Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Sander van Voorst

Nieuwsredacteur

De opvolger van wpa2 komt eraan

Hoe gaan we erop vooruit met wpa3?

17-08-2018 • 06:00

55 Linkedin Google+

Wpa3

Er bestaat een redelijke kans dat je bekend bent met het verschijnsel wpa2. Dat is niet gek, omdat we er al ongeveer sinds 2006 mee doen. Het is dan ook alomtegenwoordig als je ook maar iets met draadloze netwerken te maken hebt. Een certificering is echter maar een bepaalde tijd houdbaar, dus wordt het op een gegeven moment tijd voor een update.

Dat moment is nu aangebroken. Zo introduceerde de Wi-Fi Alliance onlangs het certificeringsprogramma voor wpa3, waarin de organisatie fabrikanten eisen oplegt waaraan ze moeten voldoen om het bijbehorende stickertje op hun verpakking te mogen plakken. De alliantie publiceerde een aankondiging, maar de details kwamen niet bijzonder uitgebreid aan de orde. Genoeg reden dus om eens te kijken wat er precies gaat veranderen. Zo is het bijvoorbeeld de vraag of de veiligheid erop vooruitgaat en wat precies deel uitmaakt van het eisenpakket van wpa3.

De impact van een dergelijke wijziging is moeilijk te overschatten. Zo bevat de database van Wigle, een dienst die wereldwijd wifinetwerken in kaart brengt, ongeveer 460 miljoen unieke wifinetwerken. Een groot deel daarvan, bijna twee derde, maakt inmiddels gebruik van wpa2. Er zal dan ook nog wel enige tijd overheen gaan totdat de meerderheid van apparaten op wpa3 is overgegaan.

Statistieken afkomstig van Wigle

Een korte terugblik

Om te begrijpen hoe we op dit punt zijn aangekomen, is het goed om even terug te kijken naar de ontwikkeling van draadloze netwerken en de beveiliging daarvan. Wees niet bang, we gaan het niet over wireless fidelity hebben. We beginnen even bij de Wi-Fi Alliance, die is opgericht aan het einde van de jaren negentig. Deze non-profitorganisatie beheert de certificeringen voor wifi en is oorspronkelijk in het leven geroepen onder de naam Wireless Ethernet Compatibility Alliance. Deze naam verraadt al een beetje wat een van de doelen was van de organisatie: het compatibel maken van verschillende draadloze apparaten. Zes bedrijven, waaronder 3Com en Nokia, waren betrokken bij de oprichting van de alliantie. Inmiddels telt deze meer dan vijfhonderd leden, die zijn opgedeeld in een aantal categorieŽn. Daarvan is 'sponsor' de kleinste categorie, met veertien bedrijven. Dat zijn grote spelers, zoals Apple, Qualcomm, Broadcom, Microsoft, LG, Samsung en Cisco.

Kijken we naar de beveiliging van draadloze netwerken, dan is er in eerste instantie wep. Dat staat voor wired equivalent privacy en moest volgens de naam dezelfde veiligheid bieden als een bedrade verbinding. Dat bleek uiteindelijk niet helemaal te lukken. Wep maakte deel uit van de oorspronkelijke 802.11-specificaties, die draadloze netwerken beschrijven. Daarvan bestaan inmiddels heel wat varianten, waarvan momenteel 802.11ac bekend moet voorkomen, omdat die wijd verspreid is. De opvolger daarvan is 802.11ax. Wep maakte gebruik van versleuteling via rc4, dat niet langer als veilig wordt beschouwd, en bood sleutelgroottes van 40 en 104bit. De beveiliging van wep liet te wensen over en vanaf 2001 verschenen er steeds meer aanvallen die kwetsbaarheden in de techniek misbruikten. Een aanval uit 2007 was bijvoorbeeld in staat een sleutel binnen een minuut te achterhalen.

Intussen was er niet stilgezeten en moest er snel een vervanger komen voor wep. Dat gebeurde in de vorm van het 802.11i-protocol, waarvan de eerste draft in 2004 werd goedgekeurd. In eerste instantie was daar wpa, wat staat voor wi-fi protected access en moet worden gezien als snelle tussenmaatregel om de ernstigste tekortkomingen van wep uit de wereld te helpen. Wpa komt in feite neer op tkip, dat op zijn beurt weer staat voor temporal key integrity protocol, maar sinds 2012 wordt aangeduid als deprecated. Hierbij werd nog steeds gebruikgemaakt van rc4.

Wpa implementeerde echter maar een deel van de uiteindelijke 802.11i-specificatie, terwijl wpa2 verwijst naar de volledige. Wpa2 bracht het protocol ccmp met zich mee, wat gebruikmaakt van aes voor encryptie in plaats van rc4. Deze optie bood dan ook een hogere beveiligingsgraad dan tkip. De wpa2-specificatie bracht ook een andere vernieuwing met zich mee in de vorm van een zogenaamde 4-way handshake, die apparaten uitvoeren als ze bijvoorbeeld willen toetreden tot een draadloos netwerk. Wpa2 werd in 2006 verplicht gesteld bij de certificering van draadloze apparaten.

Versimpelde weergave van 4way-handshake, via papers.mathyvanhoef.com. PTK staat voor pairwise transient key.

Lange tijd bleef het vrij rustig rond de beveiliging van wpa2, totdat juist die handshake in 2017 problemen bleek op te leveren.

Krack

Dankzij Mathy Vanhoef en Frank Piessens, verbonden aan de KU Leuven, kwam de wereld er in oktober vorig jaar achter dat wpa2 niet onfeilbaar was. De onderzoekers presenteerden de aanval Krack, wat staat voor Key reinstallation attack. Deze houdt in dat een aanvaller een doelwit, bijvoorbeeld een smartphone, zover kan krijgen een sleutel voor encryptie van netwerkverkeer te gebruiken die al in gebruik is. Daardoor kan hij netwerkverkeer ontsleutelen en manipuleren. De aanval richt zich op de 4-way handshake van wpa2, door een bepaald bericht tijdens dat vierstappenproces te herhalen. De aanvaller kan dit forceren door pakketten op te vangen en deze opnieuw te verzenden. Met deze methode kan een aanvaller niet de encryptiesleutel zelf achterhalen.

De gevolgen van een Krack-aanval zijn te vergelijken met iemand die meeluistert op een open wifinetwerk zonder encryptie. Bij onversleuteld netwerkverkeer, bijvoorbeeld met een http-server, kan diegene vervolgens soms gevoelige informatie als logingegevens of encryptiesleutels opvangen. Als alsnog encryptie wordt gebruikt, bijvoorbeeld door middel van een https-verbinding, blijft dat netwerkverkeer versleuteld. Gelukkig bleek het mogelijk om bestaande wpa2-apparaten van software-updates te voorzien om de aan Krack gerelateerde kwetsbaarheden te dichten.

Demonstratie van Krack op Android

Ook volgde onlangs een ontdekking door het team achter de kraaktool Hashcat. Deze werkt volgens de ontdekkers alleen op wpa2 om pre-shared keys te kraken.

Wpa3

Het duurde vervolgens niet lang voordat de Wi-Fi Alliance een opvolger introduceerde in de vorm van wpa3. Dat gebeurde aan het begin van dit jaar met een vrij algemene aankondiging. Vervolgens begon het bijbehorende certificeringsprogramma in juni, waarin de alliantie wat meer details over wpa3 deelde. Zo bleek dat in feite maar een van de aanvankelijk genoemde eigenschappen verplicht is bij apparaten die wpa3 ondersteunen. De daadwerkelijke specificatie van wpa3, die op het moment van schrijven op de site van de Wi-Fi Alliance te vinden is, telt dan ook maar twee pagina’s met daadwerkelijke informatie.

Laten we eerst de interessantste verandering bespreken die wpa3 met zich meebrengt. De wijziging die onder wpa3 verplicht is voor personal-netwerken, staat bekend onder de naam simultaneous authentication of equals, oftewel sae. Deze methode voor authenticatie komt in de plaats van de eerdergenoemde pre-shared key van wpa2. Deze maakt gebruik van een nieuwe handshake, die de naam Dragonfly draagt en is beschreven in een rfc-document. Daarin wordt beschreven dat deze manier van het uitwisselen van een sleutel bescherming biedt tegen een aanvaller die de sleutel wil achterhalen door middel van een offline dictionary attack. Dragonfly staat op naam van Dan Harkins en de totstandkoming ervan ging niet zonder slag of stoot. Een andere eigenschap, beschreven in een security proof van Dragonfly, is dat een aanvaller die achter het wachtwoord van een draadloos netwerk komt, dit niet kan gebruiken om verkeer te ontsleutelen dat hij in het verleden heeft opgevangen. Deze eigenschap staat ook bekend als forward secrecy. Deze is niet aanwezig in wpa2.

De Wi-Fi Alliance schrijft over sae: "In een wifinetwerk onderhandelt de sae-handshake een nieuwe pairwise master key per cliŽnt, die vervolgens wordt gebruikt in een traditionele 4-way handshake om sessiesleutels te genereren. Noch de master key, noch het wachtwoord dat in de sae-uitwisseling wordt gebruikt, kan worden verkregen door een passieve aanval, actieve aanval of offline dictionaryaanval. Het achterhalen van het wachtwoord is alleen mogelijk door herhaalde actieve aanvallen die telkens een ander wachtwoord raden. Daarnaast wordt forward secrecy geboden, omdat de sae-handshake verzekert dat de masterkey niet kan worden teruggevonden als het wachtwoord wordt achterhaald."

Naast wpa3-personal is er een tweede variant, genaamd wpa3-enterprise. Zoals de naam al doet vermoeden, is deze bedoeld voor zakelijke omgevingen. In een document over de techniek achter wpa3 staat: "Wpa3-enterprise wijzigt of vervangt de protocollen in wpa2-enterprise of de onderliggende 802.11-standaard niet fundamenteel." De enterprisevariant introduceert wel een optionele modus die volgens de Wi-Fi Alliance 'een minimale beveiliging van 192bit moet bieden' met ondersteuning voor technieken als hmac-sha384 en 384bit-ecdh.

Een van de optionele onderdelen van wpa3 is een techniek die de naam EasyConnect draagt. Volgens de beschrijving van de Wi-Fi Alliance moet deze techniek het eenvoudiger maken om een apparaat aan een draadloos netwerk toe te voegen. Dat moet ook gelden voor apparaten met een ontbrekende of minimale interface, zoals internet-of-thingsapparatuur. Het idee is dat een apparaat met interface, neem een smartphone, de rol vervult van een al op het netwerk aangemelde configurator. Die kan vervolgens weer andere apparaten aan het netwerk toevoegen door eerst de qr-code van het accesspoint te scannen en vervolgens de qr-code van het toe te voegen apparaat, bijvoorbeeld een printer of deurbel. De configurator kan ook het accesspoint zelf zijn, waarbij de configuratie plaatsvindt via de webinterface. Ook hoeft het niet per se een qr-code te zijn, maar is een door mensen leesbare reeks tekens ook een optie.

Afbeelding van WI-Fi Alliance

EasyConnect moet het toevoegen van apparaten dus vergemakkelijken, waarmee het overeenkomsten vertoont met wps, oftewel wi-fi protected setup. Je weet wel, die knop die je op de router moest indrukken om vervolgens een apparaat toe te voegen. Er bestaat al lange tijd een bekende kwetsbaarheid in wps, doordat een aanvaller de bijbehorende pincode kan bruteforcen. Het is dan ook aan te raden deze functie uit te zetten of het aantal pogingen voor het invoeren van een pincode te beperken.

Naast EasyConnect is er een onderdeel dat bekendstaat als enhanced open. Volgens de alliantie is dat gebaseerd op opportunistic wireless encryption, oftewel owe. Dat is beschreven in een specificatie en is op zijn beurt afgeleid van opportunistic encryption. Met de introductie van enhanced open doet de Wi-Fi Alliance een poging om open hotspots te beschermen, die je veel tegenkomt in bijvoorbeeld koffietentjes en winkels. De techniek zorgt ervoor dat het verkeer tussen een cliŽnt en een accesspoint is versleuteld, wat moet beschermen tegen passieve aanvallen als afluisteren of het injecteren van netwerkpakketten. Er vindt echter geen authenticatie plaats, dus een kwaadwillende kan zich alsnog voordoen als een accesspoint.

Gaan we erop vooruit?

Tweakers sprak met Mathy Vanhoef, de onderzoeker achter Krack, over de introductie van wpa3 en zijn verwachtingen ervan.

Over de lengte van de specificatie die door de Wi-Fi Alliance is gepubliceerd, zegt Vanhoef: "Het is logisch dat deze kort is, omdat de alliantie in feite alleen naar bestaande standaarden verwijst." Wpa3 is dan ook geen nieuwe standaard, maar als je het bijbehorende stickertje op de router wilt plakken, moet je wel aan de in de specificatie genoemde standaarden voldoen. Het is dus een certificeringsprogramma.

"De verbetering die is gegarandeerd, is de vernieuwde handshake. Die is beter dan de 4-way handshake die nu in wpa2 wordt toegepast. Wat nu niet meer kan, is dat een aanvaller gegevens onderschept en vervolgens naar huis gaat om deze offline te kraken." Daarmee doelt hij erop dat het bij wpa2 mogelijk is om het verkeer tussen een accesspoint en een cliŽnt in de gaten te houden en met behulp van eenvoudig verkrijgbare tools de handshake vast te leggen.

Als een aanvaller die eenmaal heeft, hoeft hij niet meer in de buurt van het draadloze netwerk te zijn om een bruteforceaanval op het vastgelegde bestandje uit te voeren. Zo kan hij bijvoorbeeld een dictionary attack uitvoeren, waarbij met grote snelheid allerlei mogelijke wachtwoorden worden geprobeerd. Voor een betrekkelijk simpel wachtwoord is geen bijzonder zware hardware nodig. Er zijn op het internet verschillende grote woordenlijsten te vinden die specifiek zijn gericht op het kraken van wpa2-wachtwoorden. Het verkrijgen van een handshake werd vaak vergemakkelijkt doordat een gebruiker eenvoudig van een draadloos netwerk af te halen was met een deauthentication attack, waarna hij opnieuw verbinding moest maken. Deze aanval moet in wpa3 bemoeilijkt worden door het gebruik van protected management frames.

Airodump-ng scanning, door Christiaan Colen, CC BY-SA 2.0

Volgens Vanhoef betekent de vernieuwde handshake niet dat een aanvaller helemaal geen mogelijkheden meer heeft om het wachtwoord te achterhalen. "Hij zou bijvoorbeeld een voor een verschillende handshakes kunnen uitproberen. Dan moet hij wel in de buurt zijn. Maar ook daartegen is het mogelijk bescherming in te bouwen, bijvoorbeeld doordat een router een beperking hanteert voor het toegestane aantal foute pogingen."

Krack en implementaties

Op de vraag of de nieuwe handshake dan ook meteen Krack uit de wereld helpt, antwoordt Vanhoef: "Dragonfly vermijdt Krack niet, maar de Wi-Fi Alliance gaat daarop testen in het certificeringsprogramma. Dat doet zij sinds januari ook al binnen het certificeringsprogramma voor wpa2." De alliantie zet die tests dus door bij wpa3.

Vanhoef onderzocht niet alleen de handshake van wpa2, maar keek in het verleden ook naar de implementatie ervan. Dat deed hij door fuzzing toe te passen. Op de vraag of deze aanpak ook voor wpa3 geschikt is, zegt hij dat zijn project 'zeker voor herhaling vatbaar' zal zijn. Daarbij wijst de onderzoeker op een ander punt dat bij de veiligheid van de nieuwe handshake van belang kan zijn. "Het is goed dat wpa3 er nu is, maar er was wel discussie over de totstandkoming. Er zijn namelijk betere alternatieven voor de nu gekozen Dragonfly-handshake."

Bij de vraag waarin deze handshake tekortschiet, komt Vanhoef terug op de implementatie door fabrikanten. "Het is waarschijnlijker dat er [bij Dragonfly, red.] implementatiefouten voorkomen. Die zouden vervolgens bijvoorbeeld weer een timing attack mogelijk kunnen maken, waarmee een aanvaller details over het wachtwoord zou kunnen achterhalen." Daarnaast is Vanhoef kritisch over de gesloten houding van de Wi-Fi Alliance. Zo zou het beter zijn geweest om het proces rond wpa3 publiek te laten verlopen in plaats van achter gesloten deuren.

Gemiste kans

Vanhoef heeft het wpa3-certificeringsprogramma eerder al in een blogpost een 'gemiste kans' genoemd. Zo had hij graag gezien dat EasyConnect in het programma was opgenomen in plaats van het nu als een optioneel extra programma aan te bieden. "Een naam als EasyConnect zegt een gemiddelde gebruiker weinig. Dus nu moet je ook letten op dat tweede label. Het was beter geweest als dit ook gewoon in wpa3 had gezeten, zodat je tegen mensen had kunnen zeggen dat ze alleen op die ene naam hoeven te letten."

Wifitunnel, door Carl Nenzťn Lovťn, CC BY 2.0

Gevraagd naar andere voorbeelden, antwoordt Vanhoef dat ook mac address randomization in wpa3 opgenomen had kunnen worden. Dat biedt bescherming tegen tracking op basis van het mac-adres. "Besturingssystemen gebruiken deze techniek bijvoorbeeld al, zoiets was ook nuttig geweest. Het had ook onder de wpa3-paraplu ondergebracht kunnen worden." Ten slotte had het programma mensen ertoe kunnen aanzetten hun ssid niet op 'verborgen' te zetten. Bijvoorbeeld door dit minder makkelijk te maken in de configuratieopties van routers. Volgens Vanhoef zou dit ook weer de privacy van gebruikers ten goede komen. Hij legt uit dat als mensen hun ssid verbergen, hun apparaten in bepaalde intervallen actief naar dat netwerk op zoek gaan. Dit is weer door anderen op te vangen. "Als je een vrij unieke naam hebt voor je draadloze netwerk, ben je daardoor juist weer makkelijker te volgen", aldus Vanhoef.

Tot slot

Het ziet ernaar uit dat de beveiliging van draadloze netwerken erop vooruit zal gaan met de introductie van wpa3, al is niet aan te nemen dat daarmee alle mogelijke tekortkomingen uit te wereld zijn geholpen. Het gaat bovendien waarschijnlijk ook nog enige tijd duren voordat wpa3 een inhaalslag ten opzichte van zijn voorganger heeft gemaakt. De overgang moet vergemakkelijkt worden door een transition mode, waarbij accesspoints zowel wpa3- als wpa2-apparaten ondersteunen. Daarbij worden echter legacy-protocollen als tkip uitgesloten.

Reacties (55)

Wijzig sortering
Interessant zou zijn om te weten of WPA3 simpelweg ondersteund zou kunnen worden door bestaande routers (met afdoende specs) door een softwareupdate of dat er ook (nieuwe) hardware-eisen zijn. Dit is mij niet helemaal duidelijk vanuit het artikel (hoewel het er in mijn ogen op lijkt dat een softwareupdate genoeg zou kunnen zijn).
Als ik het zo lees denk ik ook dat het softwarematig zou kunnen. Echter zal je als fabrikant dan (oudere) apparaten opnieuw moeten laten certificeren voordat ze mogen zeggen dat ze wpa3 certified zijn. En dat zie ik niet heel snel gebeuren.
Vast iemand die daar meer over weet.
Asus (bijvoorbeeld) verkoopt nog steeds inmiddels jarenoude routers (bijv. AC68U, uit 2013), deze krijgen ook regelmatig software en beveiligingsupdates. Wellicht dat zij een aantal van hun routers nog gaan upgraden naar WPA3?

Ze kunnen dan zonder de ontwikkelkosten voor een geheel nieuwe router toch WPA3 routers aanbieden. Zo hebben ze ook 5 -6 jaar oude routers nog mesh-functionaliteit gegeven afgelopen jaar.

[Reactie gewijzigd door RatedR op 17 augustus 2018 07:41]

https://www.snbforums.com...pa3-device-support.47434/
Zoals ik al had vermeld bij xirt, staat hier dat Asus nog geen reactie heeft gegeven. Op een apart forum: https://www.snbforums.com...c68u-ever-get-wpa3.47455/
Is wel gezegd dat broadcom dit zelf eerst in de software moet zetten voordat Asus het kan updaten.
Zelf heb ik geen artikel over broadcom met wpa3 certificaat kunnen vinden.
Zelf heb ik net een nieuwe unify AP gekocht. Deze firma doet normaal gesproken wel updates van bestaande hardware. echter de vraag is of ze ook de Broadcom (of wat voor chip deze heeft) kunnen flashen tijdens de firmware upgrade.

Ik hoop het wel, want ik will deze AP wel een paar jaar blijfen gebruiken nog.
Jij gaat er voor het gemak vanuit dat de hardware nog beschikbaar is. Asus is in weze een assemblage bedrijf wat afhankelijk is van bv Broadcom voor de onderdelen.
Meer een ontwerp en marketing bedrijf. Zoals bij de meeste grote bekende merken, wordt productie uitbesteed. Kun je trouwens doortrekken naar andere dingen die Asus doet zoals laptops, moederborden, videokaarten, enzovoort. Geld trouwens voor zo goed als alle bekende merken van deze producten.
Zo lees ik het ook. Marketingtechnisch zou je natuurlijk dezelfde hardware uit kunnen brengen met alleen een WPA3 certificering erbij en hier een nieuw typenummer aan koppelen. Dan beperk je de (extra) kosten en krijg je online ook geen onduidelijkheid over of iets nu wel of niet ondersteund wordt.

Verder denk ik dat partijen als KPN en Ziggo dit wel asap zouden willen invoeren, de betreffende leveranciers willen waarschijnlijk een nieuwe aanbesteding voorkomen (of pitchen, of onderhandelen over de prijs) en zullen daardoor mogelijk wel met software updates komen voor bestaande series, zodat ze die uit kunnen blijven leveren.
ik denk zelfs dat elke ISP die aan consumenten levert, hier asap actie op wil ondernemen. Het is serieus killing voor je reputatie als je in het nieuws komt met de melding dat de router die je standaard aan je klanten levert een aardig beveiligingslek heeft omdat de technologie achterloopt.
Denk je? Ik heb bij een van mijn buren nog een Ziggo-modem laten vervangen die alleen 2,4Ghz ondersteunde en 1 ethernetpoort had. Dat is echt een antiek ding en die heeft Ziggo lekker laten hangen tot de handige buurman (ikke) eens heeft geÔnventariseerd waarom hun internet zo langzaam was en het elke keer weg viel.
N=1 :) 1 router bij 1 provider is geen patroon
Ik geloof niet dat dat toevallig het enige modem in Nederland was bij toevallig een obscure provider. De meeste consumenten hebben er namelijk totaal geen interesse.
off topic: Net toen ik thuis kwam begon ik met lezen en stond je comment er niet. Ik heb zojuist precies hetzelfde geschreven als commentaar hier onder.

On topic:
"De alliantie publiceerde een aankondiging, maar de details kwamen niet bijzonder uitgebreid aan de orde. "

Zoals Tweakers al zegt, de details zijn nog niet op orde. Waarschijnlijk (aanname) wordt er al overlegt met bedrijven of het mogelijk is met een software update, maar zelfs dan moeten bij sommige het wachtwoord of zelfs ook de naam veranderd worden en dit kan dan niet zomaar heel even zonder dat de admin dat weet.

Daarnaast heb ik dit wel net op de Netgear site gevonden dat het mogelijk is om het via de software een update vrij te geven naar wpa 3, maar daar zijn ze nog mee bezig.
https://community.netgear...ware-Upgrade/td-p/1598432

Edit:
Na wat research heb ik dit gevonden:
https://www.snbforums.com...pa3-device-support.47434/
Hier wordt er gezegd wat Netgear, Linksys en Qualcomm hebben te zeggen over de software update van wpa3

[Reactie gewijzigd door Mister Hardware op 17 augustus 2018 07:46]

Ze zijn tegenwoordig wel slinks genoeg om - ook al zou het misschien mogelijk zijn op een huidige router - het zo te brengen dat je nieuwe apparatuur nodig hebt, geld is immers geld en de consument moet waar het even kan leeggeplukt worden.
Dus reken er maar niet op dat deze update softwarematig op de markt gaat komen.
Ik denk dat dat afhangt van de fabrikant en het model, waarbij mogelijk "goedkoop is duurkoop" een rol gaat spelen.
Eigenlijk moet de Europese unie dit verplicht stellen aan fabrikanten, veilig internet voor iedereen toch.
Ik denk inderdaad ook dat fabrikanten dit gaan misbruiken voor extra poen ;)
MikroTik heeft daar wel een statement over gegeven:
https://forum.mikrotik.com/viewtopic.php?t=129518
Het lijkt er op dat dit onderdeel zal worden van de free upgrades die je bij de router krijgt; natuurlijk mits de hardware het ondersteund ;)
klopt wat je zegt. er staat niet in of die nieuwe standaardisering ook down Wards compatibel is met elkaar.
Heeft tevens ook te maken hoeveel handshakes hij moet maken en natuurlijk de versleuteling hoeveel bits hij dat doet.Hoe hoger de bit de versleuteling is hoe moeilijker het is om een apparaat te hacken.
Deste veiliger de verbinding is.
idd beetje gemiste kans in het artikel.
Wat ik uit dit artikel niet direct haal is of fabrikanten WPA3 dmv een firmware update beschikbaar kunnen maken of dat dit "hardware" afhankelijk is gezien het "certificaat"
Zoals vermeld in een andere commentaar is het wel afhankelijk van de hardware. In ieder geval wel bij netgear.
Of ze doen het om mensen nieuwe hardware te laten kopen of er zit een concrete reden achter.
Link:
https://community.netgear...ware-Upgrade/td-p/1598432

Edit:goede link er tussen gezet.

[Reactie gewijzigd door Mister Hardware op 17 augustus 2018 07:49]

In de link die je post staat:
We deem that it’s highly likely that the majority of products should be able to make use of the feature by updating firmware on existing product
Dus, firmware update voor bestaande consumenten producten en hardware vervangen voor enterprise producten, toch?
Ja en nee, het kan zijn dat het moet vervangen worden vanwege encryption redenen, maar dat hoeft niet per se.


''WPA3 has two components – Personal and Enterprise. Our statements are only in context of Personal WPA3. Enterprise version is supposed to add 192-bit encryption and may impact hardware."

De nadruk moet je hier op het *may* leggen, of te wel kan.

Zelf kan ik niet in schatten hoeveel producten dat zijn en hoe groot de impact word.

[Reactie gewijzigd door Mister Hardware op 17 augustus 2018 18:33]

WPA3 ondersteuning kan net als WPA2 ondersteuning gewoon softwarematig toegevoegd worden. Het certificaat is een 'papieren' iets. Een notebook van nu met Linux, macOS of Windows zal straks ook gewoon WPA3 ondersteunen.

Fabrikanten van netwerkapparatuur kunnen het met een firmware update toevoegen zonder het 'WPA3 certified' te noemen, maar hebben liever dat je nieuwe apparatuur koopt. Ik denk wel dat WPA3 gewoon ondersteund zal worden door OpenWRT. ;)
Zal waarschijnlijk wel geld kosten waardoor de kans dat jij een update krijgt vermoedelijk sterk zal stijgen wanneer het product nog wordt verkocht.
In theorie zou je de apparaten kunnen upgraden. Ligt er per apparaat aan, wat voor hardware hij heeft een wat voor software wordt ondersteund.

Maar je zitvook vast aan de certificering voor elk apparaat.

Ben bang van niet.

[Reactie gewijzigd door F. Scaglietti op 17 augustus 2018 08:02]

hangt van je fabrikant af.

ik acht de kans zeer groot dat bij Ubiquiti bijvoorbeeld, de firmware upgrade een kwestie van tijd is.
Ben benieuwd hoe snel randapparatuur (lees hier onder andere telefoons, media spelers) updates voor krijgen. Best kans dat er straks vanuit de router software groep updates beschikbaar zijn (en misschien zelfs gepusht worden bij bepaalde modellen (Bij Netgear staat dit standaard aan bij een paar modellen) maar dan kan de rest van de apparatuur nog geen WPA3 aan omdat ze geen update hebben gehad. Veel routers ondersteunen een 2e wifi netwerk (die je dan evt op WPA2 zou kunnen zetten maar dan heb je weer juist niet de "kracht/ beveiliging" van WPA3 en veranderd je situatie met die van nu eigenlijk niet (ervan uit gaande dat je nu WPA2 gebruikt).

De overgang van WPA naar WPA2 ging naar mijn weten vrij makkelijk. Voor mijn gevoel kan het ook zo makkelijk zijn gegaan doordat er toen nog relatief weinig apparatuur WPA gebruikte.
Momenteel kan je in veel access points nog steeds "wpa compatible" of wpa/wpa2 beveiliging. Lijkt me dat dit bij wpa3 ook wel zo zal gaan( maar dan geen wpa1 meer). Apparaten die dan wpa3 ondersteunen zullen daar dan op verbinden en op den duur zullen wpa2 only devices dan automatisch wel verdwijnen. Op die manier hoef je geen 2e wifi netwerk in te stellen

Edit: staat zelfs in het slot verwoord

[Reactie gewijzigd door skelleniels op 17 augustus 2018 12:56]

Maar je doet eigenlijk dan wel een virtueel 2e netwerk opzetten het gaat alleen via hetzelfde netwerk maar er worden twee protocollen geaccepteerd. Ofwel de apparatuur die met WPA3 is verbonden hebben schijnveiligheid of de twee netwerk segmenten moeten los van elkaar zijn. In de situatie van mengen is je netwerk nog steeds vatbaar voor de lekken van WPA2.
Dat wel, maar op den duur gaan alle apparaten dan automatisch WPA3 zijn door ofwel update van het apparaat ofwel doordat het apparaat vervangen wordt wegens ouderdom. Mocht je zelf een 2e netwerk aanmaken met WPA2 only zal dit niet zo zijn omdat de gebruiker(tenzij jij het alleen bent, maar in een bedrijf is dit anders) vaak zelfs met zijn nieuw toestel nog steeds op dat WPA2 netwerk zal verbinden. OP die manier zal het in stand blijven natuurlijk.

Het zal dan sowieso al veiliger zijn dan nu, omdat je nu meestal WPA2/WPA ondersteuning hebt. Vanaf WPA3 zal TKIP(WPA) niet meer ondersteund worden, zal dan minimum WPA2 zijn.
Daar zat ik inderdaad ook over na te denken.
Veel WiFi devices hebben een vrij korte life cycle.

Bij printers wordt dat echter al wat twijfelachtig (vorige printer is onlangs na 8 jaar vervangen), maar wat denk je van bijvoorbeeld zonnepaneel omvormers: mijn (Chinese) omvormer heeft WiFi voor logging. Ik heb niet de illusie dat die nog een firmware update naar WPA3 gaat krijgen. Het apparaat is in 2013 in bedrijf gesteld, en ik ga er vanuit dat het nog wel een flink aantal jaren mee gaat.
Je kan WiFi beter gewoon uitzetten op dat soort dingen. Je panelen werken net zo goed zonder remote access tot je logs, en als als je echt niet zonder kan, zet het beter in een apart afgeschermd deel van je LAN dat niet bij de rest van je andere devices en het internet kan.
Als je nu een aio abbo afsluit is de kans nog redelijk groot dat je een experiabox v8 van jaren oud krijgt.
De meeste consumenten malen daar niet om.
Als je de router van je ISP gebruikt boeit veiligheid en funcionaliteit je sowieso al weinig..
Of je realiseert je dat je ISP in 99.9% van de gevallen een betere beheerder/updater/patcher is dan jijzelf :)
Als je onder 'beheren' verstaat 'alle nuttige functies eruit slopen' (bridge mode, port forwarding bijv) dan ja... Leuk voor de power users.

En nee, over het algemeen is dat helemaal niet waar. Denk aan:
- UPC: 8 letter WPA2 paswoord met entropie van slechts 23 tekens (A-Z behalve I,L en O). Te kraken in 1 dag met GPU. In sommige gevallen bovendien gebaseerd op SSID.
- Een Duits netwerk dat al hun modems beheert met plaintext paswoorden waardoor je iedereen zijn modem kan pwnen zonder enige moeite.
- Vele andere netwerken die op basis van SSID gegenereerde WiFi paswoorden gebruikten (bijv. Eircom)

En ja al deze dingen zijn inmiddels gefixt. Maar dat is juist het punt. Hoeveel zijn er niet ontdekt/bekend gemaakt?

Ik heb er helemaal niet zoveel vertrouwen in. Over het algemeen willen providers maar 1 ding: Zo goedkoop mogelijk. Uitgebreide functieset en goed nadenken over privacy/beveiliging gaat daar niet echt mee samen.

[Reactie gewijzigd door GekkePrutser op 17 augustus 2018 16:09]

Geweldig artikel alleen wat ik me af vraag is of er ook een mogelijkheid is om de wpa 3 certificatie uit te voeren op wat oudere routers(elke router die 801.11ac netwerk kan gebruiken).
De routers die al een bepaalde admin app al hebben bijvoorbeeld. Is er niet een mogelijkheid om het wachtwoord en de naam automatisch te laten veranderen bij de volgende keer dat je inlogt, naar een wpa3 gecertificeerde combinatie.

Dit zou het makkelijker en veiliger maken zonder extra gebruikelijke kosten. Ik snap dat dit nu al kan door het zelf te doen, maar sommige mensen zijn niet zo actief als het gaat om routers, bijvoorbeeld mensen die denken: als het maar werkt is het goed.
wpa3 ondersteuning zal alleen met een firmware update kunnen.

Fabrikanten zullen alleen voor modellen met een wat langere support-horizon die moeite gaan doen.

@Mister Hardware Heb jij hetzelfde artikel gelezen als ik? Andere handshake is toch wel meer dan alleen een wachtwoord. Het is een hele andere wijze van authenticatie.

Waarom ze het doen is zodat zelfs na het achterhalen van een zwak, makkelijk te raden wachtwoord het niet mogelijk is om eerder opgenomen verkeer alsnog te decrypten (forward secrecy).

[Reactie gewijzigd door Keypunchie op 17 augustus 2018 12:46]

Het is een certificering voor de nieuwe producten, meer niet. Alleen hoe gaan ze die uit voeren op slechte wachtwoorden van bestaande producten. Worden die dan veranderd in betere en hoe gaan ze de gebruiker laten weten dat er een update is en of het wachtwoord is veranderd.
Toch nog steeds 6,92% voor WEP en 6,22% voor WPA (1) en eigenlijk vindt ik dat behoorlijk schrikbarende cijfers. Kom maar op met WPA3, misschien zorgt dit er voor dat die oude rommel eens een keer wordt opgeruimd.
Hoe zie je dat voor je? Denk je dat iemand die nog WEP gebruikt terwijl WPA2 bestaat daarmee zal stoppen omdat inmiddels WPA3 beschikbaar is?
Als het niet meer werkt, zullen ze wel moeten.
Hij legt uit dat als mensen hun ssid verbergen, hun apparaten in bepaalde intervallen actief naar dat netwerk op zoek gaan. Dit is weer door anderen op te vangen. "Als je een vrij unieke naam hebt voor je draadloze netwerk, ben je daardoor juist weer makkelijker te volgen", aldus Vanhoef.
Inderdaad, ik snap dan ook niet dat zoveel mensen dit nog steeds doen.

Als je je SSID broadcast gewoon aan hebt, zal je eigen AP continu zijn naam uitsturen. Op een plaats waar het toch al bekend is dat je er woont. Als je die uitzet, zal elk client apparaat zeer regelmatig de SSID naam uitzenden in een poging deze te zoeken. Dus je telefoon, je tablet, je laptop enz.

Dus wat privacy betreft is dat juist ontzettend contraproduktief. Als beveiliging heeft het ook geen enkel nut. Ik denk dat het alleen nog gedaan wordt omdat mensen dit niet weten. Vandaar dat ik het hier nog even benadruk.

[Reactie gewijzigd door GekkePrutser op 17 augustus 2018 12:06]

met mac address word toch ook gebruikt bij het ssid? Dus wat maakt de naam dan uit als er toch al een unieke id aan een ssid hangt?
De SSID vertelt vaak veel over je netwerk.

Het gebeurt vaak dat ik een telefoon langs zie komen (in de trein bijvoorbeeld) die zich identificeert als "Jaap's iPhone" en vervolgens loopt te zoeken naar een netwerk als "Jansen WiFi" :)

Bovendien wordt het MAC adres gerandomiseerd bij het zoeken naar WiFi AP's op de meeste mobiele OS'en, maar het gezochte SSID uiteraard niet (anders zou het niet werken namelijk).

Als je geen hidden SSID gebruikt thuis, dan voorkom je dat je telefoon continu de naam van je thuisnetwerk in het rond loopt te schreeuwen.

[Reactie gewijzigd door GekkePrutser op 17 augustus 2018 15:55]

Interessant artikel! Het is inderdaad een gemiste kans dat mac adres randomization niet is opgenomen.
Ik ben wel benieuwd of wifi kaartjes in laptops, veelal Intel te upgraden zijn. Anders is vervangen door een nieuw kaartje een optie neem ik aan.
Ik denk wel dat dat mogelijk is op meeste laptops. Tenzij je een pro model van hp hebt.. Die slikt alleen hardware die door hp geleverd word.
Vraag me af wanneer dit een beetje beschikbaar wordt voor routers en mobiele devices. Je zult toch eerst ondersteuning moeten hebben voor je het thuis kunt gaan gebruiken...

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True