پروتکل WPA3 — از صفر تا صد

۷۰۰ بازدید
آخرین به‌روزرسانی: ۳۰ اردیبهشت ۱۴۰۲
زمان مطالعه: ۶ دقیقه
پروتکل WPA3 — از صفر تا صد

WPA3 روشی بهبود یافته و آسان برای اتصال است. بزرگ‌ترین به‌روزرسانی امنیتی وای‌فای در طی 14 سال گذشته، اخیراً از سوی اتحادیه وای‌فای معرفی شده است. پروتکل گواهی امنیتی WPA3 به معنی «دسترسی حفاظت شده وای‌فای 3» (Wi-Fi Protected Access 3) به‌روزرسانی‌های بسیار ضروری امنیتی را در مورد پروتکل WPA2 که در سال 2004 عرضه شده بود ارائه کرده است. WPA3 به جای معرفی یک شبکه‌بندی کاملاً متفاوت بیشتر بر روی عرضه فناوری‌های جدید برای مقابله با شکاف‌های امنیتی در WPA2 متمرکز شده است.

پروتکل‌های جدید

اتحادیه وای‌فای همچنین دو پروتکل گواهی مجزا دیگر به همراه WPA3 معرفی کرده است. پروتکل‌های اتصال آسان (Easy Connect) و باز بهینه‌ (Enhanced Open) ربطی به WPA3 ندارند؛ اما موجب بهبود امنیت در برخی از انواع شبکه‌ها و موقعیت‌های خاص می‌شوند.

همه این پروتکل‌ها اینک در اختیار سازندگان دستگاه‌ها قرار گرفته‌اند تا در وسیله‌های خود از آن استفاده کنند. اگر WPA2 چیزی است که روزی کنار گذاشته خواهد شد، این پروتکل‌ها در نهایت در سراسر دنیا مورد استفاده قرار می‌گیرند؛ اما اتحادیه وای‌فای هیچ محدودیت زمانی برای این که این اتفاق چه زمانی رخ می‌دهد تعیین نکرده است. به احتمال زیاد با ورود این دستگاه‌های جدید به بازار در نهایت شاهد زمانی خواهیم بود که WPA3 برای اتصال سریع و باز بهبود یافته به فناوری غالب تبدیل می‌شود.

احتمالاً برای شما سؤال پیش آمده باشد که این پروتکل‌های گواهی امنیتی چگونه عمل می‌کنند؟ جزییات فنی این پروتکل‌ها زیاد است و از آنجا که اغلب آن‌ها به رمزنگاری بی‌سیم مربوط هستند، مباحث ریاضی نیز کاملاً پیچیده هستند؛ اما در این نوشته چهار تغییر عمده‌ای که این پروتکل‌ها در امنیت بی‌سیم ایجاد می‌کنند را توضیح داده‌ایم.

Wi-Fi wireless internet router on dark background 3d

احراز هویت همزمان مساوی (Simultaneous Authentication of Equals)

این بزرگ‌ترین تغییری است که WPA3 با خود به همراه آورده است. مهم‌ترین ویژگی در جنبه دفاعی هر شبکه‌ای زمانی است که یک دستگاه جدید تلاش می‌کند تا به آن وصل شود. دشمن باید در پشت دروازه‌ها بماند و از همین رو WPA2 و اینک WPA3 تأکید زیادی روی اتصال‌های جدید و تضمین عدم موفقیت مهاجمان برای ایجاد دسترسی دارند.

احراز هویت همزمان مساوی (SAE) روش جدیدی برای احراز هویت دستگاه‌هایی است که تلاش می‌کنند به شبکه وصل شوند. این فناوری نسخه تغییریافته‌ای از فناوری dragonfly handshake است که از رمزنگاری برای جلوگیری از حدس زدن رمزها از سوی مهاجمان استفاده می‌کند. SAE الزام می‌کند که یک دستگاه یا کاربر جدید هنگامی که قصد دارد کلیدهای رمزنگاری را مبادله کند، دقیقاً باید چگونه با یک روتر شبکه مواجه شود.

SAE جایگزین روش کلید از قبل اشتراک یافته (PSK) شده است که از زمان WPA2 در سال 2004 مورد استفاده قرار گرفته است. PSK همچنین به نام handshake چهار طرفه نیز شناخته می‌شود که پس از چند بار دست دادن رو به عقب و جلو یا پیام‌هایی که باید بین روتر و دستگاه متصل شونده تأیید می‌کند که رمز عبور قبلاً توافق شده بدون این که هیچ یک از طرفین آن را نقض کرده باشند برقرار است. تا سال 2016، PSK امن به نظر می‌رسید؛ اما در این سال حمله‌های نصب مجدد کلید (KRACK) کشف شدند.

حمله‌های KRACK

در یک حمله KRACK یک سری از handshake-ها با تظاهر به فقدان موقتی اتصال به روتر متوقف می‌شدند. در واقعیت این تکنیک از فرصت‌های اتصال تکراری برای تحلیل handshake-ها استفاده می‌کرد و بدین ترتیب می‌توانست قطعه‌های احتمالی رمز را کنار هم بچیند. SAE این نوع حمله‌ها و همچنین حمله‌های دیکشنری متداول‌تر را مسدود می‌کند. در حمله‌های دیکشنری یک رایانه صدها، هزاران یا میلیون‌ها رمز عبور را بررسی می‌کند تا تشخیص دهد که کدام رمز عبور با اطلاعات ارائه شده از سوی فرایند handshake PSK مطابقت دارد.

همان طور که نام این فناوری نشان می‌دهد، SAE با یکسان تلقی کردن دو طرف به جای اینکه یک طرف را درخواست‌کننده و طرف دیگر را احراز کننده تصور کند، اقدام به احراز هویت می‌کند. هر کدام از طرفین می‌توانند فرایند handshake را آغاز کنند و سپس اطلاعات احراز هویت را برخلاف روش handshake به صورت مبادله عقب و جلو، به طور مستقل ارسال نمایند. وقتی مبادله عقب و جلو حذف می‌شود دیگر KRACK جایی برای ابزار وجود نمی‌یابد و حمله‌های دیکشنری نیز بی‌فایده هستند.

SAE ویژگی امنیتی دیگری نیز دارد که PSK فاقد آن بود و آن محرمانگی پیشرو (forward secrecy) است. فرض کنید یک مهاجم به داده‌های رمز شده‌ای که یک روتر روی اینترنت ارسال و دریافت می‌کند، دسترسی داشته باشد. بدین ترتیب مهاجم می‌تواند داده‌ها را از قبل نگهداری کند تا بعداً که رمز را به دست آورد آن‌ها را رمزگشایی کند. با استفاده از SAE رمز عبور مورد استفاده برای رمزنگاری، هر بار که اتصال جدیدی ایجاد می‌شود تغییر می‌یابد و از این رو حتی اگر مهاجم بتواند وارد شبکه شود، تنها می‌تواند رمزهای عبور را برای رمزگشایی داده‌هایی که پس از ورودش ارسال شده سرقت کند.

SAE در استاندارد IEEE 802.11-2016 تعریف شده است که توضیحاتی بالغ بر 3500 صفحه دارد.

پروتکل‌های محرمانگی 192 بیتی

WPA3-انترپرایز (WPA3-Enterprise) نسخه‌ای از گواهی WAP3 محسوب می‌شود که جهت موسسه‌های مالی، دولت‌ها و سازمان‌های بزرگ تدارک دیده شده و از رمزنگاری 192 بیتی استفاده می‌کند. این سطح بالای محرمانگی برای یک روتر خانگی مورد نیاز نیست؛ اما در شبکه‌هایی که با اطلاعات حساسی سروکار دارند، استفاده از آن معقول است.

وای‌فای در حال حاضر از امنیت 128 بیتی بهره می‌گیرد. پروتکل امنیتی 192 بیتی اجباری نیست؛ اما برای موسسه‌هایی که می‌خواهند امنیت بیشتری در شبکه‌های خود داشته باشد، یک گزینه اختیاری محسوب می‌شود. اتحادیه وای‌فای همچنین بر بهره‌گیری از سطح قدرتمندی از رمزنگاری در شبکه‌های سازمانی تأکید دارد، چون سطح کلی امنیت چنین سیستم‌هایی بر روی ضعیف‌ترین حلقه زنجیر که روترهای بی‌سیم است، تکیه دارد.

WPA3-انترپرایز، برای تضمین این که امنیت کل شبکه از ابتدا تا انتها حفظ می‌شود و حفظ این انسجام امنیتی، از پروتکل 256 بیتی حالت Galois/Counter برای رمزنگاری، یک حالت احراز هویت پیام هَش شده 384 بیتی برای ایجاد و تأیید کلیدها و از مبادله دیف–هیلمن (Diffie-Hellman) منحنی بیضوی (Elliptic curve) و الگوریتم امضای منحنی بیضوی برای کلیدهای احراز هویت شده بهره می‌گیرد. این الگوریتم‌ها شامل مباحث بسیار پیچیده ریاضیاتی هستند؛ اما به طور خلاصه می‌توان اشاره کرد که در هر گام این فرایند دست‌کم رمزنگاری 192 بیتی که کمترین سطح امنیت برای سازمان‌های استفاده کننده محسوب می‌شود حفظ خواهد شد.

اتصال آسان (Easy Connect)

بحث اتصال آسان در دنیای امروز یکی از مهم‌ترین مباحثی است که اغلب دستگاه‌ها خواهان آن هستند. با این که امروزه همه افراد از خانه‌های هوشمند استفاده نمی‌کنند؛ اما واقعیت این است که امروزه خانوارها به طور متوسط چندین دستگاه بیشتر از سال 2004 دارند که به روتر خانگی وصل می‌شوند. اتصال آسان تلاشی از سوی اتحادیه وای‌فای است تا همه این دستگاه‌ها به روشی آسان‌تر به شبکه وصل شوند.

بدین ترتیب به جای این که هر بار می‌خواهید یک دستگاه به شبکه اضافه شود، رمز عبوری را وارد کنید؛ اینک دستگاه‌ها کد QR منحصر به فردی دارند که به عنوان نوعی کلید عمومی عمل می‌کند. برای افزودن یک وسیله می‌توانید این کد را با استفاده از گوشی هوشمند خود که از قبل به شبکه اضافه شده است اسکن کنید.

پس از اسکن کردن کد QR، شبکه و آن دستگاه کلیدها را مبادله کرده و فرایند احراز هویت برای اتصال‌های آینده صورت می‌گیرد. اتصال آسان یک پروتکل جداگانه است که در WPA3 معرفی شده است. دستگاه‌های دارای این مجوز باید دارای گواهی WPA2 باشند، اما نیاز نیست که مجوز WPA3 را دریافت کرده باشند.

باز بهینه (Enhanced Open)

پروتکل «باز بهینه» پروتکل جداگانه دیگری است که برای حفاظت از شما در مواقعی که به شبکه‌های باز وصل می‌شوید، طراحی شده است. شبکه‌های باز یعنی شبکه‌هایی که در کافی‌شاپ‌ها و فرودگاه‌ها به آن‌ها وصل می‌شوید، مجموعه مشکلاتی دارند که معمولاً هنگام استفاده از شبکه خانگی یا کاری با آن‌ها مواجه نمی‌شویم.

بسیاری از حمله‌هایی که روی شبکه‌های باز صوت می‌گیرند، به صورت حمله‌های منفعل (passive) هستند. با وجود افراد بی‌شماری که از این شبکه‌ها استفاده می‌کنند، فرد مهاجم می‌تواند با نشستن پشت رایانه خود و رصد داده‌های زیادی که مبادله می‌شوند، راه‌های نفوذ فراوانی بیابد.

پروتکل باز بهینه از رمزنگاری بی‌سیم فرصت‌طلبانه (opportunistic) یا به اختصار OWE استفاده می‌کند که در استاندارد گروه «کاری مهندسی اینترنت» RFC 8110 تعریف شده و در برابر این نوع رصدهای منفعل حفاظت ایجاد می‌کند. OWE نیازمند هیچ‌گونه حفاظت احراز هویت اضافی نیست و روی بهبود رمزنگاری داده‌های ارسالی بر روی شبکه‌های عمومی متمرکز شده است، به طوری که رصدگران نتوانند این داده‌ها را سرقت کنند. این پروتکل همچنین از حمله‌های تزریق بسته ساده جلوگیری می‌کند. در این حمله‌ها مهاجم تلاش می‌کند تا عملیات‌های شبکه را از طریق ساخت و ارسال بسته‌های داده‌ای که شبیه بسته‌های عملیات‌های نرمال شبکه هستند فریب بدهد.

نتیجه‌گیری

پدلیل این که در پروتکل باز بهینه هیچ حفاظتی به صورت احراز هویت ارائه نشده، این است که ماهیت شبکه‌های باز طبق طراحی آن‌ها برای استفاده عمومی است. پروتکل باز بهینه برای بهبود لایه دفاعی یک شبکه باز در برابر حمله‌های منفعل بدون الزام کردن کاربران عادی به وارد کردن رمزهای عبور یا ورود به مرحله‌های اضافی، طراحی شده است.

دست‌کم چند سال تا همه‌گیر شدن WPA3، پروتکل‌های اتصال آسان، و باز بهینه زمان باقی مانده است. استفاده عمومی از WPA3 زمانی رخ می‌دهد که روترهای موجود ارتقا یابند یا با روترهای جدیدی تعویض شوند. با این حال اگر در مورد امنیت یک شبکه خانگی نگران هستید، می‌توانید روتر فعلی خود را با یک روتر با گواهی WPA3 جایگزین کنید، چون شرکت‌های سازنده در طی ماه‌های آتی آن‌ها را به بازار عرضه خواهند کرد.

اگر این نوشته مورد توجه شما قرار گرفته است، موارد زیر نیز احتمالاً مورد علاقه شما خواهند بود:

==

بر اساس رای ۵ نفر
آیا این مطلب برای شما مفید بود؟
اگر بازخوردی درباره این مطلب دارید یا پرسشی دارید که بدون پاسخ مانده است، آن را از طریق بخش نظرات مطرح کنید.
منابع:
spectrum.ieee.
نظر شما چیست؟

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *