WPA3 продолжает основываться на базовых технологиях WPA2, дополняя их современными средствами обеспечения безопасности. Поддержка WPA2 пока остаётся обязательной для сертифицированных WiFi-устройств, но со временем после появление повсеместной поддержки WPA3, для всех WiFi-устройств в разряд обязательных будут переведены новые требования к безопасности.
Предусмотрено два режима работы WPA3: WPA3-Personal и WPA3-Enterprise:
- В WPA3-Personal обеспечена надёжная защита даже при установке пользователем ненадёжного пароля доступа, легко подбираемого в результате словарных атак. Для защиты от атак по подбору пароля (brute-force) введено ограничение на число попыток аутентификации в рамках одного handshake (ограничение не позволит подбирать пароль в offline-режиме). Вместо PSK (Pre-Shared Key) ключа в WPA3 реализован процесс согласования ключей на базе технологии SAE (Simultaneous Authentication of Equals), уже применяемой в mesh-сетях и описанной в стандарте IEEE 802.11s. SAE базируется на протоколе обмена ключами Диффи — Хеллмана с использованием конечных цикличных групп. Результирующий сессионный ключ, который получает каждая сторона соединения для аутентификации сеанса, вырабатывается на основе информации из разделяемого ключа (pre-shared key) и MAC-адресов обеих сторон;
- В WPA3-Enterprise применяется шифрование на основе 192-разрядных ключей, соответствующих требованиям CNSA(Commercial National Security Algorithm), выработанным комитетом NSS для защиты правительственных, военных и промышленных сетей;
Дополнительно предложена программа "Wi-Fi Easy Connect" с реализацией возможности упрощённой настройки устройств без экранного интерфейса, используя для конфигурирования более продвинутое устройство, уже подключенное к беспроводной сети. Например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе IoT-устройства. Wi-Fi Easy Connect основывается на применении аутентификации по открытым ключам (в QR-коде передаётся открытый ключ) и может использоваться в сетях с WPA2 и WPA3. Особенностью Wi-Fi Easy Connect] также является возможность замены точки доступа без необходимости переконфигурирования клиентских устройств.
Для создания общедоступных публичных беспроводных сетей представлена программа Wi-Fi CERTIFIED Enhanced Open, подразумевающая шифрвоание всех потоков данных между клиентом и точкой доступа, что позволит защитить приватность пользователя в общедоступных открытых сетях не требующих аутентификации.
Источник: OpenNET.ru