WPA3 eli uusin Wi-Fi Protected Access

Langatonta verkkoliikennettä on helppo salakuunnella, siksi sen suojaaminen on tärkeää. WLAN-salaus on kulkenut monen vaiheen kautta: WEP, WPA, WPA2 ja nyt on tulossa WPA3. Mitä muutos tarkoittaa?

WPA2 eli Wi-Fi Protected Access (eli 802.11i) on ollut pitkäikäinen ratkaisu. WPA tuli 2003 ja WPA2 2004. Neljätoista vuotta on pitkä ikä mille tahansa turvallisuusratkaisulle tietotekniikassa, missä laitteiden suorituskyky kasvaa eksponentiaalisesti. Viime aikoina on esitetty mahdollisia tapoja murtaa WPA2. Ne eivät vielä ole kovin käytännöllisiä, mutta varoittavat WPA2:n vanhenemisesta. Niinpä Wi-Fi Alliance julkaisi WPA3:n kesäkuussa 2018. Mikä muuttuu?

Turvallisempi yhteyden muodostus

WPA2:n esitetyt heikkoudet liittyvät yhteyden muodostusvaiheessa siirrettävään salasanaan. Salasanaa ei siirretä tietenkään selväkielisenä, vaan siitä siirretään vain tarkistussumma. Tarkistussummasta ei voi laskea salasanaa takaperin. Mutta – on mahdollista laskea valmiiksi tarkistussummat suurelle joukolle salasanoja. Tällaisia Rainbow Tableja on laskettu ja tallennettu jo vuosien ajan. Vaara, että meidän käyttämämme tunnisteet löytyvät valmiista kirjastosta, kasvaa koko ajan.

WPA3:ssa avaimen tarkistussummaa ei siirretä vaan käytetään 802.11s:ssä esiteltyä SAE (Simultaneous Authentication of Equals) -menetelmää. SAE perustuu monissa salausstandardeissa käytettyyn Diffie–Hellman-avainten vaihtoon. SAE edellyttää molempien osapuolten aktiivista osallistumista. Jos kolmas osapuoli vain salakuuntelee ja tallentaa vaihdon niin se ei voi hyödyntää tietoa. Tämä suojaa Off-line Brute Force -hyökkäyksiä vastaan. Toinen etu on ns. Forward Secrecy, eli vaikka avain paljastuisi, ei sillä voi purkaa vanhoja tallenteita. Vain avaimen paljastumisen jälkeiset yhteydet ovat vaarassa. Huhut kertovat, että suuret tiedusteluorganisaatiot vuosien ajan tallentaneet sellaisenkin datan, jota ne eivät voi purkaa – siinä toivossa että avain paljastuu joskus myöhemmin.

Tavallisen käyttäjän kannalta näillä yksityiskohdilla ei ole merkitystä. Tunnistautuminen tapahtuu kuten ennenkin. Teknisesti tapa on kuitenkin eri ja jotta uutta tapaa voisi käyttää täytyy sekä tukiaseman että käyttäjän laitteen tukea WPA3:a.

Enhanced Open

Monet vierasverkot ovat salaamattomia. Lentokentillä ja hotelleissa käytetään usein omaa kirjautumissivua, jonne pitää syöttää käyttäjätunnus ja salasana sekä yleensä hyväksyä käyttöehdot. Siinä tapauksessa itse WLAN yhteys on suojaamaton ja sitä on hyvin helppo salakuunnella. Jos suojaamattoman yhteyden yli kirjautuu johonkin palveluun, joka ei käytä SSL/TLS-salausta, niin kaikki kirjautumistiedot lähetetään selväkielisenä kaikkien kuultavaksi.

WPA3:n Enhanced Open tuo salauksen kaikkiin yhteyksiin, vaikka niissä ei olisi salasanaa lainkaan. Kaikki laitteet muodostavat aina suojatun yhteyden tukiaseman kanssa. Enhanced Open ei kuitenkaan tunnista kumpaakaan osapuolta. Käyttäjä voi siis tietämättään liittyä vihamieliseen verkkoon, mikä on koko WLANin historian ajan ollut yksi uhkakuva. Siihen Enhanced Open ei tuo ratkaisua, mutta estää siis passiivisen salakuuntelun.

Easy Connect

Tietokoneen tai puhelimen liittäminen WLAN-verkkoon on useimmille tuttu ja helppo toimenpide. Hankalampia ovat tulostimet, mediapalvelimet, sääasemat, langattomat kaiuttimet ja muut laitteet, joissa ei ole näyttöä ja näppäimistöä. IoT:n aikana pitäisi liittää vielä kaikenlaisia antureita, kodinkoneita, rakennustekniikkaa, valaisimia jne. verkkoon.

2006 esiteltiin WPS eli Wi-Fi Protected Setup ratkaisemaan ongelma. Siinä piti painaa nappia tukiasemassa tai syöttää lyhyt PIN-koodi laitteeseen. WPS:stä vain on löytynyt isoja turvallisuuspuutteita eikä sitä enää suositella mihinkään käyttöön.

WPA3:n Easy Connect on turvallinen ratkaisu samaan ongelmaan. Siinä käytetään apulaitetta, kuten puhelinta, joka on jo liitetty suojattuun WLANiin. Puhelimella esimerkiksi skannataan uudessa laitteessa oleva QR-koodi, minkä jälkeen laite pääsee verkkoon. Easy Connect perustuu luotettuihin julkisen avaimen salausmenetelmiin.

WPA3 Personal ja Enterprise

Kuten WPA2:ssa myös WPA3:ssa on kaksi tilaa:

  • WPA3 Personal, jossa kaikilla on yhteinen, jaettu salasana.
  • WPA3 Enterprise, jossa jokaiselle käyttäjälle on oma tunnus ja salasana RADIUS-palvelimella.

Uutta WPA3 Enterprisessa on käytetyn salausavaimen pituuden kasvattaminen 128 bitistä 192 bittiin. WPA3 Personalissa avaimen pituus on edelleen 128 bittiä. Tällä hetkellä ero on aika teoreettinen, sillä 128 bitin avainta pidetään edelleen turvallisena.

Pitäisikö päivittää?

Tätä kirjoitettaessa WPA3-laitteita ei ole vielä saatavilla. Tilanne on varmasti eri jo vuoden 2019 alussa. WPA3:sta ei ole hyötyä, elleivät sekä tukiasema että käyttäjän laite tue sitä. Jos jompikumpi tukee vain WPA2:a, niin käytetään sitä. Siirtymäaikaa tulee siis olemaan useampi vuosi, etenkin vierasverkoissa.

Wi-Fi Alliance on määritellyt WPA3:n siten, että laitteen on tuettava WPA3:a kokonaan ollakseen sen mukainen. Vaatimukset ovat siis uusi yhteydenmuodostus, Enhanced Open, Easy Connect ja 192 bitin WPA3 Enterprise.

Uudet laitteet tulevat olemaan WPA3-yhteensopivia järjestään. Ei ole mitään syytä valmistaa enää WPA2-laitteita. Vanhojen päivittäminen sen sijaan voi olla rajoitettua. Tietokoneissa ja uudemmissa kännyköissä on laskentatehoa uusien salausmenetelmien laskemiseen, ellei salausta ole siirretty erikoispiirin hoidettavaksi. Jos piiri on suuniteltu 128 bitin salaukseen niin sitä ei voi käyttää 192 bitille. Tukiasemien päivitettävyys on todennäköisesti huono. Tukiasemien laskentateho on hyvin vaatimaton eikä niihin todennäköisesti saa WPA3:a päivityksenä. Valmistajatkin varmasti myyvät mielellään uudet tukiasemat 😬

Ilmainen Let’s Encrypt https-sertifikaatti www-palvelimeen

Paranna hakukonenäkyvyyttä siirtymällä suojattuun https-yhteyteen!

Let’s Encrypt on projekti, jonka tavoitteena on muuttaa internet taas vähän turvallisemmaksi. Keinona on automatisoida PKI-sertifikaattien tuottaminen, jolloin niiden hinta saadaan alas. Itse Let’s Encrypt jakaa sertifikaatteja ilmaiseksi, joskin (pienetkin) lahjoitukset ovat tervetulleita. Google puolestaan edistää https-yhteyksien yleistymistä nostamalla suojattuja sivustoja ylemmäksi hakutuloksissa. Chrome-selain varoittelee suojaamattomista sivustoista.

Helpointa Let’s Encryptin sertifikaatin käyttöönotto on, jos palveluntarjoaja tukee sitä suoraan – sitä kannattaa kysyä. Vaikka sivuston ylläpitokäyttöliittymässä olisi vain linkkejä maksullisen sertifikaatin tilaamiseen, voi hyvin kysyä miksei Let’s Encrypt ole mukana.

Omaa palvelinta ylläpidettäessä pitää nähdä vähän enemmän vaivaa. Let’s Encryptin automaatio tarkoittaa, ettei sertifikaattia voi tilata miltään web-sivulta. Palvelimella pitää olla skripti, joka hakee ja päivittää sertifikaatin automaattisesti. EFF:in tarjoama valmis CertBot tekee tämän helpoksi yleisimpien Unix-tyyppisten käyttöjärjestelmien osalta. Käyttöönotto ja asennus riippuu web-palvelimesta ja käyttöjärjestelmästä, mutta web-sivulta nämä voi valita ja saa sitten ohjeet juuri omaan ympäristöön. Windowsille on useita vaihtoehtoja sertifikaatin ylläpitoon.

Yleisesti ottaen web-sivustolle pitää tehdä piilohakemisto .well-known, jonne skripti tallentaa tunnisteen sertifikaatin hakemisen tai päivityksen ajaksi. Tällä tavoin Let’s Encrypt tietää, että pyyntö tulee oikeasta domainista. Tämä saattaa aiheuttaa pulmia, sillä sertifikaattiin tulevan domainin pitää olla ulkoverkosta tavoitettavissa http-pyynnöllä. Esimerkiksi sisäisen intranetin sertifikaattia ei voi tällä tavalla ylläpitää ilman erikoisvirityksiä tai ylipäätään suojata muita kuin http-palveluja, elleivät ne sijaitse samalla palvelimella http:n kanssa.

Sertifikaatin hakemisen jälkeen skripti tallentaa julkisen ja salaisen avaimen levylle. Paikan voi asetuksissa vaihtaa, mutta oletuskin kelpaa hyvin, kunhan huomaa laittaa oikeat polut web-palvelimen asetuksiin. Sertifikaatti on voimassa vain 90 päivää, mutta onneksi skripti uusii sen automaattisesti ilman vaivannäköä. Let’s Encrypt suosittelee skriptin suorittamista kahdesti päivässä, jotta sertifikaatti varmasti pysyy voimassa. Yleensä skripti ei siis tee mitään, joten se ei juuri kuormita palvelinta.

Tämän sivuston sertifikaatti on haettu Let’s Encryptiltä. Sen näkee klikkaamalla osoiterivin lukkoa tai mitä symbolia käyttämäsi selain nyt näyttääkään.

Linkkejä:

Salasanat kuntoon kerralla

Yksinkertainen keino hallita salasanaviidakkoa ja parantaa turvallisuutta – eikä se maksa mitään!

Kaikki tietävät, että salasanan pitää olla pitkä, sisältää hankalia merkkejä, ei saa muodostaa mitään järkevää ja niin edelleen. Sellaisia salasanoja on vain mahdoton muistaa, etenkin kun niitä tarvitaan paljon ja ne pitäisi vaihtaa usein. Niinpä useimmat käyttävät samaa salasanaa kaikkiin palveluihin. Se on kuitenkin kaikkein huonoin vaihtoehto, mielummin vaikka kirjoita salasanat kalenteriisi. Jos yhdessäkin palvelussa on tietovuoto niin hakkerit yrittävät käyttää samoja tunnuksia Facebookiin, GMailiin, Twitteriin ja niin edelleen. Yleensä osumia löytyy paljon. Näin hakkerit voivat laajentaa identiteettivarkautta ja esimerkiksi vakuuttaa ystäväsi astumaan viritettyyn ansaan.

Mikä siis avuksi?

Keksi pysyvä osa

Mieti jokin lyhyehkö salasana, jossa on isoja ja pieniä kirjaimia sekä jokunen erikoismerkki ja numero. Aloita jostain yksinkertaisesta, mutta vähän pidemmästä, sanasta, sanotaan vaikka pihlaja. Vaihdetaan esimerkiksi H:n tilalle # eli pi#laja. Vaihdetaan J:n tilalle 3 eli pi#la3a. Kirjoitetaan kaikki vokaalit isoilla kirjaimilla: pI#lA3A. Nyt se alkaa näyttää kunnon salasanalta. Voit kokeilla kirjoittaa sen näppäimistöllä, onnistuuko se vai pitäisikö jotain muuttaa? Olisi hyvä, jos salasanassa olisi vuorotellen merkkejä näppäimistön eri laidoilta, koska sellainen on nopeampi kirjoittaa kahdella kädellä. Siinä suhteessa pI#lA3A ei ole paras mahdollinen valinta, mutta sopii tässä esimerkiksi. Vältä myös sellaisia merkkejä, joita ei ole kaikilla näppäimistöillä: å, ä ja ö puuttuvat useimmista maailman näppäimistöistä. Samaten valuuttamerkit $, £ ja € voivat olla vaikeita löytää aasialaisen nettikahvilan näppäimistöltä. Älä ole huolissasi tämän salasanan muistamisesta, sillä tulet käyttämään sitä paljon eikä sitä enää tarvitse vaihtaa.

Keksi jokaiselle palvelulle oma sana

Assosioi jokaiselle palvelulle oma sanansa. Esimerkiksi työpaikalle duuni, lentoyhtiön kanta-asiakkuuteen siivet, junayhtiölle kiskot, sähköpostiin kirje jne. Yritä tässäkin valita ainakin keskimittaisia sanoja. Parempi olisi, jos assosiaatiot olisivat henkilökohtaisempia kuin nämä. Esimerkiksi jos kuljet junalla sukuloimaan niin käytä sanaa mummolaan. Hyödynnä suomenkielen taivutuksia, mutta vältä näissäkin sanoissa skandinaavisia vokaaleja, korvaa ne a:lla ja o:lla. Kirjoita nämä sanat ylös. Ne voivat olla paperilla, mutta ehkä vielä parempi on tiedosto DropBoxissa, OneDrivessa, GDrivessa tai vastaavassa (mutta silloin pitää muistaa tiedostopalvelun salasana). Vaikka tämä tieto päätyisi vääriin käsiin, ei sillä yksinään tee mitään.

Keksi yhdistämiskaava

Laadi tapa, millä kaksi edellistä yhdistetään. Esimerkiksi palvelukohtaisen sanan kaksi ekaa kirjainta, pysyvä salasana ja loput palvelukohtaisesta. Silloin pI#lA3A + mummola = mupI#lA3Ammola. Tai kummastakin kaksi kirjainta, sitten loput eli pImu#lA3Ammola. Tärkeää on, että palvelukohtainen ”tavallinen” sana tulee jaettua ainakin kahteen osaan. Voit myös käyttää kaavassa ensimmäistä tai viimeistä tavua eikä tiettyä määrää kirjaimia.

Tällä tavalla muodostetut salasanat ovat turvallisia sekä sanakirja- että raakaa voimaa käyttäviä hyökkäyksiä vastaan. Tällaista sanaa ei ole missään sanakirjassa ja salasanan pituus suojaa pelkkää eri kirjainyhdistelmien kokeilua vastaan. Jos salasana vanhenee niin pitää vain keksiä uusi palvelukohtainen sana. Pysyvää osaa tai yhdistämiskaavaa ei tarvitse koskaan vaihtaa, kunhan ne eivät päädy kenenkään muun tietoon. Siksi niitä ei saa kirjoittaa ylös.

Käyttöönotto

Näin pitkälle pääsee vielä aika helposti, mutta nyt alkaa työläin vaihe. Jokaiseen palveluun pitäisi kirjautua ja vaihtaa salasana. Tämä on kertaluonteinen työ, mutta siihen pitää varata yksi iltapäivä. Niin paljon erilaisia tunnuksia itse kullekin on kertynyt. Etenkin kun pitää muistella mikä se nykyinen tunnus-salasana-yhdistelmä olikaan. Aloita eniten käyttämistäsi palveluista: työpaikan tunnus, AppleID, Facebook, GMail… Jatkossa, kun kirjaudut jollekin foorumille, niin vaihda samalla salasana uuden mallin mukaiseksi.

Tässä vielä Excel-taulukko, jolla voit kokeilla erilaisten salasanojen muodostamista: [Lataa]

Kuinka turvallinen teidän WLAN-verkkonne on?

Onko teillä yhteinen WLAN-salasana? Koska se on viimeksi vaihdettu? Eikö sen jälkeen ole kukaan lähtenyt?

Ihan aluksi WLAN-verkot olivat salaamattomia. Radioaallot kulkevat aika hyvin seinien läpi, joten salakuuntelu etäältäkin on hyvin yksinkertaista – tarvittiin salausta. Ensimmäinen salauskäytäntö oli Wired Equivalent Privacy eli WEP. WEP oli alunperinkin heikko salaus, mutta silti sen murtaminen tuli yllätyksenä. Piti äkkiä keksiä uusi – tuli WPA eli Wi-Fi Protected Access, joka kulkee myös nimellä TKIP. WPA:ta paranneltiin ja nykyisin on käytössä WPA2. WPA2 on nopea ja tällä hetkellä turvallinen tapa salata verkko.

WPA2:sta on kaksi versiota: Personal ja Enterprise. Personal-suojauksessa verkossa on yksi, yhteinen salasana. Kuka tahansa, joka tuntee salasanan voi liittyä ja kuunnella verkon liikennettä. WPA2 Personal sopii henkilökohtaiseen- ja kotikäyttöön, miksei myös pieneen yritykseen tai toimistoon. Yrityskäytössä on kuitenkin henkilöstön vaihtuvuutta ja salasana pitäisi vaihtaa aina kun joku lähtee yrityksestä. Ei kai kukaan ajattele, että irtisanomisen tai irtisanoutumisen jälkeen olisi tervetullut yrityksen tietoverkkoon? Silti WPA2 Personal on yleisin tapa ratkaista WLAN-verkon tietoturva.

WPA2 Enterprise edellyttää, että käyttäjät on nimetty ja jokaisella on salasana. Windows Active Directory -ympäristössä (AD) näin aina on. Windows Serverin mukana tulee Network Policy Server -rooli (NPS), joka tarjoaa RADIUS-palvelun tukiasemille. Tukiasemat siis tarkistavat käyttäjätunnuksen ja salasanan RADIUS-palvelimelta (eli NPS:ltä) ennen kuin päästävät käyttäjän verkkoon. Estämällä käyttäjä AD:sta estetään pääsy myös WLAN-verkkoon. Tähän ei tarvita mitään ylimääräisiä laitteita tai ohjelmistoja. Käytännössä kaikki tukiasemat tukevat WPA2 Enterprise -suojausta ja NPS-roolin voi asentaa AD:n Domain Controlleriin (DC).

Lue lisää: