پروتکل WPA3 — از صفر تا صد
WPA3 روشی بهبود یافته و آسان برای اتصال است. بزرگترین بهروزرسانی امنیتی وایفای در طی 14 سال گذشته، اخیراً از سوی اتحادیه وایفای معرفی شده است. پروتکل گواهی امنیتی WPA3 به معنی «دسترسی حفاظت شده وایفای 3» (Wi-Fi Protected Access 3) بهروزرسانیهای بسیار ضروری امنیتی را در مورد پروتکل WPA2 که در سال 2004 عرضه شده بود ارائه کرده است. WPA3 به جای معرفی یک شبکهبندی کاملاً متفاوت بیشتر بر روی عرضه فناوریهای جدید برای مقابله با شکافهای امنیتی در WPA2 متمرکز شده است.
پروتکلهای جدید
اتحادیه وایفای همچنین دو پروتکل گواهی مجزا دیگر به همراه WPA3 معرفی کرده است. پروتکلهای اتصال آسان (Easy Connect) و باز بهینه (Enhanced Open) ربطی به WPA3 ندارند؛ اما موجب بهبود امنیت در برخی از انواع شبکهها و موقعیتهای خاص میشوند.
همه این پروتکلها اینک در اختیار سازندگان دستگاهها قرار گرفتهاند تا در وسیلههای خود از آن استفاده کنند. اگر WPA2 چیزی است که روزی کنار گذاشته خواهد شد، این پروتکلها در نهایت در سراسر دنیا مورد استفاده قرار میگیرند؛ اما اتحادیه وایفای هیچ محدودیت زمانی برای این که این اتفاق چه زمانی رخ میدهد تعیین نکرده است. به احتمال زیاد با ورود این دستگاههای جدید به بازار در نهایت شاهد زمانی خواهیم بود که WPA3 برای اتصال سریع و باز بهبود یافته به فناوری غالب تبدیل میشود.
احتمالاً برای شما سؤال پیش آمده باشد که این پروتکلهای گواهی امنیتی چگونه عمل میکنند؟ جزییات فنی این پروتکلها زیاد است و از آنجا که اغلب آنها به رمزنگاری بیسیم مربوط هستند، مباحث ریاضی نیز کاملاً پیچیده هستند؛ اما در این نوشته چهار تغییر عمدهای که این پروتکلها در امنیت بیسیم ایجاد میکنند را توضیح دادهایم.
احراز هویت همزمان مساوی (Simultaneous Authentication of Equals)
این بزرگترین تغییری است که WPA3 با خود به همراه آورده است. مهمترین ویژگی در جنبه دفاعی هر شبکهای زمانی است که یک دستگاه جدید تلاش میکند تا به آن وصل شود. دشمن باید در پشت دروازهها بماند و از همین رو WPA2 و اینک WPA3 تأکید زیادی روی اتصالهای جدید و تضمین عدم موفقیت مهاجمان برای ایجاد دسترسی دارند.
احراز هویت همزمان مساوی (SAE) روش جدیدی برای احراز هویت دستگاههایی است که تلاش میکنند به شبکه وصل شوند. این فناوری نسخه تغییریافتهای از فناوری dragonfly handshake است که از رمزنگاری برای جلوگیری از حدس زدن رمزها از سوی مهاجمان استفاده میکند. SAE الزام میکند که یک دستگاه یا کاربر جدید هنگامی که قصد دارد کلیدهای رمزنگاری را مبادله کند، دقیقاً باید چگونه با یک روتر شبکه مواجه شود.
SAE جایگزین روش کلید از قبل اشتراک یافته (PSK) شده است که از زمان WPA2 در سال 2004 مورد استفاده قرار گرفته است. PSK همچنین به نام handshake چهار طرفه نیز شناخته میشود که پس از چند بار دست دادن رو به عقب و جلو یا پیامهایی که باید بین روتر و دستگاه متصل شونده تأیید میکند که رمز عبور قبلاً توافق شده بدون این که هیچ یک از طرفین آن را نقض کرده باشند برقرار است. تا سال 2016، PSK امن به نظر میرسید؛ اما در این سال حملههای نصب مجدد کلید (KRACK) کشف شدند.
حملههای KRACK
در یک حمله KRACK یک سری از handshake-ها با تظاهر به فقدان موقتی اتصال به روتر متوقف میشدند. در واقعیت این تکنیک از فرصتهای اتصال تکراری برای تحلیل handshake-ها استفاده میکرد و بدین ترتیب میتوانست قطعههای احتمالی رمز را کنار هم بچیند. SAE این نوع حملهها و همچنین حملههای دیکشنری متداولتر را مسدود میکند. در حملههای دیکشنری یک رایانه صدها، هزاران یا میلیونها رمز عبور را بررسی میکند تا تشخیص دهد که کدام رمز عبور با اطلاعات ارائه شده از سوی فرایند handshake PSK مطابقت دارد.
همان طور که نام این فناوری نشان میدهد، SAE با یکسان تلقی کردن دو طرف به جای اینکه یک طرف را درخواستکننده و طرف دیگر را احراز کننده تصور کند، اقدام به احراز هویت میکند. هر کدام از طرفین میتوانند فرایند handshake را آغاز کنند و سپس اطلاعات احراز هویت را برخلاف روش handshake به صورت مبادله عقب و جلو، به طور مستقل ارسال نمایند. وقتی مبادله عقب و جلو حذف میشود دیگر KRACK جایی برای ابزار وجود نمییابد و حملههای دیکشنری نیز بیفایده هستند.
SAE ویژگی امنیتی دیگری نیز دارد که PSK فاقد آن بود و آن محرمانگی پیشرو (forward secrecy) است. فرض کنید یک مهاجم به دادههای رمز شدهای که یک روتر روی اینترنت ارسال و دریافت میکند، دسترسی داشته باشد. بدین ترتیب مهاجم میتواند دادهها را از قبل نگهداری کند تا بعداً که رمز را به دست آورد آنها را رمزگشایی کند. با استفاده از SAE رمز عبور مورد استفاده برای رمزنگاری، هر بار که اتصال جدیدی ایجاد میشود تغییر مییابد و از این رو حتی اگر مهاجم بتواند وارد شبکه شود، تنها میتواند رمزهای عبور را برای رمزگشایی دادههایی که پس از ورودش ارسال شده سرقت کند.
SAE در استاندارد IEEE 802.11-2016 تعریف شده است که توضیحاتی بالغ بر 3500 صفحه دارد.
پروتکلهای محرمانگی 192 بیتی
WPA3-انترپرایز (WPA3-Enterprise) نسخهای از گواهی WAP3 محسوب میشود که جهت موسسههای مالی، دولتها و سازمانهای بزرگ تدارک دیده شده و از رمزنگاری 192 بیتی استفاده میکند. این سطح بالای محرمانگی برای یک روتر خانگی مورد نیاز نیست؛ اما در شبکههایی که با اطلاعات حساسی سروکار دارند، استفاده از آن معقول است.
وایفای در حال حاضر از امنیت 128 بیتی بهره میگیرد. پروتکل امنیتی 192 بیتی اجباری نیست؛ اما برای موسسههایی که میخواهند امنیت بیشتری در شبکههای خود داشته باشد، یک گزینه اختیاری محسوب میشود. اتحادیه وایفای همچنین بر بهرهگیری از سطح قدرتمندی از رمزنگاری در شبکههای سازمانی تأکید دارد، چون سطح کلی امنیت چنین سیستمهایی بر روی ضعیفترین حلقه زنجیر که روترهای بیسیم است، تکیه دارد.
WPA3-انترپرایز، برای تضمین این که امنیت کل شبکه از ابتدا تا انتها حفظ میشود و حفظ این انسجام امنیتی، از پروتکل 256 بیتی حالت Galois/Counter برای رمزنگاری، یک حالت احراز هویت پیام هَش شده 384 بیتی برای ایجاد و تأیید کلیدها و از مبادله دیف–هیلمن (Diffie-Hellman) منحنی بیضوی (Elliptic curve) و الگوریتم امضای منحنی بیضوی برای کلیدهای احراز هویت شده بهره میگیرد. این الگوریتمها شامل مباحث بسیار پیچیده ریاضیاتی هستند؛ اما به طور خلاصه میتوان اشاره کرد که در هر گام این فرایند دستکم رمزنگاری 192 بیتی که کمترین سطح امنیت برای سازمانهای استفاده کننده محسوب میشود حفظ خواهد شد.
اتصال آسان (Easy Connect)
بحث اتصال آسان در دنیای امروز یکی از مهمترین مباحثی است که اغلب دستگاهها خواهان آن هستند. با این که امروزه همه افراد از خانههای هوشمند استفاده نمیکنند؛ اما واقعیت این است که امروزه خانوارها به طور متوسط چندین دستگاه بیشتر از سال 2004 دارند که به روتر خانگی وصل میشوند. اتصال آسان تلاشی از سوی اتحادیه وایفای است تا همه این دستگاهها به روشی آسانتر به شبکه وصل شوند.
بدین ترتیب به جای این که هر بار میخواهید یک دستگاه به شبکه اضافه شود، رمز عبوری را وارد کنید؛ اینک دستگاهها کد QR منحصر به فردی دارند که به عنوان نوعی کلید عمومی عمل میکند. برای افزودن یک وسیله میتوانید این کد را با استفاده از گوشی هوشمند خود که از قبل به شبکه اضافه شده است اسکن کنید.
پس از اسکن کردن کد QR، شبکه و آن دستگاه کلیدها را مبادله کرده و فرایند احراز هویت برای اتصالهای آینده صورت میگیرد. اتصال آسان یک پروتکل جداگانه است که در WPA3 معرفی شده است. دستگاههای دارای این مجوز باید دارای گواهی WPA2 باشند، اما نیاز نیست که مجوز WPA3 را دریافت کرده باشند.
باز بهینه (Enhanced Open)
پروتکل «باز بهینه» پروتکل جداگانه دیگری است که برای حفاظت از شما در مواقعی که به شبکههای باز وصل میشوید، طراحی شده است. شبکههای باز یعنی شبکههایی که در کافیشاپها و فرودگاهها به آنها وصل میشوید، مجموعه مشکلاتی دارند که معمولاً هنگام استفاده از شبکه خانگی یا کاری با آنها مواجه نمیشویم.
بسیاری از حملههایی که روی شبکههای باز صوت میگیرند، به صورت حملههای منفعل (passive) هستند. با وجود افراد بیشماری که از این شبکهها استفاده میکنند، فرد مهاجم میتواند با نشستن پشت رایانه خود و رصد دادههای زیادی که مبادله میشوند، راههای نفوذ فراوانی بیابد.
پروتکل باز بهینه از رمزنگاری بیسیم فرصتطلبانه (opportunistic) یا به اختصار OWE استفاده میکند که در استاندارد گروه «کاری مهندسی اینترنت» RFC 8110 تعریف شده و در برابر این نوع رصدهای منفعل حفاظت ایجاد میکند. OWE نیازمند هیچگونه حفاظت احراز هویت اضافی نیست و روی بهبود رمزنگاری دادههای ارسالی بر روی شبکههای عمومی متمرکز شده است، به طوری که رصدگران نتوانند این دادهها را سرقت کنند. این پروتکل همچنین از حملههای تزریق بسته ساده جلوگیری میکند. در این حملهها مهاجم تلاش میکند تا عملیاتهای شبکه را از طریق ساخت و ارسال بستههای دادهای که شبیه بستههای عملیاتهای نرمال شبکه هستند فریب بدهد.
نتیجهگیری
پدلیل این که در پروتکل باز بهینه هیچ حفاظتی به صورت احراز هویت ارائه نشده، این است که ماهیت شبکههای باز طبق طراحی آنها برای استفاده عمومی است. پروتکل باز بهینه برای بهبود لایه دفاعی یک شبکه باز در برابر حملههای منفعل بدون الزام کردن کاربران عادی به وارد کردن رمزهای عبور یا ورود به مرحلههای اضافی، طراحی شده است.
دستکم چند سال تا همهگیر شدن WPA3، پروتکلهای اتصال آسان، و باز بهینه زمان باقی مانده است. استفاده عمومی از WPA3 زمانی رخ میدهد که روترهای موجود ارتقا یابند یا با روترهای جدیدی تعویض شوند. با این حال اگر در مورد امنیت یک شبکه خانگی نگران هستید، میتوانید روتر فعلی خود را با یک روتر با گواهی WPA3 جایگزین کنید، چون شرکتهای سازنده در طی ماههای آتی آنها را به بازار عرضه خواهند کرد.
اگر این نوشته مورد توجه شما قرار گرفته است، موارد زیر نیز احتمالاً مورد علاقه شما خواهند بود:
- آموزش امنیت شبکه های کامپیوتری
- مدیریت مصرف اینترنت در هنگام هات اسپات (Hotspot)
- مجموعه آموزش های شبکه های کامپیوتری
- راهنمای جامع روشهای اتصال در اینترنت اشیا (Internet of Things)
- مجموعه آموزش های عمومی
- کاهش مصرف اینترنت در سیستم عاملهای اندروید و iOS
==