Passwortpartitionierung durchzuführen, der einem Offline-Wörterbuchangriff ähnlich ist. „

    Detailliertere Erklärungen für jede dieser Schwachstellen finden sich in einer von Mathy Vanhoef und Eyal Ronen verfassten wissenschaftlichen Arbeit mit dem Titel „Dragonblood: A Security Analysis of WPA3’s SAE Handshake“ und auf der Website Dragonblood: Analysing WPA3's Dragonfly Handshake
    Neben WPA3 betreffen die Dragonblood-Schwachstellen auch das Extensible Authentication Protocol (EAP-pwd), das in den bisherigen WiFi-Authentifizierungsstandards WPA und WPA2 unterstützt wird.
    „Wir haben in den meisten Produkten, die EAP-pwd implementieren, schwere Fehler entdeckt“, sagte das Forschungsduo. „Diese erlauben es einem Gegner, sich als ein beliebiger Benutzer auszugeben und dadurch auf das WLAN-Netzwerk zuzugreifen, ohne das Passwort des Benutzers zu kennen.“

    Die beiden Forscher haben keine Details veröffentlicht, wie sich die Schwachstellen von Dragonblood auf EAP-pwd auswirken, da der Patch-Prozess noch im Gange ist.

    Lancom veröffentlicht Workaround
    Der deutscher Routerhersteller Lancom hat bereits seine Kunden über die WPA3-Schwachstellen informiert. Demnach sind Lancom-Geräte nur von der Schwachstelle im WPA2/WPA3-Kompatibilitätsmodus betroffen. Da es sich hierbei um eine Schwachstelle im WPA3-Standard handelt, könne nur eine Weiterentwicklung des Standards den Bug beseitigen. Lancom hat jedoch einen Workaround beschrieben, mit dem sich Nutzer von Lancom-Routern vor dieser Schwachstelle schützen können.
    Die laut Lancom kritischste Schwachstelle, die Möglichkeit von Seitenkanalangriffen, ist für Lancom-Router nicht relevant, da ein potentieller Angreifer laut Angaben des Herstellers nicht in der Lage ist, unautorisierten Code auf einem Lancom-Gerät auszuführen. Die weiteren beschriebenen Schwachstellen seien für Lancom-Nutzer nicht relevant, da bei den Geräten die zugrundeliegenden, optionalen Funktionen nicht implementiert seien.

    Quelle: Dragonblood: Schwachstellen in WPA3-Standard veröffentlicht | ZDNet.de