Koncom minulého roka 2017 boli zverejnené zraniteľnosti bezpečnostných metód WPA a WPA2 označené skratkou KRACK (Key Reinstallation AttaCK). Tieto udalosti mali za následok urýchlenie vytvorenia nových metód slúžiacich na bezpečný prístup a komunikáciu vo Wi-Fi bezdrôtových sieťach. Wi-Fi aliancia ich zverejnila pod názvom Wi-Fi Protected Access 3 (WPA3).
WPA3 bol od základu navrhnutý tak, aby riešil zraniteľnosti odhalené pomocou KRACK s použitím najnovších bezpečnostných metód a zároveň pridáva niektoré zaujímavé funkcionality, ktoré neboli v predchádzajúcej verzii WPA.
Z technického hľadiska rozlišujeme dve verzie WPA3:
- WPA3-Personal – určené pre domácnosti alebo malé Wi-Fi siete
- WPA3-Enterprise – určené pre podnikové nasadenia v sieťach, ktoré zároveň používajú AAA (Autentifikácia, Autorizácia a Accounting) server pre overenie prístupu do podnikovej siete.
WPA3-Personal:
Stavia na rovnakých základoch ako WPA2 v tom smere, že z používateľského hľadiska sa proces pripájania užívateľov do siete nemení. Celý koncept je založený na zdieľanom hesle (nazývanom pre-shared key – PSK) medzi užívateľom a WiFi infraštruktúrou. WPA3-Personal používa Simultaneous Authentication of Equals (SAE) definovaný štandardom IEEE 802.11-2016. SAE automaticky pridáva jeden krok do prvotného “handshake“ procesu, ktorý zabezpečí odolnosť proti slovníkovým útokom a útokom silou (brute force attack). Ďalším plusom je, že WPA3 vyžaduje použitie enkrypcie na všetky manažmentové rámce (PMF – Protected Management Frames). V minulosti bolo PMF voliteľnou vlastnosťou, ktorú administrátor mohol ale nemusel spustiť na samotnej WiFi sieti. PMF podpora musí byť ako na WiFi infraštruktúre, tak aj na samotných WiFi klientoch, ktorí sa pripájajú do siete.
WPA3-Enterprise:
Vychádza zo základov WPA2-Enterprise a podobne ako pri WPA3-Personal tak aj pri WPA3-Enterprise je požiadavkou podpora enkrypcia manažment rámcov (PMF).
WPA3 taktiež zavádza 192-bitovú kryptografickú bezpečnostnú sadu. Táto bezpečnostná sada je v súlade s odporúčaniami Commercial National Security Algorithm (CNSA), a je používaná väčšinou vo vysoko bezpečných riešeniach pre vládne, finančné a priemyselné inštitúcie. Táto bezpečnostná sada pozostáva z nasledujúcich vlastností:
- Autentifikované šifrovanie: 256-bit Galois/Counter Mode Protocol (GCMP-256)
- Odvodenie a potvrdenie kľúča: 384-bit Hashed Message Authentication Mode (HMAC) s Secure Hash Algorithm (HMAC-SHA384)
- Zriadenie a overenie kľúčov: Elliptic Curve Diffie-Hellman (ECDH) exchange a Elliptic Curve Digital Signature Algorithm (ECDSA) s využitím 384-bit elliptic curve
- Robustná ochrana manažment rámcov: 256-bit Broadcast/Multicast Integrity Protocol Galois Message Authentication Code (BIP-GMAC-256)
Ďalšie dve oblasti, na ktoré sa Wi-Fi aliancia sústredila boli:
- Bezpečnosť v tzv. “open“ WiFi bezdrôtových sieťach – WiFi siete, ktoré na linkovej vrstve nevyžadujú žiadny druh autentifikácie pre pripojenie a zároveň nezabezpečujú užívateľské dáta prenášané WiFi sieťou
- Jednoduché a rýchle pripojenie IoT (Internet of Things) zariadení do WiFi bezdrôtových sietí