De Wi-Fi Alliance heeft de eerste details van WPA3 bekend gemaakt. De beveiligingstechniek voor Wi-Fi netwerken moet het eenvoudiger maken voor gebruikers om de beveiliging in te stellen op apparaten zonder scherm en standaard bescherming bieden bij gebruik van open netwerken.
WPA3 is standaard beveiligd tegen aanvallen zoals KRACK, biedt een eenvoudigere beveiligingsconfiguratie en voegt ook nieuwe beveiligingsmogelijkheden toe.
https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements
Voor eduroam zal het weinig impact hebben, de EAP-authenticatie blijft hetzelfde. Netwerken waar WPA1 nog aan stond (met mixed mode) zijn vanaf WPA3 verboden, maar die waren toch al uit den boze. We krijgen als extra nieuwe encryptie (192-bit), en bescherming van de management frames (nu kun je iemand zonder authenticatie disassocieren bijvoorbeeld).
(Er blijft overigens ook beperkt ontwikkeling in WPA2, en ook daar zijn opties voor management-frame protectie.)
Simultaneous Authentication of Equals (SAE)
De grootste verandering: netwerken met pre-shared-key worden veiliger (door “Simultaneous Authentication of Equals”, SAE)
SAE is bestand tegen passieve aanvallen, actieve aanvallen en “dictionary attacks”. Het biedt een veilig alternatief voor het gebruik van certificaten of wanneer een gecentraliseerde instantie niet beschikbaar is. Het is een peer-to-peer-protocol, heeft geen asymmetrie en ondersteunt gelijktijdige initiatie.
Opportunistic Wireless Encryption (OWE)
Ongeauthenticeerde netwerken zijn niet meer volledig open maar hebben nu ook encryptie (“Opportunistic Wireless Encryption”, OWE) met individuele sessie-keys. Zo zal OWE (RFC8110) bescherming bieden, ook als gebruikers zwakke wachtwoorden voor hun netwerk kiezen en er wordt dus individuele encryptie toegepast van verbindingen met open netwerken, om de privacy van de gebruiker te beschermen.
Vanaf 2020 moeten alle devices die het label “Wi-Fi Certified” willen WPA3 ondersteunen.
De impact voor eduroam is gering: we kunnen straks netwerken treffen die zowel WPA2 als WPA3 ondersteunen, met betere encryptie en management frame protectie als bonus.
Ik ben benieuwd wanneer we de eerste devices gaan zien met WPA3!
bronnen : SURFnet(eduroam-list) en Wi-Fi Alliance