WPA3 eli uusin Wi-Fi Protected Access

Langatonta verkkoliikennettä on helppo salakuunnella, siksi sen suojaaminen on tärkeää. WLAN-salaus on kulkenut monen vaiheen kautta: WEP, WPA, WPA2 ja nyt on tulossa WPA3. Mitä muutos tarkoittaa?

WPA2 eli Wi-Fi Protected Access (eli 802.11i) on ollut pitkäikäinen ratkaisu. WPA tuli 2003 ja WPA2 2004. Neljätoista vuotta on pitkä ikä mille tahansa turvallisuusratkaisulle tietotekniikassa, missä laitteiden suorituskyky kasvaa eksponentiaalisesti. Viime aikoina on esitetty mahdollisia tapoja murtaa WPA2. Ne eivät vielä ole kovin käytännöllisiä, mutta varoittavat WPA2:n vanhenemisesta. Niinpä Wi-Fi Alliance julkaisi WPA3:n kesäkuussa 2018. Mikä muuttuu?

Turvallisempi yhteyden muodostus

WPA2:n esitetyt heikkoudet liittyvät yhteyden muodostusvaiheessa siirrettävään salasanaan. Salasanaa ei siirretä tietenkään selväkielisenä, vaan siitä siirretään vain tarkistussumma. Tarkistussummasta ei voi laskea salasanaa takaperin. Mutta – on mahdollista laskea valmiiksi tarkistussummat suurelle joukolle salasanoja. Tällaisia Rainbow Tableja on laskettu ja tallennettu jo vuosien ajan. Vaara, että meidän käyttämämme tunnisteet löytyvät valmiista kirjastosta, kasvaa koko ajan.

WPA3:ssa avaimen tarkistussummaa ei siirretä vaan käytetään 802.11s:ssä esiteltyä SAE (Simultaneous Authentication of Equals) -menetelmää. SAE perustuu monissa salausstandardeissa käytettyyn Diffie–Hellman-avainten vaihtoon. SAE edellyttää molempien osapuolten aktiivista osallistumista. Jos kolmas osapuoli vain salakuuntelee ja tallentaa vaihdon niin se ei voi hyödyntää tietoa. Tämä suojaa Off-line Brute Force -hyökkäyksiä vastaan. Toinen etu on ns. Forward Secrecy, eli vaikka avain paljastuisi, ei sillä voi purkaa vanhoja tallenteita. Vain avaimen paljastumisen jälkeiset yhteydet ovat vaarassa. Huhut kertovat, että suuret tiedusteluorganisaatiot vuosien ajan tallentaneet sellaisenkin datan, jota ne eivät voi purkaa – siinä toivossa että avain paljastuu joskus myöhemmin.

Tavallisen käyttäjän kannalta näillä yksityiskohdilla ei ole merkitystä. Tunnistautuminen tapahtuu kuten ennenkin. Teknisesti tapa on kuitenkin eri ja jotta uutta tapaa voisi käyttää täytyy sekä tukiaseman että käyttäjän laitteen tukea WPA3:a.

Enhanced Open

Monet vierasverkot ovat salaamattomia. Lentokentillä ja hotelleissa käytetään usein omaa kirjautumissivua, jonne pitää syöttää käyttäjätunnus ja salasana sekä yleensä hyväksyä käyttöehdot. Siinä tapauksessa itse WLAN yhteys on suojaamaton ja sitä on hyvin helppo salakuunnella. Jos suojaamattoman yhteyden yli kirjautuu johonkin palveluun, joka ei käytä SSL/TLS-salausta, niin kaikki kirjautumistiedot lähetetään selväkielisenä kaikkien kuultavaksi.

WPA3:n Enhanced Open tuo salauksen kaikkiin yhteyksiin, vaikka niissä ei olisi salasanaa lainkaan. Kaikki laitteet muodostavat aina suojatun yhteyden tukiaseman kanssa. Enhanced Open ei kuitenkaan tunnista kumpaakaan osapuolta. Käyttäjä voi siis tietämättään liittyä vihamieliseen verkkoon, mikä on koko WLANin historian ajan ollut yksi uhkakuva. Siihen Enhanced Open ei tuo ratkaisua, mutta estää siis passiivisen salakuuntelun.

Easy Connect

Tietokoneen tai puhelimen liittäminen WLAN-verkkoon on useimmille tuttu ja helppo toimenpide. Hankalampia ovat tulostimet, mediapalvelimet, sääasemat, langattomat kaiuttimet ja muut laitteet, joissa ei ole näyttöä ja näppäimistöä. IoT:n aikana pitäisi liittää vielä kaikenlaisia antureita, kodinkoneita, rakennustekniikkaa, valaisimia jne. verkkoon.

2006 esiteltiin WPS eli Wi-Fi Protected Setup ratkaisemaan ongelma. Siinä piti painaa nappia tukiasemassa tai syöttää lyhyt PIN-koodi laitteeseen. WPS:stä vain on löytynyt isoja turvallisuuspuutteita eikä sitä enää suositella mihinkään käyttöön.

WPA3:n Easy Connect on turvallinen ratkaisu samaan ongelmaan. Siinä käytetään apulaitetta, kuten puhelinta, joka on jo liitetty suojattuun WLANiin. Puhelimella esimerkiksi skannataan uudessa laitteessa oleva QR-koodi, minkä jälkeen laite pääsee verkkoon. Easy Connect perustuu luotettuihin julkisen avaimen salausmenetelmiin.

WPA3 Personal ja Enterprise

Kuten WPA2:ssa myös WPA3:ssa on kaksi tilaa:

  • WPA3 Personal, jossa kaikilla on yhteinen, jaettu salasana.
  • WPA3 Enterprise, jossa jokaiselle käyttäjälle on oma tunnus ja salasana RADIUS-palvelimella.

Uutta WPA3 Enterprisessa on käytetyn salausavaimen pituuden kasvattaminen 128 bitistä 192 bittiin. WPA3 Personalissa avaimen pituus on edelleen 128 bittiä. Tällä hetkellä ero on aika teoreettinen, sillä 128 bitin avainta pidetään edelleen turvallisena.

Pitäisikö päivittää?

Tätä kirjoitettaessa WPA3-laitteita ei ole vielä saatavilla. Tilanne on varmasti eri jo vuoden 2019 alussa. WPA3:sta ei ole hyötyä, elleivät sekä tukiasema että käyttäjän laite tue sitä. Jos jompikumpi tukee vain WPA2:a, niin käytetään sitä. Siirtymäaikaa tulee siis olemaan useampi vuosi, etenkin vierasverkoissa.

Wi-Fi Alliance on määritellyt WPA3:n siten, että laitteen on tuettava WPA3:a kokonaan ollakseen sen mukainen. Vaatimukset ovat siis uusi yhteydenmuodostus, Enhanced Open, Easy Connect ja 192 bitin WPA3 Enterprise.

Uudet laitteet tulevat olemaan WPA3-yhteensopivia järjestään. Ei ole mitään syytä valmistaa enää WPA2-laitteita. Vanhojen päivittäminen sen sijaan voi olla rajoitettua. Tietokoneissa ja uudemmissa kännyköissä on laskentatehoa uusien salausmenetelmien laskemiseen, ellei salausta ole siirretty erikoispiirin hoidettavaksi. Jos piiri on suuniteltu 128 bitin salaukseen niin sitä ei voi käyttää 192 bitille. Tukiasemien päivitettävyys on todennäköisesti huono. Tukiasemien laskentateho on hyvin vaatimaton eikä niihin todennäköisesti saa WPA3:a päivityksenä. Valmistajatkin varmasti myyvät mielellään uudet tukiasemat 😬

Kuinka turvallinen teidän WLAN-verkkonne on?

Onko teillä yhteinen WLAN-salasana? Koska se on viimeksi vaihdettu? Eikö sen jälkeen ole kukaan lähtenyt?

Ihan aluksi WLAN-verkot olivat salaamattomia. Radioaallot kulkevat aika hyvin seinien läpi, joten salakuuntelu etäältäkin on hyvin yksinkertaista – tarvittiin salausta. Ensimmäinen salauskäytäntö oli Wired Equivalent Privacy eli WEP. WEP oli alunperinkin heikko salaus, mutta silti sen murtaminen tuli yllätyksenä. Piti äkkiä keksiä uusi – tuli WPA eli Wi-Fi Protected Access, joka kulkee myös nimellä TKIP. WPA:ta paranneltiin ja nykyisin on käytössä WPA2. WPA2 on nopea ja tällä hetkellä turvallinen tapa salata verkko.

WPA2:sta on kaksi versiota: Personal ja Enterprise. Personal-suojauksessa verkossa on yksi, yhteinen salasana. Kuka tahansa, joka tuntee salasanan voi liittyä ja kuunnella verkon liikennettä. WPA2 Personal sopii henkilökohtaiseen- ja kotikäyttöön, miksei myös pieneen yritykseen tai toimistoon. Yrityskäytössä on kuitenkin henkilöstön vaihtuvuutta ja salasana pitäisi vaihtaa aina kun joku lähtee yrityksestä. Ei kai kukaan ajattele, että irtisanomisen tai irtisanoutumisen jälkeen olisi tervetullut yrityksen tietoverkkoon? Silti WPA2 Personal on yleisin tapa ratkaista WLAN-verkon tietoturva.

WPA2 Enterprise edellyttää, että käyttäjät on nimetty ja jokaisella on salasana. Windows Active Directory -ympäristössä (AD) näin aina on. Windows Serverin mukana tulee Network Policy Server -rooli (NPS), joka tarjoaa RADIUS-palvelun tukiasemille. Tukiasemat siis tarkistavat käyttäjätunnuksen ja salasanan RADIUS-palvelimelta (eli NPS:ltä) ennen kuin päästävät käyttäjän verkkoon. Estämällä käyttäjä AD:sta estetään pääsy myös WLAN-verkkoon. Tähän ei tarvita mitään ylimääräisiä laitteita tai ohjelmistoja. Käytännössä kaikki tukiasemat tukevat WPA2 Enterprise -suojausta ja NPS-roolin voi asentaa AD:n Domain Controlleriin (DC).

Lue lisää: