Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wi-Fi Alliance start met certificering van wpa3-apparaten

De Wi-Fi Alliance heeft wpa3 gepresenteerd, een beveiligingstechniek voor draadloze netwerken die de opvolger is van wpa2. Certificering is op dit moment nog optioneel en niet verplicht, maar dat verandert zodra meer apparaten ervan gebruik gaan maken.

De organisatie schrijft dat tijdens de overgang naar de nieuwe techniek interoperabiliteit met wpa2 zal blijven bestaan. Wpa3 is beschikbaar in een Personal- en een Enterprise-versie. De Wi-Fi Alliance introduceert daarnaast een techniek die wordt aangeduid met Easy Connect. Die moet het eenvoudiger maken om apparaten aan draadloze netwerken toe te voegen, bijvoorbeeld door een qr-code te scannen. Ook apparaten zonder scherm of uitgebreide user interface moeten eenvoudiger toe te voegen zijn. Gebruik ervan zal mogelijk zijn in zowel wpa2 als wpa3.

De Wi-Fi Alliance had eerder dit jaar al een overzicht gepubliceerd van de beveiligingseigenschappen van wpa3. Zo moet de techniek beschermen tegen het offline kraken van wifiwachtwoorden met behulp van een dictionary attack. De alliantie duidt dit aan met 'simultaneous authentication of equals', wat in de plaats moet komen van de pre-shared key die bekend is van wpa2. Een Wi-Fi Alliance-topman legt aan Wired uit dat deze techniek ook bescherming moet bieden als mensen een zwak wachtwoord kiezen. Daarnaast komt er ondersteuning voor forward secrecy, wat inhoudt dat een aanvaller die het wachtwoord onderschept geen oud netwerkverkeer kan ontsleutelen.

Eerder deze maand introduceerde de alliantie ook een certificeringsprogramma onder de naam Enhanced Open. Dat moet verbindingen met open wifinetwerken, bijvoorbeeld in een winkel of een restaurant, alsnog van encryptie voorzien zodat gebruikers beschermd zijn tegen anderen op hetzelfde netwerk.

De Wi-Fi Alliance stelde wpa2 in 2006 verplicht voor gecertificeerde producten, in navolging van wep en wpa. Wep werd in 1997 geïntroduceerd en in 2003 kwam wpa ervoor in de plaats omdat bleek dat het algoritme absoluut niet meer geschikt was om draadloze netwerken te beveiligen.

Door Sander van Voorst

Nieuwsredacteur

26-06-2018 • 08:26

37 Linkedin Google+

Reacties (37)

Wijzig sortering
Wifi-beveiliging was vroeger vaak afhankelijk van hardware/driver implementaties. Sinds zoveel jaar is dat praktisch allemaal in aparte software, bepaalde embedded apparatuur uitgezonderd. WPA3 kan dus draaien op bestaande hardware.

WPA3 komt pas echt van de grond als de meest gebruikte software wifi stacks het gaan ondersteunen. Denk aan wpa_supplicant voor *nix, de wireless stack van Windows, etc. Daarnaast bestaat het probleem dat er 14 jaar (!) aan legacy rondslingert, waaronder appliances die geen WPA3 implementatie krijgen. Het zal dus nog even duren voordat WPA3 gemeengoed is en WPA2 net zo vergeten is als WEP.

Een idee waar ik zelf wel eens over heb nagedacht is het geheel schrappen van wifi beveiliging, en in plaats daarvan toegang te regelen op een hoger netwerkniveau. Denk bijvoorbeeld aan het verplicht opzetten van een VPN verbinding (IPSec, OpenVPN, ...) en het verbieden van enige andere vorm van communicatie (bij de client en bij het access point). Op netwerkniveau zou dat met het juiste sleutelbeheer de boel beveiligen, maar ik weet niet wat voor andere beveiligingskwesties er dan bij komen kijken. Daarnaast zal het waarschijnlijk niet zo gebruiksvriendelijk zijn als enkel een wachtwoord invullen. ;)

[Reactie gewijzigd door The Zep Man op 26 juni 2018 09:14]

Voor routers e.d. betekent dat wel een firmware update... en hoe groot is de kans op een firmware die dergelijke functionaliteit toevoegt op een router van pakweg 2-3 jaar oud? (buiten dd-wrt of tomato)
Zelf WEP is nog niet zo lang vergeten... legacy hardware die enkel WEP ondersteunt bleef vrij lang op de markt, zelfs na de komst van WPA2.
Het zal dus inderdaad nog even duren. Maar wellicht beter dat eerst ondersteuning in de clients (pc's, e.d.) komt dan omgekeerd. :)

[Reactie gewijzigd door V_J op 26 juni 2018 09:01]

Voor routers e.d. betekent dat wel een firmware update... en hoe groot is de kans op een firmware die dergelijke functionaliteit toevoegt op een router van pakweg 2-3 jaar oud? (buiten dd-wrt of tomato)
De meeste huis-. tuin- en keukengebruikers gebruiken het access point ingebouwd in de router geleverd door de provider (kabel/ADSL 'modem'). Daar vindt een natuurlijk verloop in plaats.

En zelfs als er een firmware update met WPA3 uitkomt, hoeveel gebruikers installeren die nou eigenlijk? ;)

Voor de rest wordt het tweaken of nieuwe hardware aanschaffen, ja.
In het geval van de provider-router wordt die update gewoon gepushed.
Ja, maar de provider kan niet op eigen houtje zomaar WPA3 activeren omdat er dan een enorme shitstorm aan klachten komt van mensen van die 90% van de apparaten (nog) geen WPA3 ondersteunt.

Maar voor ons al tweakers zal het op termijn wellicht wel een optie zijn. Maar ik zou er niet op rekenen dat de providers spoedig deze beveiliging toevoegen. Wellicht dat enkele high-end router fabrikanten (denk Netgear, Linksys, AVM e.d.) daar "snel" werk van maken maar het lijkt me dat dit eigenlijk overal nog even gaat duren.
In principe zou een provider het wel kunnen activeren zolang WPA3-SAE Transition Mode is geïmplementeerd. Dat betekent gewoon dat apparaten die nog geen WPA3 ondersteunen zullen terugvallen naar WPA2-PSK door middel van een mixed mode. De eindgebruiker zal daar vrij weinig van merken.
Klopt, maar voor alles dubbele SSID's in de lucht is ook niet echt ideaal :)
De specificatie die ik kon vinden en waarop mijn comment gebaseerd was (https://www.wi-fi.org/dow...cification_v1.0.pdf/35332) spreekt over een configuratie waarbij WPA2-PSK en WPA3-SAE op dezelfde BSS geconfigureerd worden. Dus ze hebben dezelfde BSSID. Lijkt me niet dat je hiervoor dan meerdere SSIDs nodig gaat hebben ;)
uch, ik haal wat zaken door elkaar waarschijnlijk.
Kan ook net zo goed voor het (optionele) OWE (Opportunistic Wireless Encryption) zijn geweest. Encryptie voor open SSIDs zonder user config.

Maar nu ben ik zelfs daar niet zeker meer van. :)
De provider hoeft het ook niet direct te activeren, maar ondersteuning inbouwen en vervolgens gefaseerd klanten inlichten en onderwijzen is een prima optie.
Updates worden (bij de routers van de providers) automatisch uitgevoerd hè ;)
Ik heb er weinig verstand van, maar een VPN-verbinding heeft toch een ander doel en gaat toch al juist uit van het hebben van een beveiligd netwerk op het moment dat de verbinding wordt opgezet? Anders maak je de VPN-verbinding toch juist gevoelig voor man-in-the-middle aanvallen doordat het eenvoudig wordt om een netwerk te spoofen?
Nee. Je kunt een VPN verbinding over een niet vertrouwd netwerk leggen. Zowel de client als de server hebben een private/publieke sleutelpaar. Beiden hebben ze de publieke sleutel van de ander. Een van beide partijen maakt een session key, die wordt gebruikt voor de versleuteling van die sessie, en encrypt die met zijn private key, en de publieke key van de andere partij. De ander partij kan de session key dus decrypten met zijn private key, en de publieke key van de ander.
Dus als de sleutelparen niet kloppen, komt er geen sessie. MITM niet mogelijk. Theoretisch.
Alleen moeten de fabrikanten een upgrade willen maken voor hun apparaten. Meestal zijn die maar enkele jaren ondersteund en zal je dus toch een nieuw apparaat moeten kopen.

Op netwerkniveau beveiligen is misschien een optie maar het wordt wel moeilijker voor de gebruiker. En je moet zien dat je verbinding niet misbruikt wordt (vooraleer je op de vpn zit)
Jouw voorstel om overal VPN mee op te zetten levert misschien wel veel overhead op
Valt opzich wel mee. Je verplaatst alleen de overhead van de wifi verbinding naar de VPN verbinding.
Wifi beveiliging gaat erover om netwerktoegang te ontzeggen voor onbevoegden. (zoals vlans, of mac-adress-filtering, wat iedere scriptkidie kan omzeilen)
VPN gaat over het afschermen van je data (net als https)

Denk aan IEEE 802.1X
IEEE 802.1X is an IEEE Standard for port-based Network Access Control (PNAC). It is part of the IEEE 802.1 group of networking protocols. It provides an authentication mechanism to devices wishing to attach to a LAN or WLAN.

IEEE 802.1X defines the encapsulation of the Extensible Authentication Protocol (EAP) over IEEE 802,[1][2] which is known as "EAP over LAN" or EAPOL.[3] EAPOL was originally designed for IEEE 802.3 Ethernet in 802.1X-2001, but was clarified to suit other IEEE 802 LAN technologies such as IEEE 802.11 wireless and Fiber Distributed Data Interface (ISO 9314-2) in 802.1X-2004.[4] The EAPOL protocol was also modified for use with IEEE 802.1AE (“MACsec”) and IEEE 802.1AR (Secure Device Identity, DevID) in 802.1X-2010[5][6] to support service identification and optional point to point encryption over the local LAN segment.
De beveiliging die WPA2 (en dus ook WPA3) je geeft zorgt er niet alleen voor dat je in basis de toegang kunt ontzeggen, het zorgt er ook voor dat de gegevens die worden verstuurd door de lucht zijn versleuteld. Als het alleen voor het ontzeggen van toegang zou zijn dan is de beveiliging nog steeds niets waard en kun je je netwerk net zo goed open zetten.

Daarnaast zou het met een VPN prima werken als je alle packets van het access point via een firewall route die alleen die VPN packets doorlaat. Zonder VPN dus geen internet en daarmee ontzeg je dus de internettoegang aan de gebruiker.
Het asymmetrische deel wel, maar WPA3 vereist ook dat de onderliggende stream 196 bit encryption doet en veruit de meeste (oudere) chipsets doen in hardware maar 128-bit. In dat geval kun je wel WPA3 authentication doen via een software upgrade, maar ben je niet WPA3 gecertificeerd als geheel.
Ik zie dat eerder als potentiële toevoeging, wat in principe al kan :P, dan een vervanging... En/en is beter dan of/of; waarom zou je die extra laag beveiliging/ access control opheffen? Doe het dan allebei. Het een hoeft de ander niet uit te sluiten.
Eerder deze maand introduceerde de alliantie ook een certificeringsprogramma onder de naam Enhanced Open. Dat moet verbindingen met open wifinetwerken, bijvoorbeeld in een winkel of een restaurant, alsnog van encryptie voorzien zodat gebruikers beschermd zijn tegen anderen op hetzelfde netwerk.
De meerwaarde van encryptie ten op zichte van AP Isolation ontgaat me een beetje in het gebruik van open wi-fi netwerken. Zie ik wat over het hoofd?
Bij een open netwerk is al het verkeer onversleuteld. Je kunt dus door te luisteren met bijvoorbeeld wireshark alles 'horen' als je in de buurt bent.
Ditzelfde voor wpa2, zodra je de sleutel weet kan je het verkeer afluisteren.

Wpa3 heeft nu de mogelijkheid om een aparte sleutel te gebruiken per gebruiker, waardoor afluisteren een stuk lastiger wordt :)
Het was me niet bekend dat het wireless verkeer tussen client en AP door derden op hetzelfde netwerk ook kon worden onderschept. Bedankt voor de toelichting.
Kan wpa3 ook naar bestaande hardware komen door middel van een software update, of zit het echt ingebakken?
Hier ben ik ook wel benieuwd naar. Zit eraan te denken om een upgrade te doen aan mijn netwerkinfra, inclusief AP's, maar dan wil ik wel WPA3 :)
Omdat het om een software oplossing gaat lijkt het me van wel, enige "probleem" wat ik zie is dat WPA3 zwaarder is dan WPA2, waardoor de CPU van een router het zwaarder krijgt, wat wellicht inhoud dat de snelheid wat lager zal zijn?
Afhankelijk van de chipset/toepassing. Het asymmetrische deel zou je eventueel (langzaam) in software kunnen implementeren, maar de minimale eis voor het symmetrische deel is 196 bits en als je dat niet kunt in hardware is het "game over", tenzij je tevreden bent met 1 Mb/s wireless ;)
Zeer verheugd om dit nieuws. Van mij mag het zsm uitgebracht worden voor mijn Unifi apparaten. Vooral de qr scan om te connecten is een welkome aanvulling 👍
QR code inloggen kan al nu met (android toch)

Maak een login hier: https://qifi.org/
Het nadeel van de huidige implementaties zijn dat je wifi wachtwoord in de QR code zit. Het zou beter zijn als de QR code een handshake opzet zodat het apparaat een eigen key krijgt die niet doorgegeven kan worden.
Een soort wps-handshake via een qr-code, dat zou intressant zijn, maar is het niet gebruikerlijk om een guest-netwerk te hebben, waarvan je anders je paswoord overal groot ophangt?
Waarom dan nog een passwoord? ik zou het eigenlijk niet weten?
The man in de middle kan met arp-poisening al het verkeer via zijn computer laten gaan, ipv rechtstreeks naar de router, ter informatie zoek je op cain and abel arp poisoning
Zodat een café de QR code op de bon printen zodat enkel betalende klanten voor 2 uur toegang hebben.
Het kan sowieso met iOS 11 of nieuwer, het zit sindsdien in de camera app ingebakken. Voor zover ik weet heeft Android geen ingebouwde QR scanner, maar die kun je natuurlijk wel downloaden uit de store.
Was er niet zo kort geleden (een half of anderhalf jaar) nog een enorme leak gevonden in WPA2 en is dat al opgelost?

En hoe lang duurt het voordat deze WPA3 in het gemiddelde huishouden terecht zal komen? Dus mensen met een standaard modem/router van een welbekende provider en hun smartphones en laptops van enkele jaren oud.

[Reactie gewijzigd door Username3457829 op 26 juni 2018 09:36]

Wat wel mooi is dat je zonder wachtwoord wel versleuteld verkeer hebt. Dit zal vooral open netwerken een stuk veiliger maken. Lees het draadloze verkeer is niet meer af te luisteren. Maar gezien de steeds verdere implemantatie van HTTPS wordt de behoefte ook al minder.
Ook een malafide netwerk kan wpa3 gebruiken. Dus om zeker te zijn, op een extern netwerk, zal een VPN nog steeds nodig zijn
Als routers het kunnen updaten via software, kunnen we onze apparaten dan ook updaten, zodat die ook wpa3 kunnen gebruiken?


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True