A miało być tak bezpiecznie: WPA3, Dragonfly, Dragonblood

Data: 11.09.2019 10:57

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #zaufanatrzeciastrona #Dragonblood #Dragonfly #WiFi #WPA3

W niecały rok od ogłoszenia przez Wi-Fi Alliance standardu WPA3 badacze Mathy Vanhoef oraz Eyal Ronen przeprowadzili jego analizę i wskazali szereg słabości. Wyjaśniamy, czy jest się czego obawiać i co można z tym zrobić.

A miało być tak bezpiecznie: WPA3, Dragonfly, Dragonblood

Jedną z ważniejszych modyfikacji w WPA3 względem WPA2 miał być protokół uzgadniania połączenia (Dragonfly Handshake). Zmiany miały wyeliminować podatności ujawnione w WPA2 (m.in. WPA KRACK). Dragonfly miał uniemożliwić atakującym zarejestrowanie sesji uzgadniania hasła (4-Way Handshake) i uruchomienie ataku słownikowego w trybie offline. WPA3 wprowadził również perfect forward secrecy (PFS), który uniemożliwia atakującym odszyfrowanie analizowanego wstecznie historycznego ruchu sieciowego w sytuacji poznania hasła. Badacze przeanalizowali nowy protokół Dragonfly i dokonane odkrycia przedstawili w swojej publikacji, a także na specjalnie przygotowanej stronie internetowej. Pokazano, że całkiem nowy protokół uwierzytelniania posiada szereg słabości. W istocie to, co było przyczyną odejścia od WPA2 na rzecz WPA3 (problemy z uwierzytelnianiem), ujawniło się w nowej odsłonie.

Podkreślono, że upublicznienie informacji o słabościach odbyło się zgodnie z zasadami odpowiedzialnego ujawniania podatności (responsible disclosure). Badacze we współpracy z Wi-Fi Alliance oraz CERT/CC, w skoordynowany sposób, powiadomili wszystkich dostawców, których dotyczy problem.

reszta artykułu na stronie źródła: ZaufanaTrzeciaStrona