WPA3 is de nieuwe wifi-standaard, maar wat houdt het in?

wifi wpa3Afgelopen maand is door de Wi-Fi Alliance de nieuwe wifi-securitystandaard gelanceerd: WPA3. Die moet de huidige standaard WPA2 gaan vervangen. Deze nieuwe standaard zorgt voor een vernieuwd, krachtiger beveiligingsprotocol. Ook levert hij betere bescherming zelfs als gebruikers wachtwoorden kiezen die niet voldoen aan een minimaal aanbevolen moeilijkheidsgraad.

De oude standaard: WPA2

WPA2 biedt op dit moment een redelijke mate van veiligheid voor miljarden apparaten die dagelijks van wifi gebruik maken. Problemen met de WPA2 beveiliging, zoals de KRACK-attack, hebben helaas laten zien dat dit nog niet helemaal veilig gebeurt. Data verstuurd door middel van deze versleutelingstechniek was namelijk te achterhalen. Daarnaast zijn zwakke wachtwoorden in WPA2 kwetsbaar voor zogeheten offline dictionary attacks. Als hierbij eenmaal het wachtwoord is achterhaald, kunnen alle datastromen die met dit wachtwoord zijn beveiligd worden ontcijferd.

De nieuwe standaard: WPA3

WPA3 komt, net als WPA2, in twee smaken: WPA3-Personal en WPA3-Enterprise. WPA3-Personal moet het een stuk moeilijker maken voor aanvallers om wachtwoorden te achterhalen en verstuurde data te ontcijferen. Daarvoor wordt gebruik gemaakt van Simultaneous Authentication of Equals, in het kort SAE. SAE maakt gebruik van discrete logaritmische encryptie voor authenticatie en sleutelovereenkomst, en maakt dat zelfs zwakke wachtwoorden veilig zijn. Verder zorgt deze techniek dat indien het wachtwoord wordt achterhaald, oude verstuurde data waarbij gebruik gemaakt is van dit wachtwoord hier niet mee kan worden ontcijferd. WPA3-Enterprise biedt daarnaast ondersteuning voor voor een nog betere bescherming, passend voor industriële, defensie- en overheidsnetwerken met hoge beveiligingsvereisten.

Een toevoeging die betrekking heeft op beide varianten is dat Protected Management Frames (PMF) vereist zijn, waarmee extra versleuteling tussen de wifi-cliënt en het access point wordt afgedwongen. Dit maakt het moeilijker voor kwaadwillende personen om de verbinding te verstoren, terwijl ook de vertrouwelijkheid wordt vergroot. Het houdt echter ook in dat oude protocollen, zoals apparaten met WPA2, geen toegang hebben tot een WPA3-only netwerk. Voor een soepeler overgang kan daarom gebruik gemaakt worden van een WPA3-transitienetwerk, waarin zowel verbonden kan worden op basis van WPA2 als WPA3. Helaas krijgen hierin de gebruikers die verbinden op basis van WPA2 niet dezelfde bescherming als de gebruikers die verbinden op basis van WPA3.

wifi wpa3

Uitbreidingen

De verwachting was dat de Wi-Fi Alliance meerdere grote veranderingen onder de WPA3-certificering zou scharen, maar zij heeft uiteindelijk besloten om hiervoor meerdere certificeringen in het leven te roepen. Een WPA3-gecertificeerd apparaat hoeft de volgende uitbreidingen dus niet per se te ondersteunen, let daar goed op bij aanschaf of vraag ons om advies.

Wi-Fi Easy Connect

Wi-Fi Easy Connect is de vervanger van Wi-Fi Protected Setup (WPS), maar geen onderdeel van WPA3. Het is een nieuwe manier om apparaten op een eenvoudige en veilige manier aan een netwerk toe te voegen door middel van QR-codes. Dit is ideaal voor de apparaten met een kleine of geen gebruikersinterface, zoals smart home en IoT-apparaten. Het ondersteunt zowel WPA2- als WPA3-netwerken en zorgt voor een sterke encryptie met behulp van cryptografie op basis van publieke sleutels.

Enhanced Open

Enhanced Open biedt verbeterde beveiligingsmogelijkheden voor open netwerken, zoals publieke hotspots. Het biedt bescherming tegen passief afluisteren van draadloos verkeer zonder dat er een wachtwoord of andere extra handelingen vereist zijn om je aan te melden op het netwerk. Met behulp van Opportunistic Wireless Encryption (OWE), wordt een unieke, individuele encryptie afgedwongen die de uitwisseling van data beschermt tussen de cliënt en het wifi-netwerk. Helaas wordt hierin nog geen mogelijkheid geboden de aanbieder van het netwerk op echtheid te controleren waardoor de aanbieder nog altijd een vervalser kan zijn. Echter, zoals het motto in RFC 7435 luidt; “een beetje bescherming, de meeste tijd”, is nog altijd een verbetering van de veiligheid.

Wanneer kunnen we het verwachten?

Nu de Wi-Fi Alliance de standaard heeft vrijgegeven kunnen fabrikanten aan de slag met het maken van gecertificeerde producten. Zo is Qualcomm al gestart met het maken van chips voor telefoons en tablets. Cisco en eigenlijk elke andere fabrikant heeft aangegeven dat het werkt aan support voor het updaten van bestaande appratuur om WPA3 te gaan ondersteunen. Je bestaande wifi-netwerk hoeft mogelijk dus niet te worden vervangen. De verwachting is wel dat we hiervoor minimaal tot eind 2019 moeten wachten. Nog even geduld dus!

co-sourcing waarom